Должен ли работодатель получать согласие родственников работников на обработку их ПДн?

Нет, если объем обрабатываемых ПДн ограничивается формой №Т-2.

Ранее Роскомнадзор отмечал, что не требует согласия обработка ПДн близких родственников работника в объеме, предусмотренном унифицированной формой №Т-2, либо в случаях, установленных законодательством Российской Федерации:

▪️ получение алиментов;

▪️ оформление допуска к государственной тайне;

▪️ оформление социальных выплат .

В иных случаях, получение согласия близких родственников работника является обязательным условием обработки их ПДн.

Так, суд в одном из дел признал нарушением п. 1 ч. 1 ст. 6 №152-ФЗ отсутствие согласия родственника в ситуации, когда его номер телефона был от руки подписан в  личном деле работника в унифицированной форме Т-2 (дело №33а-3957/2018).

На последнем семинаре Роскомнадзора было отмечено, что согласия родственников на обработку ПДн необходимы, если данные обрабатываются в информационной системе, которая поддерживается сторонним вендором. 

Однако даже при наличии согласия родственников работника обработка их ПДн может быть признана недопустимой, исходя из вопроса целесообразности их обработки и положений ст. 5 №152-ФЗ.

Как долго работодатель может обрабатывать ПДн уволенных работников?

По общему правилу, обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей (ч. 7 ст. 5 №152-ФЗ).

Роскомнадзор отмечает, что работодатель вправе обрабатывать ПДн уволенного работника в сроки, предусмотренные законодательством. К таким случаям, в том числе, относится обработка ПДн в рамках бухгалтерского и налогового учета:

➡️ налоговые агенты (работодатели) в течение 5 лет должны обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налог (подп. 5 п. 3 ст. 24 НК РФ);

➡️ организации обязаны хранить бухгалтерскую документацию не менее 5 лет после отчетного года (ч. 1 ст. 29 №402-ФЗ).

При этом известны судебные решения, в которых обработка ПДн уволенных работников сроком более, чем 5 лет, в ИСПДн, а не в архивах нарушает ч. 4 ст. 21 №152-ФЗ (дело №А40-81171/17-149-793).

Однако широко известно дело №А40-163911/2021. В нем суд в отношении документов уволенных работников указал, что установленные Приказом №236 сроки хранения применяются в силу “самого факта наличия того или иного документа в перечне документов, утвержденных данных приказом, а не в силу признания документа архивным”.

О новом тренде privacy – tech

▶️ На днях в СМИ было несколько публикаций о том, что крупные бренды, как операторы данных, расширяют линейку сервисов по дополнительной защите ПДн.

Я считаю, что зарождается новый тренд в развитии privacy – tech:

✅направление на обслуживание потребностей субъекта персональных данных✅

Действительно, программные решения по борьбе со спамом и телефонным мошенничеством существуют не первый год. Однако только сейчас компании - экосистемы усиливают тренд на развитие сервисов по совокупной защите ПДн.
Вопрос стоимости сервиса каждый оператор решает индивидуально, многие из них предоставляются бесплатно, а на первый план выходит критерий «безопасности»⛔️

При повсеместной автоматизации личной жизни и широкого распространения онлайн услуг возрастает необходимость в максимальной защите.
Как эксперт в области персональных данных, наблюдаю осознанную потребность не на защиту абстрактных массивов с данными, а на защиту неприкосновенности частной жизни – основной сути 152-ФЗ.

Считаю, что развитие данных сервисов в Privacy Tech более актуальным и инвестиционно-привлекательным,  чем электронные реестры или системы управлениями согласиями на обработку ПД.

Приглашаем на первую очную встречу Privacy Club в этом году! Мероприятие организовано при поддержке экспертов крупной финансовой корпорации и пройдет в башне "Евразия" (Москва-сити).

Тема: легализация обработки персональных данных в бизнесе: актуальные проблемы и задачи в сфере privacy, имеющие высокое воздействие на предпринимательскую среду.

Формат: панельная дискуссия, сессия mastermind, networking.

Участники: ведущие эксперты (инхаус) в сфере privacy; приглашенные DPO.

Место: г. Москва, Пресненская набережная, д. 10, стр. 1 (Башня «Евразия» Москва-Сити).

Дата и время: 12 марта 2024 года, 19.00-21.00 мск.

Модератор: Денис Лукаш, внешний DPO корпораций с миллиардными оборотами, управляющий партнер Lukash & Partners.

Стоимость: бесплатно для приглашенных участников (внутренние специалисты), необходима регистрация и получение подтверждения.

Онлайн трансляции или записи не будет.
Как это было прошлый раз.
Предложить тему.

❓ЧТО ТАКОЕ PRIVACY (ПРИВАТНОСТЬ)

▶️ В основе термина «приватность» лежит латинское слово «privato» - «частный».

Юридический смысл «privacy» в конце XIX века придали два американских юриста. История создания термина напрямую связана с появлением новых технологий. В частности, первого массового использования фотокамер. Именно это обстоятельство подтолкнуло юристов определить «право на приватность», то есть «уединенность, защищенность».

🔺Однако в русском языке слово «приватность» чаще всего истолковывается как «неприкосновенность частной и личной жизни». По сути этот термин в части защиты персональных данных означает автономию личности от государства и от других лиц по контролю оборота сведений о себе.

➡️С одной стороны, в российском законодательстве понятие «приватность» унифицировано и идентично мировым юридическим практикам.

⬅️С другой стороны, российское законодательство имеет свои самобытные подходы по защите приватности.

✅Именно в российском аспекте правильно говорить об информационном праве в целом✅

Можно сказать, что с развитием цифровых технологий и технологий искусственного интеллекта внимание государства все больше будет обращено на сферу персональных данных и информационного права, то есть потребность в защите прав субъектов персональных данных будет только возрастать📈

#теория

❓В какой форме оператор должен получить согласие на сбор cookies-файлов

▶️ Ежедневно, находясь в интернет-пространстве, пользователи посещают новые сайты и сталкиваются с различными формами согласий на сбор cookies-файлов. Каждому приходится тратить время и усилия на вычитывание и понимание условий сбора.

Роскомнадзор считает, что согласие на сбор cookies-файлов может быть получено в любой форме:
🔹в виде всплывающего окна с уведомлением
🔹 в виде отдельного документа
🔹в виде веб-формы
🔹в тексте согласия на обработку иных ПДн с указанием целей сбора.

🔷Надзорный орган также считает допустимым включение условий об использовании cookies в пользовательское соглашение. Именно такой механизм реализован на сайте одного из проектов надзорного органа.

🔺Однако оператор должен принимать во внимание, что cookies-файлы – это персональные данные🔺

Поэтому, согласие на сбор cookies-файлов должно быть (ч. 1 ст. 9 №152-ФЗ):
🔹конкретным
🔹 предметным
🔹 информированным
🔹сознательным и однозначным.

Оператор должен иметь доказательство факта получения этого согласия от субъекта (ч. 3 ст. 9 №152-ФЗ).

В большинстве случаев пользователь дает согласие, а по факту оно ни на что не влияет. Одним из наиболее корректных примеров и алгоритмов сбора считаю эти рекомендации.

#практика

❓Когда фотоизображение, загруженное в информационную систему, является биометрическими данными

Для начала разберемся с понятиями.

▶️152-ФЗ трактует, что под биометрическими персональными данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, а также сведения, которые используются оператором для установления личности субъекта персональных данных.

То есть для идентификации биометрических ПДн ключевым является наличие двух признаков:

1️⃣особое содержание, то есть биологические или физиологические признаки лица, как правило, неизменные на протяжении всей жизни человека;
2️⃣особая цель обработки, связанная с установлением личности субъекта.

Однако на практике ни все так однозначно. Развитие биометрических технологий не стоит на месте и динамично развивается, влияя на содержание правовых норм.

➡️В международном праве меняется подход, связанный с пониманием биометрии в виде выделения дополнительного третьего критерия. Так, в GDPR дополняют, что одним из признаков является использование специальных технических средств для получения эталонных образцов биометрических данных субъекта и последующего сопоставления вводимых с ними данных.

⬅️Российские эксперты в комментариях к 152-ФЗ дополняют критерий – получение и сопоставление полученных персональных данных с помощью специальных технических устройств.

Таким образом, в российском законодательстве сочетаются два похода:

✅если процесс сбора и сопоставления полученных образцов биометрии осуществляются с помощью средств вычислительной техники, то это будет относиться к биометрическим персональным данным;
✅если сопоставление данных осуществляется человеком посредством простой сверки (например, сверка полученного охранником документа с данными компьютера) в целях установления личности на основании физиологических и биологические особенностей человека, то речь будет также идти о биометрических персональных данных (Письмо Роскомнадзора от 29.08.2022 № 08-78032).

#hello

❓В сентябре прошлого года мы как финансовая организация передали биометрию клиентов в Единую биометрическую систему. При этом согласия на размещение биометрических данных в ЕБС у субъектов не запрашивалось. После появления на портале Госуслуг раздела “Биометрия”, в банк стали поступать обращения клиентов с вопросом, на каком основании биометрия была размещена в ЕБС без их согласия. Какой позиции здесь можно придерживаться?

▶️Сначала нужно разобраться, какие согласия нужны банкам для обработки и передачи биометрии.

1️⃣Письменное согласие на обработку биометрических ПДн, форма отвечает требованиям ч.4 ст.9. №152-ФЗ и ч.1ст.11.№152-ФЗ.

2️⃣Согласие на размещение биометрии в ЕБС, форма установлена Распоряжением Правительства №1322-р.

Соответственно, банк, являясь оператором ПДн, не может обрабатывать биометрию без первого из согласий.

Однако №572-ФЗ прямо допускает передачу биометрии в ЕБС без второго из согласий:
🔹если в информационных системах банков собраны изображения лиц и записи голосов, то банки обязаны разместить эти данные в ЕБС без получения согласия субъекта ПДн на это размещение и на их обработку оператором ЕБС ч. 14 ст. 4 №572-ФЗ
🔹банки минимум за 30 дней до планируемого размещения биометрии в ЕБС обязаны уведомить субъекта ПДн в любой форме, которая позволяет подтвердить факт получения такого уведомления ч. 15 ст. 4 №572-ФЗ

✅Таким образом, для передачи данных в ЕБС банкам достаточно только письменного согласия субъекта на обработку биометрии, форма которого отвечает требованиям ч. 4 ст. 9 №152-ФЗ✅

Также клиентов можно проинформировать о том, что с требованием о блокировании или уничтожении биометрии, уже размещенной в ЕБС, обращаться следует не к банку, а к Центру биометрических технологий (оператору этой системы) ч.15 ст.4 №572-ФЗ

#кейсы

Недавно стало известно о том, что разработан законопроект о страховании рисков утечек персональных данных. Хорошо это и кому от этого будет хорошо – давайте рассуждать.

▶️С одной стороны, механизм страхования рисков является цивилизованным инструментом возмещения вреда. Предполагается, что страховая компания при инциденте должна заплатить пострадавшим, тем самым, как бы снизить финансовые риски для операторов персональных данных.
◀️ С другой стороны, прежде чем произвести выплаты страховая компания должна будет провести расследование и проверить соблюдение требований безопасности. На сегодняшний день это самый сложный вопрос, ведь чем чаще страховая будет отказывать, тем выше у нее прибыль.

Для соблюдений всех условий по защите ПДн со стороны операторов потребуются:

🔹 собственная или привлеченная сильная экспертиза
🔹финансовые и организационные вложения для изменений бизнес-процессов. И это только малая часть.

Несмотря на это, останется высокий уровень субъективности в методах обеспечения информационной безопасности. Это приведет к непрозрачности начисления страховых премий, а страховые компании смогут с завидной легкостью находить нарушения и отказывать в платежах. В конечном итоге споры перейдут в суды, где потребуются дорогостоящие судебные экспертизы и узкоспециализированные юристы. Это все долго и стоит дорого.

Как юрист в сфере data privacy, считаю подобную законодательную инициативу преждевременной.

🔵 Чтобы подготовить рынок к кибер страхованию нужны более прозрачные законодательные рамки в области ИБ и кибер страхования.

Для начала необходимо проработать прозрачные и доступные более широкому кругу экспертов законодательные рамки в области защиты ПДн, в которых уже прорабатывать подходы по регулированию страхования утечек ПД.

Виды приватности

Согласно общепринятой классификации разделяют четыре вида приватности.

🔹ТЕЛЕСНАЯ дает право на защиту от нежелательных прикосновений и физического насилия
🔹ТЕРРИТОРИАЛЬНАЯ (пространственная) считает неприкосновенными место проживания человека, личные, бытовые вещи
🔹КОММУНИКАЦИОННАЯ регулирует право на тайну переписки посредством почтовой связи, телефонных разговоров
🔹 ИНФОРМАЦИОННАЯ обеспечивает право на защиту персональных данных.

В юридической практике эксперты по ПД чаще всего имеют дело с коммуникационной и информационной видами приватности.

#теория

❓Должна ли общеобразовательная организация собирать согласия на обработку ПДн учеников

Нет, если обработка ПДн осуществляется в целях организации образовательного процесса.

Минцифры отмечает, что образовательные организации, осуществляя обработку ПДн учеников в целях организации образовательного процесса, оказывает государственную услугу в соответствии с Распоряжением Правительства №1993-р.
При этом ПДн учеников, не связанные с образовательным процессом, общеобразовательная организация может получить только с письменного согласия родителя (законного представителя). К таким данным относятся в том числе документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций (например, документы о составе семьи и ее социально-экономическом положении).

Обращаю внимание, что согласие на обработку ПДн несовершеннолетние могут давать только по достижении 14 лет. О причинах такого ограничения я писал ранее.

Роскомнадзор указывает, что в таком согласии должна быть прописана информация о законном представителе, о несовершеннолетнем и цели, на которые дается согласие.

#практика

Владелец маркетплейса столкнулся со следующей проблемой.
➡️ ст. 9 Закона о защите прав потребителей обязывает его доводить до сведений потребителей информацию о продавце, в том числе адрес, ФИО, ОГРНИП.
⬅️ ст. 7 №152-ФЗ не допускает распространения и раскрытия третьим лицам ПДн субъектов без их согласия.

❓Допустимо ли в в такой ситуации размещение на сайте адреса ИП

Однозначного ответа на этот вопрос пока не сформулировано.

Суды общей юрисдикции приходят к выводу, что размещать адрес ИП не только допустимо, но и обязательно в силу положений п. 1.2 ст. 9 ЗоЗПП владелец маркетплейса обязан довести до сведения потребителей информацию о продавце (исполнителе) - ИП, как-то: адрес, ФИО, ОГРНИП (дело №33-5459/2021).

🔹Довод о том, что адрес регистрации продавца - ИП относится к ПДн и на основании п. 1.2 ст. 9 ЗоЗПП владелец агрегатора не должен доводить данную информацию до сведения потребителей основаны на неправильном толковании норм материального права (дело №33-2749/2023).

🔹Довод о том, что в соответствии с положениями п. 1.2 ст. 9 ЗоЗПП такая обязанность установлена лишь в отношении продавцов - юридических лиц, также основан на неверном понимании норм права (дело №2-3834/2023).

Но известно и иное решение.

В деле №А40-225034/2022 9 ААС указал: “

Распространение адреса регистрации продавца без его согласия во исполнение требований п. 1.2 ст. 9 ЗоЗПП не является законным, поскольку указанной нормой не предусмотрена обязанность владельца сайта размещать информацию именно о месте жительства продавца”.

Как мы видим, ситуация остается неоднозначной и требует анализа со стороны экспертов. Юристы Lukash & Partners , сталкиваясь с подобными вопросами, используют индивидуальный подход и детальное изучение кейса.

▶️В прошлом году Роскомнадзор зафиксировал 168 случаев утечек персональных данных - в Интернет попали порядка 300 млн записей.

В статье журнала «Информационная безопасность» раскрыл вопрос ответственности утечек и договорных отношений между операторами и "обработчиками" персональных данных:

🔹что обязан делать оператор и в какие сроки
🔹штрафы, предусмотренные за неправомерную или случайную передачу ПДн
🔹как изменятся подходы к доказыванию утечек в случае принятия новых штрафов (спойлер - никак)
🔹каким образом возможно взыскать сумму финансовых потерь в случае, когда оператор оштрафован за действия обработчика
🔹влияние в судах вопроса технической защищенности на размер штрафа (спойлер - не влияет).

Прочитать статью можно здесь.

Ваши вопросы по защите персональных данных в компании можно направлять на e-mail: info@lukash.partners

Вебинар для сотрудников кадровых служб, HR-агентств и юристов по персональным данным.

Ключевые темы:

1️⃣Обработка персональных данных кандидатов: ошибки и решения, Денис Лукаш, Lukash & Partners.

2️⃣Тренды, аналитика и прогнозы в подборе персонала в 2024 г, Татьяна Батырь, SuperJob.

Когда: 18 марта 2024 года 15.00 - 16.40

Описание:

Процессы поиска и привлечения новых работников сопряжены с обработкой персональных данных. Законодательство о персональных данных постоянно меняется, а санкции за нарушения ужесточатся. Данные предоставляют не только кандидаты. Работодатели также могут их собирать из различных источников. Поговорим о том, как не получать штрафы и судебные иски за нарушения при обработке персональных данных кандидатов.

Участие бесплатное, регистрация здесь или по info@secconf.ru

Вебинар организован:
🏳️Безопасность 360
🏳️Superjob

▶️Бизнес общественность продолжает обсуждать законопроект об оборотных штрафах за утечки персональных данных - принят в первом чтении, находится на рассмотрении.

Так, общественная организация «Деловая Россия» направила ряд предложений в Госдуму в части снижения размеров оборотных штрафов на порядок и введения «солидарной» ответственности оператора данных и его поставщика услуг. Мы согласны с позицией о разделении ответственности при инциденте между оператором и обработчиком.

Сейчас на практике оператор ПДн отвечает за качество сервиса обработчика перед субъектами ПДн. То есть все штрафы за ошибки обработчика, вызвавшие утечки данных, берет на себя оператор, с которым он работает по договору оказания услуг.
И единственная возможность снизить расходы – это обратиться в суд за взысканием убытков. Однако это не гарантирует решений о взыскании в пользу оператора. Поэтому, логичнее будет изначально разделить административную ответственность между оператором и обработчиком соразмерно вине.
Также считаю, что в настоящих реалиях ключевым моментом остается подписание правильной формы договора, где важно максимально предусмотреть риски и оператора, и обработчика.

▶️Юристы компании «Лукаш и партнеры» имеют уверенную практику подготовки необходимых документов для снижения правовых рисков предприятия при обработке персональных данных.

#мнение

Продолжается регистрация на встречу экспертов по вопросам обработки персональных данных в организациях, которая пройдет в Москва - Сити, башня "Евразия".

Спасибо всем за обратную связь по предлагаемым темам.
Экспертной группой выделили 3 темы к обсуждению.

1️⃣ Разделение ответственности оператора и обработчика при утечке, учет рисков в договоре, передача ПД в группе компаний.

2️⃣ Кому платить штраф до 800 000 рублей как должностному лицу, проблемы разделения ролей между DPO, CISO, юристами и другими работниками.

3️⃣ Проблемные вопросы уничтожения персональных данных.

Формат проведения встречи предполагает участие в обсуждении всех присутствующих, без инсайдов и новых знакомств с коллегами не уйдете.

Еще раз ссылка на регистрацию.

❓Какими законами регулируется право на приватность

В России сфера персональных данных регулируется большим количеством законов. Изучение только профильного №152-ФЗ недостаточно для понимания принципов защиты субъектов ПДн. Специалисту необходимо изучить широкий спектр иных нормативно-правовых актов.

В частности, к нормативным актам относятся:

🔹 Конституция Российской Федерации

🔹Гражданский кодекс Российской Федерации

🔹Федеральный закон «Об информации, информационных технологиях и о защите информации» №149-ФЗ

🔹 Федеральный закон по работе с ЕБС №572-ФЗ

🔹Конвенция о защите физических лиц при автоматизированной обработке персональных данных № 108

и другие.

Также существует большой пласт позиций надзорных органов и судебной практики, а также отраслевое законодательство оператора персональных данных.

Знание и понимание нормативных документов позволит сформировать начальную теоретическую базу. Однако теория без практики не решит поставленные задачи в бизнесе.

#теория