19 августа в Общественной палате РФ прошел круглый стол на тему «Россияне — хозяева своих персональных данных».

По итогам:

Милош Вагнер (зам. руководителя РКН):

"самыми масштабными операторами персональных данных пользователей являются крупные онлайн-площадки. Но далеко не все из них выполняют требования законодательства. При этом российские законы сегодня не учитывают «размер» нарушителя."

"... Facebook или Google, даже не замечают этих штрафов, а получив, не спешат их оплачивать"

"...рассмотреть возможность дифференциации наказаний для недобросовестных сервисов в зависимости от их величины"

Александр Журавлев (АЮР):

"... введения дифференцированных штрафов, в том числе для тех компаний, которые не уведомляют РКН о том, что являются операторами персональных данных"

"... надо смотреть на Европу и на Регламент по защите данных (GDPR)" (прим. в контексте штрафов)

"... назвав утечки персональных данных «топливом для киберпреступлений"

"создание инструмента компенсаций — это одно из перспективных направлений развития законодательства"

Ирина Рукавшиникова (Фед. Собрание)

"... в России должен быть создан единый ресурс, интегрированный с порталом «Госуслуги», на котором граждане могли бы ознакомиться с перечнем организаций, использующих их персональные данные"

Рустам Сагдатулин (РОЦИТ)

"государство является главным институтом, который сможет обеспечить безопасность данных граждан в Сети"
__________

Пресс-релиз https://www.oprf.ru/news/kak-zashchitit-personalnye-dannye-rossiyan-v-seti

Полная запись https://www.youtube.com/watch?v=1sV6Tbt3pXw

С 1 ноября 2021 года вступает в силу китайский национальный закон о персональных данных, который имеет экстерриториальную пременимость.

EY проведет для in-house специалистов серию вебинаров о требованиях КНР к персональным данным. Подробности в группе GDPR&152ФЗ https://www.facebook.com/groups/gdpr152/permalink/1195693484281757/

Кадровику о согласиях по статье 10.1 152-ФЗ

C 01 сентября 2021 года вступит в силу Приказ Роскомнадзора от 24.02.2021 № 18. Это значит, что статья 10.1 152-ФЗ будет действовать в полной мере и нужно не забыть взять “Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения”.

Вероятность получить максимальный штраф в 500 000 рублей крайне низкая (ч. 2.1. ст. 13.11 КоАП РФ), но:
1. 20 000 на должностное/30 000 на юридическое получить можно (ч. 2 ст. 13.11 КоАП РФ).
2. Репутационный риск, так как первые получившие будут на “первой полосе” в специализированных медиа.

Новые требования касаются распространения персональных данных работников на:

1. Сайте компании.
2. Сайтах конференций и других партнеров.
3. Общедоступных досках в офисе, стендах при проведении мероприятий.
4. Другие случаи в зависимости от бизнес-процессов компании.

Если ПД работников распространяются давно по требованиям 152-ФЗ, действовавшим на тот момент, можно руководствоваться принципом “закон обратной силы не имеет”, однако, это риск, связанный с необходимостью доказывания со стороны оператора ПД.

Брать согласие лучше без условий и запретов со стороны работника (п. 7 Требований, утвержденных Приказом РКН № 18).

Одно из лучших видео с рассуждениями ведущих прайваси - экспертов о статье 10.1 152-ФЗ и согласиях на распространение https://youtu.be/xGu48mE9vf4

#согласие @privacyexpert

Рекомендуем полезный канал для всех, чья работа связана с госзакупками: Закупки и тендеры по 44-ФЗ, 223-ФЗ.

Авторы канала следят за изменениями в законодательстве, оперативно рассказывают о новостях, подробно разбирают судебную практику, публикуют письма и разъяснения. Все, что так нужно в повседневной работе.

Также обратите внимание на канал для @kadroviku, в котором Вы найдете новости трудового законодательства, вопросы-ответы, статьи по кадрам, разъяснения Роструда, ГИТ, а также судебную практику.

Подписывайтесь на канал @zakupki44fz прямо сейчас, чтобы не пропустить динамичные изменения в сфере госзаказа по 44-ФЗ и 223-ФЗ!

ТОП-5 процессов, связанных с выполнением требований в области обработки и защиты персональных данных в организациях (по результатам анонимного опроса Прайваси-экспертов):

➡️ 1 и 2 место разделили
- Обучение и повышение осведомленности работников
- Проведение внутренних аудитов

➡️ 3 место
- Учет и реагирование на запросы физлиц

➡️ 4 место
- Управление согласиями на обработку

➡️ 5 место
Ведение реестра процессов, информационных систем и третьих лиц

Меньше всего в организациях занимаются регулярным анализом судебной практики в области персональных данных и "прайваси" проверкой контрагентов.

@privacyexpert

В результате взлома серверов косметической компании «Oriflame», хакеры выложили 1.5 млн сканов паспортов российских граждан (подробнее в статье по ссылке ниже).

По счастью для «Oriflame», в России нет административной ответственности за утечку персональных данных, Роскомнадзор и затронутые субъекты персональных данных могут оставить это без внимания.

Вместе с этим:
1. Субъекты персональных данных могут требовать через суд (на практике незначительных) компенсаций вреда, убытков (ч. 2 ст. 24 152-ФЗ).
2. Субъекты персональных данных могут направить жалобы в Роскомнадзор. По результатам может быть составлен протокол об АП, если найдется состав по одной из частей ст. 13.11КоАП РФ. С помощью опытного юриста по ПД этот риск снижается в разы.
3. Роскомнадзор может направить запрос в компанию (ч. 4 ст. 20 152-ФЗ, есть отличие от документарных внеплановых проверок). По результатам ответа может быть составлен протокол об АП, если найдется состав по одной из частей ст. 13.11КоАП РФ. С помощью опытного юриста по ПД этот риск снижается в разы.
4. Роскомнадзор может поставить «Oriflame» в план проверок на следующий год, так, например, 2 года назад было с "БургерКинг". Однако, с учетом нового риск-ориентированного подхода к планированию проверок со стороны сказать сложно, нужно оценивать много факторов.
https://www.securitylab.ru/news/523628.php

РКН и ЦБ РФ

Еще раз простыми словами о том, что сказали РКН и ЦБ РФ в совместном письме:
1. Если обработка по договору с субъектом ПД, согласие не нужно.
2. Если обработка выходит за цели договора с субъектом ПД, нужно согласие.
3. Факт получения согласия доказывает оператор ПД.
4. Лучшая практика — отдельное согласие для передачи третьему лицу или на поручение обработки третьему лицу.
5. Общее согласие на передачу или поручение обработки неограниченному кругу лиц недопустимо.
6. Если согласие включено в текст иного документа (заявление на кредит, договор и т. п.), рекомендуется отдельная подпись субъекта ПД под согласием.
7. Согласие на продвижение товаров/работ/услуг рекомендуется отделять от согласия на биометрию.
8. Срок обработки должен отвечать конкретным целям: определенная дата или период времени. Автоматическая пролонгация или бессрочное действие согласия не рекомендуются.

@privacyexpert #согласие

https://rkn.gov.ru/news/rsoc/news73792.htm

Сведения, относящиеся к умершим, тоже персональные данные (см. ч. 7 ст. 9 152-ФЗ).

В Москве задержаны полицейские, передававшие сведения об умерших похоронным конторам.

"Агенты ритуальной компании, используя эти сведения, звонили представителям умершего или приезжали по указанному адресу «в целях навязывания дорогостоящих услуг по захоронению»."

https://www.kommersant.ru/doc/4958021

Сегодня судом был наложен штраф на:

WhatsApp - 4 млн. руб.
Facebook - 15 млн. руб.
Twitter - 17 млн. руб.

За нарушение требований о локализации баз персональных данных.

https://rkn.gov.ru/news/rsoc/news73828.htm

Ответ Минцифры РФ по статье 10.1 152-ФЗ.

Исходя из ответа, Минцифры РФ:

1. Точно не упоминает как применяется согласие на распространение при одновременном наличии условий (оснований) по ч. 1 ст. 6 152-ФЗ, но прослеживается логика к строгой интерпретации (согласие необходимо даже при наличии условий по ч. 1 ст. 6 152-ФЗ).

2. Разделяет согласие на распространение и согласие на включение в общедоступные источники персональных данных (ст. 8 152-ФЗ). Для первого случая согласие по Приказу Роскомнадзора № 18, для второго по ч. 4 ст. 9 152-ФЗ (см. согласия с обязательной письменной формой).

Спасибо Сергею Городилову за запрос.

#согласие

ФГУП "ГРЧЦ" создает автоматизированную систему мониторинга нарушений прав субъектов персональных данных в сети «Интернет» (закупка) с элементами машинного обучения. По результатам мониторинга будут приниматься меры Роскомнадзором.

Что система будет делать исходя из технического задания (кратко):

1. Осуществлять поиск ресурсов со сбором и распространением ПД, оценивать соблюдение законодательства.
2. Проверять ресурсы, на которые пожаловались и ресурсы в плане мероприятий систематического наблюдения Роскомнадзора. Предусмотрена интеграция с формой обращений граждан, расположенной на сайте Роскомнадзора.

Планируют мониторить 500 000 информационных ресурсов в сети «Интернет» ежегодно, не менее 15 000 еженедельно. Будет целый модуль по доказательной базе.

Мониторинг будет по ключевым словам, например:

1. Для сайтов, собирающих ПД: «согласие», «обработка», «подтверждаю», «персональный», «имя», «фамилия» и т.д.
2. Для сайтов, распространяющих ПД: «скачать базу», «продам базу», «база данных», «персональный», «имя», «фамилия» и т.д.

#rkn @privacyexpert

Какие нарушения будет выявлять система мониторинга нарушений прав субъектов персональных в сети интернет данных исходя из ТЗ (упрощено, полная версия в ТЗ):

­1. Нет согласия на обработку ПД
2. Нет документа, определяющего политику в отношении обработки ПД (Политики ПД)
3. Несоответствие объема, собираемого формой, Политике ПД
­4. Наличие ссылок на сторонние формы сбора ПД
­5. Осуществление сбора ПД граждан РФ при нахождении хостинг-провайдера за границами Российской Федерации
6. Отсутствие информации об осуществлении трансграничной передачи ПД в Политике ПД (при наличии трансграничной передачи)
7. Сбор метрической информации в отсутствие указания об этом в Политике ПД
­8. Отсутствие или некорректное указание срока (условия) прекращения обработки персональных данных в Политике ПД

Ранжирование приведено в порядке убывания "веса" нарушения.

Согласно ТЗ на систему мониторинга нарушений прав субъектов персональных данных, будут устанавливаться весовые коэффициенты по видам деятельности.

С точки зрения Оператора персональных данных высокий вес вида деятельности говорит о высоком риске попадания в мониторинг и последующего составления протокола об административном правонарушении.

В первую очередь сайты на наличие признаков нарушений нужно проверить банкам, страховщикам, коллекторам.

Весовой рейтинг (исходя из ТЗ) от большего к меньшему:

­1. финансово-кредитные организации (банки, негосударственные пен-сионные фонды, микрофинансовые организации, небанковские пла-тежные компании и т. д.);
­2. страховые компании;
­3. коллекторские агентства;
­4. социальные сети;
­5. операторы связи;
­6. «Интернет»-магазины;
­7. транспортные компании, и компании, осуществляющие перевозку пассажиров;
­8. почтовые сервисы;
­9. медицинские учреждения;
­10. образовательные учреждения;
­11. организации в сфере ЖКХ, управляющие компании;
­12. многофункциональные центры предоставления государственных и муниципальных услуг;
­13. государственные и муниципальные органы власти.

Обезличивание и обезличенные персональные данные.

В бизнесе часто цепляются к обезличенным персональным данным, пытаясь упростить легализацию их обработки.

"Мы собираем только e-mail и IP адрес", "Мы собираем с фамилией только инициалы"... Это все можно назвать минимизацией сбора ПД. Так и должно быть по ст. 5 152-ФЗ. Но это не обезличивание (как процесс) и не сбор обезличенных персональных данных "на лету".

Поддерживаемая Роскомнадзором позиция:

1. Обезличивать можно с методами, определенными законодательством о персональных данных. Для коммерческих компаний таких методов (на текущий момент) нет.

2. Шифрование и хеширование – способы защиты персональных данных, а не методы обезличивания.

Пост выше хороший повод проверить наличие отсылок к обезличиванию во внутренних документах: политиках, формах согласий и прочих ЛНА по персональным данным. Еще не мешает проверить типовую форму поручения оператору на обработку (ч. 3 ст. 6 152-ФЗ).

Например, в согласия на обработку персональных данных часто вставляют "копипаст" из п. 3 ст. 3 152-ФЗ, где содержится перечисление действий (операций) с персональными данными, в том числе, “обезличивание”.

“обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;”

Это признак, который наводит на следующий вопрос: что обезличиваете и где методология?

В России недавно оштрафовали WhatsApp на 4 миллиона рублей за нарушения требований локализации баз персональных данных (ч. 5 ст. 18 152-ФЗ).

Не смотря на это WhatsApp остается самым популярным мессенджером в России по данным ВЦИОМ, используется как канал коммуникации между бизнесом и конечным пользователем все большим количеством компаний, включая банки.

Оштрафуют ли РФ компанию за нарушения требований локализации баз ПД, если оштрафовали сам WhatsApp?

Требование о локализации баз персональных данных действует в отношении оператора персональных данных.

WhatsApp заключает соглашение с конечными пользователями, обрабатывает их персональные данные для целей исполнения договора. WhatsApp является самостоятельным оператором персональных данных.

Российская компания, работающая с WhatsApp, является оператором по отношению к своим целям и перечню персональных данных. Если локализацию выполнила сама российская компания или провайдер сервиса WhatsApp, то нарушений требований к локализации не будет (при учете ряда условий).

Для российских компаний, работающих с конечными пользователями через WhatsApp, есть другие нюансы, которые существенно влияют на возможность правомерного использования этого сервиса в бизнес-целях. Об этом позже на канале.

Все привыкли к тому, что согласие на обработку персональных данных может быть отозвано (ч. 2 ст. 9 152-ФЗ). Однако, в некоторых случаях законом предусмотрена более строгая форма прекращения действия согласия - требование субъекта персональных данных.

Субъект ПД может направить такое требование по ч. 12 ст. 10.1 152-ФЗ (для согласия на распространение) и по ч. 2 ст. 15 152-ФЗ (согласие в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации).

В чем разница?

В случае отзыва согласия оператор может продолжить обработку при наличии некоторых иных оснований, перечисленных в ч. 1 ст. 6 152-ФЗ. При наличии требования такой возможности уже нет.

#согласие @privacyexpert

В ч. 4 ст. 22.1 152-ФЗ указаны обязанности ответственного за организацию обработки персональных данных. Среди них:

"организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов."

В каждой компании должна быть прописанная процедура по запросам и обращениям субъекта ПД. Работа с отзывами согласий и требованиями о прекращении обработки важный элемент такой процедуры.

Пост выше хороший повод проверить логику работы с требованиями субъекта персональных данных в таком документе. Особенно если использовались шаблонные формы из интернета.

Если регламент по работе с обращениями и запросами субъектов ПД готовили консультанты (внешние юристы) и не учли работу с требованиями, нужно вернуть документ на доработку.

#согласие @privacyexpert