Новые правила работы с биометрическими данными российских граждан запрещают их сбор и использование компаниям с долей иностранного участия более 49% и капиталом менее 500 млн руб. В результате сервисы каршеринга, компании Avito и AirBnb не смогут проводить верификацию людей по сканам документов, а биометрия будет доступна только крупнейшим корпорациям, предупреждают эксперты.
https://www.kommersant.ru/doc/4928909

Тем временем в РУДН на полном серьезе пишут научные статьи о правовом регулировании информации об ауре человека

Ответы на вопросы о работе технологии сканирования фотографий пользователей на предмет наличия жестокого обращения с детьми от Apple

https://www.apple.com/child-safety/pdf/Expanded_Protections_for_Children_Frequently_Asked_Questions.pdf

Краткий интересный обзор проблемы аутсорсинга ИБ и банковской тайны

Сайты tassbiz.ru и rusprofile.ru, агрегирующие и распространяющие персональные данные из открытых государственных источников, не считают, что на них распространяется статья 10.1 ФЗ "О персональных данных".

Владельцы сайтов ссылаются на общедоступность персональных данных по тем же скриптам, как это было до вступления в силу статьи 10.1, ужесточающей возможность распространения персональных данных без согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

1. Свежий ответ от rusprofile.ru:

"Публикуемая на портале Rusprofile.ru информация является открытой и общедоступной информацией и включает в себя данные из ЕГРЮЛ/ЕГРИП, Росстата и других официальных источников.

Сведения об источниках информации портала Rusprofile.ru доступны на https://www.rusprofile.ru/sources.

Согласно Федеральному закону от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»:

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению.

Таким образом сбор, обработка и публикация данных, используемых в работе портала, осуществляется полностью в соответствии с законодательством РФ.

Подробнее с правовыми основаниями работы Rusprofile.ru вы можете ознакомиться по ссылке https://www.rusprofile.ru/support/terms.html."

2. Свежий ответ от tassbiz.ru:

"Данная информация не является персональной... Информация также не является конфиденциальной т.к. получена из открытых источников."

Как видно, одна из компаний группы известного издания вообще не считает, что распространяет какие-либо персональные данные.

Владелец rusprofile.ru, по всей видимости, занял правовую позицию, где апеллирует к "соседнему" Федеральному закону от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»

Немного о случаях, при которых коммерческой компании может потребоваться от субъекта персональных данных письменная форма согласия:

1. Обработка персональных данных, разрешенных субъектом ПД для распространения (статья 10.1 152-ФЗ)
2. Обработка специальных категорий ПД (пункт 1 часть 2 статьи 10 152-ФЗ)
3. Обработка биометрических персональных данных (часть 1 статья 11 152-ФЗ)
4. Трансграничная передача ПД на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПД (пункт 1 часть 4 статья 12 152-ФЗ)
5. Принятие решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки ПД (часть 2 статьи 16 152-ФЗ)
6. Передача ПД своих работников третьим лицам (статья 88 ТК РФ)
7. Включение в общедоступные источники (ч. 1 ст. 8 152-ФЗ)

#согласие

Из Постановления КС РФ от 25 мая 2021 г. N 22-П.

"Признать пункт 8 части 1 статьи 6 Федерального закона "О персональных данных" не противоречащим Конституции Российской Федерации в той мере, в какой он по своему конституционно-правовому смыслу в системе действующего правового регулирования:

- допускает размещение на сайте в сети Интернет средством массовой информации, действующим в форме сетевого издания, персональных данных медицинского работника, ранее размещенных на основании федерального закона на официальном сайте соответствующей медицинской организации, вне зависимости от наличия на то его согласия;

- предусматривает обязанность редакции такого средства массовой информации не допускать наличия на своем сайте не исходящих от третьих лиц оценок, не относящихся к профессиональной деятельности медицинского работника, а равно очевидно противоправных высказываний;

- предусматривает обязанность редакции такого средства массовой информации принимать меры по проверке сведений, предположительно содержащих не соответствующие действительности утверждения, порочащие честь, достоинство или деловую репутацию медицинского работника, на основании его обращения в разумные сроки, с целью их изменения либо удаления, а равно с целью опубликования в установленном законом порядке опровержения (ответа) на том же сайте, на время проверки приостанавливая доступ к соответствующему отзыву или делая пометку о его спорном характере;

- не исключает возможности на основании судебного решения, вынесенного по обращению медицинского работника, установить для такого средства массовой информации - если оно допускает систематическое злоупотребление правом при размещении персональных данных медицинского работника или систематически не предотвращает такого злоупотребления правом лицами, размещающими отзывы, - запрет на распространение персональных данных медицинского работника и (или) отзывов о его профессиональной деятельности, когда иные способы защиты не смогли (не могут) обеспечить защиту его прав."

Полное постановление по ссылке http://publication.pravo.gov.ru/Document/View/0001202105280003

Сбербанк опубликовал вакансию руководителя направления в области персональных данных с зарплатой от 300 000 рублей в месяц. Квалификационные требования достаточно типовые.
https://hh.ru/vacancy/47014763

До сих пор в теме локализации баз персональных данных (ч. 5 ст. 18 152-ФЗ) можно услышать "Первичная база" и "Вторичная база", "Основная база" и "Копия основной базы". Таких понятий нет ни в законе, ни в комментариях Минцифры РФ https://digital.gov.ru/ru/personaldata/.

Цитата релевантного отрывка с сайта Минцифры РФ:

"Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные."

Это может быть инженерной логикой при анализе бизнес-процессов (с использованием информационных систем), но не юридической. Здесь момент, где DPO или прайваси-юристам нужно подстраховывать бизнес.

Как указывает Постановление Правительства РФ от 09.12.2014 N 1342 "О порядке оказания услуг телефонной связи"

"абонентский номер - телефонный номер, однозначно определяющий (идентифицирующий) оконечный элемент сети связи или подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с установленным в ней (в нем) идентификационным модулем"

Роскомнадзор опирается на это определение и не считает абонентский номер персональными данными, о чем сообщал много раз на семинарах.

Нужно не забывать, что:

1) Согласно статьи 2 Федерального закона "О связи" от 07.07.2003 N 126-ФЗ
"абонент - пользователь услугами связи, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации".
Т.е. закон прямо определяет связь абонента и абонентского номера.

2) Если в процессе управления ресурсом нумерации у оператора связи нет целей воздействовать на личные права абонента - это одно дело, если абонентский номер используется с целью воздействия на права абонента - другое. Здесь важно помнить о ст. 5 152-ФЗ (целеполагание).

3) В зависимости от целеполагания абонентский номер может быть одновременно средством идентификации оконечного элемента сети и персональными данными.

В большинстве интернет-сервисов, которые встречаются для оказания услуг, использование абонентского (телефонного) номера - это обработка ПД (так как связана с воздействием на права субъекта ПД) с вытекающими последствиями по:

1. локализации баз персональных данных,
2. легализации трансграничной передачи (если есть),
3. легализации передачи персональных данных работников третьим лицам (если есть)

А также многими другими обязательными требованиями к обработке персональных данных.

На regulation.gov.ru находится проект приказа Минцифры РФ об обработке биометрических ПД в Единой биометрической системе. Проект Приказа определяет порядок обработки, включая сбор и хранение, параметров биометрических персональных данных.

Если субъект направил отзыв согласия на обработку ПД, то не допускается использование его параметров биометрических персональных данных в целях проведения идентификации и (или) аутентификации (п. 10 Порядка). Однако это не относится к хранению. По пункту 17 Порядка. параметры биометрических персональных данных хранятся 50 лет.

То, что ч. 2 ст. 9 152-ФЗ предусматривает возможность отзыва согласия на (всю) обработку, включая хранение, проект приказа не учитывает.

https://regulation.gov.ru/p/119328

Следует различать Ответственного за организацию обработки ПД и Ответственного за обеспечение безопасности ПД в информационных системах (ИС).

🔓Ответственный за организацию назначается и выполняет обязанности в соответствии со ст. 22.1 152-ФЗ.
🔓 Ответственный за обеспечение безопасности ПД в ИС назначается в соответствии с п. 14 Постановления Правительства РФ № 1119-П от 1 ноября 2012 г.

Данные лица осуществляют принципиально разную деятельность:

➡️ ответственный за организацию обработки ПД в основном осуществляет контроль над соблюдением требований 152-ФЗ;
➡️ ответственный за обеспечение безопасности ПД в ИС в основном обеспечивает выполнение положений ст. 19 152-ФЗ (меры по безопасности) применительно к конкретной ИСПДн.

ООО АрСиЭй Глобал ищет Руководителя направления процессов обработки персональных данных с зарплатой от 400 000 руб. в месяц

По сути, главного по ПД инвест-финансовом холдинге.

https://hh.ru/vacancy/47151606

106-м приказом Роскомнадзора от 21.06.2021 утверждены Правила использования информационной системы, которая будет определять порядок взаимодействия субъекта персональных данных с оператором персональных данных. Можно подробней посмотреть о целях этой информационной системы в ст. 10.1 152-ФЗ.

К сожалению, юридическая техника, использованная в Приказе, не идеальная. Если после его прочтения остались вопросы, нужно иметь ввиду следующее.

По сути Роскомнадзор писал Правила для себя. Информационная система будет работать под контролем Роскомнадзора. Операторы ПД и Субъекты ПД будут работать с системой так, как она определяет процесс взаимодействия на программном уровне. Больше ответов будет после того, как появится возможность опробовать систему.

Ссылка на приказ № 106 от 21.06.2021
http://www.garant.ru/hotlaw/federal/1478154/

KYC и ПД

При оценке контрагента на благонадежность многие вписывают в политики KYC необходимость предоставления со стороны контрагента сведений о главном бухгалтере, сертифицированных специалистах, штатное расписание и другие сведения о работниках контрагента.
Эти работники могут не знать, что их персональные данные обрабатывают для этих целей. Или знать, но относится с пониманием к своему работодателю. Для вашей компании - это субъекты персональных данных, которые лично ничем не обязаны.

KYC - отдельный бизнес-процесс, в котором нужно просчитать обоснованность получения и дальнейшей обработки ПД работников контрагента, в том числе хранения и удаления.

Даже если есть правомерные условия обработки ПД работников контрагента, это не значит что соблюдены их права, а компания "владелец KYC" не получит штраф.

Например, часто забывают о ч. 3 ст. 18 152-ФЗ:

"Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: ..."

Если в своей компании Вы не анализировали процедуру KYC на соответствие требованиям 152-ФЗ, этот пост хорошее напоминание поставить задачу в TO-DO List.

ИНН и ПД

Суть позиции Минфина РФ по отнесению ИНН к персональным данным, которой придерживается последние годы: ИНН физлица не персональные данные, так как формируется автоматически, используется налоговым органом для оптимизации работы, если не согласны - в суд. Правовую логику на основе 152-ФЗ не приводит.

Роскомнадзор на открытых семинарах сообщал о противоположном, ИНН подпадает под признаки ПД, упомянутые в определении "персональные данные" (ст. 3 152-ФЗ).

Руководствоваться позицией Минфина РФ при легализации процессов обработки ПД не нужно, так как:
1. Минфин РФ приводит позицию не объективно, а по отношению к своим процессам, комментировать 152-ФЗ не уполномочен.
2. Протокол по 13.11 КоАП РФ уполномочены составлять сотрудники органов Роскомнадзора, а не Минфина РФ.

Если компания пойдет по позиции Минфина РФ, высокий риск получить штраф.

@privacyexpert

Ссылка на письмо Минфинина РФ https://www.klerk.ru/doc/516556/

19 августа в Общественной палате РФ прошел круглый стол на тему «Россияне — хозяева своих персональных данных».

По итогам:

Милош Вагнер (зам. руководителя РКН):

"самыми масштабными операторами персональных данных пользователей являются крупные онлайн-площадки. Но далеко не все из них выполняют требования законодательства. При этом российские законы сегодня не учитывают «размер» нарушителя."

"... Facebook или Google, даже не замечают этих штрафов, а получив, не спешат их оплачивать"

"...рассмотреть возможность дифференциации наказаний для недобросовестных сервисов в зависимости от их величины"

Александр Журавлев (АЮР):

"... введения дифференцированных штрафов, в том числе для тех компаний, которые не уведомляют РКН о том, что являются операторами персональных данных"

"... надо смотреть на Европу и на Регламент по защите данных (GDPR)" (прим. в контексте штрафов)

"... назвав утечки персональных данных «топливом для киберпреступлений"

"создание инструмента компенсаций — это одно из перспективных направлений развития законодательства"

Ирина Рукавшиникова (Фед. Собрание)

"... в России должен быть создан единый ресурс, интегрированный с порталом «Госуслуги», на котором граждане могли бы ознакомиться с перечнем организаций, использующих их персональные данные"

Рустам Сагдатулин (РОЦИТ)

"государство является главным институтом, который сможет обеспечить безопасность данных граждан в Сети"
__________

Пресс-релиз https://www.oprf.ru/news/kak-zashchitit-personalnye-dannye-rossiyan-v-seti

Полная запись https://www.youtube.com/watch?v=1sV6Tbt3pXw

С 1 ноября 2021 года вступает в силу китайский национальный закон о персональных данных, который имеет экстерриториальную пременимость.

EY проведет для in-house специалистов серию вебинаров о требованиях КНР к персональным данным. Подробности в группе GDPR&152ФЗ https://www.facebook.com/groups/gdpr152/permalink/1195693484281757/

Кадровику о согласиях по статье 10.1 152-ФЗ

C 01 сентября 2021 года вступит в силу Приказ Роскомнадзора от 24.02.2021 № 18. Это значит, что статья 10.1 152-ФЗ будет действовать в полной мере и нужно не забыть взять “Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения”.

Вероятность получить максимальный штраф в 500 000 рублей крайне низкая (ч. 2.1. ст. 13.11 КоАП РФ), но:
1. 20 000 на должностное/30 000 на юридическое получить можно (ч. 2 ст. 13.11 КоАП РФ).
2. Репутационный риск, так как первые получившие будут на “первой полосе” в специализированных медиа.

Новые требования касаются распространения персональных данных работников на:

1. Сайте компании.
2. Сайтах конференций и других партнеров.
3. Общедоступных досках в офисе, стендах при проведении мероприятий.
4. Другие случаи в зависимости от бизнес-процессов компании.

Если ПД работников распространяются давно по требованиям 152-ФЗ, действовавшим на тот момент, можно руководствоваться принципом “закон обратной силы не имеет”, однако, это риск, связанный с необходимостью доказывания со стороны оператора ПД.

Брать согласие лучше без условий и запретов со стороны работника (п. 7 Требований, утвержденных Приказом РКН № 18).

Одно из лучших видео с рассуждениями ведущих прайваси - экспертов о статье 10.1 152-ФЗ и согласиях на распространение https://youtu.be/xGu48mE9vf4

#согласие @privacyexpert

Рекомендуем полезный канал для всех, чья работа связана с госзакупками: Закупки и тендеры по 44-ФЗ, 223-ФЗ.

Авторы канала следят за изменениями в законодательстве, оперативно рассказывают о новостях, подробно разбирают судебную практику, публикуют письма и разъяснения. Все, что так нужно в повседневной работе.

Также обратите внимание на канал для @kadroviku, в котором Вы найдете новости трудового законодательства, вопросы-ответы, статьи по кадрам, разъяснения Роструда, ГИТ, а также судебную практику.

Подписывайтесь на канал @zakupki44fz прямо сейчас, чтобы не пропустить динамичные изменения в сфере госзаказа по 44-ФЗ и 223-ФЗ!

ТОП-5 процессов, связанных с выполнением требований в области обработки и защиты персональных данных в организациях (по результатам анонимного опроса Прайваси-экспертов):

➡️ 1 и 2 место разделили
- Обучение и повышение осведомленности работников
- Проведение внутренних аудитов

➡️ 3 место
- Учет и реагирование на запросы физлиц

➡️ 4 место
- Управление согласиями на обработку

➡️ 5 место
Ведение реестра процессов, информационных систем и третьих лиц

Меньше всего в организациях занимаются регулярным анализом судебной практики в области персональных данных и "прайваси" проверкой контрагентов.

@privacyexpert