Юрист о персональных данных

Коллеги, уехала в отпуск, отвечу всем после 20 июля.

Сегодня день рождения моего телеграм-канала о персональных данных 🎂 Ровно год назад я выбрала нишу, которая интересовала меня больше всего, и стала делиться полезной информацией со всеми, чья работа связана с обработкой или хранением персональных данных. Я выпустила общий мини-курс по ПДН для широкого круга специалистов, а также провела: ✅ 4 потока обучения по персональным данным и 1 интенсив, ✅ 8 аудитов обработки ПДН, ✅ 4 корпоративных тренинга. Мне удалось принять участие в 6 конференциях, посвященным персональным данным. За год в телеграм-канале накопилось более 60 экспертных постов, а количество подписчиков подобралось к 1300. Мне кажется, отличный результат для одного года! Что скажете?

🔺 Обработка персональных данных несовершеннолетних: кто дает согласие и до какого возраста❓ Ситуации, когда необходимо согласие родителей, опекунов или иных представителей ребенка на обработку его ПДн, встречаются довольно часто. Это требуется при подаче заявлений в детский сад, школу, кружки, секции, а также при необходимости медицинских консультаций или вмешательства. В Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных» нет информации о том, с какого возраста субъект персональных данных вправе выражать согласие на обработку сведений о себе самостоятельно. В нем описано лишь обязательство представителей выступать от лица недееспособных.  НО! Недееспособными считаются граждане, которые признаны таковыми судом в том случае, если они вследствие психического расстройства не могут понимать значение своих действий или руководить ими (п. 1 ст. 29 ГК РФ).  Несовершеннолетние граждане таковыми не являются. Они наделены законом частичной дееспособностью, объем которой с возрастом постепенно увеличивается. Цитирую Постановление Седьмого кассационного суда общей юрисдикции от 24 июля 2020 г. по делу N 16-2185/2020: “Действующим законодательством РФ установлено, что несовершеннолетние не вправе от своего имени давать согласие на обработку персональных данных. При этом в частях 1, 6 статьи 9 и части 1 статьи 11 Закона о персональных данных № 152-ФЗ не исключается возможность получения согласия на обработку биометрических персональных данных несовершеннолетних от их законных представителей" (См. также: Постановление Восьмого арбитражного апелляционного суда от 14 сентября 2017 г. по делу N А70-2034/2017).  Аналогичного мнения придерживается и Центральный Банк России, утверждая, что: "Специальных норм относительно предоставления такого согласия несовершеннолетними в возрасте от 14 до 18 лет, обладающими, по общему правилу, ограниченной дееспособностью, на обработку их персональных данных Федеральный закон "О персональных данных" не содержит" (Письмо Банка России от 9 апреля 2020 г. N 31-4-4/1216). Положения п. 2 ст. 26 ГК РФ описывают права несовершеннолетних от 14 до 18 лет, которые не требуют согласия родителей, усыновителей и попечителя. Но они не являются основанием для несовершеннолетнего самостоятельно давать согласие на обработку ПДн. В этих случаях обработка ПДн в необходимом объеме будет возможна без их согласия на основании п. 5 ч. 1 ст. 6 Закона о персональных данных № 152-ФЗ. ☝️Согласно семейному законодательству, для предоставления согласия на обработку ПДн ребенка в письменной форме достаточно подписи одного из родителей (п. 1 ст. 61 Семейного кодекса РФ). ➡️ Представительство лиц, под опекой которых находятся малолетние дети до 14 лет (п. 1 ст. 28 ГК РФ), в части обработки их персональных данных ОБЯЗАТЕЛЬНО. 

Провела для коллег обучение по документам❗️ С коллегами мы разобрали: 1️⃣Актуальный список документов в организации; 2️⃣Содержание Положения в отношении обработки Пдн; 3️⃣Дополнительные документы и правила их составления. Теперь коллеги имеют не только шаблоны документов, но и знают, как с этими документами работать. Спасибо коллегам за отзывы.

❓️Как обстоят дела с трансграничной передачей персональных данных между странами ЕАЭС❓️ Последнее время мне часто поступают вопросы по законодательству стран ЕАЭС. Особенно о трансграничной передаче персональных данных.  Делюсь с вами сравнительной таблицей по странам: Армения, Беларусь, Кыргызстан, Узбекистан, Казахстан. В ней указаны требования, меры защиты и ответственность сторон при трансграничной передаче персональных данных между странами ЕАЭС.  Что интересно? 🔺 Понятие трансграничной передачи персональных данных определено как передача персональных данных на территорию иностранных государств безотносительно статуса получающей стороны во всех странах ЕАЭС, кроме Кыргызстана. Там главное условие для трансграничной передачи — наличие международного договора между сторонами, согласно которому получающая сторона обеспечивает адекватный уровень защиты ПДн субъектов. 🔺 Если в Армении и Беларуси требуется предварительное разрешения уполномоченного органа для передачи ПДн на территорию иностранного государства, которое не обеспечивает удовлетворительный уровень их защиты, то в остальных странах такая передача данных запрещена или ограничена местными законами. 🔺 В ряде стран существуют дополнительные требования к передаче ПДн, а также требования локализации. Ответственность за нарушение трансграничной передачи персональных данных определена КоАП республик и другими НПА. 🔺 В Армении и Кыргызстане требуется регистрация организации в качестве оператора ПДн. 🔺 В большинстве стран ЕАЭС отсутствует развитая и детальная регламентация необходимых правовых, организационных и технических мер для защиты персональных данных. Более детально этот вопрос проработан в Кыргызстане и Казахстане. Сравнительную таблицу по странам ЕАЭС прикрепляю ниже. Пользуйтесь! ⬇️

❓️Является ли нарушением согласие на обработку и передачу персональных данных третим лицам, которые никак не определены❓️ Часто в тексте договора или политике в отношении обработки персональных данных организации включают согласие на передачу ПДн третьим лицам. Т.е. субъект (клиент или работник) дает согласие на передачу его персональных данных третьим лицам, перечень которых не конкретизирован.   В основном встречаются общие формулировки:  ◾ «оператор передает ПДн аффилированным лицам», ◾ «лицам, входящим в группу компаний», ◾ «оператор передает ПДн контрагентам» и т.д. Нарушает ли такое согласие права субъекта персональных данных? Давайте разбираться. Роскомнадзор считает, что в целях выполнения принципа информированности субъекта, необходимо предоставлять ему информацию о третьих лицах. Цитирую вебинар Роскомнадзора от 27.07.2023: Вопрос: Нужно ли в согласии указывать «конкретный круг лиц» или можно обойтись категорией операторов без конкретизации?  Ответ РКН: Исходя из общих подходов, закрепление поименного списка – требование для письменной формы и для поручения обработки ПДн. В остальных случаях «жесткого требования» и конкретного списка нет. Но существуют требования к информированности субъекта. То есть субъект должен знать, кому его данные предоставляются. Это может решаться включением в текст согласия ссылки на список контрагентов, опубликованный на официальном ресурсе организации. В согласии на передачу ПДн обязательно должна быть указана цель, которая синхронизируется с предметом оказываемых услуг или целью изначального сбора данных. Передача персональных данных работников также должна осуществляться с письменного согласия. То есть нужен конкретный перечень прямо в согласии. ‼️ Для минимизации рисков в документах лучше указывать следующие данные третьих лиц: ◾ наименования организаций,  ◾ ИНН,  ◾ адреса.  Как вариант - выложить список таких лиц на сайт и указать ссылку в документе или сделать список лиц приложением к документу. Будьте внимательнее, коллеги!

В помощь специалистам по кадрам, юристам мы с коллегами собрали полезности, которые помогут в рабочих буднях. В ней юристы, кадровики, специалисты по охране труда, персональным данным и воинскому учету делятся ✅лайфхаками ✅случаями из практики на основе собственного опыта ✅инструментами для решения разноплановых задач ✅судебной практикой ✅изменениями законодательства ✅анонсами полезных мероприятий Пусть все Ваши задачи решаются легко и быстро!

Самый актуальный вопрос моих клиентов сегодня — какие документы, необходимы организациям в части обработки и хранения персональных данных и как правильно их составить. Одним из главных документов является Положение (или Политика) в отношении обработки персональных данных. Это объемный документ, который описывает процессы обработки ПДн в организации в целом, как в отношении работников, так и других субъектов. При составлении Положения руководители и юристы часто сталкиваются со следующими сложностями: ❓ Какие обязательные разделы должны быть в документе. ❓ Как правильно прописать процессы обработки персональных данных. ❓ Какими приложениями необходимо дополнить Политику. Чтобы вам легче было справиться с этими задачами, я запускаю трехдневный интенсив "Документы необходимые организациям в 2024 году для соответствия требованиям Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ, где подробно разберу Политику в отношении обработки ПДн и поделюсь шаблонами документов, которые не раз проходили проверки РКН. В результате прохождения интенсива вы: ✅ сможете составить Положение и адаптировать под запросы и процессы именно вашей организации, ✅ получите готовые шаблоны документа и всех необходимых приложений к нему. Эфиры будут проводиться на платформе MTS-Link 2️⃣5️⃣, 2️⃣7️⃣ июня и 0️⃣1️⃣ июля. В конце каждого эфира вы сможете задать интересующие вас вопросы. Интенсив будет проходить в закрытом Telegram-канале, где будут опубликованы все материалы и записи прямых эфиров. 💳 Стоимость участия — 19 990,00 ₽. ❗️ Количество мест ограничено. ✉️ Чтобы забронировать и оплатить участие в интенсиве — пишите мне в личные сообщения в Telegram.

Цифровой кодекс России: какие сферы затронет новый правовой документ. Развитие IT-технологий и массовое использование искусственного интеллекта подтолкнуло Правительство к разработке единого нормативного правового акта в этой сфере. Члены Совета Федерации готовят документ, который станет основой правового регулирования взаимоотношений в области информации и цифровых технологий. В кодексе будут в первую очередь определены понятийные основы: термины, принципы, субъекты и объекты права, на которые он будет распространяться. А также конкретные виды государственных и социальных институтов, виды правоотношений и способы их взаимодействия. Единый нормативный документ будет регулировать вопросы информации и связи, включая ее традиционные виды (например, Почта России). Значительную часть документа планируют посвятить защите персональных и биометрических данных. Важно отметить, что ПДн — это основа для создания больших баз данных, обучения и использования искусственного интеллекта, а также развития цифровых технологий. Но! Персональная безопасность — в приоритете. По словам члена Совета Федерации Ирины Рукавишниковой, главная задача Цифрового кодекса — это определить правила, которые защищали бы каждого гражданина от несанкционированного использования его персональных данных и от любого воздействия технологий, связанных с искусственным интеллектом. На мой взгляд, разработка Цифрового кодекса — правильное и важное решение, потому что сфера цифровых технологий до сих пор является одной из самых неурегулированных. Чтобы единый нормативный документ получился полноценным в Цифровом кодексе должны быть учтены интересы всех субъектов права: и граждан, и государственных органов, и коммерческих структур, и разработчиков цифровых технологий. Также считаю важным, чтобы помимо норм, направленных на защиту прав субъектов, действовали понятные правила и требования в отношении операторов ПДн. Со статьей о Цифровом кодексе можно ознакомиться по ссылке ⬇️: https://finance.rambler.ru/money/52782401-v-sovfede-rasskazali-kak-budet-vyglyadet-tsifrovoy-kodeks-rossii/?ysclid=lwgfx1xtxb984745305