❓Когда фотоизображение, загруженное в информационную систему, является биометрическими данными

Для начала разберемся с понятиями.

▶️152-ФЗ трактует, что под биометрическими персональными данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, а также сведения, которые используются оператором для установления личности субъекта персональных данных.

То есть для идентификации биометрических ПДн ключевым является наличие двух признаков:

1️⃣особое содержание, то есть биологические или физиологические признаки лица, как правило, неизменные на протяжении всей жизни человека;
2️⃣особая цель обработки, связанная с установлением личности субъекта.

Однако на практике ни все так однозначно. Развитие биометрических технологий не стоит на месте и динамично развивается, влияя на содержание правовых норм.

➡️В международном праве меняется подход, связанный с пониманием биометрии в виде выделения дополнительного третьего критерия. Так, в GDPR дополняют, что одним из признаков является использование специальных технических средств для получения эталонных образцов биометрических данных субъекта и последующего сопоставления вводимых с ними данных.

⬅️Российские эксперты в комментариях к 152-ФЗ дополняют критерий – получение и сопоставление полученных персональных данных с помощью специальных технических устройств.

Таким образом, в российском законодательстве сочетаются два похода:

✅если процесс сбора и сопоставления полученных образцов биометрии осуществляются с помощью средств вычислительной техники, то это будет относиться к биометрическим персональным данным;
✅если сопоставление данных осуществляется человеком посредством простой сверки (например, сверка полученного охранником документа с данными компьютера) в целях установления личности на основании физиологических и биологические особенностей человека, то речь будет также идти о биометрических персональных данных (Письмо Роскомнадзора от 29.08.2022 № 08-78032).

#hello

❓В сентябре прошлого года мы как финансовая организация передали биометрию клиентов в Единую биометрическую систему. При этом согласия на размещение биометрических данных в ЕБС у субъектов не запрашивалось. После появления на портале Госуслуг раздела “Биометрия”, в банк стали поступать обращения клиентов с вопросом, на каком основании биометрия была размещена в ЕБС без их согласия. Какой позиции здесь можно придерживаться?

▶️Сначала нужно разобраться, какие согласия нужны банкам для обработки и передачи биометрии.

1️⃣Письменное согласие на обработку биометрических ПДн, форма отвечает требованиям ч.4 ст.9. №152-ФЗ и ч.1ст.11.№152-ФЗ.

2️⃣Согласие на размещение биометрии в ЕБС, форма установлена Распоряжением Правительства №1322-р.

Соответственно, банк, являясь оператором ПДн, не может обрабатывать биометрию без первого из согласий.

Однако №572-ФЗ прямо допускает передачу биометрии в ЕБС без второго из согласий:
🔹если в информационных системах банков собраны изображения лиц и записи голосов, то банки обязаны разместить эти данные в ЕБС без получения согласия субъекта ПДн на это размещение и на их обработку оператором ЕБС ч. 14 ст. 4 №572-ФЗ
🔹банки минимум за 30 дней до планируемого размещения биометрии в ЕБС обязаны уведомить субъекта ПДн в любой форме, которая позволяет подтвердить факт получения такого уведомления ч. 15 ст. 4 №572-ФЗ

✅Таким образом, для передачи данных в ЕБС банкам достаточно только письменного согласия субъекта на обработку биометрии, форма которого отвечает требованиям ч. 4 ст. 9 №152-ФЗ✅

Также клиентов можно проинформировать о том, что с требованием о блокировании или уничтожении биометрии, уже размещенной в ЕБС, обращаться следует не к банку, а к Центру биометрических технологий (оператору этой системы) ч.15 ст.4 №572-ФЗ

#кейсы

Недавно стало известно о том, что разработан законопроект о страховании рисков утечек персональных данных. Хорошо это и кому от этого будет хорошо – давайте рассуждать.

▶️С одной стороны, механизм страхования рисков является цивилизованным инструментом возмещения вреда. Предполагается, что страховая компания при инциденте должна заплатить пострадавшим, тем самым, как бы снизить финансовые риски для операторов персональных данных.
◀️ С другой стороны, прежде чем произвести выплаты страховая компания должна будет провести расследование и проверить соблюдение требований безопасности. На сегодняшний день это самый сложный вопрос, ведь чем чаще страховая будет отказывать, тем выше у нее прибыль.

Для соблюдений всех условий по защите ПДн со стороны операторов потребуются:

🔹 собственная или привлеченная сильная экспертиза
🔹финансовые и организационные вложения для изменений бизнес-процессов. И это только малая часть.

Несмотря на это, останется высокий уровень субъективности в методах обеспечения информационной безопасности. Это приведет к непрозрачности начисления страховых премий, а страховые компании смогут с завидной легкостью находить нарушения и отказывать в платежах. В конечном итоге споры перейдут в суды, где потребуются дорогостоящие судебные экспертизы и узкоспециализированные юристы. Это все долго и стоит дорого.

Как юрист в сфере data privacy, считаю подобную законодательную инициативу преждевременной.

🔵 Чтобы подготовить рынок к кибер страхованию нужны более прозрачные законодательные рамки в области ИБ и кибер страхования.

Для начала необходимо проработать прозрачные и доступные более широкому кругу экспертов законодательные рамки в области защиты ПДн, в которых уже прорабатывать подходы по регулированию страхования утечек ПД.

Виды приватности

Согласно общепринятой классификации разделяют четыре вида приватности.

🔹ТЕЛЕСНАЯ дает право на защиту от нежелательных прикосновений и физического насилия
🔹ТЕРРИТОРИАЛЬНАЯ (пространственная) считает неприкосновенными место проживания человека, личные, бытовые вещи
🔹КОММУНИКАЦИОННАЯ регулирует право на тайну переписки посредством почтовой связи, телефонных разговоров
🔹 ИНФОРМАЦИОННАЯ обеспечивает право на защиту персональных данных.

В юридической практике эксперты по ПД чаще всего имеют дело с коммуникационной и информационной видами приватности.

#теория

❓Должна ли общеобразовательная организация собирать согласия на обработку ПДн учеников

Нет, если обработка ПДн осуществляется в целях организации образовательного процесса.

Минцифры отмечает, что образовательные организации, осуществляя обработку ПДн учеников в целях организации образовательного процесса, оказывает государственную услугу в соответствии с Распоряжением Правительства №1993-р.
При этом ПДн учеников, не связанные с образовательным процессом, общеобразовательная организация может получить только с письменного согласия родителя (законного представителя). К таким данным относятся в том числе документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций (например, документы о составе семьи и ее социально-экономическом положении).

Обращаю внимание, что согласие на обработку ПДн несовершеннолетние могут давать только по достижении 14 лет. О причинах такого ограничения я писал ранее.

Роскомнадзор указывает, что в таком согласии должна быть прописана информация о законном представителе, о несовершеннолетнем и цели, на которые дается согласие.

#практика

Владелец маркетплейса столкнулся со следующей проблемой.
➡️ ст. 9 Закона о защите прав потребителей обязывает его доводить до сведений потребителей информацию о продавце, в том числе адрес, ФИО, ОГРНИП.
⬅️ ст. 7 №152-ФЗ не допускает распространения и раскрытия третьим лицам ПДн субъектов без их согласия.

❓Допустимо ли в в такой ситуации размещение на сайте адреса ИП

Однозначного ответа на этот вопрос пока не сформулировано.

Суды общей юрисдикции приходят к выводу, что размещать адрес ИП не только допустимо, но и обязательно в силу положений п. 1.2 ст. 9 ЗоЗПП владелец маркетплейса обязан довести до сведения потребителей информацию о продавце (исполнителе) - ИП, как-то: адрес, ФИО, ОГРНИП (дело №33-5459/2021).

🔹Довод о том, что адрес регистрации продавца - ИП относится к ПДн и на основании п. 1.2 ст. 9 ЗоЗПП владелец агрегатора не должен доводить данную информацию до сведения потребителей основаны на неправильном толковании норм материального права (дело №33-2749/2023).

🔹Довод о том, что в соответствии с положениями п. 1.2 ст. 9 ЗоЗПП такая обязанность установлена лишь в отношении продавцов - юридических лиц, также основан на неверном понимании норм права (дело №2-3834/2023).

Но известно и иное решение.

В деле №А40-225034/2022 9 ААС указал: “

Распространение адреса регистрации продавца без его согласия во исполнение требований п. 1.2 ст. 9 ЗоЗПП не является законным, поскольку указанной нормой не предусмотрена обязанность владельца сайта размещать информацию именно о месте жительства продавца”.

Как мы видим, ситуация остается неоднозначной и требует анализа со стороны экспертов. Юристы Lukash & Partners , сталкиваясь с подобными вопросами, используют индивидуальный подход и детальное изучение кейса.

▶️В прошлом году Роскомнадзор зафиксировал 168 случаев утечек персональных данных - в Интернет попали порядка 300 млн записей.

В статье журнала «Информационная безопасность» раскрыл вопрос ответственности утечек и договорных отношений между операторами и "обработчиками" персональных данных:

🔹что обязан делать оператор и в какие сроки
🔹штрафы, предусмотренные за неправомерную или случайную передачу ПДн
🔹как изменятся подходы к доказыванию утечек в случае принятия новых штрафов (спойлер - никак)
🔹каким образом возможно взыскать сумму финансовых потерь в случае, когда оператор оштрафован за действия обработчика
🔹влияние в судах вопроса технической защищенности на размер штрафа (спойлер - не влияет).

Прочитать статью можно здесь.

Ваши вопросы по защите персональных данных в компании можно направлять на e-mail: info@lukash.partners

Вебинар для сотрудников кадровых служб, HR-агентств и юристов по персональным данным.

Ключевые темы:

1️⃣Обработка персональных данных кандидатов: ошибки и решения, Денис Лукаш, Lukash & Partners.

2️⃣Тренды, аналитика и прогнозы в подборе персонала в 2024 г, Татьяна Батырь, SuperJob.

Когда: 18 марта 2024 года 15.00 - 16.40

Описание:

Процессы поиска и привлечения новых работников сопряжены с обработкой персональных данных. Законодательство о персональных данных постоянно меняется, а санкции за нарушения ужесточатся. Данные предоставляют не только кандидаты. Работодатели также могут их собирать из различных источников. Поговорим о том, как не получать штрафы и судебные иски за нарушения при обработке персональных данных кандидатов.

Участие бесплатное, регистрация здесь или по info@secconf.ru

Вебинар организован:
🏳️Безопасность 360
🏳️Superjob

▶️Бизнес общественность продолжает обсуждать законопроект об оборотных штрафах за утечки персональных данных - принят в первом чтении, находится на рассмотрении.

Так, общественная организация «Деловая Россия» направила ряд предложений в Госдуму в части снижения размеров оборотных штрафов на порядок и введения «солидарной» ответственности оператора данных и его поставщика услуг. Мы согласны с позицией о разделении ответственности при инциденте между оператором и обработчиком.

Сейчас на практике оператор ПДн отвечает за качество сервиса обработчика перед субъектами ПДн. То есть все штрафы за ошибки обработчика, вызвавшие утечки данных, берет на себя оператор, с которым он работает по договору оказания услуг.
И единственная возможность снизить расходы – это обратиться в суд за взысканием убытков. Однако это не гарантирует решений о взыскании в пользу оператора. Поэтому, логичнее будет изначально разделить административную ответственность между оператором и обработчиком соразмерно вине.
Также считаю, что в настоящих реалиях ключевым моментом остается подписание правильной формы договора, где важно максимально предусмотреть риски и оператора, и обработчика.

▶️Юристы компании «Лукаш и партнеры» имеют уверенную практику подготовки необходимых документов для снижения правовых рисков предприятия при обработке персональных данных.

#мнение

Продолжается регистрация на встречу экспертов по вопросам обработки персональных данных в организациях, которая пройдет в Москва - Сити, башня "Евразия".

Спасибо всем за обратную связь по предлагаемым темам.
Экспертной группой выделили 3 темы к обсуждению.

1️⃣ Разделение ответственности оператора и обработчика при утечке, учет рисков в договоре, передача ПД в группе компаний.

2️⃣ Кому платить штраф до 800 000 рублей как должностному лицу, проблемы разделения ролей между DPO, CISO, юристами и другими работниками.

3️⃣ Проблемные вопросы уничтожения персональных данных.

Формат проведения встречи предполагает участие в обсуждении всех присутствующих, без инсайдов и новых знакомств с коллегами не уйдете.

Еще раз ссылка на регистрацию.

❓Какими законами регулируется право на приватность

В России сфера персональных данных регулируется большим количеством законов. Изучение только профильного №152-ФЗ недостаточно для понимания принципов защиты субъектов ПДн. Специалисту необходимо изучить широкий спектр иных нормативно-правовых актов.

В частности, к нормативным актам относятся:

🔹 Конституция Российской Федерации

🔹Гражданский кодекс Российской Федерации

🔹Федеральный закон «Об информации, информационных технологиях и о защите информации» №149-ФЗ

🔹 Федеральный закон по работе с ЕБС №572-ФЗ

🔹Конвенция о защите физических лиц при автоматизированной обработке персональных данных № 108

и другие.

Также существует большой пласт позиций надзорных органов и судебной практики, а также отраслевое законодательство оператора персональных данных.

Знание и понимание нормативных документов позволит сформировать начальную теоретическую базу. Однако теория без практики не решит поставленные задачи в бизнесе.

#теория

❓Можно ли включать согласие на обработку персональных данных в договор с субъектом

Нет, нельзя.

Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе (ч. 1 ст. 9 №152-ФЗ).
По мнению Роскомнадзора, условие подписания согласия на обработку ПДн, как неотъемлемой части договора, нарушает принцип добровольности согласия.

Суды даже признают такие договорные условия нарушающими ст. 16 ЗоЗПП:

➡️в деле №2-12745/2023 суд указал, что субъект ПДн подписал стандартную форму договора с заранее установленными банком условиями, в которых отсутствуют положения, по которым клиент мог бы отказаться от дачи согласия на обработку ПДн. Оказание банком финансовых услуг было прямо связано с обеспечением такого согласия клиента, т. е. имело для истца вынужденный характер;

➡️в деле №А40-65677/2022 суд отметил, что условие в договоре, содержащее согласие на обработку ПДн, не охвачено самостоятельной волей и интересом потребителя, поскольку согласие потребителя в данном случае определено наличием напечатанного текста в договоре типографским способом.

Таким образом, включение согласия на обработку ПДн в текст договора влечет риски нарушения не только №152-ФЗ, но и ЗоЗПП. Поэтому операторам рекомендуется использовать другое основание для обработки ПДн или собирать согласие субъекта отдельно от договора.

#практика

29 февраля в 10.00 мск. регистрация на встречу Privacy Club в Москва-Сити будет приостановлена в связи с большим количеством желающих.
Если Вы рассчитывали зарегистрироваться чуть позже (так как встреча 12-го марта), оставляем небольшое временное окно.

Еще раз темы, которые планируем обсуждать.

1️⃣ Разделение ответственности оператора и обработчика при утечке, учет рисков в договоре, передача ПД в группе компаний.

2️⃣ Кому платить штраф до 800 000 рублей как должностному лицу, проблемы разделения ролей между DPO, CISO, юристами и другими работниками.

3️⃣ Проблемные вопросы уничтожения персональных данных.

Записи не будет, только офлайн, при поддержке крупной финансовой корпорации.

▶️В СМИ появилась информация об изменениях в обработке персональных данных в сфере пассажирских перевозок в этом году. Речь идет об обязательной передаче "расширенных" ПДн ( IP- адреса, банковские карты и другие) транспортными компаниями в единую государственную информационную систему обеспечения транспортной безопасности (ЕГИС ОТБ) в лице оператора — ФГУП Минтранса «Защитаинфотранс».

Специалисты обсуждают предстоящие изменения. Несколько моих комментариев по сказанному в статье.

1️⃣ Согласие. В материале СМИ говорилось о необходимости сбора согласий для передачи ПДн во ФГУП «Защитаинфотранс». В действительности согласие не требуется, потому что обработка может осуществляться на основании упомянутого Приказа Минтранса. Роскомнадзор согласится с п. 2 ч. 1 ст. 6 152-ФЗ, как основанием для передачи ПДн (отсылки к законодательству).
И вот здесь интересное, так как согласно информации в СМИ будут передаваться, в том числе, логины и пароли. Исключения для данных ПДн 152-ФЗ не предусматривает.

2️⃣ Защита персональных данных. Как отметила одна авиакомпания, она хранит хэш пароля, а некоторые данные, необходимые для передачи во ФГУП «Защитаинфотранс», не собирает вообще. Судя по текущему регулированию телекоммуникационной отрасли или провайдеров хостинга, если что-то не сделано, придется доделать за свой счет.
По паролю тоже никого не будет интересовать как реализовано сейчас, если пароль передается, то подразумевается его использование тем кто получил. Еще раз повторюсь, это все будет возможно без согласия (см. п.1). Как следствие, влияние на защищенность пользовательских аккаунтов.

Как пишет СМИ, документ дорабатываться уже не будет, а опасения со стороны "близких" к Минтрансу считаются преувеличенными. Надеюсь Минтранс даст официальные комментарии.

#мнение

❓Может ли медицинская организация публиковать персональные данные своих работников на сайте без их согласия

Медицинская организация планирует публиковать информацию о сотрудниках на своем веб-сайте. Нужно ли в таком случае получать от них согласия на распространение их ПДн в соответствии со ст. 10.1 №152-ФЗ?

▶️Не следует, если состав ПДн не выходит за рамки перечня, предусмотренного п. 7 ч. 1 ст. 79 №323-ФЗ.

Медицинская организация обязана информировать граждан в доступной форме, в том числе в интернете:

🔹о медицинских работниках
🔹 об уровне их образования и квалификации.

При этом требования №152-ФЗ не применяются к обработке ПДн в целях выполнения функций, полномочий и обязанностей, законодательно возложенных на подведомственные органам власти организации (ч. 15 ст. 10.1 №152-ФЗ).

Роскомнадзор отмечал, что для учреждений здравоохранения с целью информирования учащихся и пациентов таких организаций не требуется согласие на распространение ПДн при размещении на сайтах или в социальных сетях фотографий и ПДн.

Однако обращаю внимание на то, что:

🔹размещение ПДн работника медицинской организации на сайте производителя лекарственного препарата уже будет требовать согласия по смыслу ст. 10.1 №152-ФЗ;

🔹размещение ПДн о медицинском работнике, не подлежащих раскрытию в силу N323-ФЗ, также будет требовать согласия по смыслу ст. 10.1 №152-ФЗ, иначе это формально может быть признано “утечкой”.

#кейсы

Lukash & Partners ищет data privacy юриста

📍Москва, офис в центре Москвы
Формат работы: в основном удаленно, но быть готовым присутствовать в офисе

Задачи:
- помогать искать правовые риски в договорах, бизнес-процессах и информационных системах,
- участвовать в проведении data privacy аудитов,
- писать правовые заключения,
- составлять ЛНА и договоры, связанные с легализацией оборота данных,
- выполнять задачи внешнего DPO.

Требования:
- опыт в data privacy от 3 лет,
- опыт работы с легализацией обработки персональных данных в бизнесе,
- большой интерес к ИТ-праву и регулированию обработки персональных данных,
- внимательность к деталям и ответственность,

Условия:
- оплата по рынку, зависит от кандидата,
- масштабные проекты, работа с отраслевыми лидерами.
Мы научим нашей методологии работы с корпорациями и поддержим в пути.

Резюме на info@lukash.partners.

СМИ периодически публикуют реакции разных отраслей бизнеса на законопроект об увеличении штрафов за "утечки" персональных данных.

▶️Так, со стороны финансового сообщества был подготовлен пакет возражений о размерах штрафов.
Ключевые аргументы:
- Подобные санкции не влияют на повышение уровня информационной безопасности и на повторные инциденты.
- Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями.
- Вместо инвестиций в ИБ компании будут тратить деньги на штрафы.

Что здесь можно добавить следуя логике банков?

Если крупные корпорации с их возможностями по организации защиты ПДн не исключают риски утечек, то, что говорить о предприятиях среднего бизнеса. 10% трат от ИТ бюджета на ИБ условного банка может быть сопоставима со всем ИТ бюджетом ИТ-компании среднего бизнеса (или даже превышать).

Однако, если ИТ-компания тратит 30% своего ИТ бюджета на ИБ, а условный банк только 10%, кто добросовестней относится к ИБ?

Понятно, что финансовые корпорации хотят отменить оборотные штрафы для всех операторов персональных данных, однако не факт, что это произойдет.

Не плохо бы в текущей редакции законопроекта предусмотреть не только дифференциацию по количеству утекших записей, но и дифференциацию по затратам на ИБ, учесть соразмерность бизнеса.

#мнение

❓Что такое коммуникационная приватность

В прошлом веке коммуникационную приватность связывали с тайной переписки посредством почтовой связи📮 и телефонных переговоров☎️.

В настоящее время широкое распространение информационных технологий максимально облегчило поиск и обмен информацией. Персональную информацию о субъекте можно получить из разных источников. Профилирование этих данных позволяет сформировать наиболее полное представление о субъекте и его характеристиках.

Коммуникационная приватность предполагает защиту от противоправной записи, фиксации и передачи любых данных субъекта в информационно-телекоммуникационных сетях:

🔹при телефонных разговорах
🔹e-mail переписке
🔹общения в мессенджерах и другое.

Надзорные органы в России, как и во всем мире, периодически выявляют нарушения у технологических корпораций в области коммуникационной приватности.

#теория