Privacy Expert

Какая ответственность предусмотрена в случае, если лицо, ответственное за организацию обработки персональных данных, не назначено? Само по себе не назначение оператором ответственного за организацию обработку ПДн лица не свидетельствует о нарушении прав и законных интересов субъектов ПДн (Определение Первого кассационного суда общей юрисдикции от 08.06.2023 N 88-16022/2023) и не влечет административной ответственности. Следует иметь ввиду, что не назначение лица, ответственного за организацию обработки ПДн, будет учитываться судом в качестве отсутствия мер, направленных на обеспечение выполнения законодательных обязанностей оператора, в случае совершения иных нарушений в сфере обработки ПДн (статья 18.1 152-ФЗ) Если лицо, ответственное за организацию обработки ПДн, не назначено, ответственность за него может понести лично руководитель организации (Постановление мирового судьи судебного участка N 57 в Ленинском районе г. Красноярска от 11.04.2023 по делу N 05-0253/57/2023). Кроме того, сложности могут возникнуть с уведомлением Роскомнадзора об обработке ПДн, в рамках которого, помимо прочего, необходимо указывать сведения об ответственном за организацию обработки ПДн в компании. P. S. При анализе судебной практике Вы можете встретить иные позиции судов. Привели реалистичные для текущего правоприменения.

Управление Роскомнадзора по ЦФО: согласие на обработку персональных данных может быть подписано простой электронной подписью. P.S. Спасибо, что делитесь ответами

Могут ли оператора привлечь к административной ответственности в период действия моратория на проверки? ⬜В силу ч. 3.1 ст. 28.1 КоАП РФ, введенной Федеральным законом N 290-ФЗ, дело об административном правонарушении может быть возбуждено только после проведения контрольного (надзорного) мероприятия во взаимодействии с контролируемым лицом. 🔹Частью 3.5 статьи 28.1 КоАП РФ, устанавливающей случаи исключения из указанного правила, определен перечень статей, по которым Роскомнадзор вправе возбуждать дела об административных правонарушениях без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом. В перечне перечислены, в том числе, некоторые составы, предусмотренные ст. 13.11 КоАП РФ и других статей, устанавливающих ответственность для операторов ПД. 🔹В своем письме от 31 января 2023 г. № 09-6488 РКН также отметил, что проведение Роскомнадзором контрольных (надзорных) без взаимодействия в целях возбуждения дел об административных правонарушениях, установленных Перечнем, при наличии одного из предусмотренных пунктами 1 - 3 части 1 статьи 28.1 КоАП РФ поводов к возбуждению дела об административном правонарушении, также не требуется. ◻️Таким образом, риск административной ответственности оператора, не смотря на введенный мораторий, имеется. На практике встречаются случаи, когда РКН отказывает в возбуждении дела об административном правонарушении, указывая на отсутствие оснований для проведения контрольно-надзорного мероприятия в соответствии с Постановлением № 336, однако также встречаются судебные решения, которыми такие определения отменяются. Например, Восьмой кассационный суд общей юрисдикции в Определении по делу 2а-2919/2022 указал, что Постановление N 336 не отменяет обязательных правил, установленных КоАП РФ, в связи с чем в случае, если нарушение выявлено в ходе рассмотрения материалов, поступивших в том числе от гражданина, орган вправе провести проверку и возбудить дело об административном правонарушении либо отказать в возбуждении дела об административном правонарушении. #практика

В продолжение вопроса об идентификации обратившегося субъекта ПД. ◻Анализ судебной практики показал, что однозначная позиция по вопросу о необходимости идентификации обратившегося с запросом субъекта ПД не выработана. В отсутствие устоявшихся рекомендаций, оператору предстоит сделать выбор: уточнить данные обратившегося или предоставить ответ на запрос без принятия дополнительных мер по идентификации субъекта ПД. Каждую ситуацию необходимо оценивать индивидуально. Прежде всего, необходимо оценить: 🔹запрос субъекта ПД на соответствие требованиям ч. 3 ст. 14 152-ФЗ; 🔹информацию о субъекте ПД, которая есть у оператора; 🔹возможность сопоставить имеющиеся данные с данными из запроса. При соответствии запроса требованиям закона и наличии у оператора соответствующих данных, принятие дополнительных мер по идентификации субъекта ПД может быть расценено судом, как несоответствующее закону. Так, например, недавно Клинцовский городской суд Брянской области суд рассмотрел дело, когда оператор с целью идентификации обратившего лица предложил субъекту: ▫обратиться лично в офис с документами; ▫направить нотариально заверенную копию паспорта; ▫предоставить селфи с паспортом, составив заявку на сайте; Проверив действия сторон на соответствие нормам, суд пришел к выводу, что ответчик незаконно отказал истцу в предоставлении запрашиваемых им сведений со ссылкой на невозможность идентификации личности заявителя, поскольку все необходимые данные о личности заявителя, перечисленные в ч. 3 ст. 14, были указаны в запросе ФИО, сравнив которые со сведениями хранящимися у ответчика, последний мог идентифицировать личность обратившегося лица. (Решение Клинцовского городского суда Брянской области от 09.04.2024 по делу N 2-394/2024). #практика

❓Идентификация субъекта персональных данных, обратившегося с запросом к оператору. Что делать, если запрос получен по электронной почте? ◽Требования к запросу субъекта ПД установлены в ч. 3 ст. 14 152-ФЗ. Они являются общими и не отличаются в зависимости от способа направления такого запроса. Норма содержит указание на возможность подписания запроса электронной подписью, однако на практике субъекты ПД направляют запросы посредством электронной почты, прикладывая скан-копию подписанного собственноручно заявления, или вообще запрос в теле письма. Требуется ли принять примеры по идентификации обратившегося, чтобы не допустить разглашения ПД? 🔽 Судебная практика по подобным делам неоднозначна. 🔷Так, с одной стороны, суды указывают на необходимость идентификации обратившегося лица. Например, в Решении Каргапольского районного суда Курганской области от 06.07.2022 по делу N 2-386/2022 суд указал, что по смыслу приведенной нормы закона, при предоставлении лицу информации об использовании его персональных данных, банк обязан идентифицировать данное лицо, как субъекта персональных данных, который вправе получить такую информацию. Суд также отметил, что почтовое обращение истца в банк не позволяет с достаточной степенью достоверности идентифицировать его личность. Похожий подход о необходимости убедиться, в том, что обращается сам субъект, встречается в практике РКН (см. определение об отказе по Яндекс Такси). 🔷С другой стороны, отказ субъекту со ссылкой на невозможность идентифицировать обратившегося признается недопустимым. Например, Новосибирский областной суд в Апелляционном определении по делу № 33-12759/2023 указал, что ссылка ответчика на невозможность идентифицировать лицо в качестве субъекта персональных данных при направлении запроса по электронной почте, является несостоятельной, поскольку ФЗ "О персональных данных" не ограничивает право субъектов персональных данных, а запрос содержит все необходимые сведения, указанные в ч. 3 ст. 14 ФЗ "О персональных данных", в том числе для идентификации. Таким образом, идентификация обратившегося лица – это решение оператора, которое он должен принять с учетом конкретных обстоятельств. #практика

РСпектр опубликовал мой комментарий по Спецоператорам. Он довольно короткий: "В законе уже есть подходящее понятие «оператор информационной системы», можно было бы развивать его. Предлагаемая теория спецоператоров персональных данных пока слишком радикальна для сложившегося ИТ-рынка." Но есть пояснения, которые в конечную статью не вошли ⬇️ Многочисленный малый и средний бизнес в большинстве использует облачные решения третьих лиц. Эти третьи лица часто оказывают массово однотипную услугу, что позволяет ее удешевлять, в тоже время это сервисы по типу "бери или уходи". Небольшой бизнес, как оператор ПД, не может им навязать определенные критерии обработки персональных данных или защиты и платить за уникальность требований, в то же время должен отвечать за них. Это только один пример для упрощения поста, которое показывает следующее: Сложившийся рыночный подход уже не соответствует прописанным когда-то в 152-ФЗ критериям "оператора" и "обработчика" персональных данных данных. Нужна третья явная сущность, которая бы выполняла роль "обработчика" с определенными полномочиями оператора ПД. Я всегда привожу пример Казахстана, который когда-то в лучшую сторону отклонился от европейского подхода "Контроллеров-Процессоров". В законе уже есть подходящее понятие "Оператор информационной системы" (ст. 2 149-ФЗ), можно было бы развивать его. К тому же можно гармонизировать это развитие с законодательством о провайдерах хостинга, если реанимируют законопроект, то с регулированием о ЦОД. Т.е. почему бы не заняться развитием и гармонизацией имеющихся сущностей, а не преждевременным введением новых сущностей. #мнение

Поскольку на канале посты выходили не так часто, решил это компенсировать более основательным контентом. Евгений Царев (RTM Group) взял у меня интервью о текущих проблемах, связанных с легальной обработкой персональных данных. Затронули темы: 1. Что такое персональные данные и зачем их защищать. 2. Утечки и ответственность. 3. Кому нужно обезличивание ПД. 4. Роль DPO в компании. 5. Почему с согласиями на ПД все не однозначно. 6. Как можно доработать концепцию Операторов-Обработчиков в 152-ФЗ. И некоторые другие темы. Следите за каналом, запись несколько дней будет на монтаже. Пока можно посмотреть другие интервью на Ютюб-канале Евгения ИТ. Право. Безопасность.

В 3-м чтении принят законопроект: 1. Позволяющий Роскомнадзору признавать "зеркала" заблокированных ранее сайтов для последующей их блокировки. Ранее в цепочке рассмотрения "зеркал" заблокированных сайтов было Минцифры РФ, затем оно передавало информацию в Роскомнадзор. 2. Обязывающий все поисковики ограничивать выдачу заблокированных сайтов. Ранее эта обязанность возлагалась на те поисковики, которые распространяли рекламу для РФ пользователей (на Гугл не распространялось).

Вчера рассмотрение законопроекта об обезличивании персональных данных во 2-м чтении (снова) отложили на неопределенное время. https://sozd.duma.gov.ru/bill/992331-7#bh_histras. Кратко по тексту законопроекта для 2-го чтения: 1. Правительство будет определят составы данных. 2. Уполномоченный орган будет направлять операторам требование о предоставлении данных в специальную ГИС. 3. Операторы, которые получили требование должны обезличить данные и передать в ГИС. Если нет техвозможности обезличить, тогда просто передаются персданные, там обезличат. 4. Методика обезличивания ПД будет определяться Правительством. Т.е. механизмы обезличивания, дата-сеты, затрагиваемые операторы будут определятся потом исполнительной властью. Также в законопроекте описан порядок доступа к обезличенным данным, ограничения, контроль и надзор.