⚡Часть клиентов турфирм категорически против того, чтобы их персональные данные вместе с суммами, перечисленными за тур, передавались в систему «Электронная путевка». Даже после заверений в том, что Налоговая служба не получит доступа к этим сведениям, они настаивают на своем праве не сообщать эту информацию третьим лицам. В первую очередь это касается дорогих туров, а также клиентов из числа публичных лиц или сотрудников госорганов.
🔸«Создается безвыходная ситуация. Клиент запрещает нам передавать свои персональные данные в систему. Мы объясняем, что таковы новые правила, иначе мы не можем по закону продать ему тур. И никто из наших коллег по рынку тоже не сможет. Тогда клиент просит нас „найти способ“ отправить его на отдых, не передавая сведения в ЭП. Ну, то есть предлагает нам „дробить“ тур. Его не убеждают наши объяснения, что та же налоговая не имеет доступа к системе. Он говорит: „Я не знаю, кто получит к ней доступ завтра и какие данные и за какой срок сможет запросить“. И нам нечего на это ответить. Потому что мы тоже не знаем. И не можем дать гарантию, что этого не случится. То есть, по сути, новые правила толкают нас к нарушению закона», — рассказал один из представителей турбизнеса.

⚖️🔥 Верховый суд РФ 29.12.2023 отказал УФАС по Смоленской области в передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам ВС РФ решения АС Центрального округа (кассация), Двадцатого арбитражного апелляционного суда и АС Смоленской области по спору между ФАС РФ и 2gis.ru. Ранее судами было подтверждено следующее:
🔸принадлежность адреса электронной почты к персональным данным подтверждается и законодательством в сфере персональных данных, а также принятыми в соответствии с ним подзаконными актами, разъяснениями уполномоченных органов (п.1 ст.3 152-ФЗ "О персональных данных", постановление Правительства РФ от 13.09.2019 № 1197, письмо Минцифры от 17.03.2022 № П25-5623);
🔸все действия, совершенные под учетной записью пользователя на сайте, считаются произведенными самим пользователем, за исключением случаев, когда пользователь уведомил о несанкционированном доступе с использованием учетной записи пользователя и/или о любом нарушении конфиденциальности своих средств доступа к учетной записи;
🔸владельцы сайтов, по общему правилу, не обязаны и не имеют технической возможности подтверждать принадлежность адреса электронной почты своих пользователей конкретному физическому лицу (законодательством определен ограниченный перечень лиц, которым рекомендовано или в чьи обязанности входит в целях идентификации подтверждать принадлежность адреса электронной почты или абонентского номера телефона конкретному физическому лицу);
🔸не требуется получения в обязательной письменной форме согласия для отправки сообщения рекламного характера на адрес электронной почты получателя рекламного сообщения.

💡По поводу вывода о признании адреса электронной почты как ПД
🔸В деле РКН v Арсеналъ суды пришли к иному вводу: адрес электронной почты не является ПД лица его зарегистрировавшего: (1) без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит; (2) адрес электронной почты фактически не обладает свойством «абсолютной неизменности».
🔸ЦА РКН (Ю.Е. Контемиров) в июле 2023г. на вебинаре заявил следующее: "Если речь идет о своего рода «общем» электронном адресе, которым пользуется компания, неопределенное количество сотрудников и т.д., то этот адрес не является персональными данными. Но если мы говорим о личном корпоративном электронном адресе, который закреплен за конкретным сотрудником компании, привязан к конкретному сотруднику, то в этом случае мы это рассматриваем как персональные данные."

⚡Россияне с 1 января 2024 года смогут полностью контролировать свои биометрические профили, которые размещены в Единой биометрической системе (ЕБС).
🔸в личном кабинете на портале "Госуслуги" и в мобильном приложении "Госуслуги биометрия" будут отображаться все согласия на обработку биометрических данных, которые пользователь когда-либо давал частным организациям. Эти согласия можно будет отозвать, если пользователь больше не хочет получать услуги конкретной организации по биометрии.

🏛️Внутренние паспорта гражданина РФ нового образца могут быть оснащены электронным носителем с биометрическими данными. Это следует из постановления правительства РФ, которым утверждается новое положение о паспорте.
🔸"В паспорте, оформленном в виде документа, содержащего электронный носитель информации, определяемого нормативным правовым актом президента РФ, указываются биометрические персональные данные, содержащиеся на электронном носителей информации (цифровое фотографическое изображение лица владельца паспорта)", - указано в документе.

🏛️В России с 1 января 2024 года введены штрафы за незаконное распространение сведений из Единого государственного реестра недвижимости (ЕГРН).
🔸Теперь штрафы (см. ч.5 и ч.7 ст.14.35 КоАП) назначаются за незаконное распространение данных из ЕГРН должностными лицами госорганов или гражданами, за создание сайтов и приложений, с помощью которых можно получить сведения. Для граждан - от 10 до 25 тыс. ₽, для должностных лиц - от 40 до 50 тыс. ₽, для лиц, осуществляющих предпринимательскую деятельность без образования юрлица, - от 80 до 100 тыс. ₽, а для юрлиц - от 350 до 400 тыс. ₽.

🇮🇸 Исландский пользователь Facebook в 2021г. опубликовал фотографии и полицейские отчеты, являвшиеся частью материалов расследования уголовного дела, включая конфиденциальные данные о субъекте данных, в посте на своей странице в Facebook, в котором он высказал свое мнение по этому делу.
🔸Субъект данных, который был жертвой или свидетелем по уголовному делу, подал жалобу в исландский надзорный орган (Persónuvernd). В ответ пользователь Facebook указал, что он не обрабатывал персональные данные субъекта данных, поскольку просто выразил свое мнение по делу, что подпадает под фундаментальную свободу выражения мнения.
🔸Надзорный орган посчитал, что не обладает компетенцией принимать решения по делам, связанным со свободой выражения мнения, но признал применимость GDPR, поскольку пост был доступен всем пользователям Facebook и не являлся обработкой в личных целях. Persónuvernd квалифицировал автора поста как контролера данных в соответствии со ст.4(7) GDPR. Поскольку контролер не был участником уголовного расследования и не должен был получать доступ к полицейским файлам, надзорный орган признал такую обработку данных незаконной в соответствии со ст.6(1)(f) GDPR и предписал автору удалить пост со свое станицы в течение месяца.

🇦🇹⚖️ Австрийский суд: автоматическая блокировка учетной записи электронной почты из-за подозрительной активности не может считаться автоматизированным решением
🔸Субъект данных в Австрии установил на входной двери своего дома камеру, предоставленную поставщиком телекоммуникационных услуг (контролером данных). Заметив, что больше не получает уведомлений по электронной почте от камеры на входной двери, он обратился к контроллеру и в разных случаях получил различную и противоречивую информацию о причинах сбоев в работе системы. Позже субъект данных узнал, что его учетная запись была автоматически заблокирована, а контролер ответил, что это произошло из-за ненадлежащего использования учетной записи.
🔸Субъект данных жалобу в австрийский надзорный орган (DSB), а позднее – иск в Федеральный административный суд Австрии (Bundesverwaltungsgericht - BVwG), в связи с предполагаемой утечкой своих данных и незаконным автоматизированным принятием решения контролером.
🔸BVwG постановил, что блокировка учетной записи электронной почты заявителя была установлена алгоритмом в связи с необычно высокой активностью в качестве меры по борьбе со спамом. Так, контролер заявил, что заметил большое количество электронных писем, отправленных с учетной записи субъекта данных в течение короткого периода времени, и заподозрил неправомерное использование его учетной записи.
🔸BVwG решил, что блокировка учетной записи электронной почты алгоритмом не может считаться автоматизированным решением, оказывающим юридическое или аналогичное значительное воздействие на субъекта данных в соответствии со ст.22(1) GDPR. По мнению BVwG, это техническая и организационная мера по обеспечению безопасности данных и целостности сети, принятая контролером, и, следовательно, разрешенная в соответствии со статьей 22(2)(a) GDPR, как необходимая для исполнения договора между ними.

💡Вопрос: может ли работодатель передавать персональные данные работника, а также членов его семьи, указанных в личной карточке, третьим лицам (нанятым юристам) без получения согласия на обработку персональных данных?
🏛 Роструд: организация-работодатель вправе предоставить стороннему юристу информацию, касающуюся конкретного работника данной организации даже при отсутствии согласия работника на обработку и передачу персональных данных в случае, если у юриста имеется подтверждение соответствующих полномочий (доверенность).
🔸В соответствии с требованиями п. п. 2 и 3 ч. 1 ст. 6 Закона о персональных данных предусмотрено, что обработка персональных данных допускается в случаях, когда:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Рф или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.

🎄В новогодние праздники делюсь папкой с полезной HR практикой.
Забирайте себе в работу на 2024 год.

В ней эйчары, рекрутеры, кадровики, специалисты по охране труда и трудовой миграции, внутрикомы, аналитики делятся
✔ лайфхаками
✔ случаями из практики на основе собственного опыта
✔ инструментамми для решения разноплановых HR-задач
✔обзором актуальных тенденций в HR
✔ анонсами полезных мероприятий

Можно редактировать папку под себя.

Присоединяйтесь к HR практике!

🫣 В Москве на пешеходном переходе Бережковской набережной протестировали светофор с биометрической камерой распознавания лиц. Об этом сообщил начальник московской Госавтоинспекции Александр Быков в статье для журнала «Безопасность дорожного движения».
🔸«Фотофиксация предусматривает отображение трека перемещения пешехода и сигнала светофора. При нарушении пешеходом ПДД РФ его изображение (без идентификации) транслируется на электронное табло отображения информации, расположенное рядом с местом нарушения»,— говорится в материале.
🔸Александр Быков отметил, что для эффективной работы системы привлечения пешеходов к ответственности правоохранители должны получить биометрические данные всех граждан. Однако для этого, по его словам, предоставление биометрии должно стать обязанностью, а не правом. Для получения биометрических данных он предложил изменить КоАП и законодательство о персональных данных.

💡Вопрос: Является ли нарушением законодательства о персональных данных издание приказа о переводе нескольких работников? Учитывая, что все работники ознакамливаются под роспись с приказом и видят часовые тарифные ставки друг друга.
🏛 Роструд: Оформление перевода нескольких работников одним приказом будет нарушать конфиденциальность персональных данных, т.к. в приказ включается информация о заработной плате каждого работника. Такие сведения относятся к персональным данным и не подлежат разглашению третьим лицам.

💡Вопрос: Не будет ли нарушением закона о защите персональных данных, хранение копии трудовой книжки уволенного работника? (например, если уволенный работник обратится для оформления дубликата трудовой книжки, или для подтверждения надбавки за выслугу лет)
🏛 Роструд: С согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

💡Вопрос: После реорганизации путем преобразования необходимо ли брать у работников согласие на обработку персональных данных повторно, либо в данном случае действуют положения о правопреемстве?
🏛 Роструд: В данном случае брать согласие на обработку персональных данных не требуется, поскольку права и обязанности переходят к правопреемнику.

🇬🇧 Полиция Великобритании тайно использовала базу данных граждан для применения технологии распознавания лиц для расследования дел, сообщили в газете Telegraph.
🔸"Полиция тайно провела сотни процедур по распознаванию лиц, используя базу данных 46 миллионов владельцев британских паспортов", – говорится в публикации со ссылкой на расследование журналистов.
🔸Указывается, что правоохранители проводили такие операции с 2019 года и лишь за девять месяцев 2023 года обращались к данным владельцев паспортов Соединенного Королевства более 300 раз. Помимо этого, полицейские использовали данные иммиграционной службы с информацией о проживающих на территории страны мигрантах.

💻 Google начала внедрять технические изменения, которые обещают стать одними из крупнейших в отрасли онлайн-рекламы с годовым оборотом $600 млрд: для небольшого числа пользователей браузера Chrome стали блокироваться сторонние файлы cookie — эта технология позволяет отслеживать действия пользователей на различных сайтах, чтобы предлагать потребителям релевантную рекламу.
🔸Начиная со вчерашнего дня, сторонние файлы cookie блокируются у 1 % пользователей браузера Chrome, который является самым популярным в мире. К концу года Google планирует заблокировать сторонние cookie для всех пользователей Chrome. Это серьёзное испытание для занимающихся рекламными технологиями маркетологов и владельцев сайтов — обе стороны утверждают, что представившая новые программные инструменты Google недостаточно подготовила рынок для нововведения. Положение усугубляется тем, что полный переход намечен на IV квартал, то есть время наибольшей за год активности в рекламной отрасли.
🔸Файлы cookie позволяют сохранять пользовательские настройки сайта на компьютере пользователя без необходимости авторизации на каждой открытой странице. Сторонние cookie открывают доступ к профилю пользователя на одном сайте с другого, что позволяет отслеживать действия человека на нескольких ресурсах, формировать профиль его предпочтений и предлагать рекламу на основе его интересов. Нововведения Google не повлияют на работу локальных cookie для хранения базовой информации, такой как данные для авторизации.
🔸На замену сторонним cookie компания Google предложила API Privacy Sandbox — инструмент, который охватит не только настольные версии Chrome, но и мобильную ОС Android. В ноябре 2022 года компания Criteo, поставщик рекламных технологий, обнаружила, что сторонние cookie при таргетировании в пять раз эффективнее инструмента Topics, входящего в комплект Privacy Sandbox.А в рекламном агентстве Havas Media, напротив, установили, что альтернативы сторонним cookie на практике дают аналогичные и даже лучшие результаты.

💡Вопрос: Каким образом необходимо обеспечить правомерность видеонаблюдения на рабочих местах, в производственных помещениях, на территории работодателя?
🏛 Роструд: Для работодателей закреплено право на использование в целях контроля за безопасностью производства работ приборов, устройств, обеспечивающих дистанционную видео-, аудио- или иную фиксацию процессов производства работ, и обеспечение хранения полученной информации (согласно ст.214.2 ТК РФ). Видеонаблюдение на рабочих местах, в производственных помещениях, на территории работодателя является правомерным, если работодателем соблюдены следующие условия:
🔸видеонаблюдение осуществляется только для конкретных и заранее определенных правомерных целей, связанных с исполнением работником его должностных (трудовых) обязанностей (в указанных выше целях это правомерно);
🔸работники поставлены в известность о ведении видеонаблюдения (таким образом реализовано право работника на полную и достоверную информацию об условиях труда);
🔸видеонаблюдение ведется открыто, в помещениях, где установлены видеокамеры, имеются соответствующие информационные таблички в зонах видимости камер.
Осуществляя видеосъемку рабочего процесса, работодатель реализует предоставленное ему в рамках трудовых отношений право на контроль за исполнением работником своих трудовых обязанностей.

⚡Альфа-банк опроверг сообщения об утечке данных миллионов своих клиентов. Пресс-служба банка подчеркнула, что утечек не было ни у самого банка, ни у его подрядчиков.
🔸8 января украинские хакеры сообщили, что якобы опубликовали данные 38 млн клиентов Альфа-банка — как физлиц, так и юрлиц, доступ к которым, по утверждению хакеров, они получили еще в октябре 2023 года. Как тогда, так и сейчас банк назвал опубликованные сведения компиляцией из разных источников.

💡В программе «1С:Управление нашей фирмой» начиная с версии 3.0.6 реализован новый функционал по комплаенсу в области персональных данных клиентов:
🔸при оформлении новой дисконтной карты добавлена возможность распечатать бланк согласия на обработку персональных данных, при этом в программе создается одноименный документ;
🔸также можно создать типовую форму отзыва согласия на обработку персональных данных;
🔸если планируется уничтожать персональные данные по заявлению клиента или по истечению срока действия согласия, то можно активировать одноименную опцию – при этом появится возможность запустить уничтожение персональных данных в разделе Персонал или карточке покупателя.

💡Вопрос: Обязан ли работник уведомлять работодателя об изменении своих персональных данных?
🏛 Роструд: Да, обязан, но только в том случае, когда такая обязанность ему установлена трудовым договором, коллективным договором и/или локальным нормативным актом организации (например, правилами внутреннего трудового распорядка).
🔸Сроки уведомления об изменении персональных данных могут быть установлены вышеперечисленными документами.
🔸Нормами действующего законодательства обязанность работника уведомлять об изменении своих персональных данных не предусмотрена.

🏛️ Роскомнадзор зафиксировал 168 утечек персональных данных в 2023 году, в сеть попали более 300 млн записей о россиянах. Всего, согласно данным Роскомнадзора, в 2023 году суды рассмотрели 87 составленных ведомством протоколов по факту утечек персональных данных и назначили штрафы на общую сумму более ₽4,6 млн.