13.1 Требуется ли для использования видеонаблюдения отдельная регистрация / уведомление или предварительное разрешение соответствующего органа (органов) по защите данных и / или любая конкретная форма публичного уведомления (например,г., знак повышенной видимости)?

CCTV не требует отдельного уведомления / регистрации или предварительного согласования со стороны Роскомнадзора . При определенных обстоятельствах незаконный оборот или использование специальных технических средств, предназначенных для тайного получения информации, может стать основанием для привлечения к уголовной ответственности (ст. 138.1 УК РФ). Однако такое специальное техническое оборудование не включает в себя элементы с функциями аудио-, видео- или фото- и / или геолокации для бытовых целей, которые имеют элементы управления, индикации и / или любые отметки, открыто указывающие их цель, функцию и / или режим работы.

13.2 Существуют ли ограничения на цели использования данных видеонаблюдения?

Конституция России гарантирует право на неприкосновенность частной жизни, а также на личную и семейную тайну. Таким образом, следует оценивать, было ли нарушено это право в каждом конкретном случае.

14.

14.1 Какие виды мониторинга сотрудников разрешены (если они есть) и при каких обстоятельствах?

На практике в соответствии с внутренними корпоративными правилами и политиками работодателей могут быть разрешены различные типы мониторинга сотрудников, включая видеонаблюдение, просмотр электронной почты / Интернета, мониторинг социальных сетей и прослушивание аудио, а также иногда GPS-слежение. Однако при любом таком мониторинге работодатель (оператор данных) должен соблюдать конституционные права граждан и требования защиты данных (п.1 статьи 24 Конституции РФ). Работодатель может применять любой вид мониторинга сотрудников при условии, что это предусмотрено трудовым договором или регулируется внутренними корпоративными правилами или политиками, сотрудники знакомы с ними до подачи заявления и сотрудники дали свое согласие на такое наблюдение. Любой мониторинг сотрудников должен применяться разумно, и следует избегать любого раскрытия видеоконтента третьим лицам.

14.2 Требуется ли согласие или уведомление? Опишите, как работодатели обычно получают согласие или отправляют уведомление.

Для проведения законного мониторинга сотрудников требуется предварительное письменное согласие сотрудника. На практике письменное согласие всех сотрудников получается во время заключения трудового договора или является частью коллективного трудового договора. Все сотрудники должны быть должным образом ознакомлены с внутренними корпоративными правилами и политиками в отношении мер контроля за сотрудниками. Также должны соблюдаться законодательные положения, касающиеся обработки личных данных сотрудников.В частности, такая обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности сотрудников, оказания помощи сотрудникам в трудоустройстве, контроля количества и качества выполняемой работы и обеспечения безопасности. имущества и др. (статья 86 ТК РФ). Для этих конкретных целей дополнительное согласие не требуется. Письменное согласие работника требуется и должно быть получено работодателем заранее, если личные данные должны быть переданы работодателем третьим лицам.

14.3 В какой степени производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы?

Нет особых требований, согласно которым производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы по этому поводу.

15.

15.1 Есть ли общее обязательство по обеспечению безопасности личных данных? Если да, то какие объекты отвечают за обеспечение безопасности данных (например, контроллеры, процессоры и т. Д.)?

Оператор данных или иное лицо (лица), получившие доступ к персональным данным, обязаны воздерживаться от их раскрытия третьим лицам или распространения этих персональных данных без предварительного письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами. .

15.2 Существует ли требование закона сообщать об утечках данных в соответствующие органы по защите данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

Как правило, нет никаких юридических требований сообщать об утечке данных в орган по защите данных. Роскомнадзор рассматривает добровольно предъявленные субъектом персональных данных претензии относительно совместимости содержания персональных данных, наличия или отсутствия согласия субъекта персональных данных, способов обработки персональных данных и его соответствия заявленным целям, для которых они обрабатываются. Роскомнадзор принимает соответствующее решение, и в случае выявления нарушения оператор данных должен прекратить такую ​​несанкционированную обработку в течение трех рабочих дней. Если невозможно превратить несанкционированную обработку персональных данных в законный способ обработки, оператор данных должен уничтожить такие персональные данные в течение 10 рабочих дней (статья 21 (3) Закона о ПД). Оператор данных должен уведомить субъекта данных или его представителя о прекращении обработки или уничтожения персональных данных, и в случае, если запрос на прекращение или уничтожение был сделан Роскомнадзором , такое уведомление должно быть отправлено в Роскомнадзор .

15.3 Существует ли требование закона сообщать о нарушениях данных затронутым субъектам данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.

Нет специального юридического требования сообщать о нарушениях данных затронутым субъектам данных. При этом субъект персональных данных, права которого были нарушены, имеет право подать иск в Роскомнадзор , который может провести соответствующую проверку и принять решение в отношении предполагаемого нарушителя и его несанкционированных действий с персональными данными.

15.4 Каковы максимальные штрафы за нарушение безопасности данных?

Оператор данных может нести ответственность за несколько нарушений обработки персональных данных, в том числе за обработку данных без письменного согласия субъекта данных, когда это необходимо, отказ от публикации политики обработки данных на веб-сайте или непредоставление информации субъекту данных. в связи с обработкой его персональных данных – со штрафом за правонарушение до 75000 рублей (ст. 13.11 (2) Кодекса Российской Федерации об административных правонарушениях).

Оператор данных может быть подвергнут штрафу до 6 000 000 рублей за первое правонарушение и до 18 000 000 рублей за повторное нарушение требований к локальному хранению данных (статья 13.11 (8 и 9) Российского законодательства). Кодекс об административных правонарушениях).

Наконец, Уголовный кодекс Российской Федерации предусматривает уголовную ответственность за: незаконный сбор или распространение, в том числе публичное распространение, персональных данных, относящихся к личной или семейной тайне, без согласия этого лица, со штрафом до 200 000 рублей; и незаконный доступ к компьютерной информации, повлекший за собой уничтожение, блокирование, изменение или копирование персональных данных, с наложением штрафа до 500 000 рублей.Следует отметить, что по российскому законодательству уголовные наказания могут быть применены только к физическим лицам, но не к юридическим лицам.

16.

16.1 Опишите правоприменительные полномочия органов по защите данных.

17.1 Как предприятия обычно отвечают на запросы о раскрытии информации из-за границы или запросы о раскрытии информации от иностранных правоохранительных органов?

Российское законодательство не содержит положений, касающихся иностранного электронного раскрытия информации или иностранной процедуры раскрытия информации.Таким образом, российские компании не обязаны отвечать на запросы о раскрытии или раскрытии информации из-за рубежа, за исключением случаев, когда отсутствуют императивные положения, предусмотренные соответствующими международными договорами о взаимной правовой поддержке (помощи) или аналогичными международными соглашениями, участником которых является Россия. Кроме того, существует практика, когда компании отвечают на запросы иностранных правоохранительных органов о раскрытии информации через компетентные российские органы.

17.2 Какие инструкции выпустили / выпустили органы по защите данных?

Роскомнадзор таких указаний не выдавал. .

18.

18.1 Какие тенденции в области правоприменения проявились за последние 12 месяцев? Опишите любую соответствующую судебную практику.

Конфиденциальность и защита данных остается новой и актуальной областью развития законодательства в России.Наблюдается заметная тенденция к увеличению штрафов за нарушения защиты данных, чтобы привести их в соответствие с иностранным законодательством.

18.2 Какие «горячие темы» сейчас находятся в центре внимания регулятора защиты данных?

В связи с недавней разработкой законодательства иностранным интернет-сайтам, веб-страницам, информационным системам и программам, ориентированным на российских пользователей, может потребоваться открытие местных офисов в соответствии с законопроектом, рассматриваемым в российском парламенте.В ближайшем будущем Роскомнадзор может предъявить новые требования к отдельным хостинг-провайдерам, организаторам распространения информации или операторам рекламных систем. Также существуют различные инициативы по внедрению и реализации концепции «больших данных» и установлению прав пользователей при использовании их личных данных таким образом.

Орган по защите данных Требования к уполномоченному по регистрации и защите данных для контроллеров данных: Российская Федерация

Вопросы и ответы по практическому праву страны от Thomson Reuters

Вопросы и ответы, в которых обсуждаются обязанности частных операторов данных в Российской Федерации по уведомлению, регистрации или получению разрешения от органа по защите данных в соответствии с Законом Российской Федерации о комплексной защите данных перед обработкой персональных данных.В нем также обсуждаются любые требования к контроллерам данных по назначению сотрудника по защите данных (DPO) и любые применимые обязательства по уведомлению или регистрации, касающиеся назначений DPO. Эти вопросы и ответы не охватывают требования к уведомлению, регистрации или авторизации для обработчиков данных, а также требования, вытекающие из отраслевого законодательства.

Обзор законодательства о защите данных в Российской Федерации см. В разделе «Страновые вопросы и ответы», «Защита данных в Российской Федерации: Обзор».

Орган по защите данных

1.Название и контактная информация национального органа по защите данных или надзорного органа. орган, ответственный за защиту данных?

Имя

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Контактная информация DPA

W: rkn.gov.ru (русский) и eng.rkn.gov.ru (английский)

E: rsoc_in @ rkn.gov.ru

Уведомление или регистрация

2. Требует ли закон страны о всеобъемлющей защите данных, чтобы операторы данных из частного сектора уведомляли или регистрировались в органах по защите данных перед обработкой персональных данных?

Да. Согласно Федеральному закону № 152-ФЗ «О персональных данных» (27 июля 2006 г.) (Закон о персональных данных) оператор данных, который аналогичен контроллеру данных, должен уведомить Федеральную службу по надзору в сфере связи, информационных технологий и СМИ (Роскомнадзор) до начала обработки персональных данных (статья 22 (1) Закона о персональных данных), за некоторыми исключениями.

Оператор данных может подать уведомление на бумаге или в электронном виде с помощью веб-сайта Роскомнадзора, и оно должно содержать следующую информацию (статья 22 (3) (1) – (11) Закона о персональных данных с изменениями, внесенными Федеральным законом № 242 -ФЗ о внесении изменений в некоторые законодательные акты относительно обновления порядка обработки персональных данных в информационно-телекоммуникационных сетях (21 июля 2014 г.)):

• Цели обработки персональных данных.
• Категории персональных данных.
• Категории субъектов данных, данные которых обрабатываются.
• Правовые основания обработки.
• Список предлагаемых действий с персональными данными и общее описание методов обработки, используемых оператором данных.
• Описание соответствующих ИТ-систем и мер безопасности (включая шифрование).
• Дата начала обработки персональных данных.
• Продолжительность обработки или условия прекращения обработки персональных данных.
• Информация о наличии трансграничной передачи данных.
• Информация о местонахождении любой базы данных, содержащей персональные данные граждан Российской Федерации.

Роскомнадзор регистрирует оператора данных в течение 30 дней с момента получения уведомления, если у регулирующего органа нет дополнительных вопросов или запросов.

Роскомнадзор ведет реестр операторов данных на основе информации, содержащейся в получаемых им уведомлениях.За исключением описания ИТ-систем оператора данных и соответствующих мер безопасности, информация в уведомлении становится общедоступной после включения в реестр. (Статья 22 (4) Закона о персональных данных.)

Оператор данных может быть освобожден от установленных законом требований об уведомлении и может обрабатывать личные данные без уведомления при определенных обстоятельствах. Например, если персональные данные (статья 22 (2) (1) – (9) Закона о персональных данных с изменениями, внесенными Федеральным законом от 25.07.2012 г.519-ФЗ о внесении изменений в Закон о персональных данных (30 декабря 2020 г.):

• Обрабатывается только в соответствии с трудовым законодательством.
• Получено оператором данных в связи с договором с субъектом данных при условии, что персональные данные:
  • не передается третьим лицам без согласия субъекта данных; или
  • используется только для выполнения контракта или для заключения дальнейших контрактов с субъектом данных.
• Относится к определенному типу обработки, осуществляемой общественным объединением или религиозной организацией, действующей в соответствии с действующим законодательством, при условии, что персональные данные не передаются и не раскрываются третьим лицам без согласия субъекта данных.
• Это данные, которые субъекту данных разрешено распространять, и оператор данных соблюдает правила, регулирующие обработку и передачу данных этого типа.
• Состоит только из фамилии, имени и отчества субъекта данных.
• Необходим для предоставления субъекту данных единовременного доступа в помещение, где находится оператор данных.
• Включен в ИТ-системы, получившие статус государственной компьютерной ИТ-системы в соответствии с действующим законодательством, или в государственные ИТ-системы, созданные в целях государственной безопасности и общественного порядка.
• обрабатывается без использования автоматизированных систем в соответствии с действующим законодательством при соблюдении прав субъекта данных.
• Обрабатывается в соответствии с законами и постановлениями, касающимися транспортной безопасности.

Оператор данных не платит официальных сборов за уведомление и регистрацию.

Авторизация

3. Требует ли закон страны о всеобъемлющей защите данных, чтобы операторы данных частного сектора запрашивали разрешение у органа по защите данных перед обработкой персональных данных?

№Согласно Федеральному закону № 152-ФЗ «О персональных данных» (27 июля 2006 г.) операторы данных не должны получать разрешение от органа по защите данных перед обработкой персональных данных.

Сотрудники по защите данных

4. Требует ли в стране всеобъемлющего закона о защите данных, чтобы контролеры данных из частного сектора назначали сотрудника по защите данных?

Да. В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (27 июля 2006 г.) (Закон о персональных данных) операторы данных должны принимать меры, которые необходимы и достаточны для обеспечения надлежащей обработки персональных данных, включая назначение сотрудника по защите данных (DPO). (Статья 18.1 (1) Закона о персональных данных).

DPO должен (статья 22.1 Закона о персональных данных):

• Осуществлять внутренний контроль за соблюдением оператором и его сотрудниками требований по защите персональных данных в соответствии с законодательством Российской Федерации, включая Закон о персональных данных.
• Информировать сотрудников операторов об их обязанностях по обработке персональных данных в соответствии с законодательством Российской Федерации, в том числе Законом о персональных данных.
• Организовывать получение и обработку запросов субъектов данных и контролировать ответы на эти запросы.

5. Если закон о комплексной защите данных требует, чтобы контроллеры данных из частного сектора назначили сотрудника по защите данных (DPO), есть ли у контроллеров данных какие-либо обязательства по уведомлению или передаче контактных данных DPO органу по защите данных или регистрации в орган по защите данных?

В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (27 июля 2006 г.) операторы данных должны уведомлять или передавать информацию уполномоченного по защите данных в орган по защите данных, включая их имя, адрес, номер телефона и адрес электронной почты.

Посмотреть PDF

Защита персональных данных в России

6.2.1 Правовая база

Статьи 23 и 24 Конституции России (1993 г.) уже показывают, что основными субъектами, на которые направлено законодательство о защите данных, являются субъекты данных и операторы данных. Эти же идеи нашли отражение в законодательстве.

Статья 23 гласит: «Каждый имеет право на неприкосновенность частной жизни, личных и семейных тайн, защиту чести и доброго имени.«Конфиденциальность – это право контролировать информацию о себе. Право на неприкосновенность частной жизни является универсальным правом человека и признано таковым во Всеобщей декларации прав человека и Европейской конвенции о правах человека. Это основа права на защиту данных. Право на защиту данных проистекает из конфиденциальности, но не является универсальным правом человека. Он нацелен на операторов персональных данных, чтобы обеспечить их справедливую обработку. Соответственно, статья 24 Конституции РФ касается операторов персональных данных.Он требует, чтобы «сбор, хранение, использование и распространение информации о частной жизни не разрешались без согласия человека». До принятия специального законодательства в декабре 2005 г. Россия ратифицировала Конвенцию 1981 г. о защите частных лиц в отношении автоматической обработки персональных данных (Конвенция Совета Европы). Конвенция Совета Европы – это фундамент, на котором несколько стран построили свое законодательство о защите данных.

В июле 2007 года Государственная Дума приняла два закона, посвященных защите данных: Федеральный закон №149-ФЗ « Об информации, информационных технологиях и защите информации » и Федеральный закон № 152-ФЗ « О персональных данных » (Закон о персональных данных. ). Положения этих законов были обычными и аналогичными положениям Европейской директивы о защите данных 1995 г. (Garrie and Byhovsky 2017, 239). Закон о персональных данных является основным законом, регулирующим эту сферу в России. Он устанавливает цель защиты персональных данных – обеспечение прав и свобод человека и гражданина при обработке своих данных (статья 2).

До 2014 года российские правила защиты данных не отличались от Конвенции Совета Европы. После террористических актов в Волгограде в 2013 году Государственная Дума приняла антитеррористический пакет законов. Частью этого пакета стал Федеральный закон от 21 июля 2014 г. № 242-ФЗ (Закон о локализации), который ввел требование о локализации (подробнее об этом в разделе 6.3). Помимо российского законодателя, несколько органов власти уполномочены создавать положения о защите данных.Активную роль в этой сфере играют президент России, правительство России и федеральные службы (подробнее см. Гл. 3).

6.2.2 Органы исполнительной власти

Среди органов государственной власти Роскомнадзор играет наиболее активную роль. Дмитрий Медведев учредил Роскомнадзор в 2008 году (Указ Президента № 1715). Роскомнадзор подчиняется Министерству цифрового развития, связи и массовых коммуникаций (Минкомсвязи). У него много важных компетенций, таких как мониторинг средств массовой информации и ведение реестров операторов данных и запрещенных веб-сайтов (Постановление правительства о Роскомнадзоре).Что касается конкретных полномочий Роскомнадзора, то вектор деятельности этой Федеральной службы отклоняется от того направления, в котором нацелена защита персональных данных – обеспечение прав и свобод личности. В соответствии со статьей 23 Закона о защите данных Роскомнадзор может расследовать и инициировать контроль и надзор за операторами данных без учета нарушения личных прав физических лиц. Он действует независимо от того, имеют ли лица, чьи данные обрабатываются, какие-либо претензии к операторам данных.В результате деятельность Роскомнадзора направлена ​​на защиту данных как таковых, а не на защиту индивидуальных прав, затрагиваемых обработкой данных (Терещенко, 2018, 146).

Помимо Роскомнадзора, несколько других органов власти осуществляют свои полномочия по обеспечению соблюдения политики защиты данных в России. Прокуратура отвечает за преследование уголовных дел, связанных с нарушением защиты данных. Федеральная служба по техническому и экспортному контролю отвечает за надзор за безопасностью персональных данных в информационной инфраструктуре России.

6.2.3 Основные категории законодательства о защите данных

Основными категориями, определяющими законодательство о защите данных в России, являются данные, персональные данные, операторы данных, обработка данных и передача персональных данных. Статья 2 (1) Закона о защите данных определяет информацию как любые данные независимо от формы их представления. Согласно статье 3 (1) Закона о персональных данных, персональные данные – это любая информация, прямо или косвенно связанная с определенным или идентифицируемым физическим лицом (субъектом данных).Закон не защищает данные, не относящиеся к идентифицируемому физическому лицу (анонимные данные). Следуя этому определению, может быть трудно провести различие между техническими данными и личными данными, поскольку почти любая транзакция, совершенная в Интернете, будет представлять собой личные данные (Bauer et al. 2015, 2).

Когда дело доходит до установления критериев того, что считается идентифицируемым лицом, практика Роскомнадзора может создать некоторую двусмысленность. Например, в 2017 году из Пенсионного фонда России произошла утечка информации, содержащей полные имена и фамилии его клиентов, их номера налогоплательщиков и информацию об их пенсионных накоплениях.Согласно ответу Пенсионного фонда, это не является утечкой данных, поскольку такие данные не позволяют идентифицировать личность (Терещенко, 2018, 152). Роскомнадзор никакими действиями не отреагировал на это нарушение. Как бы ни старался Пенсионный фонд обезопасить взлом, информация, содержащая имена, фамилии и идентификационные номера, без сомнения, является личными данными. В комментарии к Закону о персональных данных от 2015 года высокопоставленные должностные лица Роскомнадзора заявили, что индивидуальный номер налогоплательщика позволяет однозначно идентифицировать физическое лицо (Гафурова и др.2015, 16).

Закон о персональных данных различает категории персональных данных. Согласно статье 10 закона, особые правила применяются к данным, касающимся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Обработка таких данных может производиться только в случаях, предусмотренных законом, например, если субъект данных дает письменное согласие на обработку данных.

В соответствии со статьей 3 (2) Закона о персональных данных, оператор – это орган, компания или физическое лицо, которое организует и (или) выполняет обработку персональных данных.Оператор также определяет цель обработки персональных данных и состав обрабатываемых персональных данных, а также действия в отношении персональных данных. Законодательство о защите данных применяется ко всем операторам данных и третьим лицам, уполномоченным операторами. Общее правило заключается в том, что операторы данных должны уведомить Роскомнадзор о своем намерении обработать данные до того, как приступить к обработке данных (статья 22). Есть определенные случаи, когда в таком уведомлении нет необходимости, например, когда обработка данных осуществляется в соответствии с трудовым законодательством, если данные включают только фамилию, имя и отцовское имя субъекта данных или если субъект данных раскрыл данные в открытый доступ.

При сборе персональных данных операторы должны информировать субъектов об определенных необходимых аспектах обработки данных. Например, согласно статье 18.1 (1) (2) операторам необходимо опубликовать политику обработки данных. Закон применяет разумный подход, возлагая это обязательство на операторов, которые являются юридическими лицами. На практике это означает, что физическим лицам, а также индивидуальным предпринимателям не нужно публиковать свою политику обработки.

Операторам данных необходимо установить меры безопасности.Согласно статье 18.1 закона операторы данных вправе выбирать меры, которые им необходимо принять в соответствии с законом. В соответствии с законом рекомендуемые меры включают назначение сотрудника по защите данных, реализацию определенных организационных и технических мер, направленных на защиту данных, а также выполнение внутреннего контроля и аудита.

Интересно, что в перечень таких мер не входит обязательство уведомлять об утечке данных ни Роскомнадзор, ни субъекты данных.Была попытка внести поправки в законодательство и ввести обязанность уведомлять Роскомнадзор, МВД и даже соответствующих субъектов данных об утечках данных, но законопроект не принимается Госдумой с 2017 года (Законопроект № 416052 -6).

Обработка данных – это любое действие или комбинация действий, связанных с персональными данными (со средствами автоматизации или без них), включая сбор, запись, систематизацию, хранение, извлечение и передачу.Обработка должна быть адекватной, актуальной и не чрезмерной по отношению к цели, для которой обрабатываются данные. Согласно статье 5 (7) Закона о персональных данных, один из принципов обработки данных заключается в том, что после достижения цели, для которой была обработана информация, оператору необходимо анонимизировать или уничтожить данные, если не было договоренности об обратном. . На данный момент нет подробных правил уничтожения данных. Однако соответствующие поправки, разрешающие Роскомнадзору устанавливать такие подробные правила, находятся на рассмотрении Госдумы (законопроект «О прекращении действия персональных данных»).

Согласие субъектов данных является неотъемлемой частью обработки персональных данных. Согласно статье 9 Закона о защите данных, физическое лицо должно дать письменное согласие на обработку данных. Согласие должно быть конкретным, информированным и преднамеренным. Его можно получить в любой форме, подтверждающей его получение, включая заполнение онлайн-форм. Субъект данных может позже передумать и отозвать согласие на обработку данных. Операторы данных несут бремя доказательства того, что субъект данных дал свое согласие.

Согласно статье 9 (4) (4) закона, в некоторых случаях, в том числе при обработке данных, касающихся политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни, согласие должно быть дано в письменной форме. Письменная форма согласия должна включать цель обработки данных. Закон конкретно не требует, чтобы обработчик данных запрашивал у субъекта данных отдельное согласие для каждой цели обработки данных. Обработчики данных часто толкуют это положение таким образом, чтобы перечислить различные цели обработки данных в одной форме.Тем не менее, поскольку толкование закона в обратном направлении возможно, существует существенный риск того, что Роскомнадзор потребует письменного согласия от субъекта данных для каждой цели обработки данных. Так было в споре между обществом с ограниченной ответственностью (ООО) «Скартел» и Роскомнадзором ( ООО «Скартел» против Управления Роскомнадзора Центрального федерального округа ). Арбитражный суд города Москвы, а затем апелляционный суд подтвердили позицию Роскомнадзора. Клиенты «Скартел» подписали условия, в которых перечислены определенные цели обработки данных.После этого некоторые клиенты заключили дополнительные соглашения онлайн. Такие соглашения включают больше целей обработки данных. Суды согласились с Роскомнадзором в том, что согласие на такие дополнительные цели обработки данных после дословного прочтения закона также должно было быть дано в письменной форме на бумажных носителях. Чтобы исправить эту ситуацию, Минкомсвязи подготовило поправки к закону о защите данных, которые, среди прочего, позволят получить единое согласие человека на несколько целей обработки данных (законопроект «О единой форме согласия»).Это один из примеров, когда целью поправок является облегчение бремени для операторов данных, в отличие от создания множества новых правил, вводящих ограничения и обязательства в сфере защиты данных, как будет показано в следующих разделах этой главы.

Персональные данные могут обрабатываться без согласия субъекта данных в определенных случаях (статья 6). Например, согласие не требуется, если обработка данных необходима для профессиональной журналистской деятельности или когда это необходимо для исполнения решения суда или государственного органа.

6.2.4 Передача за пределы России

Операторы данных могут передавать личные данные за пределы России. Перед осуществлением такой передачи оператор должен убедиться, что права субъекта персональных данных получат адекватную защиту в стране-получателе перевода. Статья 12 (1) Закона о персональных данных предусматривает, что все стороны, подписавшие Конвенцию Совета Европы, обеспечивают надлежащую защиту персональных данных. Кроме того, Роскомнадзор ведет регулярно обновляемый список стран, обеспечивающих такую ​​защиту (Приказ Роскомнадзора о списке стран с адекватной защитой персональных данных).

6.2.5 Территориальная сфера применения

Интернет распространяется за пределы национальных границ. Граждане России могут получить доступ к сайтам операторов, расположенных по всему миру (кроме заблокированных Роскомнадзором). Это не означает, что все эти операторы должны соответствовать требованиям русской локализации. Закон о защите данных конкретно не устанавливает территориальную сферу его применения. При этом при определении операторов персональных данных закон не ограничивает операторов только компаниями, зарегистрированными в России.По мнению Роскомнадзора, Закон о персональных данных является обязательным для иностранных компаний, обрабатывающих персональные данные в России (Роскомнадзор, 2019a). Территориальный охват определяется обработкой данных, которая (1) либо имеет место, либо направлена ​​на Россию, либо (2) касается данных российских граждан. Важно не место нахождения компании / лица, а территория, на которую направлены действия такой компании или лица. Тем не менее, компании, зарегистрированные за пределами России, могут подпадать под действие российского законодательства о защите данных.Аналогичным образом статья 3 GDPR устанавливает, что ее требования к защите данных являются обязательными не только для компаний, учрежденных в государствах-членах ЕС, но также и для компаний, расположенных в любой точке мира, если они обрабатывают данные граждан ЕС. Важность территориального аспекта российских правил защиты данных усиливается с принятием требования о локализации для операторов данных.

Новые правила обработки персональных данных

С 1 марта 2021 г.519-ФЗ от 30.12.2020 «О внесении изменений в Федеральный закон« О персональных данных »*» (далее – «Закон») вступил в силу.

Термин «общедоступные персональные данные» заменен на «персональные данные, разрешенные субъектом данных для распространения». Это информация, к которой имеет доступ неограниченное количество лиц. Как правило, он публикуется в социальных сетях или различных банках данных. Теперь, чтобы обрабатывать такую ​​информацию и предоставлять ее широкому кругу людей, необходимо получить согласие субъекта данных.Он оформляется отдельным документом, а требования к его содержанию устанавливает Роскомнадзор, который также разрабатывает информационную систему для получения согласия в электронном виде. Система заработает с 1 июля 2021 года. Правила ее работы будут установлены в постановлении Роскомнадзора, которое сейчас проходит общественное обсуждение.

В течение 3 рабочих дней с момента получения соответствующего согласия оператор должен опубликовать информацию об условиях обработки и запретах, которые третьи лица должны учитывать при обработке данных.

Новые правила коснутся владельцев сайтов, социальных сетей и других интернет-ресурсов, а также тех, кто использует информацию из этих источников. Цель изменений – исключить неконтролируемое использование персональных данных пользователями Интернет-ресурсов, чтобы гарантировать соблюдение прав граждан на неприкосновенность частной жизни.

Кроме того, 27 марта 2021 года вступает в силу Федеральный закон от 24 февраля 2021 года № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который ужесточит ответственность за нарушения в сфере персональные данные и увеличить срок давности привлечения к ответственности до 1 года (в настоящее время – 3 месяца).

Таким образом, штрафы за обработку персональных данных без согласия их субъекта, непринятие политики по

Защита данных в РФ: обзор

6 августа 2018

Это руководство по вопросам и ответам дает общий обзор правил и принципов защиты данных, включая обязательства контроллера данных и согласие субъектов данных; права на доступ к персональным данным или возражение против их сбора; и требования безопасности.Он также распространяется на файлы cookie и спам; обработка данных третьими лицами; и международная передача данных. В этой статье также подробно описывается национальный регулирующий орган; его правоприменительные полномочия; и санкции и средства правовой защиты.

Чтобы сравнить ответы в разных юрисдикциях, посетите инструмент вопросов и ответов о защите данных о стране.

Эта статья является частью глобального руководства по защите данных. Полный список материалов можно найти на сайте global.practicallaw.com/dataprotection-guide.

Постановление

Законодательство

1.Какие национальные законы регулируют сбор и использование личных данных?

Общие законы

Основные положения закона о защите данных и конфиденциальности можно найти в:

– Страсбургская конвенция о защите частных лиц в отношении автоматической обработки персональных данных 2005 г. (Страсбургская конвенция).

– Конституция РФ 1993 г. (статьи 23 и 24).

– Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите данных» 2006 г. (Закон о защите данных).

– Федеральный закон № 152-ФЗ «О персональных данных» 2006 г. (Закон о защите персональных данных).

Основным законом в этой области является Закон о защите личных данных.

Отраслевые законы

Положения, касающиеся защиты данных, также можно найти в различных отраслевых законах, например:

– Трудовой кодекс РФ (глава 14).

– Воздушный кодекс России (статья 85.1).

– Федеральный закон № 323 «Об основах охраны здоровья граждан в Российской Федерации».

Существуют также определенные местные административные правила и официальные требования, регулирующие сбор, хранение и использование персональных данных, изданные:

– Президент России.

– Правительство РФ.

– Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

– Федеральная служба по техническому и экспортному контролю (ФСТЭК).

– Федеральная служба безопасности (ФСС).

Сфера действия законодательства

2. На кого распространяется действие закона?

Законы о защите данных применяются ко всем операторам данных и третьим лицам, действующим с разрешения операторов данных.

Российское законодательство о защите данных не содержит понятий «контролер данных» и «обработчик данных». Однако в Законе о защите личных данных упоминаются понятия «оператор данных» и «лицо, действующее в соответствии с инструкциями» оператора данных.

Оператором данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которое:

– Организует и / или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных.

– Определяет цели обработки персональных данных, содержание персональных данных и действия (операции), связанные с персональными данными.

Обработка данных может быть делегирована третьей стороне с согласия субъекта данных, который будет действовать с разрешения оператора данных на основании соответствующего соглашения или на основании специального государственного или муниципального закона.

3. Какие данные регулируются?

Законы о защите данных регулируют все персональные данные, обрабатываемые операторами данных или третьими сторонами. Персональные данные – это любая информация, прямо или косвенно относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных).

Российское законодательство о защите данных не делает различий между прямыми персональными данными и косвенными персональными данными. Таким образом, личные данные будут рассматриваться как «прямые» или «косвенные» в зависимости от обстоятельств каждого дела.

4. Какие законы регулируются?

Законы о защите данных применяются ко всем действиям по обработке данных, включая сбор, запись, систематизацию, накопление, хранение, изменение (обновление, модификация), извлечение, использование, передачу (распространение, предоставление, доступ), анонимизацию, блокирование, удаление или уничтожение данных. Электронный (автоматизированный) и ручной (неавтоматический) учет личных данных и смешанная обработка данных регулируются законодательством о защите данных.

5. Какова юрисдикция правил?

Законы о защите данных не содержат каких-либо явных положений, касающихся их юрисдикции или территориального действия. Таким образом, обычно предполагается, что национальные правила защиты данных применяются к:

– Обработка данных, которая происходит в России или нацелена на нее.

– Сбор, хранение и использование персональных данных граждан России (субъектов данных).

Независимо от того, где установлены и расположены операторы данных.

В контексте трансграничного потока данных национальное законодательство о защите данных также может применяться в определенной степени, если российское физическое лицо является стороной соглашения о передаче данных или пользовательского соглашения либо дает согласие на обработку своих личных данных. данные от стороннего оператора данных.

Какие основные исключения (если таковые имеются)?

Законы о защите данных не распространяются на следующие действия:

– Обработка персональных данных физическими лицами исключительно для личных и семейных нужд (при условии, что права субъектов данных не нарушаются).

– Организация хранения, сбора, учета и использования архивных документов, содержащих персональные данные, в соответствии с национальным законодательством об архивных фондах и делах.

– Обработка персональных данных, которые могут быть отнесены к сведениям, составляющим государственную тайну.

– Предоставление компетентными органами сведений о деятельности судов в России в соответствии с законодательством о судах.

Уведомление

7.Требуется ли уведомление или регистрация перед обработкой данных?

Оператор данных, обрабатывающий персональные данные, должен уведомить Роскомнадзор до того, как он начнет обработку персональных данных. Уведомление может быть подано оператором данных на бумаге или в электронном виде.

Уведомление должно содержать следующую информацию:

– Имя и адрес оператора данных.

– Цели обработки персональных данных.

– Категории персональных данных.

– категории субъектов данных, данные которых обрабатываются.

– Список разрешенных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

– Описание ИТ-систем и мер безопасности (включая шифрование).

– Имя и контактные данные уполномоченного по защите данных.

– Дата начала обработки персональных данных.

– Продолжительность обработки или условия прекращения обработки персональных данных.

– Информация о трансграничной передаче данных.

– расположение базы данных, которая будет содержать персональные данные российских физических лиц (см. Вопрос 21).

Роскомнадзор зарегистрирует оператора данных в течение 30 дней с даты получения соответствующего уведомления (при отсутствии дополнительных вопросов или запросов). Перечисленная выше информация (за исключением описания ИТ-систем оператора данных и соответствующих мер безопасности) становится общедоступной после включения в реестр.Роскомнадзор ведет реестр операторов данных на основе информации, содержащейся в получаемых им уведомлениях. Реестр операторов данных является общедоступным и доступен на русском языке по адресу http://rkn.gov.ru/personal-data/register.

Требование об уведомлении / регистрации применяется к любому оператору данных, который участвует в обработке различных категорий персональных данных на территории или за пределами России (или обрабатывает персональные данные граждан России) и использует свою внутреннюю ИТ-систему или базу данных в соответствии с законодательство о защите данных.Однако оператор данных может быть освобожден от этого законодательного требования и иметь возможность обрабатывать персональные данные без уведомления / регистрации при определенных обстоятельствах. Например, где личные данные:

– обрабатывается только в соответствии с трудовым законодательством.

– Получено оператором данных в связи с договором с субъектом данных (физическим лицом), при условии, что персональные данные:

– не передается третьим лицам без согласия физического лица;

– используется только для выполнения контракта или заключения дополнительных контрактов с физическим лицом.

– относится к определенному типу обработки, осуществляемой общественным объединением или религиозной организацией, действующей в соответствии с применимыми законами, при условии, что личные данные не передаются и не раскрываются третьим лицам без согласия субъекта данных.

– Субъект данных сделал общедоступным.

– Состоит только из фамилии, имени и отчества субъекта данных.

– необходим для предоставления субъекту данных единовременного доступа в помещение, где находится оператор данных.

– Включен в ИТ-системы, которые приобрели статус государственных компьютерных ИТ-систем в соответствии с действующим законодательством, или в государственные ИТ-системы, созданные в целях государственной безопасности и общественного порядка.

– обрабатывается без использования автоматизированных систем в соответствии с действующим законодательством при соблюдении прав субъекта данных.

– обрабатывается в соответствии с законами и постановлениями, касающимися транспортной безопасности.

Уведомление и регистрация не требуют оплаты официальных сборов.

Основные правила и принципы защиты данных

Основные обязательства и требования к обработке

8. Какие основные обязанности возлагаются на контроллеры данных для обеспечения правильной обработки данных?

Основные обязательства, возлагаемые на операторов данных по обеспечению надлежащей обработки персональных данных, заключаются в следующем:

– Определение категорий персональных данных, целей обработки данных и продолжительности обработки.

– Получение согласия субъекта данных (если иное не предусмотрено законом).

– Назначение сотрудника по защите данных, принятие политики защиты данных (и других необходимых документов) и принятие других соответствующих мер безопасности (особенно юридических, технических и организационных) для предотвращения несанкционированной / незаконной обработки данных и нарушения законодательства о защите данных.

– Размещение центра обработки данных или сервера данных на территории России, если данные российских физических лиц должны обрабатываться оператором данных (см. Вопрос 21).

– Уведомление Роскомнадзора с целью регистрации (если иное не предусмотрено законом) (см. Вопрос 7).

9. Требуется ли согласие субъектов данных перед обработкой персональных данных?

В большинстве случаев перед обработкой персональных данных требуется согласие субъекта данных. Согласие субъекта данных должно быть конкретным, информированным и преднамеренным.

Если иное не предусмотрено законом, согласие субъекта данных может быть получено в любой форме, в том числе в Интернете.Если закон требует, чтобы согласие субъекта данных было дано в письменной форме (например, для обработки биометрических данных), подразумеваемое или предполагаемое согласие не будет считаться действительным.

Электронные подписи разрешены и могут использоваться в соответствии с положениями применимого законодательства о цифровых подписях, если согласие субъекта данных представляет собой электронную форму документа о согласии.

Оператор данных несет бремя доказательства того, что согласие субъекта данных получено.

Нет предписанной или утвержденной формы согласия. Однако Закон о защите личных данных определяет информацию, которая должна быть указана в письменном согласии субъекта данных:

– Имя, отчество, фамилия и адрес субъекта данных, идентификационный номер (например, номер паспорта), дата выдачи удостоверения личности и орган, выдавший удостоверение личности.

– Имя, отчество, фамилия и адрес представителя субъекта данных, номер удостоверения личности (например, паспорт), дата выдачи удостоверения личности и выданный орган, реквизиты доверенности или другие применимый документ (если согласие было дано представителем субъекта данных).

– Имя, отчество, фамилия и адрес оператора данных.

– Цель обработки данных.

– Список предоставленных персональных данных.

– Имя, отчество, фамилия и адрес любой третьей стороны, которая обрабатывает персональные данные с разрешения оператора данных.

– Список согласованных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.

– Срок действия согласия субъекта данных и способ его отзыва.

– Подпись субъекта данных.

Обработка персональных данных несовершеннолетних возможна с согласия законного представителя.

10. Если согласие не дано, какими еще основаниями (если таковые имеются) может быть оправдана обработка?

Обработка персональных данных без согласия субъекта данных может быть оправдана при определенных обстоятельствах. Например, если обработка данных требуется для:

– Цели, определенные международным договором или законодательством Российской Федерации.

– Для определенных судебных целей.

– Осуществление определенных полномочий федеральными органами власти, оказывающими государственные и муниципальные услуги.

– Соглашение с субъектом данных или соглашение, в котором субъект данных является бенефициаром или гарантом.

– Защита жизни, здоровья или других жизненно важных интересов субъекта данных.

– Защита прав и интересов оператора данных или третьих лиц или в общественных целях, при условии отсутствия нарушений прав и свобод субъекта данных.

– Профессиональная журналистская, медийная, научная, литературная или другая творческая деятельность при условии отсутствия нарушений прав и свобод субъекта данных.

– Статистические или другие научные цели (при условии, что соответствующие личные данные были анонимны).

– Обработка данных, которые стали общедоступными субъектом данных по его / ее запросу.

– Обязательная публикация или раскрытие в соответствии с действующим законодательством.

Особые правила

11. Применяются ли особые правила к определенным типам персональных данных, например к конфиденциальным данным?

Согласно Закону о защите личных данных, конфиденциальные данные относятся к любой информации, которая касается национальности, расового или этнического происхождения, политических взглядов, религиозных или философских убеждений, а также состояния здоровья или половой жизни человека. Конфиденциальные данные могут быть обработаны только в том случае, если:

– Субъект данных предоставил письменное согласие на обработку данных.

– Субъект данных сделал общедоступными персональные данные.

– Обработка требуется в соответствии с международным договором России о повторном въезде (например, возвращении иммигрантов в страну).

– Обработка ведется по Всероссийской переписи населения.

– Обработка осуществляется в соответствии с законодательством о социальной поддержке, занятости или пенсиях.

– Обработка требуется для защиты жизни, здоровья или жизненно важных интересов субъекта данных или других лиц, при условии, что получить согласие субъекта данных невозможно.

– Обработка осуществляется лицом, которое занимается различной медицинской деятельностью в определенных медицинских целях, при условии, что обработка выполняется профессионалом с соблюдением медицинской конфиденциальности.

– Обработка осуществляется общественными обществами или религиозными организациями в отношении персональных данных их членов для целей, определенных их учредительными документами, при условии, что персональные данные не передаются третьим лицам без письменного согласия субъекта данных.

– Обработка требуется для установления или обеспечения соблюдения прав субъекта данных или третьих лиц или для отправления правосудия.

– Обработка осуществляется в соответствии с законодательством Российской Федерации о государственной обороне, безопасности, борьбе с терроризмом, транспортной безопасности, борьбе с коррупцией, правоприменении, исполнении, уголовном расследовании и судебном преследовании.

– Обработка производится прокуратурой в рамках особого производства по уголовным делам.

– Обработка производится в соответствии с законодательством о страховании.

– Обработка производится государственными органами, муниципальными учреждениями или организациями для целей усыновления ребенка.

– Обработка производится в соответствии с действующим законодательством о гражданстве.

Обработка конфиденциальных персональных данных (если это разрешено законом) будет немедленно прекращена, если причины для обработки больше не существуют.

Права физических лиц

12.Какая информация должна быть предоставлена ​​субъектам данных в момент сбора персональных данных?

В момент сбора персональных данных субъекту данных должна быть предоставлена ​​следующая информация:

– Цель сбора / обработки данных.

– Объем сбора / обработки данных.

– Срок сбора / обработки данных.

– Подробная информация об операторе данных (или любой третьей стороне, действующей с разрешения оператора данных).

– Иная информация, предусмотренная законом.

13. Какие еще конкретные права предоставляются субъектам данных?

Субъект данных имеет право на доступ к данным, обрабатываемым оператором данных, и право на получение информации, связанной с обработкой данных, включая:

– Подтверждение обработки данных оператором данных.

– Правовые основания и цели обработки данных.

– методы и цели обработки данных, используемые оператором данных.

– Имя и местонахождение оператора данных, а также информация о лицах (кроме сотрудников), которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты в соответствии с соглашением с оператором данных или в соответствии с законом.

– Продолжительность обработки данных, включая продолжительность хранения личных данных.

– Информация о любой завершенной или предполагаемой трансграничной передаче данных.

– Другая информация, предоставленная Законом о защите личных данных и другими законами.

Кроме того, субъект данных имеет право:

– Исправление и блокировка данных.

– Возражение против обработки данных.

– Возражение против прямого маркетинга.

– Возражать против решений, принимаемых исключительно на основе автоматизированной обработки данных.

– пожаловаться на действия или бездействие оператора данных и потребовать возмещения убытков, включая моральный ущерб.

14. Имеют ли субъекты данных право требовать удаления своих данных?

Субъекты данных могут запросить удаление своих персональных данных, если они:

– Незавершенное.

– Устаревший.

– Неточно.

– Получено незаконно.

– Не требуется для заявленных целей обработки данных.

Требования безопасности

15. Какие требования безопасности предъявляются к персональным данным?

Оператор данных должен принимать необходимые и достаточные меры защиты в соответствии с законодательством о защите данных, включая следующие:

– Назначение сотрудника по защите данных.

– Принятие политики защиты данных и других документов, включая местные / корпоративные правила, предназначенных для предотвращения и обнаружения нарушений законодательства о защите данных.

– Осуществление соответствующих правовых, организационных и технических мер безопасности.

– Осуществление внутреннего контроля и / или аудита для обеспечения соответствия обработки данных законодательству о защите данных и политике, документам и / или местным правилам оператора данных.

– Оценка ущерба, который может быть причинен субъектам данных в случае нарушения законодательства о защите данных.

– Раскрытие соответствующих положений законодательства о защите данных и требований к защите данных, которые определяют его политику, документы и / или местные правила для своих сотрудников.

В любом случае оператор данных должен принять необходимые правовые, организационные и технические меры для защиты личных данных от любого несанкционированного / незаконного или случайного доступа, уничтожения, модификации, блокирования, копирования, предоставления или распространения, а также от любых других несанкционированных действий в отношении персональных данных.Дополнительные меры безопасности могут быть установлены:

– Обнаружение угроз безопасности при обработке персональных данных в соответствующих ИТ-системах.

– Обеспечение надлежащего уровня защиты обработки персональных данных в соответствующих ИТ-системах.

– Применение различных сертифицированных методов защиты персональных данных (включая шифрование).

– Оценка эффективности мер безопасности (до внедрения каких-либо мер безопасности).

– Запись на любой компьютерный носитель, содержащий личные данные.

– Выявление несанкционированного доступа к персональным данным.

– Получение личных данных, которые были изменены или уничтожены из-за несанкционированного доступа.

– Принятие правил, регулирующих доступ к персональным данным, обрабатываемым в соответствующих ИТ-системах, регистрацию и запись всех действий, связанных с персональными данными, в соответствующих ИТ-системах, контроль мер безопасности в отношении персональных данных и уровень защиты соответствующие ИТ-системы.

16. Есть ли требование об уведомлении субъектов данных или национального регулирующего органа о нарушениях безопасности личных данных?

Как правило, закон не требует сообщать об утечке данных субъектам данных или Роскомнадзору.

При обнаружении или обнаружении несанкционированной обработки персональных данных оператор данных (или соответствующее уполномоченное лицо) должен прекратить обработку в течение трех рабочих дней.

Если невозможно преобразовать несанкционированную обработку персональных данных в законную обработку, оператор данных должен уничтожить персональные данные в течение десяти рабочих дней.

После прекращения обработки персональных данных или уничтожения персональных данных оператор данных должен уведомить субъекта данных (или его представителя).

Если запрос о прекращении или уничтожении был сделан Роскомнадзором, уведомление должно быть отправлено в Роскомнадзор.

Обработка третьими сторонами

17. Какие дополнительные требования (если есть) применяются, когда третья сторона обрабатывает данные от имени контроллера данных?

Субъект данных должен дать согласие на передачу персональных данных третьим лицам.Третьи стороны подчиняются тем же юридическим требованиям и обязательствам, что и операторы данных, и должны соблюдать правила обработки данных, определенные законом. Оператор данных будет нести ответственность за все действия или бездействие третьих лиц, действующих с его разрешения, в то время как соответствующие третьи стороны будут нести ответственность перед оператором данных за любое нарушение данных.

Электронная связь

18. При каких условиях контроллеры данных могут хранить файлы cookie или аналогичные устройства на оконечном оборудовании субъекта данных?

Закон не определяет «куки».Также отсутствуют официальные инструкции Роскомнадзора (или другого государственного органа) по использованию, применению или распространению файлов cookie.

В соответствии с Законом о защите данных лицо, распространяющее информацию, должно предоставить адресату явную возможность отклонить информацию (при использовании метода, позволяющего идентифицировать адресата), в том числе при отправке обычных почтовых и электронных сообщений. Поэтому обычно предполагается, что для всех типов файлов cookie требуется согласие субъекта данных (в отсутствие более конкретного законодательства по этому вопросу).

19. Какие требования предъявляются к рассылке нежелательных электронных коммерческих сообщений (спама)?

Незапрашиваемые электронные коммерческие сообщения (спам) в России запрещены. Такие сообщения могут быть отправлены только с предварительного согласия адресата и должны быть немедленно остановлены по его / ее запросу. Несоблюдение этих требований может повлечь за собой различные виды ответственности, в том числе административную.

Международная передача данных

Передача данных за пределы юрисдикции

20.Какие правила регулируют передачу данных за пределы вашей юрисдикции?

Статья 12 Закона о защите личных данных регулирует трансграничные потоки данных. В случае международной передачи персональных данных все операторы данных должны обеспечить (до осуществления передачи), что права и интересы соответствующего субъекта данных полностью защищены надлежащим образом в соответствующей зарубежной стране. Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных.Кроме того, Роскомнадзор утвердил официальный список стран (включая Австралию, Аргентину, Канаду, Израиль, Мексику и Новую Зеландию), которые обеспечивают адекватный уровень защиты для целей трансграничной передачи персональных данных.

Международная передача данных в любую юрисдикцию с адекватным уровнем защиты не подлежит никаким ограничениям при условии получения согласия соответствующего субъекта данных.

Трансграничная передача персональных данных в страны, которые не обеспечивают должного уровня защиты, разрешена только в том случае, если:

– Получено письменное согласие соответствующего субъекта данных.

– Трансграничная передача данных разрешена в соответствии с международным договором, участником которого является Россия.

– Трансграничная передача данных разрешена в соответствии с действующим законодательством, если это необходимо для целей:

– защита конституционного строя России;

– защита обороны государства и безопасности государства;

– обеспечение технического обслуживания транспортной системы России и защита интересов граждан, общества и государства в транспортном секторе от незаконного вторжения.

– Трансграничная передача данных осуществляется для выполнения контракта, стороной которого является субъект данных.

– Трансграничная передача данных необходима для защиты жизни, здоровья или других жизненно важных интересов субъекта данных, и получить его / ее предварительное согласие в письменной форме невозможно.

Обычно компании, действующие в качестве операторов данных, проверяют адекватный уровень защиты данных перед передачей каких-либо личных данных за границу.Кроме того, компании получат письменное согласие от соответствующих субъектов данных или заключат международные соглашения о передаче данных с соответствующими субъектами данных. Следуя этим шагам, компании продолжат передачу данных за границу в соответствии со своими внутренними корпоративными правилами или политиками (если применимо).

21. Есть ли требование хранить (определенные типы) персональных данных внутри юрисдикции?

21 июля 2014 г.242-ФЗ о внесении изменений в некоторые законодательные акты Российской Федерации по разъяснению порядка обработки персональных данных в информационных и телекоммуникационных сетях (Новый Закон о защите данных), вступивший в силу 1 сентября 2015 года.

Новый закон о защите данных вносит поправки в Закон о защите личных данных в основном путем введения:

– Определенные новые обязательства операторов данных по сбору, хранению и обработке персональных данных граждан (физических лиц) России.

– Новый механизм для Роскомнадзора по блокировке веб-сайтов и интернет-ресурсов, незаконно обрабатывающих персональные данные граждан (физических лиц) России.

В частности, Новый Закон о защите данных вводит обязанность всех операторов данных обеспечивать запись, систематизацию, накопление, хранение, изменение и извлечение персональных данных граждан России с использованием центров обработки данных, расположенных на территории Российской Федерации. в процессе сбора соответствующих персональных данных физических лиц, в том числе через Интернет.Это означает, что любые персональные данные граждан России, собираемые операторами данных, должны храниться на серверах, ИТ-системах, базах данных или центрах обработки данных, расположенных в России.

В Новом Законе о защите данных это прямо не оговаривается, но требование интерпретируется как запрещающее хранение персональных данных граждан России за пределами России (без предварительного размещения персональных данных граждан России в России). Таким образом, при буквальном толковании Нового Закона о защите данных местные и иностранные компании (операторы данных) должны обрабатывать или организовывать обработку персональных данных российских граждан в первую очередь в России при соблюдении всех других общих требований законодательство о защите данных.

В целом Новый закон о защите данных не предусматривает:

– Запретить доступ к серверам, ИТ-системам или дата-центрам, находящимся на территории России, из-за границы.

– Установить какие-либо особые ограничения на последующую передачу, в том числе за границу, персональных данных, относящихся к гражданам России.

– Запретить копирование персональных данных граждан России на зарубежные базы данных или серверы.

Договоры передачи данных

22.Предусматриваются или используются ли соглашения о передаче данных? Были ли утверждены какие-либо стандартные формы или прецеденты национальными властями?

Соглашения о передаче данных специально не регулируются законом, но они широко используются на практике, особенно когда в них участвуют иностранные стороны. Роскомнадзор не принял стандартную форму договора о передаче данных. Таким образом, любое соглашение о передаче данных будет составлено в соответствии с конкретными обстоятельствами и подписано сторонами в соответствии с основным принципом свободы контактов.

23. Достаточно ли соглашения о передаче данных для узаконивания передачи или должны быть выполнены дополнительные требования (например, необходимость получения согласия)?

Соглашения о передаче данных обычно достаточно для узаконивания международной передачи личных данных при условии, что согласие субъекта данных прямо указано в таком соглашении или приложено к нему. В некоторых случаях соглашения о передаче данных будут заключаться в виде трехсторонних договоров.

Кроме того, оператор данных должен уведомить Роскомнадзор о своем праве на трансграничную передачу данных во время отправки уведомления для целей регистрации.

24. Должен ли соответствующий национальный регулирующий орган утверждать соглашение о передаче данных?

Роскомнадзору не нужно утверждать или регистрировать договор о передаче данных. Соглашение о передаче данных должно быть подписано соответствующим оператором данных, третьим лицом и субъектом данных в письменной форме, чтобы оно было эффективным и имеющим исковую силу.

Правоприменение и санкции

25. Каковы правоприменительные полномочия национального регулирующего органа?

Роскомнадзор наделен определенными правоприменительными полномочиями и несет ответственность за следующее:

– Отправка запросов физическим / юридическим лицам и получение необходимой информации по обработке данных.

– Проведение проверок и проверка информации, содержащейся в уведомлениях об обработке персональных данных, представленных операторами данных, или взаимодействие с другими государственными органами для этой конкретной цели.

– Исправление, блокирование или уничтожение ложных или незаконно полученных личных данных.

– Ограничение доступа к данным, которые обрабатываются с нарушением законодательства о защите данных (см. Вопрос 21).

– Приостановка или прекращение обработки персональных данных, инициированной нарушением законодательства о защите данных.

– Подача гражданских исков в компетентные суды для защиты прав субъектов данных и представления интересов субъектов данных в суде.

– Подача ходатайств в ФСТЭК, ФСС и другие государственные органы с целью приостановления или аннулирования соответствующих лицензий.

– Подача материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел о нарушениях данных.

– Выдача обязательных постановлений и привлечение виновных к административной ответственности.

26. Каковы санкции и средства правовой защиты за несоблюдение законов о защите данных?

В России несоблюдение законов о защите данных обычно наказуемо:

– Гражданские санкции (например, возмещение морального вреда).

– Административные санкции (например, административные штрафы).

– Уголовные санкции (например, лишение свободы).

Российское законодательство о защите данных в последние годы было достаточно жестким, и субъекты данных направили много жалоб в Роскомнадзор. Также растет число жалоб со стороны операторов данных на приказы и решения Роскомнадзора о наложении различных санкций на операторов данных и блокировке их интернет-ресурсов. В результате национальная прецедентная и судебная практика в отношении санкций за несоблюдение российского законодательства о защите данных продолжает постоянно развиваться.

Поправки к соответствующим законам о защите данных и Кодексу Российской Федерации об административных правонарушениях вступили в силу 1 июля 2017 года, существенно усилив административные санкции за утечку данных. Нарушения защиты данных подразделяются на следующие типы нарушений конфиденциальности, которые подлежат следующим административным штрафам (если нарушение не является преступлением):

– Обработка персональных данных в случаях, не предусмотренных действующим законодательством, и обработка персональных данных, несовместимая с целями обработки (вместо штрафа может быть вынесено предупреждение):

– физические лица: от 1 000 до 3 000 рублей;

– индивидуальные предприниматели: от 5 000 до 10 000 рублей;

– должностные лица компании и государственные служащие: от 5 000 до 10 000 рублей;

– компании: от 30 000 до 50 000 рублей.

– Обработка персональных данных осуществляется без письменного согласия субъекта данных в случаях, когда такое согласие необходимо, или с письменного согласия, не соответствующего обязательным требованиям:

– физические лица: от 3000 до 5000 рублей;

– индивидуальные предприниматели: от 10 000 до 20 000 рублей;

– должностные лица компании и государственные служащие: от 10 000 до 20 000 рублей;

– компании: от 15 000 до 75 000 рублей.

– Отсутствие публикации или предоставления доступа к политике конфиденциальности или информации о требованиях к защите персональных данных (вместо штрафа может быть вынесено предупреждение):

– физические лица: от 700 до 1 500 рублей;

– индивидуальные предприниматели: от 5 000 до 10 000 рублей;

– должностные лица компании и государственные служащие: от 3 000 до 6 000 рублей;

– компании: от 15 000 до 30 000 рублей.

– Непредоставление индивидуальной информации об обработке своих персональных данных (вместо штрафа может быть вынесено предупреждение):

– физические лица: от 1000 до 2000 рублей;

– индивидуальные предприниматели: от 10 000 до 15 000 рублей;

– должностные лица компании и государственные служащие: от 4 000 до 6 000 рублей;

– компании: от 20 000 до 40 000 рублей.

– Невыполнение (в установленный срок) запроса об уточнении, блокировании или уничтожении персональных данных (в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или ненужными для заявленной цели обработки данных) (a вместо штрафа может быть вынесено предупреждение):

– физические лица: от 1000 до 2000 рублей;

– индивидуальные предприниматели: от 10 000 до 20 000 рублей;

– должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;

– компании: от 25 000 до 45 000 рублей.

– Несоблюдение требований безопасности при хранении материальных носителей, содержащих персональные данные, и несанкционированный доступ, который приводит к незаконному или случайному доступу к персональным данным или их уничтожению, изменению, блокированию, копированию, отправке или распространению:

– физические лица: от 700 до 2000 рублей;

– индивидуальные предприниматели: от 10 000 до 20 000 рублей;

– должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;

– компании: от 25 000 до 50 000 рублей.

– Несоблюдение государственным или муниципальным органом обязательства по анонимизации персональных данных или соблюдение методов или требований анонимности (вместо штрафа может быть вынесено предупреждение): от 3000 до 6000 рублей.

Если Роскомнадзор расследует и выявляет любое нарушение данных, он имеет право:

– Возбуждение дела об административном правонарушении.

– Составить протокол об административном правонарушении в отношении нарушителя.

– Довести дело об административном правонарушении до суда.

– Детали регулятора

Детали регулятора

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

http://eng.rkn.gov.ru

Основные сферы ответственности. Надзор за законной обработкой данных, прием уведомлений, выполнение регистрации и ведения реестра операторов данных, проведение проверок и правоприменения, принятие официальных правил и инструкций.Сайт доступен на английском и русском языках.

Интернет-ресурсы

Роскомнадзор

http://rkn.gov.ru

Описание. Русская версия официального сайта Роскомнадзора. На веб-сайте содержится официальная и актуальная информация о нормах защиты данных, правоприменении и законодательстве в России. На сайте также есть доступ к специальному порталу защиты данных, онлайн-реестру операторов данных и годовым отчетам о деятельности Роскомнадзора.

http://eng.rkn.gov.ru

Описание. Англоязычная версия официального сайта Роскомнадзора. Сайт содержит официальный перевод некоторых страниц русской версии официального сайта Роскомнадзора, а также некоторые юридические аспекты и новости, связанные с защитой данных в России.

http://eng.pd.rkn.gov.ru

Описание. Официальный англоязычный портал защиты данных, поддерживаемый Роскомнадзором. Портал содержит годовые отчеты о деятельности Роскомнадзора, определенную информацию о международной деятельности Роскомнадзора (и его представителей), а также перечень национального и международного законодательства о защите данных.

Вопросы и ответы о странах в области практического права от Thomson Reuters

Сергей Медведев

Почему LinkedIn забанили в России

17 ноября 2016 г. Роскомнадзор включил LinkedIn в базу данных Реестра нарушителей персональных данных как нарушителя прав субъектов данных и направил телекоммуникационным компаниям приказ заблокировать доступ к LinkedIn на территории России. . Приказ (на русском языке) был издан в соответствии с решением Московского районного суда (на русском языке) от 4 августа 2016 года о блокировке LinkedIn, за которым последовало официальное заключение Московского городского суда от 10 ноября, подтверждающее это решение.

Спор, по-видимому, является первой серьезной проверкой российского закона о локализации данных, который был принят в 2014 году и вступил в силу 1 сентября 2015 года. Было установлено, что LinkedIn нарушает требования к локализации данных, а также ряд других другие требования, такие как сбор личных данных от пользователей, не являющихся пользователями, без их согласия до завершения процесса регистрации.

Ниже приведены несколько основных моментов из заключения суда по делу, которые могут повлиять на понимание российского законодательства о конфиденциальности.Обратите внимание, что во многих случаях это просто резюме того, что говорится в заключении суда, хотя факты могут быть оспорены LinkedIn.

Персональные данные. Согласно решению суда, если компания собирает данные от незарегистрированных пользователей, такие как IP-адрес, номер модели устройства и файлы cookie, эти данные считаются персональными данными в России.

Суд установил, что LinkedIn не получала явного письменного согласия пользователей на обработку их персональных данных, и, следовательно, их права были нарушены.Согласно закону, зарубежные страны формально делятся на две группы: страны, обеспечивающие «адекватную защиту личных данных» (в основном, стороны Конвенции 108 ETS, такие как Германия, или страны с комплексным подходом, например, Канада или Израиль) и те, которые не обеспечивают такой защиты – наиболее актуальным примером является US

Кроме того, Роскомнадзор утвердил официальный список (на русском языке) стран (включая Австралию, Аргентину, Мексику и Новую Зеландию), которые могут обеспечить адекватный уровень защиты для целей трансграничной передачи персональных данных.Уровень адекватной защиты измеряется двумя факторами – национальным законодательством о конфиденциальности с основными принципами и адекватным процедурным / правоприменительным механизмом для защиты прав на неприкосновенность частной жизни.

США не попали в список таких стран. Таким образом, если компания желает передать личные данные в США, компания должна получить письменное согласие от субъекта данных. Требуется письменное согласие человека в виде бумажной копии или в электронном формате с действующей электронной подписью.Довод LinkedIn о том, что пользователи дали свое добровольное согласие на использование веб-сайта, был признан недостаточным.

Локализация. Суд пришел к выводу, что серверы LinkedIn расположены только в США, на основании общедоступных данных из базы данных WHOIS. Таким образом, LinkedIn не выполняет требование о передаче данных российских пользователей на серверы, расположенные в России. Согласно закону, персональные данные российских пользователей должны собираться и обрабатываться в России, любые изменения или поправки к таким данным должны всегда собираться, храниться и обрабатываться в России, а любая последующая обработка за рубежом должна быть точно такой же, как и обработка. уже сделано в России.

Порядок следствия. Суд согласился с Роскомнадзором в том, что проверка платформы и проверка общедоступных документов даже без расследования процедуры регистрации являются достаточным доказательством функциональности платформы социальных сетей без необходимости проведения подробного расследования.

Плохая связь. Суд установил, что LinkedIn не приложила все усилия для надлежащего взаимодействия с Роскомнадзором. Агентство предупредило компанию перед тем, как передать дело в суд, но сообщает, что компания не ответила.Представители LinkedIn не присутствовали на первом судебном заседании, несмотря на то, что компания была хорошо информирована (с точки зрения суда) до слушания и что LinkedIn должна была получить уведомление.

Сфера применения. Суд определил, что платформа LinkedIn подчиняется российскому законодательству, поскольку она предлагает русскоязычную версию, доступную по умолчанию для пользователей, получающих доступ к веб-сайту из России, а реклама на сайте предоставляется на русском языке.Таким образом, он нацелен на рынок Российской Федерации после 1 сентября 2015 г. и должен соответствовать российскому закону о локализации данных.

На данный момент LinkedIn может подать кассационную жалобу в течение шести месяцев в Московский городской суд, а затем – в Верховный суд России, но это не меняет того факта, что решение вступило в силу. На данный момент LinkedIn не объявил о своих намерениях относительно того, собираются ли они подавать апелляцию.

В то же время LinkedIn может начать работу над программой, чтобы привести в соответствие с постановлением и передать данные российских пользователей на серверы, расположенные в стране. Например, Microsoft Corp. прошла проверку Роскомнадзора в 2016 году, и агентство подтвердило (на русском языке), что Microsoft соблюдает российский закон о локализации данных. Проверка проводилась согласно перечню плановых проверок на 2016 год. Таким образом, есть доказательства возможности создания программы в соответствии с Законом.

Следует отметить, что LinkedIn не входила в список проверок в 2016 году, и от пользователей не поступало никаких заявлений о нарушении их прав. Агентство решило проверить LinkedIn после анализа рынка и информации об утечке данных, произошедшей в 2012 году.

В середине декабря Роскомнадзор опубликовал свой план на 2017 год по проведению проверок соблюдения местными компаниями требований по локализации данных в России. Хорошая новость в том, что U не существует.S. многонациональные компании в списке. Однако было бы неплохо проверить его, чтобы определить, будут ли представители вашей отрасли проходить аудит в следующем году.

В целом, пока не ясно, как часто Роскомнадзор будет обеспечивать соблюдение требований локализации данных, используя только анализ из открытых источников, но на данный момент ясно, что Роскомнадзор обладает достаточными полномочиями, чтобы блокировать веб-сайты в России. Более того, штрафы за несоблюдение, согласно информации Государственной Думы РФ (нижней палаты российского парламента) (на русском языке), будут увеличены.Проект поправки был принят во втором чтении 11 января 2017 г. Таким образом, американские компании должны предпринять шаги для проверки соблюдения ими требований к локализации данных в России, если они планируют выйти на российский рынок.

кредит фото: Россия | Кремль через фотопечать (лицензия) М / п>

Смотрите, но не трогайте – Россия ограничивает обработку общедоступных данных

С 1 марта 2021 года в России будут введены ограничения на обработку персональных данных, общедоступных в Интернете и офлайн.Законодательные изменения направлены на борьбу с неконтролируемым распространением личной информации.

В соответствии с действующей статьей 6 (1) (10) Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г. любой оператор данных (российский эквивалент термина «контролер») может обрабатывать персональные данные, если данные Субъект сделал его общедоступным или дал указание сделать это другому лицу. В отличие от статьи 6 (1) Общего регламента ЕС по защите данных, нет необходимости обосновывать обработку законными интересами, выполнением контракта, согласием субъекта данных или другими общими законными основаниями.С вступлением в силу «Поправок к Федеральному закону« О персональных данных »№ 519-ФЗ от 30 декабря 2020 года это правило и термин« общедоступные данные »исчезнут.

Поправки вводят новый термин «персональные данные, разрешенные для распространения субъектом данных» и определяют их как персональные данные, доступ к которым предоставляется общественности субъектом данных, давая свое согласие на обработку этих данных. . Проще говоря, согласие субъекта данных станет единственным законным основанием, согласно которому личные данные могут быть размещены в общедоступных источниках и впоследствии использованы любым заинтересованным оператором данных.

Согласно пояснительной записке к поправкам, их цель – предотвратить «сбор и неконтролируемое использование таких персональных данных на веб-сайтах в целях, отличных от первоначальной цели, для которой они были распространены». Однако юридический текст поправок не исключает их применения к офлайн-публикациям данных (например, указание профессиональных биографий в печатных маркетинговых бюллетенях).

Согласно поправкам, согласие на обработку персональных данных, разрешенных для распространения субъектом данных, должно быть задокументировано отдельно от других форм согласия, если оператор данных запрашивает несколько согласий одновременно.Согласие должно быть составлено таким образом, чтобы субъекты данных могли:

• Ясно выражают готовность сделать личные данные общедоступными.
• Выберите конкретные категории данных для распространения.
• Ограничить способы распространения, за исключением предоставления доступа к данным.
• Устанавливает условия и запреты на обработку распространяемых данных операторами данных, которые имеют доступ к таким данным в общедоступных источниках.

Указанные ограничения, условия и запреты не распространяются на обработку данных в государственных и иных общественных интересах.

Роскомнадзор разработал более конкретные требования к содержанию согласия, но они еще не приняты.

Субъект данных может либо лично дать согласие оператору данных, стремящемуся распространить персональные данные, либо передать его через специальную ИТ-систему Роскомнадзора. Пока неясно, как будет работать ИТ-система. Роскомнадзор должен ввести его в эксплуатацию 1 июля 2021 года.

Согласно новой статье 10.1 (10) Закона о персональных данных, оператор данных должен опубликовать ограничения, условия и запреты, указанные в согласии, в течение трех рабочих дней с момента его получения. Поправки не уточняют, как должна выглядеть публикация и следует ли ее размещать рядом с публикуемыми данными (например, на той же странице). Операторы данных, осуществляющие доступ к личным данным в общедоступных источниках, должны искать указанные ограничения, условия и запреты и соблюдать их. Они несут бремя доказательства законности обработки данных.

В отличие от статьи 14 GDPR, текущая редакция статьи 18 (4) (3) Закона о персональных данных не требует, чтобы операторы данных информировали субъектов данных об обработке их данных из общедоступных источников. После вступления поправок в силу операторы данных будут освобождены от этой обязанности только в том случае, если они будут соблюдать условия и запреты на обработку распространяемых данных, определенные в согласии.

Поправки устанавливают право субъекта данных отозвать согласие в любое время и с немедленным вступлением в силу, уведомив оператора данных без объяснения причин.В этой ситуации , оператор данных может продолжить обработку, за исключением раскрытия категорий данных, перечисленных в уведомлении. Поправки не объясняют, кому субъекты данных могут адресовать свои уведомления – оператору данных, который впервые опубликовал данные, последующим операторам или всем им.

Кроме того, новая статья 10.1 (14) Закона о персональных данных гласит, что субъекты данных могут связываться с любым, кто обрабатывает их данные, и запрещать им распространение, передачу, предоставление и доступ к своим данным или даже подавать иск о таком запрете в случае нарушение требований законодательства, внесенных поправками.Оператор данных, получивший запрещающее уведомление, должен прекратить эти действия в течение трех рабочих дней. Юридический текст не дает никаких указаний на принципиальное различие между этой процедурой и упомянутым отзывом согласия. Вероятно, судебная практика сделает его более ответственным.

Новые правила касаются онлайн-бизнеса, особенно компаний, работающих с большими данными, и социальных сетей, рекрутеров, собирающих резюме в Интернете, компаний, размещающих биографии и профили своих сотрудников на корпоративных веб-сайтах, маркетинговых агентств и других предприятий, распространяющих личные данные или использующих любые общедоступные источники. .Таким компаниям представляется разумным поступить следующим образом:

• Проверять свою деятельность по обработке, связанную с общедоступными данными, включая операции на своих корпоративных веб-сайтах.
• Создавать новые шаблоны согласия при утверждении Роскомнадзором требований к их содержанию.
• сопровождать все публикации персональных данных описанием условий обработки, ограничений и запретов, указанных в соответствующем согласии.
• Поручить сотрудникам соблюдать условия обработки, ограничения и запреты, если они используют личные данные из общедоступных источников.
• Обновить процедуры ответа субъектов данных с акцентом на поправки.
• Обновите другие процедуры и документы по обеспечению конфиденциальности, если в них упоминается обработка общедоступных данных на основе устаревшего законодательства.
• Подать в Роскомнадзор уведомление об обновленных персональных данных, если в предыдущем уведомлении упоминалась обработка общедоступных данных.