Privacy Expert

Могут ли оператора привлечь к административной ответственности в период действия моратория на проверки? ⬜В силу ч. 3.1 ст. 28.1 КоАП РФ, введенной Федеральным законом N 290-ФЗ, дело об административном правонарушении может быть возбуждено только после проведения контрольного (надзорного) мероприятия во взаимодействии с контролируемым лицом. 🔹Частью 3.5 статьи 28.1 КоАП РФ, устанавливающей случаи исключения из указанного правила, определен перечень статей, по которым Роскомнадзор вправе возбуждать дела об административных правонарушениях без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом. В перечне перечислены, в том числе, некоторые составы, предусмотренные ст. 13.11 КоАП РФ и других статей, устанавливающих ответственность для операторов ПД. 🔹В своем письме от 31 января 2023 г. № 09-6488 РКН также отметил, что проведение Роскомнадзором контрольных (надзорных) без взаимодействия в целях возбуждения дел об административных правонарушениях, установленных Перечнем, при наличии одного из предусмотренных пунктами 1 - 3 части 1 статьи 28.1 КоАП РФ поводов к возбуждению дела об административном правонарушении, также не требуется. ◻️Таким образом, риск административной ответственности оператора, не смотря на введенный мораторий, имеется. На практике встречаются случаи, когда РКН отказывает в возбуждении дела об административном правонарушении, указывая на отсутствие оснований для проведения контрольно-надзорного мероприятия в соответствии с Постановлением № 336, однако также встречаются судебные решения, которыми такие определения отменяются. Например, Восьмой кассационный суд общей юрисдикции в Определении по делу 2а-2919/2022 указал, что Постановление N 336 не отменяет обязательных правил, установленных КоАП РФ, в связи с чем в случае, если нарушение выявлено в ходе рассмотрения материалов, поступивших в том числе от гражданина, орган вправе провести проверку и возбудить дело об административном правонарушении либо отказать в возбуждении дела об административном правонарушении. #практика

В продолжение вопроса об идентификации обратившегося субъекта ПД. ◻Анализ судебной практики показал, что однозначная позиция по вопросу о необходимости идентификации обратившегося с запросом субъекта ПД не выработана. В отсутствие устоявшихся рекомендаций, оператору предстоит сделать выбор: уточнить данные обратившегося или предоставить ответ на запрос без принятия дополнительных мер по идентификации субъекта ПД. Каждую ситуацию необходимо оценивать индивидуально. Прежде всего, необходимо оценить: 🔹запрос субъекта ПД на соответствие требованиям ч. 3 ст. 14 152-ФЗ; 🔹информацию о субъекте ПД, которая есть у оператора; 🔹возможность сопоставить имеющиеся данные с данными из запроса. При соответствии запроса требованиям закона и наличии у оператора соответствующих данных, принятие дополнительных мер по идентификации субъекта ПД может быть расценено судом, как несоответствующее закону. Так, например, недавно Клинцовский городской суд Брянской области суд рассмотрел дело, когда оператор с целью идентификации обратившего лица предложил субъекту: ▫обратиться лично в офис с документами; ▫направить нотариально заверенную копию паспорта; ▫предоставить селфи с паспортом, составив заявку на сайте; Проверив действия сторон на соответствие нормам, суд пришел к выводу, что ответчик незаконно отказал истцу в предоставлении запрашиваемых им сведений со ссылкой на невозможность идентификации личности заявителя, поскольку все необходимые данные о личности заявителя, перечисленные в ч. 3 ст. 14, были указаны в запросе ФИО, сравнив которые со сведениями хранящимися у ответчика, последний мог идентифицировать личность обратившегося лица. (Решение Клинцовского городского суда Брянской области от 09.04.2024 по делу N 2-394/2024). #практика

❓Идентификация субъекта персональных данных, обратившегося с запросом к оператору. Что делать, если запрос получен по электронной почте? ◽Требования к запросу субъекта ПД установлены в ч. 3 ст. 14 152-ФЗ. Они являются общими и не отличаются в зависимости от способа направления такого запроса. Норма содержит указание на возможность подписания запроса электронной подписью, однако на практике субъекты ПД направляют запросы посредством электронной почты, прикладывая скан-копию подписанного собственноручно заявления, или вообще запрос в теле письма. Требуется ли принять примеры по идентификации обратившегося, чтобы не допустить разглашения ПД? 🔽 Судебная практика по подобным делам неоднозначна. 🔷Так, с одной стороны, суды указывают на необходимость идентификации обратившегося лица. Например, в Решении Каргапольского районного суда Курганской области от 06.07.2022 по делу N 2-386/2022 суд указал, что по смыслу приведенной нормы закона, при предоставлении лицу информации об использовании его персональных данных, банк обязан идентифицировать данное лицо, как субъекта персональных данных, который вправе получить такую информацию. Суд также отметил, что почтовое обращение истца в банк не позволяет с достаточной степенью достоверности идентифицировать его личность. Похожий подход о необходимости убедиться, в том, что обращается сам субъект, встречается в практике РКН (см. определение об отказе по Яндекс Такси). 🔷С другой стороны, отказ субъекту со ссылкой на невозможность идентифицировать обратившегося признается недопустимым. Например, Новосибирский областной суд в Апелляционном определении по делу № 33-12759/2023 указал, что ссылка ответчика на невозможность идентифицировать лицо в качестве субъекта персональных данных при направлении запроса по электронной почте, является несостоятельной, поскольку ФЗ "О персональных данных" не ограничивает право субъектов персональных данных, а запрос содержит все необходимые сведения, указанные в ч. 3 ст. 14 ФЗ "О персональных данных", в том числе для идентификации. Таким образом, идентификация обратившегося лица – это решение оператора, которое он должен принять с учетом конкретных обстоятельств. #практика

РСпектр опубликовал мой комментарий по Спецоператорам. Он довольно короткий: "В законе уже есть подходящее понятие «оператор информационной системы», можно было бы развивать его. Предлагаемая теория спецоператоров персональных данных пока слишком радикальна для сложившегося ИТ-рынка." Но есть пояснения, которые в конечную статью не вошли ⬇️ Многочисленный малый и средний бизнес в большинстве использует облачные решения третьих лиц. Эти третьи лица часто оказывают массово однотипную услугу, что позволяет ее удешевлять, в тоже время это сервисы по типу "бери или уходи". Небольшой бизнес, как оператор ПД, не может им навязать определенные критерии обработки персональных данных или защиты и платить за уникальность требований, в то же время должен отвечать за них. Это только один пример для упрощения поста, которое показывает следующее: Сложившийся рыночный подход уже не соответствует прописанным когда-то в 152-ФЗ критериям "оператора" и "обработчика" персональных данных данных. Нужна третья явная сущность, которая бы выполняла роль "обработчика" с определенными полномочиями оператора ПД. Я всегда привожу пример Казахстана, который когда-то в лучшую сторону отклонился от европейского подхода "Контроллеров-Процессоров". В законе уже есть подходящее понятие "Оператор информационной системы" (ст. 2 149-ФЗ), можно было бы развивать его. К тому же можно гармонизировать это развитие с законодательством о провайдерах хостинга, если реанимируют законопроект, то с регулированием о ЦОД. Т.е. почему бы не заняться развитием и гармонизацией имеющихся сущностей, а не преждевременным введением новых сущностей. #мнение

Поскольку на канале посты выходили не так часто, решил это компенсировать более основательным контентом. Евгений Царев (RTM Group) взял у меня интервью о текущих проблемах, связанных с легальной обработкой персональных данных. Затронули темы: 1. Что такое персональные данные и зачем их защищать. 2. Утечки и ответственность. 3. Кому нужно обезличивание ПД. 4. Роль DPO в компании. 5. Почему с согласиями на ПД все не однозначно. 6. Как можно доработать концепцию Операторов-Обработчиков в 152-ФЗ. И некоторые другие темы. Следите за каналом, запись несколько дней будет на монтаже. Пока можно посмотреть другие интервью на Ютюб-канале Евгения ИТ. Право. Безопасность.

В 3-м чтении принят законопроект: 1. Позволяющий Роскомнадзору признавать "зеркала" заблокированных ранее сайтов для последующей их блокировки. Ранее в цепочке рассмотрения "зеркал" заблокированных сайтов было Минцифры РФ, затем оно передавало информацию в Роскомнадзор. 2. Обязывающий все поисковики ограничивать выдачу заблокированных сайтов. Ранее эта обязанность возлагалась на те поисковики, которые распространяли рекламу для РФ пользователей (на Гугл не распространялось).

Вчера рассмотрение законопроекта об обезличивании персональных данных во 2-м чтении (снова) отложили на неопределенное время. https://sozd.duma.gov.ru/bill/992331-7#bh_histras. Кратко по тексту законопроекта для 2-го чтения: 1. Правительство будет определят составы данных. 2. Уполномоченный орган будет направлять операторам требование о предоставлении данных в специальную ГИС. 3. Операторы, которые получили требование должны обезличить данные и передать в ГИС. Если нет техвозможности обезличить, тогда просто передаются персданные, там обезличат. 4. Методика обезличивания ПД будет определяться Правительством. Т.е. механизмы обезличивания, дата-сеты, затрагиваемые операторы будут определятся потом исполнительной властью. Также в законопроекте описан порядок доступа к обезличенным данным, ограничения, контроль и надзор.

Пара слов о смягчающих обстоятельствах при штрафах за "утечку". 🔹Кто пойдет в суд и в процессуальном порядке будет доказывать суду наличие смягчающих обстоятельств? 🔹Кто перед этим даст гарантии, что произведенные меры можно посчитать смягчающими обстоятельствами по мнению суда (желательно до начала из бюджетирования)? Например, в качестве смягчающего обстоятельства заявляется "осуществление оператором ежегодных расходов в течение не менее трех лет, предшествующих правонарушению, на мероприятия по обеспечению информационной безопасности". Кто-то должен дать гарантии и в последующем отстоять перед судом, что предмет договора и даже конкретные формулировки в договоре с ИБ-подрядчиком соответствуют этому критерию. То же относится и к внутренним работам/процессам по ИБ которые хорошо бы документировать с процессуальной значимостью. Еще пример смягчающей меры, как его указывает СМИ "оператор должен соблюдать требования к защите персональных данных при их обработке в информационных системах, и это должно быть документально подтверждено". Здесь уместно вспомнить прямо указанную обязанность Ответственного за организацию обработки ПД в ст.22.1 152-ФЗ: контроль законодательных требований к защите персональных данных. Все ли CISO допускают DPO к контролю своей работы? К слову, во многих компаниях DPO подчиняются CISO, а если обозначенный DPO не юрист и, например, не может работать с договорами и поручениями на обработку (и еще много с чем), вводят компенсирующую роль юриста по ПД. В таком подходе вроде как и не получается единого ответственного за возможное смягчение штрафов. Что бы доказывать что-то в будущем в процессуальном порядке, нужен судебный опыт, т.е. опытный юрист. Предложения Минцифры ведут к укреплению зарождающейся юридической специализации "Юрист по кибербезопасности". По моему опыту DPO и юристы по персональным данным сейчас самые близкие к такой роли и DPO (с юридическим бэкграундом) будут и далее расширять свои знания в ИБ-право, юристы по ПД станут юристами по ПД и ИБ. Уже сейчас на всех data privacy проектах Lukash & Partners мы консультируем по умолчанию по праву в области ИБ, смотрим глазами суда на те или иные меры и правовые последствия инцидентов. Даже если юридическая служба и служба ИБ сверхкомпетентны, наше альтернативное правовое мнение значительно дешевле стоимости возможных последствий. Запросить наше предложение на консультацию юриста по ИБ можно написав на почту [email protected] #мнение

Ищем помощника для поиска и подготовки материалов для канала Privacy Expert. Рассмотрим начинающего специалиста, увлеченного Data Privacy. Ориентируемся на последний курс учебного заведения или недавнего выпускника. Для студентов курс на подобие "Privacy Bootcamp" или специализация в информационном праве - преимущество. Рассмотрим опытных юристов других специализаций, которым интересно погружение в Data Privacy и хотят начать с аналитики. Занятость частичная, удаленная, оплачиваемая, поддержка опытных коллег, возможность в будущем перейти в штат, за подробностями @linfo.