До сих пор в теме локализации баз персональных данных (ч. 5 ст. 18 152-ФЗ) можно услышать "Первичная база" и "Вторичная база", "Основная база" и "Копия основной базы". Таких понятий нет ни в законе, ни в комментариях Минцифры РФ https://digital.gov.ru/ru/personaldata/.

Цитата релевантного отрывка с сайта Минцифры РФ:

"Следует также учитывать, что законодательно не имеется разделений на «основную» базу персональных данных и ее «копию». В обоих случаях речь идет о базе данных, с помощью которой обрабатываются персональные данные."

Это может быть инженерной логикой при анализе бизнес-процессов (с использованием информационных систем), но не юридической. Здесь момент, где DPO или прайваси-юристам нужно подстраховывать бизнес.

Как указывает Постановление Правительства РФ от 09.12.2014 N 1342 "О порядке оказания услуг телефонной связи"

"абонентский номер - телефонный номер, однозначно определяющий (идентифицирующий) оконечный элемент сети связи или подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с установленным в ней (в нем) идентификационным модулем"

Роскомнадзор опирается на это определение и не считает абонентский номер персональными данными, о чем сообщал много раз на семинарах.

Нужно не забывать, что:

1) Согласно статьи 2 Федерального закона "О связи" от 07.07.2003 N 126-ФЗ
"абонент - пользователь услугами связи, с которым заключен договор об оказании таких услуг при выделении для этих целей абонентского номера или уникального кода идентификации".
Т.е. закон прямо определяет связь абонента и абонентского номера.

2) Если в процессе управления ресурсом нумерации у оператора связи нет целей воздействовать на личные права абонента - это одно дело, если абонентский номер используется с целью воздействия на права абонента - другое. Здесь важно помнить о ст. 5 152-ФЗ (целеполагание).

3) В зависимости от целеполагания абонентский номер может быть одновременно средством идентификации оконечного элемента сети и персональными данными.

В большинстве интернет-сервисов, которые встречаются для оказания услуг, использование абонентского (телефонного) номера - это обработка ПД (так как связана с воздействием на права субъекта ПД) с вытекающими последствиями по:

1. локализации баз персональных данных,
2. легализации трансграничной передачи (если есть),
3. легализации передачи персональных данных работников третьим лицам (если есть)

А также многими другими обязательными требованиями к обработке персональных данных.

На regulation.gov.ru находится проект приказа Минцифры РФ об обработке биометрических ПД в Единой биометрической системе. Проект Приказа определяет порядок обработки, включая сбор и хранение, параметров биометрических персональных данных.

Если субъект направил отзыв согласия на обработку ПД, то не допускается использование его параметров биометрических персональных данных в целях проведения идентификации и (или) аутентификации (п. 10 Порядка). Однако это не относится к хранению. По пункту 17 Порядка. параметры биометрических персональных данных хранятся 50 лет.

То, что ч. 2 ст. 9 152-ФЗ предусматривает возможность отзыва согласия на (всю) обработку, включая хранение, проект приказа не учитывает.

https://regulation.gov.ru/p/119328

Следует различать Ответственного за организацию обработки ПД и Ответственного за обеспечение безопасности ПД в информационных системах (ИС).

🔓Ответственный за организацию назначается и выполняет обязанности в соответствии со ст. 22.1 152-ФЗ.
🔓 Ответственный за обеспечение безопасности ПД в ИС назначается в соответствии с п. 14 Постановления Правительства РФ № 1119-П от 1 ноября 2012 г.

Данные лица осуществляют принципиально разную деятельность:

➡️ ответственный за организацию обработки ПД в основном осуществляет контроль над соблюдением требований 152-ФЗ;
➡️ ответственный за обеспечение безопасности ПД в ИС в основном обеспечивает выполнение положений ст. 19 152-ФЗ (меры по безопасности) применительно к конкретной ИСПДн.

ООО АрСиЭй Глобал ищет Руководителя направления процессов обработки персональных данных с зарплатой от 400 000 руб. в месяц

По сути, главного по ПД инвест-финансовом холдинге.

https://hh.ru/vacancy/47151606

106-м приказом Роскомнадзора от 21.06.2021 утверждены Правила использования информационной системы, которая будет определять порядок взаимодействия субъекта персональных данных с оператором персональных данных. Можно подробней посмотреть о целях этой информационной системы в ст. 10.1 152-ФЗ.

К сожалению, юридическая техника, использованная в Приказе, не идеальная. Если после его прочтения остались вопросы, нужно иметь ввиду следующее.

По сути Роскомнадзор писал Правила для себя. Информационная система будет работать под контролем Роскомнадзора. Операторы ПД и Субъекты ПД будут работать с системой так, как она определяет процесс взаимодействия на программном уровне. Больше ответов будет после того, как появится возможность опробовать систему.

Ссылка на приказ № 106 от 21.06.2021
http://www.garant.ru/hotlaw/federal/1478154/

KYC и ПД

При оценке контрагента на благонадежность многие вписывают в политики KYC необходимость предоставления со стороны контрагента сведений о главном бухгалтере, сертифицированных специалистах, штатное расписание и другие сведения о работниках контрагента.
Эти работники могут не знать, что их персональные данные обрабатывают для этих целей. Или знать, но относится с пониманием к своему работодателю. Для вашей компании - это субъекты персональных данных, которые лично ничем не обязаны.

KYC - отдельный бизнес-процесс, в котором нужно просчитать обоснованность получения и дальнейшей обработки ПД работников контрагента, в том числе хранения и удаления.

Даже если есть правомерные условия обработки ПД работников контрагента, это не значит что соблюдены их права, а компания "владелец KYC" не получит штраф.

Например, часто забывают о ч. 3 ст. 18 152-ФЗ:

"Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: ..."

Если в своей компании Вы не анализировали процедуру KYC на соответствие требованиям 152-ФЗ, этот пост хорошее напоминание поставить задачу в TO-DO List.

ИНН и ПД

Суть позиции Минфина РФ по отнесению ИНН к персональным данным, которой придерживается последние годы: ИНН физлица не персональные данные, так как формируется автоматически, используется налоговым органом для оптимизации работы, если не согласны - в суд. Правовую логику на основе 152-ФЗ не приводит.

Роскомнадзор на открытых семинарах сообщал о противоположном, ИНН подпадает под признаки ПД, упомянутые в определении "персональные данные" (ст. 3 152-ФЗ).

Руководствоваться позицией Минфина РФ при легализации процессов обработки ПД не нужно, так как:
1. Минфин РФ приводит позицию не объективно, а по отношению к своим процессам, комментировать 152-ФЗ не уполномочен.
2. Протокол по 13.11 КоАП РФ уполномочены составлять сотрудники органов Роскомнадзора, а не Минфина РФ.

Если компания пойдет по позиции Минфина РФ, высокий риск получить штраф.

@privacyexpert

Ссылка на письмо Минфинина РФ https://www.klerk.ru/doc/516556/

19 августа в Общественной палате РФ прошел круглый стол на тему «Россияне — хозяева своих персональных данных».

По итогам:

Милош Вагнер (зам. руководителя РКН):

"самыми масштабными операторами персональных данных пользователей являются крупные онлайн-площадки. Но далеко не все из них выполняют требования законодательства. При этом российские законы сегодня не учитывают «размер» нарушителя."

"... Facebook или Google, даже не замечают этих штрафов, а получив, не спешат их оплачивать"

"...рассмотреть возможность дифференциации наказаний для недобросовестных сервисов в зависимости от их величины"

Александр Журавлев (АЮР):

"... введения дифференцированных штрафов, в том числе для тех компаний, которые не уведомляют РКН о том, что являются операторами персональных данных"

"... надо смотреть на Европу и на Регламент по защите данных (GDPR)" (прим. в контексте штрафов)

"... назвав утечки персональных данных «топливом для киберпреступлений"

"создание инструмента компенсаций — это одно из перспективных направлений развития законодательства"

Ирина Рукавшиникова (Фед. Собрание)

"... в России должен быть создан единый ресурс, интегрированный с порталом «Госуслуги», на котором граждане могли бы ознакомиться с перечнем организаций, использующих их персональные данные"

Рустам Сагдатулин (РОЦИТ)

"государство является главным институтом, который сможет обеспечить безопасность данных граждан в Сети"
__________

Пресс-релиз https://www.oprf.ru/news/kak-zashchitit-personalnye-dannye-rossiyan-v-seti

Полная запись https://www.youtube.com/watch?v=1sV6Tbt3pXw

С 1 ноября 2021 года вступает в силу китайский национальный закон о персональных данных, который имеет экстерриториальную пременимость.

EY проведет для in-house специалистов серию вебинаров о требованиях КНР к персональным данным. Подробности в группе GDPR&152ФЗ https://www.facebook.com/groups/gdpr152/permalink/1195693484281757/

Кадровику о согласиях по статье 10.1 152-ФЗ

C 01 сентября 2021 года вступит в силу Приказ Роскомнадзора от 24.02.2021 № 18. Это значит, что статья 10.1 152-ФЗ будет действовать в полной мере и нужно не забыть взять “Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения”.

Вероятность получить максимальный штраф в 500 000 рублей крайне низкая (ч. 2.1. ст. 13.11 КоАП РФ), но:
1. 20 000 на должностное/30 000 на юридическое получить можно (ч. 2 ст. 13.11 КоАП РФ).
2. Репутационный риск, так как первые получившие будут на “первой полосе” в специализированных медиа.

Новые требования касаются распространения персональных данных работников на:

1. Сайте компании.
2. Сайтах конференций и других партнеров.
3. Общедоступных досках в офисе, стендах при проведении мероприятий.
4. Другие случаи в зависимости от бизнес-процессов компании.

Если ПД работников распространяются давно по требованиям 152-ФЗ, действовавшим на тот момент, можно руководствоваться принципом “закон обратной силы не имеет”, однако, это риск, связанный с необходимостью доказывания со стороны оператора ПД.

Брать согласие лучше без условий и запретов со стороны работника (п. 7 Требований, утвержденных Приказом РКН № 18).

Одно из лучших видео с рассуждениями ведущих прайваси - экспертов о статье 10.1 152-ФЗ и согласиях на распространение https://youtu.be/xGu48mE9vf4

#согласие @privacyexpert

Рекомендуем полезный канал для всех, чья работа связана с госзакупками: Закупки и тендеры по 44-ФЗ, 223-ФЗ.

Авторы канала следят за изменениями в законодательстве, оперативно рассказывают о новостях, подробно разбирают судебную практику, публикуют письма и разъяснения. Все, что так нужно в повседневной работе.

Также обратите внимание на канал для @kadroviku, в котором Вы найдете новости трудового законодательства, вопросы-ответы, статьи по кадрам, разъяснения Роструда, ГИТ, а также судебную практику.

Подписывайтесь на канал @zakupki44fz прямо сейчас, чтобы не пропустить динамичные изменения в сфере госзаказа по 44-ФЗ и 223-ФЗ!

ТОП-5 процессов, связанных с выполнением требований в области обработки и защиты персональных данных в организациях (по результатам анонимного опроса Прайваси-экспертов):

➡️ 1 и 2 место разделили
- Обучение и повышение осведомленности работников
- Проведение внутренних аудитов

➡️ 3 место
- Учет и реагирование на запросы физлиц

➡️ 4 место
- Управление согласиями на обработку

➡️ 5 место
Ведение реестра процессов, информационных систем и третьих лиц

Меньше всего в организациях занимаются регулярным анализом судебной практики в области персональных данных и "прайваси" проверкой контрагентов.

@privacyexpert

В результате взлома серверов косметической компании «Oriflame», хакеры выложили 1.5 млн сканов паспортов российских граждан (подробнее в статье по ссылке ниже).

По счастью для «Oriflame», в России нет административной ответственности за утечку персональных данных, Роскомнадзор и затронутые субъекты персональных данных могут оставить это без внимания.

Вместе с этим:
1. Субъекты персональных данных могут требовать через суд (на практике незначительных) компенсаций вреда, убытков (ч. 2 ст. 24 152-ФЗ).
2. Субъекты персональных данных могут направить жалобы в Роскомнадзор. По результатам может быть составлен протокол об АП, если найдется состав по одной из частей ст. 13.11КоАП РФ. С помощью опытного юриста по ПД этот риск снижается в разы.
3. Роскомнадзор может направить запрос в компанию (ч. 4 ст. 20 152-ФЗ, есть отличие от документарных внеплановых проверок). По результатам ответа может быть составлен протокол об АП, если найдется состав по одной из частей ст. 13.11КоАП РФ. С помощью опытного юриста по ПД этот риск снижается в разы.
4. Роскомнадзор может поставить «Oriflame» в план проверок на следующий год, так, например, 2 года назад было с "БургерКинг". Однако, с учетом нового риск-ориентированного подхода к планированию проверок со стороны сказать сложно, нужно оценивать много факторов.
https://www.securitylab.ru/news/523628.php

РКН и ЦБ РФ

Еще раз простыми словами о том, что сказали РКН и ЦБ РФ в совместном письме:
1. Если обработка по договору с субъектом ПД, согласие не нужно.
2. Если обработка выходит за цели договора с субъектом ПД, нужно согласие.
3. Факт получения согласия доказывает оператор ПД.
4. Лучшая практика — отдельное согласие для передачи третьему лицу или на поручение обработки третьему лицу.
5. Общее согласие на передачу или поручение обработки неограниченному кругу лиц недопустимо.
6. Если согласие включено в текст иного документа (заявление на кредит, договор и т. п.), рекомендуется отдельная подпись субъекта ПД под согласием.
7. Согласие на продвижение товаров/работ/услуг рекомендуется отделять от согласия на биометрию.
8. Срок обработки должен отвечать конкретным целям: определенная дата или период времени. Автоматическая пролонгация или бессрочное действие согласия не рекомендуются.

@privacyexpert #согласие

https://rkn.gov.ru/news/rsoc/news73792.htm

Сведения, относящиеся к умершим, тоже персональные данные (см. ч. 7 ст. 9 152-ФЗ).

В Москве задержаны полицейские, передававшие сведения об умерших похоронным конторам.

"Агенты ритуальной компании, используя эти сведения, звонили представителям умершего или приезжали по указанному адресу «в целях навязывания дорогостоящих услуг по захоронению»."

https://www.kommersant.ru/doc/4958021

Сегодня судом был наложен штраф на:

WhatsApp - 4 млн. руб.
Facebook - 15 млн. руб.
Twitter - 17 млн. руб.

За нарушение требований о локализации баз персональных данных.

https://rkn.gov.ru/news/rsoc/news73828.htm

Ответ Минцифры РФ по статье 10.1 152-ФЗ.

Исходя из ответа, Минцифры РФ:

1. Точно не упоминает как применяется согласие на распространение при одновременном наличии условий (оснований) по ч. 1 ст. 6 152-ФЗ, но прослеживается логика к строгой интерпретации (согласие необходимо даже при наличии условий по ч. 1 ст. 6 152-ФЗ).

2. Разделяет согласие на распространение и согласие на включение в общедоступные источники персональных данных (ст. 8 152-ФЗ). Для первого случая согласие по Приказу Роскомнадзора № 18, для второго по ч. 4 ст. 9 152-ФЗ (см. согласия с обязательной письменной формой).

Спасибо Сергею Городилову за запрос.

#согласие