Письмо в роскомнадзор об обработке персональных данных без уведомления: Уведомление Роскомнадзора об обработке персональных данных
Уведомление Роскомнадзора об обработке персональных данных
Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.
Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.
Определяем цели обработки данныхЦели обработки персональных данных должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, при которой такая обработка осуществляется.
При определении целей обработки персональных данных и заполнении уведомления необходимо проанализировать следующее:
1) Цели деятельности оператора, определённые в его уставе, локальных актах, согласии на обработку персональных данных, анкетах, договорах, предусматривающих передачу персональных данных и пр.
2) Основания получения персональных данных, деятельность, которую оператор осуществляет при получении и обработке персональных данных на таких основаниях.
Цели, указываемые в уведомлении, должны охватывать все случаи обработки персональных данных. При этом нужно учитывать как внешнюю деятельность компании – работа с клиентами, пользователями, заключение и исполнение договоров, маркетинговая активность и пр., так и внутреннюю – подбор и приём кадров, сбор данных о сотрудниках, организация пропускного режима.
Примеры заполнения информации о целях обработки персональных данных в уведомлениях:«цель обработки, регистрации сведений, необходимых для оказания услуг учащимся в области образования, персональных данных работников, сведений об их профессиональной служебной деятельности»
«цель обработки, регистрации сведений, необходимых для оказания жилищно-коммунальных услуг собственникам, жильцам помещений, персональных данных работников, сведений об их профессиональной служебной деятельности»
При определении целей рекомендуется привлекать специалистов, которые знакомы со всей деятельностью компании, а не заняты в одном отделе – это обеспечит правильность и полноту работы в сфере обработки персональных данных.
Специалисты ПДМастер смогут задать правильные вопросы и определить цели обработки данных, актуальные для вашей компании.
Определяем категории обрабатываемых персональных данныхУказание неполного перечня обрабатываемых персональных данных – одно из типовых нарушений в сфере обработки персональных данных. Чтобы избежать сложностей в заполнении уведомления разберёмся, какие сведения о персональных данных нужно указывать в уведомлении об обработке.
Из законодательства следует, что категории персональных данных – это перечень персональных данных, конкретные сведения о субъекте, с помощью которых он идентифицируется или может быть идентифицирован.
Персональные данные группируются в зависимости от их особенностей, на основе чего их относят к специальным, биометрическим и иным видам категорий персональных данных.
Как внести уведомление Роскомнадзора корректные категории персональных данных?Электронная форма уведомления на портале Роскомнадзора предлагает при определении категорий персональных данных указать конкретные сведения, которые будет собирать оператор – ФИО, дата, место рождения, семейное и социальное положение и пр.
Сложность в определении категории персональных данных при заполнении уведомления связана с тем, что сам по себе перечень персональных данных не является исчерпывающим.
В электронной форме уведомления есть графа «Другие категории персональных данных, не указанные в данном перечне», в которой оператор самостоятельно вписывает обрабатываемые персональные данные.
Операторы указывают не все «иные категории» и, как результат, нарушают требования законодательства. Так, операторы часто не указывают сведения о составе семьи; о трудовом и общем стаже, воинском учете; ИНН; СНИЛС и пр.
Во избежание неверного заполнения уведомления об обработке необходимо чётко определить цели обработки персональных данных, после чего указать, какие именно данные субъектов персональных данных будут обрабатываться.
Статья 22. Уведомление об обработке персональных данных / КонсультантПлюс
Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных…: |
– Случаи, в которых необходимо представлять уведомление об обработке персональных данных
– Представление информационного письма о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных
– Заполнение формы уведомления об обработке персональных данных
– Последствия обработки персональных данных без подачи уведомления, а также в случаях его несвоевременной подачи либо подачи уведомления, содержащего неполные или недостоверные сведения
– Лица, которые должны представлять уведомление об обработке персональных данных, и орган, в который оно подается
– Представление уведомления об обработке персональных данных в уполномоченный орган
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
(п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции
)
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством
Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
(см. текст в предыдущей редакции
)
(см. текст в предыдущей редакции
)
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции
)
Уведомлениедолжно содержать следующие сведения:(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции
)
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)(см. текст в предыдущей редакции
)
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
(п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ)8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
(п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ)10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
(п. 10.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ)11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.(п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ)4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.7. В случаеизменениясведений, указанных в части 3 настоящей статьи, а также в случае
прекращенияобработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.(часть 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции
)
Кому не нужно уведомлять Роскомнадзор об обработке персональных данных
По общему правилу операторы персональных данных перед обработкой этих данных обязаны направить уведомление в Роскомнадзор. При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не нужно.
Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведений (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). С 1 июля 2017 года введены повышенные административные штрафы за несоблюдение требований Федерального закона № 152-ФЗ.
Отправить сообщение в Роскомнадзор можно по интернету на официальном сайте ведомства. В уведомлении указывают правовые основания для обработки персональных данных, цели сбора данных, дату начала обработки и меры по обеспечению сохранности полученных сведений. Сбором данных считается получение от физлиц любой информации, которая позволяет их идентифицировать.
При этом закон содержит ряд исключений, при которых уведомлять Роскомнадзор не требуется. Список таких ограничений установлен в ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Не требуется подавать уведомление в следующих случаях:
- При сборе и обработке персональных данных без использования средств автоматизации. Если обработка осуществляется без компьютера и электронных баз данных, уведомлять Роскомнадзор не требуется. При этом оператор данных должен соблюдать требования Постановления Правительства РФ от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Если компания использует компьютеры, это не значит, что обработка данных осуществляется с использованием средств автоматизации. Неавтоматизированной обработкой персданных считается использование, уточнение, распространение, уничтожение персональных данных, которые осуществляются при непосредственном участии человека.
- При сборе личных сведений сотрудников в рамках трудовых отношений. Это касается только тех данных, которые необходимо предоставить работодателю при оформлении трудового и коллективного договора. О сборе и обработке сведений, которые не касаются трудовых отношений нужно уведомлять Роскомнадзор. Также уведомлять нужно, если работодатель собирается обрабатывать данные уволенных сотрудников (п. 1 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При оформлении компанией договора с физическим лицом. В этом случае уведомлять Роскомнадзор не нужно, если исполнитель/продавец/поставщик не собирается передавать персональные данные третьим лицам (п. 2 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Персональные данные должны использоваться исключительно для исполнения договора, в связи с заключением которого они получены.
При сборе сведений общественным объединением или религиозной организацией. Обработка сведений членов таких организаций осуществляется без уведомления, если персональные данные не распространяются или не раскрываются третьим лицам без письменного согласия субъектов персональных данных (п. 3 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).- При сборе и обработке сведений, которые само физическое лицо сделало общедоступными (п. 4 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе персональных данных, которые включают только имя, отчество и фамилию физического лица (п. 5 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При получении сведений для однократного пропуска физического лица на территорию оператора данных (п. 6 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При обработке данных, включенных в информационные системы персональных данных, имеющих статус государственных автоматизированных информационных систем (п. 7 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
- При сборе сведений транспортными компаниями для обеспечения безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса.
Во всех других случаях уведомлять об обработке данных нужно обязательно. Чтобы уточнить, обязана ли ваша организация подавать уведомление, можно обратиться в Роскомнадзор.
О том, как обезопасить свой бизнес от штрафов по Закону №152-ФЗ, читайте в статье “Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017”.
Информационное письмо Роскомнадзора о персональных данных
Информационное письмо Роскомнадзора о персональных данных Сайты органов властиИнформационное письмо Роскомнадзора о персональных данных
Информационное письмо Роскомнадзора о персональных данных.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор — Федеральный орган исполнительной власти) информирует Вас, что 27 января 2007 года вступил в силу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона, на территории Оренбургской области является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Оренбургской области (далее – Управление).
В соответствии с требованиями п. 4 ст. 25 Федерального закона «О персональных данных» Операторы, которые осуществляют обработку персональных данных, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных Уведомление об обработке персональных данных.
Уведомление должно быть подписано уполномоченным лицом и направлено в территориальное Управление в письменной форме по адресу Телевизионный пер., д.3/1, Оренбург, 460024, тел.: (3532) 56-00-72. По вопросам, связанным с представлением Уведомлений можно обращаться в Управление по телефону (3532) 72-99-93, форма и образец заполнения Уведомления об обработке персональных данных размещены на сайте Управления http://56.rsoc.ru. Имеется возможность заполнить Уведомление в электронном виде на Портале персональных данных по адресу http://pd.rsoc.ru, распечатать его и направить в Управление по почте.
Размещено: 23 авг. 2020 19:53
Количество просмотров: 49
Поиск по разделу производится только по той форме слова, которая задана, без учета изменения окончания.
Например, если задан поиск по словам Оренбургская область, то поиск будет производиться именно по этой фразе, и страницы, где встречается фраза Оренбургской области, в результаты поиска не попадут.
Если ввести в поиск запрос Оренбург, то в результаты поиска будут попадать тексты, в которых будут слова, начинающиеся с Оренбург, например: Оренбургская, Оренбургской, Оренбург.
Лучше задавать ОДНО ключевое слово для поиска и БЕЗ окончания
Для более точного поиска воспользуйтесь поисковой системой сайта
Официальный сайт Администрации города Симферополя
В соответствии с ч. 1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», п. 1, п. 5.2.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 № 228, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций является Уполномоченным органом по защите прав субъектов персональных данных и ведет реестр операторов, осуществляющих обработку персональных данных.
На территории Республики Крым Уполномоченным органом является Управление Роскомнадзора по Республике Крым и городу Севастополь.
Использование личных данных работников (фамилия, имя, отчество, адрес, паспортные данные), сбор анкет (резюме) кандидатов на работу, направление третьим лицам (органов) списков сотрудников при оформлении им медицинских полисов, перечисление денежных средств на зарплатные счета, предоставление в военный комиссариат списков военнообязанных сотрудников, сбор и использование персональных данных клиентов и т. д., в соответствии с п. 3 ст. 3 Федерального закона является обработкой персональных данных.
Осуществляя обработку персональных данных, согласно п. 2 ст. 3 Федерального закона, ваша организация является оператором, осуществляющим обработку персональных данных (далее - Оператор).
В соответствии с ч. 1 ст. 22 Федерального закона Оператор до начала обработки персональных данных обязан уведомить Уполномоченный орган о своем намерении осуществлять обработку персональных данных.
Уведомление об обработке (о намерении осуществлять обработку) персональных данных либо информационное письмо с указанием законных оснований, в соответствии с которыми Оператор вправе осуществлять обработку персональных данных без уведомления Уполномоченного органа, предусмотренных ч. 2 ст. 22 Федерального закона, необходимо направить в Управление по адресу: Крым Респ., г. Симферополь, ул. Генерала Васильева, д. 27, В.
Дополнительно информируем,что электронная форма Уведомления,предусмотренная ч. 1 ст. 22 Федерального закона, и порядок ее заполнения размещены на портале персональных данных Роскомнадзора. Рекомендации по ее заполнению и примеры заполнения размещены на сайте Управления в разделе «Деятельность Управления/Защита прав субъектов персональных данных/ Уведомление об обработке (о намерении осуществлять обработку) персональных данных». После заполнения формы Уведомления и отправки ее в информационную систему Роскомнадзора, необходимо распечатать заполненную форму, подписать ее у уполномоченного лица и направить по почте (или нарочно) в Управление Роскомнадзора по Республике Крым и городу Севастополь.
Консультацию по заполнению Уведомления можно получить по телефону: (3652) 66-92-93 доб. 341,340,313
Береги свои персональные данные | Официальный сайт администрации МО “Город Астрахань”
Управление Роскомнадзора по Астраханской области (далее — Управление, Уполномоченный орган по защите прав субъектов персональных данных) информирует Вас, что в январе 2007 года вступил в силу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с требованиями пункта 2 статьи 3 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (т.е. имеющие персональный ИНН/КПП, ОГРН или ОГРНИП — для индивидуальных предпринимателей).
В соответствии с требованиями ч. 1 ст. 22 Федерального закона «О персональных данных» Операторы, которые осуществляют обработку персональных данных, обязаны направить в Уполномоченный орган по защите прав субъектов персональных данных Уведомление об обработке персональных данных. Официальные (информационные) сообщения о начале приема Уведомлений от операторов, осуществляющих обработку персональных данных, были опубликованы в основных печатных изданиях и размещены на сайте в сети Интернет.
С 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», которым внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в части дополнения формы уведомления об обработке персональных данных сведениями о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации.
Оператор после 01.09.2015 обязан направить в территориальное управление Роскомнадзора уведомление с указанием, в том числе, места нахождения базы данных. В случае внесения изменений в имеющиеся сведения об операторе в реестре операторов должно быть направлено соответствующее информационное письмо.
Согласно части 1 статьи 23 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», пункта 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228, Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Дополнительно информируем, что электронная форма уведомления/информационного письма и порядок ее заполнения размещены на портале персональных данных www.pd.rkn.gov.ru в разделе «Реестр операторов; Электронные формы заявлений». Рекомендации по ее заполнению и примеры заполнения размещены на сайте Управления www.30.rkn.gov.ru в разделе «Направление деятельности; Защита прав субъектов персональных данных»; Форма уведомления. Обращаем внимание, что за непредставление или несвоевременное представление в государственный орган (должностному лицу), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом его законной деятельности, либо представление в государственный орган (должностному лицу), осуществляющий государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объёме или в искажённом виде предусмотрена административная ответственность в соответствии со ст. 19.7 Кодекса Российской Федерации об административных правонарушениях.
По всем возникающим вопросам обращаться по адресу:
414004, г. Астрахань, ул. Студенческая, 3, тел.: 44-20-54 (доб. 312, 313).
Просмотреть видео в новой вкладке
Информационное письмо о необходимости подачи уведомления об обработке персональных данных. — AdlerNet
Информационное сообщение
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
(Роскомнадзор — Уполномоченный орган по защите прав субъектов персональных данных) информирует
Вас, что в январе 2007 года вступил в силу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О
персональных данных».
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при
Информационное сообщение
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
(Роскомнадзор — Уполномоченный орган по защите прав субъектов персональных данных) информирует
Вас, что в январе 2007 года вступил в силу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О
персональных данных».
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при
обработке его персональных данных, в том числе защиты прав на неприкосновенность частной
жизни, личную и семейную тайну.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с требованиями пункта 2 статьи 3 Федерального закона от 27.07.2006г. № 152-ФЗ
«О персональных данных» Оператор — государственный орган, муниципальный орган, юридическое
или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели обработки персональных
данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с
персональными данными (т.е. имеющие персональный ИНН/КПП, ОРГН или ОГРНИП — для индивидуальных
предпринимателей).
В соответствии с требованиями ч. 1 ст. 22 Федерального закона «О персональных данных»
Операторы, которые осуществляют обработку персональных данных, обязаны направить в
уполномоченный орган по защите прав субъектов персональных данных Уведомление об обработке
персональных данных. Официальные (информационные) сообщения о начале приема Уведомлений от
операторов, осуществляющих обработку персональных данных были опубликованы в основных печатных
изданиях, переданы по телевидению и размещены на сайте в сети Интернет.
С 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении
изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка
обработки персональных данных в информационно-телекоммуникационных сетях», которым внесены
изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в части
дополнения формы уведомления об обработке персональных данных сведениями о месте нахождения
базы данных, содержащей персональные данные граждан Российской Федерации.
Оператор после 01.09.2015 обязан направить в территориальное управление Роскомнадзора
уведомление с указанием, в том числе, места нахождения базы данных. В случае внесения
изменений в имеющиеся сведения об операторе в реестре операторов должно быть направлено
соответствующее информационное письмо.
Согласно части 1 статьи 23 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных
данных», пункта 1 Положения о Федеральной службе по надзору в сфере связи, информационных
технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской
Федерации от 16 марта 2009 г. № 228, Уполномоченным органом по защите прав субъектов
персональных данных, на который возлагается обеспечение контроля и надзора за соответствием
обработки персональных данных требованиям Федерального закона «О персональных данных»,
является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору
в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
На территории Краснодарского края и Республики Адыгея таким органом является Управление
Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций
по Южному федеральному округу — (350001, г. Краснодар, ул. Маяковского, 158, тел. 201-51-30).
Подробная информация по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов
персональных данных размещена на сайте Роскомнадзора (http://rkn.gov.ru), на Портале
персональных данных Уполномоченного органа по защите прав субъектов персональных данных
(http://pd.rkn.gov.ru), на сайте Управления Роскомнадзора по Южному федеральному округу
(http://23.rkn.gov.ru). Доступ к реестру операторов, осуществляющих обработку персональных
данных, размещен на сайте Роскомнадзора (http://rkn.gov.ru/personal-data/register/).
Защита данных 2021 | Законы и правила | Россия
1.
Соответствующее законодательство и компетентные органы1.1 Каково основное законодательство о защите данных?
Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 г. (Закон о ПД) является основным законом, регулирующим защиту данных в России. Он был принят в 2005 году после ратификации Конвенции Совета Европы о защите частных лиц в отношении автоматической обработки персональных данных (Страсбургская конвенция).
Закон о ПД основан на международных документах о конфиденциальности и защите данных в определенных аспектах; он имеет концепции, аналогичные концепции, содержащейся в Общем регламенте защиты данных (GDPR) (вступает в силу в ЕС с 25 мая 2018 г.).
1.2 Есть ли какие-либо другие общие законы, влияющие на защиту данных?
В целом, Конституция России признает фундаментальное право на неприкосновенность частной жизни каждого отдельного человека (статьи 23 и 24).
В частности, основное национальное законодательство о конфиденциальности и защите данных содержится также в Федеральном законе № 149-ФЗ «Об информации, информационных технологиях и защите данных» (2006 г.) (Закон о защите данных).
Наконец, Страсбургская конвенция, ратифицированная Россией в 2005 году, защищает и обеспечивает защиту данных на международном уровне.
В российском законодательстве о защите данных особое внимание уделяется техническим мерам защиты данных.Многочисленные юридические и технические требования изложены в нормативных актах, издаваемых правительством России и специализированными государственными органами в сфере защиты данных.
1.3 Существует ли какое-либо отраслевое законодательство, влияющее на защиту данных?
Конкретные положения о защите данных можно найти в других законах, включая главу 14 Трудового кодекса Российской Федерации (2001 г.), статью 85.1 Воздушного кодекса Российской Федерации (1997 г.), Федеральный закон № 395-1 «О банках и банковской деятельности» (1990 г.), Федеральный закон №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (2011 г.), Федеральный закон № 38-ФЗ «О рекламе» (2006 г.), Кодекс Российской Федерации об административных правонарушениях (2001 г.) и др.
1.4 Какие органы отвечают за защиту данных?
Основным местным органом регулирования защиты данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций ( Роскомнадзор, ).
К специализированным государственным органам в сфере защиты данных также относятся Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСС).
2.
Определения2.1 Просьба предоставить ключевые определения, используемые в соответствующем законодательстве:
■ « Персональные данные »
Персональные данные – это любая информация, относящаяся прямо или косвенно к идентифицированному или идентифицируемому физическому лицу (субъекту персональных данных).
■ « Обработка »
Обработка определяется как любое действие (операция) или набор действий (операций) в отношении персональных данных, выполняемых как автоматически, так и вручную, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), анонимизация, блокировка, удаление или уничтожение личных данных.
■ «Контроллер »
Российское законодательство не содержит понятия и термина «контролер».В российском Законе о ПД упоминается понятие «оператор данных», которым может быть государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и / или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных и которое также определяет цели обработки персональных данных, содержание персональных данных и действия (операции), связанные с персональными данными.
■ « Процессор »
Российское законодательство не содержит понятия или термина «переработчик»; тем не менее, это относится к концепции «оператора данных», к стороне, которая может действовать (обрабатывать персональные данные) с согласия субъекта данных, с разрешения оператора данных на основании соответствующего соглашения или на основании операции. специального государственного или муниципального закона.
■ « Субъект данных »
Субъект данных определяется как конкретное или идентифицируемое физическое лицо (физическое лицо).
■ « Конфиденциальные личные данные »
Вместо термина «конфиденциальные персональные данные» в Законе о ПД используется термин «особые категории персональных данных», который относится к любой информации, относящейся к расовому или этническому происхождению, национальности, политическим взглядам, религиозным или философским убеждениям, государственным здоровье или сексуальная жизнь.
■ « Data Breach »
Российское законодательство не определяет термин «утечка данных». Однако обработка данных в нарушение принципов и обязательств, предусмотренных Законом о ПД, может быть квалифицирована как нарушение данных.
■ Другие ключевые определения – укажите (например, «Псевдонимные данные», «Прямые персональные данные», «Косвенные персональные данные»)
- «Биометрическая информация о персональных данных» – это отдельный вид информации, относящейся к физиологическим и биологическим характеристикам человека, по которым его можно идентифицировать и которая используется оператором для установления личности субъекта персональных данных (статья 11 Закон о ПД).
- «Трансграничная передача персональных данных» означает любую передачу персональных данных иностранному государству, иностранному государственному агентству и / или иностранному физическому или юридическому лицу.
3.
Территориальный охват3.1 Распространяются ли законы о защите данных на предприятия, учрежденные в других юрисдикциях? Если да, то при каких обстоятельствах бизнес, учрежденный в другой юрисдикции, будет подпадать под действие этих законов?
Как указано в п.1 статьи 12 Закона о ПД, трансграничная передача персональных данных на территории иностранных государств, которые являются участниками Совета Страсбургской конвенции, а также других иностранных государств, обеспечивающих надлежащую защиту прав субъектов данных, должна осуществляться в соответствии с Законом о ПД и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, общественной нравственности и здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. . Роскомнадзор утверждает список иностранных государств, не являющихся участниками Совета Страсбургской конвенции и обеспечивающих адекватную защиту прав субъектов данных.
Оператор должен получить разрешение своих клиентов на передачу их персональных данных третьим лицам и за границу.
Кроме того, согласно п. 5 статьи 18 Закона о ПД, при сборе персональных данных, в том числе через Интернет, оператор (как российский, так и иностранный) должен регистрировать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять) или извлекать персональные данные российских граждане с использованием любых баз данных, расположенных на территории Российской Федерации, за исключением обработки данных в государственных целях или в средствах массовой информации.При этом оператору не нужно удалять аналогичные данные из каких-либо зарубежных баз данных, содержащих данные о гражданах России.
4.
Основные принципы4.1 Каковы основные принципы обработки персональных данных?
■ Прозрачная пленка
Субъект персональных данных решает, предоставлять ли свои персональные данные для обработки.Он имеет право знать цели и методы обработки персональных данных, имя и местонахождение оператора данных, получателей персональных данных, лиц, имеющих доступ к персональным данным, срок обработки и хранения персональных данных. данные и любая другая информация, необходимая для обеспечения прозрачной обработки персональных данных. Таким образом, субъект персональных данных дает согласие оператору данных. Такое согласие на обработку персональных данных должно быть конкретным, информированным и осознанным.Обязанность предоставить доказательства получения согласия субъекта персональных данных возлагается на оператора.
■ Законное основание для обработки
Персональные данные обрабатываются на законной и справедливой основе. В частности, обработка персональных данных должна производиться с согласия субъекта данных (если не применяются определенные юридические исключения), которое предоставляется свободно, по собственной воле субъекта данных и в его собственных интересах; Оператор данных или другое лицо (а), получившее доступ к персональным данным, не должны раскрывать или распространять такие персональные данные третьим лицам без согласия субъекта данных, если иное не предусмотрено законом.
■ Ограничение цели
Обработка персональных данных должна быть ограничена достижением целей (целей), которые должны быть конкретными, заранее определенными и законными. Обработка, не соответствующая целям такой обработки, запрещена.
■ Минимизация данных
Объем и содержание обрабатываемых персональных данных должны полностью соответствовать предполагаемым целям такой обработки данных. Обрабатываемые персональные данные не должны быть чрезмерными или не соответствовать заявленным целям обработки данных.
■ Пропорциональность
Обработка персональных данных должна гарантировать, что такие персональные данные являются точными, достаточными, адекватными и актуальными и, при необходимости, обновляются пропорционально целям обработки данных. Оператор данных должен принять все необходимые меры или обеспечить выполнение мер, связанных с удалением или исправлением неполных или неточных личных данных.
■ Удержание
Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении цели обработки данных, а также в случае, если достижение таких целей перестает быть эффективным, актуальным или необходимым, если иное не предусмотрено федеральным законом.
■ Прочие ключевые принципы – просьба указать
Любая интеграция баз данных, содержащих персональные данные, обрабатываемые в противоречивых целях, не допускается.
5.
Индивидуальные права5.1 Каковы основные права физических лиц в отношении обработки их личных данных?
■ Право доступа к данным / копиям данных
В соответствии с п.1 статьи 14 Закона о ПД, физическое лицо имеет право доступа к своим данным, обрабатываемым оператором данных, включая информацию, содержащую: (1) подтверждение того, что его / ее персональные данные обрабатываются оператором данных; (2) правовые основания и цели обработки персональных данных; (3) цели и методы, используемые оператором данных для обработки персональных данных; (4) имя и местонахождение оператора данных и информация о лицах, которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты на основании соглашения с оператором данных или в соответствии с законом; (5) обработанные персональные данные, относящиеся к соответствующему субъекту персональных данных и источнику, из которого они были получены; (6) срок обработки персональных данных, в том числе срок хранения; (7) порядок реализации субъектом персональных данных прав, предусмотренных Законом о ПД; (8) информация о любой фактической или предполагаемой трансграничной передаче персональных данных; (9) имя (фамилия, имя, отчество) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если применимо; и (10) любую другую информацию, предусмотренную Законом о ПД.
■ Право на исправление ошибок
Субъект персональных данных может потребовать от оператора данных исправить, заблокировать или удалить его / ее персональные данные, если они являются неполными, нерелевантными, неточными или незаконно полученными или не нужны для заявленной цели их обработки.
■ Право на удаление / право на забвение
Российское законодательство закрепляет право на забвение, обеспечивая досудебный механизм, ограничивающий распространение ссылок на веб-сайты, содержащие ложную, устаревшую или распространяемую с нарушением законодательства информацию о физических лицах (п.1 статьи 10.3 Закона о защите данных). Физическое лицо имеет право потребовать, отправив соответствующее приложение, чтобы оператор поисковой системы в Интернете прекратил предоставлять ссылки, позволяющие получить доступ к информации об этом человеке. В то же время этот механизм не ограничивает доступ к самим ресурсам, которые фактически распространяют информацию. Если физическое лицо не удовлетворено результатом досудебного урегулирования, он / она имеет право обратиться в суд с исковым заявлением об ограничении выдачи ссылок на веб-сайты, содержащие информацию о человеке.
■ Право на возражение против обработки
По запросу субъекта данных, в том числе в случаях отзыва субъектом персональных данных своего согласия на обработку персональных данных, оператор данных обязан немедленно прекратить обработку своих персональных данных. За исключением случаев, когда обработка персональных данных не может быть прекращена или может привести к нарушению закона (например, трудового законодательства), оператор данных должен прекратить обработку данных или принять меры для ее прекращения.
■ Право на ограничение обработки
В российском законодательстве нет четкого разграничения между правом на ограничение и правом на возражение, как это предусмотрено в GDPR.
■ Право на переносимость данных
Субъект персональных данных имеет право доступа к своим персональным данным. Информация должна быть предоставлена в доступной форме. Закон не запрещает передачу персональных данных другим операторам.
■ Право на отзыв согласия
В случае отзыва субъектом персональных данных своего согласия на обработку персональных данных оператор данных должен прекратить обработку персональных данных или принять меры для ее прекращения и, если персональные данные больше не нужны, хранятся для установленных целей их обработки, уничтожить персональные данные или организовать их уничтожение в течение периода, не превышающего 30 дней с даты получения отзыва, если иное не предусмотрено контрактом (пункты 5 и 6 статьи 12 Закона о ПД).
■ Право на возражение против маркетинга
Обработка персональных данных для маркетинга / продвижения товаров, работ и услуг непосредственно потенциальным потребителям (по телефону, электронной почте или факсу) допускается только с предварительного согласия субъекта персональных данных. Бремя доказательства того, что согласие субъекта данных было получено должным образом, лежит на операторе данных. Федеральный закон о рекламе также запрещает электронные публикации и массовую рассылку без предварительного согласия адресата.Лицо вправе в любой момент отозвать согласие. По запросу субъекта персональных данных оператор данных должен немедленно прекратить обработку своих персональных данных.
■ Право на подачу жалобы в соответствующие органы по защите данных
Если субъект персональных данных считает, что оператор данных обрабатывает его персональные данные с нарушением законодательства о защите данных или иным образом ущемляющим его права и свободы, субъект персональных данных имеет право подать жалобу на действия или бездействие оператора данных в Роскомнадзор или подать гражданский иск в компетентный суд.Субъект данных может прибегать к различным средствам правовой защиты, включая возмещение убытков, в соответствии с законодательством.
■ Другие ключевые права – укажите
Закон запрещает принимать какие-либо юридически значимые решения в отношении субъекта персональных данных исключительно на основе автоматизированной обработки данных. Исключением из этого правила являются случаи, когда субъект персональных данных дал свое письменное согласие или в случаях, предусмотренных федеральными законами, также устанавливающих меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.Оператор данных обязан разъяснить субъекту персональных данных порядок принятия решения на основе исключительно автоматизированной обработки данных и возможные правовые последствия такого решения.
6.
Регистрационные формальности и предварительное одобрение6.1 Есть ли у предприятий юридическое обязательство регистрироваться или уведомлять орган по защите данных (или любой другой правительственный орган) в отношении своей деятельности по обработке?
Оператор данных должен уведомить Роскомнадзор до начала обработки любых персональных данных, а данные оператора данных должны быть внесены в публичный реестр операторов персональных данных ((Гиперссылка) Уведомление может быть отправлено в электронном или бумажном виде. Уведомление не требуется в определенных случаях: когда обработка осуществляется исключительно в соответствии с трудовым законодательством; если обрабатываются только полные имена субъектов; когда обрабатываются общедоступные или общедоступные персональные данные; или когда обработка персональных данных выполняется для в целях предоставления субъекту персональных данных разового пропуска в охраняемое помещение.
6.2 Если требуется такая регистрация / уведомление, должно ли оно быть конкретным (например, перечислять все действия по обработке, категории данных и т. Д.) Или может быть общим (например, с подробным описанием соответствующих действий по обработке)?
Уведомление Роскомнадзора должно быть конкретным и подписываться уполномоченным лицом заявителя.
6.3 На каком основании производятся регистрации / уведомления (например,g., на юридическое лицо, на цель обработки, на категорию данных, на систему или базу данных)?
Уведомление должно быть сделано для каждой цели обработки.
6.4 Кто должен регистрироваться / уведомлять орган по защите данных (например, местные юридические лица, иностранные юридические лица, подпадающие под действие соответствующего законодательства о защите данных, представительства или филиалы иностранных юридических лиц, подпадающие под действие соответствующего законодательства о защите данных)?
Местные юридические лица, иностранные юридические лица или их представительства, в соответствии с действующим законодательством о защите данных, должны уведомить орган по защите данных.
6.5 Какая информация должна быть включена в регистрацию / уведомление (например, сведения об уведомляющем субъекте, затронутые категории лиц, затронутые категории личных данных, цели обработки)?
В уведомлении Роскомнадзора необходимо указать: наименование и адрес оператора данных; имя и контактные данные ответственного за защиту данных; цель обработки персональных данных; категории данных, подлежащих обработке; категории потенциальных субъектов данных, данные которых обрабатываются; источник данных; перерабатывающая деятельность; правовая основа обработки персональных данных; перечень действий, выполняемых в связи с обработкой персональных данных, и описание способов обработки персональных данных; описание ИТ-систем и мер безопасности; дата начала обработки данных; срок обработки или условие прекращения обработки персональных данных; местонахождение персональных баз данных; и намерение передать данные за границу.
6.6 Каковы санкции за отсутствие регистрации / уведомления в случае необходимости?
Кодекс РФ об административных правонарушениях предусматривает ответственность за непредоставление или несвоевременное представление в Роскомнадзор уведомления о деятельности по обработке данных (статья 19.7) со штрафом от 3000 до 5000 рублей для юридических лиц и от 300 до 500 рублей для их должностных лиц. .
6.7 Какова плата за регистрацию / уведомление (если применимо)?
Нет платы за регистрацию или уведомление.
6.8 Как часто нужно обновлять регистрации / уведомления (если применимо)?
Нет обязанности регулярно обновлять информацию; однако оператор данных должен уведомить Роскомнадзор о любых изменениях информации, представленной в реестр, в течение 10 рабочих дней с даты возникновения таких изменений.
6.9 Требуется ли предварительное разрешение регулирующего органа по защите данных?
Для выполнения операций по обработке данных не требуется предварительного разрешения регулирующего органа по защите данных.
6.10 Можно ли заполнить регистрацию / уведомление онлайн?
Уведомление можно заполнить в режиме онлайн на официальном сайте Роскомнадзора .
6.11 Есть ли общедоступный список выполненных регистраций / уведомлений?
Реестр операторов находится в открытом доступе на официальном сайте Роскомнадзора .
6.12 Сколько времени занимает типичный процесс регистрации / уведомления?
Роскомнадзор в течение 30 дней с даты подачи уведомления вносит данные заявителя в реестр операторов.
7.
Назначение сотрудника по защите данных7.1 Является ли назначение сотрудника по защите данных обязательным или необязательным? Если назначение сотрудника по защите данных является обязательным только при определенных обстоятельствах, укажите эти обстоятельства.
Согласно российскому законодательству оператор данных, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных (ст. 22.1 Закона о ПД), который в смысле выполняемой функции является сотрудником по защите данных.
7.2 Каковы санкции за неспособность назначить сотрудника по защите данных, если это необходимо?
Нет никаких конкретных санкций за отказ назначить сотрудника по защите данных. В то же время Роскомнадзор имеет право проводить проверки применения операторами Закона о ПД. В случае нарушения законодательства Роскомнадзор имеет право издавать обязательные постановления для устранения нарушения, а также может применять соответствующие штрафы.
7.3 Защищен ли сотрудник по защите данных от дисциплинарных мер или других последствий при приеме на работу в связи с его или ее ролью в качестве сотрудника по защите данных?
Сотрудник по защите данных не исключен и не защищен от дисциплинарных мер или других последствий при приеме на работу в отношении его / ее функций в качестве сотрудника по защите данных.
7.4 Может ли компания назначить одного сотрудника по защите данных для охвата нескольких организаций?
Да; один сотрудник по защите данных может быть назначен для охвата нескольких организаций.
7.5 Опишите, пожалуйста, любую конкретную квалификацию сотрудника по защите данных, требуемую по закону.
Российское законодательство не устанавливает каких-либо конкретных требований к специалисту по защите данных. Однако сотрудник по защите данных должен хорошо разбираться в законодательстве о защите данных.
7.6 Каковы обязанности сотрудника по защите данных в соответствии с требованиями закона или передовой практики?
Сотрудник по защите данных обязан, в частности, осуществлять внутренний контроль за соблюдением оператором данных и его сотрудниками законодательства о защите данных, информировать сотрудников оператора данных о соответствующих положениях законодательства о защите данных, подзаконные акты, местные правила или акты по обработке персональных данных и любые требования по защите данных, а также для организации приема и обработки запросов субъектов данных или их представителей и осуществления необходимого контроля над их обработкой.Другие функции и обязанности могут быть предусмотрены внутренними корпоративными или корпоративными правилами или актами оператора данных.
7.7 Должно ли быть зарегистрировано / уведомлено о назначении сотрудника по защите данных в соответствующие органы по защите данных?
Уполномоченный по защите данных должен быть указан в уведомлении Роскомнадзора и внесен в реестр операторов данных.
7.8 Должен ли сотрудник по защите данных быть указан в общедоступном уведомлении о конфиденциальности или аналогичном документе?
Нет, в этом нет необходимости, за исключением требования, которое должно быть указано в уведомлении Роскомнадзор .
8.
Назначение обработчиков8.1 Если компания назначает обработчика для обработки персональных данных от своего имени, должна ли компания заключать какие-либо формы соглашения с этим обработчиком?
Оператор данных имеет право поручить обработку персональных данных другому лицу, которое может выполнять обработку персональных данных от имени и в соответствии с инструкциями оператора данных (третьих лиц, действующих по указанию оператора данных).Оператор данных и третье лицо, действующее по поручению оператора данных для выполнения обработки персональных данных, заключают договор об этом.
8.2 Если необходимо заключить соглашение, каковы формальности этого соглашения (например, в письменной форме, подписаны и т. Д.) И какие вопросы оно должно решать (например, обработка личных данных только в соответствии с соответствующими инструкциями, обеспечение безопасности личных данных и т. д.)?
Договор заключается в письменной форме и подписывается уполномоченными лицами сторон.В таком соглашении должен быть изложен список действий, которые необходимо выполнить при обработке персональных данных лицом, осуществляющим обработку, и цели обработки. Он также устанавливает обязанность лица, осуществляющего обработку данных, соблюдать принципы безопасности и конфиденциальности персональных данных, а также ответственность за их несоблюдение.
9.
Маркетинг9.1 Опишите любые законодательные ограничения на отправку электронного прямого маркетинга (например, для маркетинга по электронной почте или SMS, требуется ли предварительное согласие получателя?).
Обработка персональных данных с целью маркетинга / продвижения товаров, работ и услуг непосредственно с потенциальным потребителем (отправка по телефону, электронной почте или SMS) без предварительного согласия субъекта персональных данных или адресата рекламы, является несанкционированным и, следовательно, не разрешенным.Бремя доказательства того, что предварительное согласие субъекта персональных данных или адресата было получено должным образом, лежит на операторе данных. Согласие субъекта данных или адресата также может быть отозвано, и в этом случае оператор данных или распространитель рекламы должны немедленно прекратить любые маркетинговые коммуникации, чтобы избежать нарушения.
9.2 Применимы ли эти ограничения только к маркетингу «бизнес-потребитель» или они также применяются в контексте «бизнес-бизнес»?
Ограничения Закона о ПД распространяются только на маркетинг «бизнес-потребитель».Ограничения Федерального закона о рекламе (массовая рассылка) могут применяться также к маркетингу / продвижению между предприятиями.
9.3 Опишите любые законодательные ограничения на отправку маркетинговых материалов другими способами (например, для маркетинга по телефону необходимо заранее проверить национальный реестр отказа; для маркетинга по почте нет требований о согласии или отказе от рассылки. , так далее.).
Любое распространение рекламы через сети электронной связи, включая телефонную, факсимильную и мобильную телефонную связь, допустимо только в том случае, если адресат дал свое согласие на получение такой рекламы.Распространитель рекламы должен немедленно прекратить распространение рекламы лицу, обратившемуся с просьбой об этом. Запрещается торговать с использованием автоматического дозвона или автоматической рассылки (статья 18 Федерального закона «О рекламе»).
9.4 Распространяются ли указанные выше ограничения на маркетинговые материалы, отправленные из других юрисдикций?
Вышеупомянутое правило является общим и применяется без исключений к иностранным организациям.
9.5 Активны ли соответствующие органы по защите данных в обеспечении нарушений маркетинговых ограничений?
Федеральная антимонопольная служба – уполномоченный федеральный орган исполнительной власти, осуществляющий функции в отношении рекламы. В соответствии с Законом о защите прав потребителей (1992 г.) Федеральная служба по защите прав потребителей и благополучия человека (также известная как « Роспотребнадзор ») также должна защищать потребителей от намеренно навязываемых услуг, отправляемых в электронном виде.
9.6 Законно ли покупать маркетинговые списки у третьих лиц? Если да, то есть ли какие-либо рекомендации по использованию таких списков?
Как правило, физические лица должны дать предварительное письменное согласие на внесение своего имени и других данных в маркетинговый список покупок или потребовать их удаления. Бремя доказательства того, что предварительное согласие адресата рекламы было должным образом выдано, лежит на юридическом или физическом лице, которое приобрело маркетинговые списки, содержащие персональные данные, у третьих лиц.
9.7 Каковы максимальные штрафы за отправку маркетинговых сообщений в нарушение действующих ограничений?
Штраф за электронный маркетинг / продвижение товаров, работ или услуг с нарушением соответствующего законодательства о защите прав потребителей, в частности, без предварительного согласия адресата, может привести к административному штрафу до 500000 рублей для юридических лиц и до 20 000 рублей для своих должностных лиц (ст. 14.3 КоАП).
10.
Файлы cookie10.1 Опишите любые законодательные ограничения на использование файлов cookie (или аналогичных технологий).
Российское законодательство не содержит определения файлов cookie или каких-либо конкретных положений в отношении файлов cookie. Нет официальных инструкций от Роскомнадзора или другого государственного органа по использованию или распространению файлов cookie, за исключением краткой ссылки в Профессиональных стандартах Министерства труда для ИТ-специалистов в отношении объема знаний и использования файлов cookie.Если файлы cookie или аналогичные технологии используются оператором данных для аутентификации пользователя, хранения его / ее учетной записи, личных предпочтений и настроек или отслеживания статуса сеанса доступа клиента в маркетинговых целях, все эти виды использования могут быть квалифицированы как обработка персональных данных для целей маркетинга / продвижения товаров, работ или услуг, для чего требуется предварительное согласие клиента (статья 15 Закона о ПД).
10.2 Различают ли применимые ограничения (если есть) разные типы файлов cookie? Если да, то каковы соответствующие факторы?
Нет ограничений, которые различают разные типы файлов cookie; релевантным фактором является возможность идентификации пользователя.
10.3 Были ли / приняты ли на сегодняшний день соответствующими органами по защите данных какие-либо принудительные меры в отношении файлов cookie?
В настоящее время развивается практика, когда Роскомнадзор возбуждает исполнительные действия в российских судах, в том числе в отношении файлов cookie.
10.4 Каковы максимальные штрафы за нарушение действующих ограничений файлов cookie?
Поскольку файлы cookie считаются маркетинговыми коммуникациями, любое нарушение соответствующих правил защиты данных и рекламы или телекоммуникаций влечет за собой административные санкции, применимые к нарушениям личных данных.
11.
Ограничения на международную передачу данных11.1 Опишите любые ограничения на передачу персональных данных в другие юрисдикции.
Закон о ПД предусматривает требование о локальном хранилище, которое применяется к любому оператору данных, который обрабатывает персональные данные российских граждан, независимо от его юрисдикции, включая его деловую активность в Интернете.Таким образом, при сборе персональных данных, в том числе через Интернет, оператор должен записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять) или извлекать персональные данные граждан Российской Федерации с использованием любых баз данных, физически расположенных на территории Российской Федерации. , за исключением: обработки данных для достижения целей международных договоров или выполнения установленных законом полномочий и обязанностей оператора; для государственных нужд; за профессиональную деятельность журналистов или законную деятельность СМИ; или научная, литературная или другая творческая деятельность, которая может осуществляться непосредственно в зарубежных базах данных (статья 18 (5) Закона о ПД).
В случае трансграничной передачи персональных данных оператор данных перед такой передачей должен обеспечить полную защиту прав и интересов соответствующего субъекта данных «надлежащим образом» в соответствующем зарубежном государстве (ст. 12 Закона о ПД). Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных. Кроме того, Роскомнадзор утвердил официальный список стран, не подписавших Страсбургскую конвенцию, но обеспечивающих «адекватную защиту» для целей трансграничной передачи персональных данных.Международная передача данных в любую юрисдикцию с уровнем «адекватной защиты» не подлежит никаким ограничениям при условии, что оператором данных было получено предварительное согласие соответствующего субъекта данных. Кроме того, Закон о ПД устанавливает особые требования к трансграничной передаче персональных данных в страны, которые не обеспечивают уровень «адекватной защиты».
11.2 Опишите механизмы, которые обычно используют предприятия для передачи персональных данных за границу в соответствии с применимыми ограничениями на передачу (например,g., согласие субъекта данных, выполнение договора с субъектом данных, утвержденные договорные положения, соблюдение юридических обязательств и т. д.).
На практике перед передачей персональных данных за границу оператор данных должен сначала проверить уровень защиты данных в соответствующей иностранной юрисдикции. Кроме того, для передачи персональных данных в другие юрисдикции требуется предварительное письменное согласие соответствующих субъектов данных. Оператор данных также может заключить договор о международной передаче данных с субъектом персональных данных.
11.3 Требуется ли для передачи персональных данных в другие юрисдикции регистрации / уведомления или предварительного разрешения соответствующих органов по защите данных? Пожалуйста, опишите, какие типы переводов требуют одобрения или уведомления, что включают в себя эти шаги и сколько времени они обычно занимают.
Трансграничная передача персональных данных не требует регистрации или предварительного согласования со стороны Роскомнадзора . Однако уведомление Роскомнадзора для целей регистрации статуса оператора данных должно содержать информацию о том, произойдет ли трансграничная передача персональных данных в процессе их обработки.
11.4 Какие указания (если таковые имеются) были изданы / имеют органы по защите данных после решения Суда ЕС по делу Schrems II (Дело C ‑ 311/18)?
Российские органы по защите данных не выпускают таких указаний.
11.5 Какие указания (если таковые имеются) изданы / имеют органы по защите данных в отношении пересмотренных Стандартных договорных положений Европейской комиссии?
Российские органы по защите данных не выпускают таких указаний.
12.
Горячие линии для информаторов12.1 Каков допустимый объем корпоративных горячих линий для информаторов (например, ограничения по типам вопросов, о которых можно сообщать, лицам, которые могут подавать отчет, лицам, которых может касаться сообщение, и т. Д.)?
Российское законодательство не содержит каких-либо конкретных положений о горячих линиях для информаторов.Кроме того, нет никаких обязательных инструкций, выпущенных Роскомнадзором по этому поводу. Применяются общие требования законодательства о персональных данных. В соответствии с внутренними корпоративными правилами или политикой работодателя как оператора данных, сотрудников также могут обязать «доносить до свистка».
12.2 Запрещено ли анонимное сообщение, категорически не рекомендуется или вообще разрешено? Если это запрещено или не рекомендуется, как предприятия обычно решают эту проблему?
Анонимное сообщение не запрещено и строго не рекомендуется в соответствии с действующим законодательством.Обычно операторы данных решают эту проблему в своих внутренних корпоративных правилах или политиках.
13.
Видеонаблюдение13.1 Требуется ли для использования видеонаблюдения отдельная регистрация / уведомление или предварительное разрешение соответствующего органа (органов) по защите данных и / или любая конкретная форма публичного уведомления (например,г., знак повышенной видимости)?
CCTV не требует отдельного уведомления / регистрации или предварительного согласования со стороны Роскомнадзора . При определенных обстоятельствах незаконный оборот или использование специальных технических средств, предназначенных для тайного получения информации, может стать основанием для привлечения к уголовной ответственности (ст. 138.1 УК РФ). Однако такое специальное техническое оборудование не включает в себя элементы с функциями аудио-, видео- или фото- и / или геолокации для бытовых целей, которые имеют элементы управления, индикации и / или любые отметки, открыто указывающие их цель, функцию и / или режим работы.
13.2 Существуют ли ограничения на цели использования данных видеонаблюдения?
Конституция России гарантирует право на неприкосновенность частной жизни, а также на личную и семейную тайну. Таким образом, следует оценивать, было ли нарушено это право в каждом конкретном случае.
14.
Мониторинг сотрудников14.1 Какие виды мониторинга сотрудников разрешены (если они есть) и при каких обстоятельствах?
На практике в соответствии с внутренними корпоративными правилами и политиками работодателей могут быть разрешены различные типы мониторинга сотрудников, включая видеонаблюдение, просмотр электронной почты / Интернета, мониторинг социальных сетей и прослушивание аудио, а также иногда GPS-слежение. Однако при любом таком мониторинге работодатель (оператор данных) должен соблюдать конституционные права граждан и требования защиты данных (п.1 статьи 24 Конституции РФ). Работодатель может применять любой вид мониторинга сотрудников при условии, что это предусмотрено трудовым договором или регулируется внутренними корпоративными правилами или политиками, сотрудники знакомы с ними до подачи заявления и сотрудники дали свое согласие на такое наблюдение. Любой мониторинг сотрудников должен применяться разумно, и следует избегать любого раскрытия видеоконтента третьим лицам.
14.2 Требуется ли согласие или уведомление? Опишите, как работодатели обычно получают согласие или отправляют уведомление.
Для проведения законного мониторинга сотрудников требуется предварительное письменное согласие сотрудника. На практике письменное согласие всех сотрудников получается во время заключения трудового договора или является частью коллективного трудового договора. Все сотрудники должны быть должным образом ознакомлены с внутренними корпоративными правилами и политиками в отношении мер контроля за сотрудниками. Также должны соблюдаться законодательные положения, касающиеся обработки личных данных сотрудников.В частности, такая обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности сотрудников, оказания помощи сотрудникам в трудоустройстве, контроля количества и качества выполняемой работы и обеспечения безопасности. имущества и др. (статья 86 ТК РФ). Для этих конкретных целей дополнительное согласие не требуется. Письменное согласие работника требуется и должно быть получено работодателем заранее, если личные данные должны быть переданы работодателем третьим лицам.
14.3 В какой степени производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы?
Нет особых требований, согласно которым производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы по этому поводу.
15.
Безопасность данных и утечка данных15.1 Есть ли общее обязательство по обеспечению безопасности личных данных? Если да, то какие объекты отвечают за обеспечение безопасности данных (например, контроллеры, процессоры и т. Д.)?
Оператор данных или иное лицо (лица), получившие доступ к персональным данным, обязаны воздерживаться от их раскрытия третьим лицам или распространения этих персональных данных без предварительного письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами. .
15.2 Существует ли требование закона сообщать об утечках данных в соответствующие органы по защите данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.
Как правило, нет никаких юридических требований сообщать об утечке данных в орган по защите данных. Роскомнадзор рассматривает добровольно предъявленные субъектом персональных данных претензии относительно совместимости содержания персональных данных, наличия или отсутствия согласия субъекта персональных данных, способов обработки персональных данных и его соответствия заявленным целям, для которых они обрабатываются. Роскомнадзор принимает соответствующее решение, и в случае выявления нарушения оператор данных должен прекратить такую несанкционированную обработку в течение трех рабочих дней. Если невозможно превратить несанкционированную обработку персональных данных в законный способ обработки, оператор данных должен уничтожить такие персональные данные в течение 10 рабочих дней (статья 21 (3) Закона о ПД). Оператор данных должен уведомить субъекта данных или его представителя о прекращении обработки или уничтожения персональных данных, и в случае, если запрос на прекращение или уничтожение был сделан Роскомнадзором , такое уведомление должно быть отправлено в Роскомнадзор .
15.3 Существует ли требование закона сообщать о нарушениях данных затронутым субъектам данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.
Нет специального юридического требования сообщать о нарушениях данных затронутым субъектам данных. При этом субъект персональных данных, права которого были нарушены, имеет право подать иск в Роскомнадзор , который может провести соответствующую проверку и принять решение в отношении предполагаемого нарушителя и его несанкционированных действий с персональными данными.
15.4 Каковы максимальные штрафы за нарушение безопасности данных?
Оператор данных может нести ответственность за несколько нарушений обработки персональных данных, в том числе за обработку данных без письменного согласия субъекта данных, когда это необходимо, отказ от публикации политики обработки данных на веб-сайте или непредоставление информации субъекту данных. в связи с обработкой его персональных данных – со штрафом за правонарушение до 75000 рублей (ст. 13.11 (2) Кодекса Российской Федерации об административных правонарушениях).
Оператор данных может быть подвергнут штрафу до 6 000 000 рублей за первое правонарушение и до 18 000 000 рублей за повторное нарушение требований к локальному хранению данных (статья 13.11 (8 и 9) Российского законодательства). Кодекс об административных правонарушениях).
Наконец, Уголовный кодекс Российской Федерации предусматривает уголовную ответственность за: незаконный сбор или распространение, в том числе публичное распространение, персональных данных, относящихся к личной или семейной тайне, без согласия этого лица, со штрафом до 200 000 рублей; и незаконный доступ к компьютерной информации, повлекший за собой уничтожение, блокирование, изменение или копирование персональных данных, с наложением штрафа до 500 000 рублей.Следует отметить, что по российскому законодательству уголовные наказания могут быть применены только к физическим лицам, но не к юридическим лицам.
16.
Правоприменение и санкции16.1 Опишите правоприменительные полномочия органов по защите данных.
- Следственные полномочия : Роскомнадзор имеет следующие следственные полномочия: запрашивать и получать необходимую информацию для осуществления своих полномочий и получать такую информацию бесплатно; проверять информацию, содержащуюся в уведомлении об обработке персональных данных, и вносить эту информацию в реестр операторов данных; проводить соответствующие проверки; и направлять материалы в органы прокуратуры и другие правоохранительные органы.
- Корректирующие полномочия : Роскомнадзор имеет следующие корректирующие полномочия: требовать исправления, блокирования или уничтожения ложных или незаконно полученных личных данных; ограничение доступа к данным, которые обрабатываются с нарушением законодательства о защите данных; и приостановка или прекращение обработки персональных данных, которая была инициирована в нарушение законодательства о защите данных.
- Полномочия по авторизации и консультированию : Роскомнадзор не имеет специальных полномочий по авторизации, за исключением внесения оператора данных в реестр операторов персональных данных, что является правовой основой для реализации права на обработку персональных данных, хотя он может направить заявку в орган, лицензирующий деятельность оператора (например, в Федеральную службу по техническому и экспортному контролю, Федеральную службу безопасности и другие государственные органы), для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в порядке, установленном применимого законодательства, если одним из условий лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных.При осуществлении своих консультативных полномочий Роскомнадзор может выдавать пояснительные письма или подзаконные акты в пределах своей компетенции, а также вносить в Правительство Российской Федерации предложения по совершенствованию правового регулирования защиты прав на данные. предметы.
- Наложение административных штрафов за нарушение указанных положений GDPR : Роскомнадзор имеет право принимать административные меры в отношении лиц, виновных в нарушении Закона о ПД, в частности, наложением административных штрафов за нарушение прав или нарушение прав субъекта персональных данных других соответствующих законодательных положений.
- Несоблюдение требований органа по защите данных : В случае несоблюдения решений или обязательных постановлений Роскомнадзора Роскомнадзор может подать гражданские иски в компетентные суды для защиты прав субъектов данных и представление интересов субъектов данных в суде или отправка материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел за нарушение данных.
16.2 Имеет ли орган по защите данных право наложить запрет на конкретную обработку данных? Если да, то требует ли такой запрет постановления суда?
Роскомнадзор имеет право потребовать от оператора данных прекратить конкретное нарушение или нарушение, включая конкретную обработку, например блокировку его веб-сайта или определенных страниц в Интернете. Требуется решение суда для принятия таких мер.
16.3 Опишите подход органа по защите данных к осуществлению этих полномочий с примерами недавних дел.
В случае любого нарушения Роскомнадзор сначала отправляет предупреждение с соответствующими предписаниями о мерах, которые необходимо предпринять для пресечения такого нарушения. Прецедентное право в России в этом отношении все еще формируется. В 2020 году, например, российский суд оштрафовал Twitter и Facebook на сумму по 4 миллиона рублей каждый за отказ разместить свои серверы, на которых хранятся данные о гражданах России, на территории России.Есть также множество завершенных или невыясненных случаев, связанных с Telegram Messenger; в частности, использование Telegram-ботов для сбора персональных данных граждан России.
16.4 Исполняет ли орган по защите данных свои полномочия в отношении предприятий, учрежденных в других юрисдикциях? Если да, то как это обеспечивается?
Роскомнадзор может заблокировать доступ к информации, обрабатываемой с нарушением законодательства о персональных данных; Например, в 2016 году LinkedIn был заблокирован из-за невыполнения требования о локализации персональных данных.
17.
Электронное открытие / раскрытие информации иностранным правоохранительным органам17.1 Как предприятия обычно отвечают на запросы о раскрытии информации из-за границы или запросы о раскрытии информации от иностранных правоохранительных органов?
Российское законодательство не содержит положений, касающихся иностранного электронного раскрытия информации или иностранной процедуры раскрытия информации.Таким образом, российские компании не обязаны отвечать на запросы о раскрытии или раскрытии информации из-за рубежа, за исключением случаев, когда отсутствуют императивные положения, предусмотренные соответствующими международными договорами о взаимной правовой поддержке (помощи) или аналогичными международными соглашениями, участником которых является Россия. Кроме того, существует практика, когда компании отвечают на запросы иностранных правоохранительных органов о раскрытии информации через компетентные российские органы.
17.2 Какие инструкции выпустили / выпустили органы по защите данных?
Роскомнадзор таких указаний не выдавал. .
18.
Тенденции и изменения18.1 Какие тенденции в области правоприменения проявились за последние 12 месяцев? Опишите любую соответствующую судебную практику.
Конфиденциальность и защита данных остается новой и актуальной областью развития законодательства в России.Наблюдается заметная тенденция к увеличению штрафов за нарушения защиты данных, чтобы привести их в соответствие с иностранным законодательством.
18.2 Какие «горячие темы» сейчас находятся в центре внимания регулятора защиты данных?
В связи с недавней разработкой законодательства иностранным интернет-сайтам, веб-страницам, информационным системам и программам, ориентированным на российских пользователей, может потребоваться открытие местных офисов в соответствии с законопроектом, рассматриваемым в российском парламенте.В ближайшем будущем Роскомнадзор может предъявить новые требования к отдельным хостинг-провайдерам, организаторам распространения информации или операторам рекламных систем. Также существуют различные инициативы по внедрению и реализации концепции «больших данных» и установлению прав пользователей при использовании их личных данных таким образом.
Орган по защите данных Требования к уполномоченному по регистрации и защите данных для контроллеров данных: Российская Федерация
Вопросы и ответы по практическому праву страны от Thomson Reuters
Вопросы и ответы, в которых обсуждаются обязанности частных операторов данных в Российской Федерации по уведомлению, регистрации или получению разрешения от органа по защите данных в соответствии с Законом Российской Федерации о комплексной защите данных перед обработкой персональных данных.В нем также обсуждаются любые требования к контроллерам данных по назначению сотрудника по защите данных (DPO) и любые применимые обязательства по уведомлению или регистрации, касающиеся назначений DPO. Эти вопросы и ответы не охватывают требования к уведомлению, регистрации или авторизации для обработчиков данных, а также требования, вытекающие из отраслевого законодательства.
Обзор законодательства о защите данных в Российской Федерации см. В разделе «Страновые вопросы и ответы», «Защита данных в Российской Федерации: Обзор».
Орган по защите данных
1.Название и контактная информация национального органа по защите данных или надзорного органа. орган, ответственный за защиту данных?
Имя
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Контактная информация DPA
W: rkn.gov.ru (русский) и eng.rkn.gov.ru (английский)
E: rsoc_in @ rkn.gov.ru
Уведомление или регистрация
2. Требует ли закон страны о всеобъемлющей защите данных, чтобы операторы данных из частного сектора уведомляли или регистрировались в органах по защите данных перед обработкой персональных данных?
Да. Согласно Федеральному закону № 152-ФЗ «О персональных данных» (27 июля 2006 г.) (Закон о персональных данных) оператор данных, который аналогичен контроллеру данных, должен уведомить Федеральную службу по надзору в сфере связи, информационных технологий и СМИ (Роскомнадзор) до начала обработки персональных данных (статья 22 (1) Закона о персональных данных), за некоторыми исключениями.
Оператор данных может подать уведомление на бумаге или в электронном виде с помощью веб-сайта Роскомнадзора, и оно должно содержать следующую информацию (статья 22 (3) (1) – (11) Закона о персональных данных с изменениями, внесенными Федеральным законом № 242 -ФЗ о внесении изменений в некоторые законодательные акты относительно обновления порядка обработки персональных данных в информационно-телекоммуникационных сетях (21 июля 2014 г.)):
- Цели обработки персональных данных.
- Категории персональных данных.
- Категории субъектов данных, данные которых обрабатываются.
- Правовые основания обработки.
- Список предлагаемых действий с персональными данными и общее описание методов обработки, используемых оператором данных.
- Описание соответствующих ИТ-систем и мер безопасности (включая шифрование).
- Дата начала обработки персональных данных.
- Продолжительность обработки или условия прекращения обработки персональных данных.
- Информация о наличии трансграничной передачи данных.
- Информация о местонахождении любой базы данных, содержащей персональные данные граждан Российской Федерации.
Роскомнадзор регистрирует оператора данных в течение 30 дней с момента получения уведомления, если у регулирующего органа нет дополнительных вопросов или запросов.
Роскомнадзор ведет реестр операторов данных на основе информации, содержащейся в получаемых им уведомлениях.За исключением описания ИТ-систем оператора данных и соответствующих мер безопасности, информация в уведомлении становится общедоступной после включения в реестр. (Статья 22 (4) Закона о персональных данных.)
Оператор данных может быть освобожден от установленных законом требований об уведомлении и может обрабатывать личные данные без уведомления при определенных обстоятельствах. Например, если персональные данные (статья 22 (2) (1) – (9) Закона о персональных данных с изменениями, внесенными Федеральным законом от 25.07.2012 г.519-ФЗ о внесении изменений в Закон о персональных данных (30 декабря 2020 г.):
- Обрабатывается только в соответствии с трудовым законодательством.
- Получено оператором данных в связи с договором с субъектом данных при условии, что персональные данные:
- не передается третьим лицам без согласия субъекта данных; или
- используется только для выполнения контракта или для заключения дальнейших контрактов с субъектом данных.
- Относится к определенному типу обработки, осуществляемой общественным объединением или религиозной организацией, действующей в соответствии с действующим законодательством, при условии, что персональные данные не передаются и не раскрываются третьим лицам без согласия субъекта данных.
- Это данные, которые субъекту данных разрешено распространять, и оператор данных соблюдает правила, регулирующие обработку и передачу данных этого типа.
- Состоит только из фамилии, имени и отчества субъекта данных.
- Необходим для предоставления субъекту данных единовременного доступа в помещение, где находится оператор данных.
- Включен в ИТ-системы, получившие статус государственной компьютерной ИТ-системы в соответствии с действующим законодательством, или в государственные ИТ-системы, созданные в целях государственной безопасности и общественного порядка.
- обрабатывается без использования автоматизированных систем в соответствии с действующим законодательством при соблюдении прав субъекта данных.
- Обрабатывается в соответствии с законами и постановлениями, касающимися транспортной безопасности.
Оператор данных не платит официальных сборов за уведомление и регистрацию.
Авторизация
3. Требует ли закон страны о всеобъемлющей защите данных, чтобы операторы данных частного сектора запрашивали разрешение у органа по защите данных перед обработкой персональных данных?
№Согласно Федеральному закону № 152-ФЗ «О персональных данных» (27 июля 2006 г.) операторы данных не должны получать разрешение от органа по защите данных перед обработкой персональных данных.
Сотрудники по защите данных
4. Требует ли в стране всеобъемлющего закона о защите данных, чтобы контролеры данных из частного сектора назначали сотрудника по защите данных?
Да. В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (27 июля 2006 г.) (Закон о персональных данных) операторы данных должны принимать меры, которые необходимы и достаточны для обеспечения надлежащей обработки персональных данных, включая назначение сотрудника по защите данных (DPO). (Статья 18.1 (1) Закона о персональных данных).
DPO должен (статья 22.1 Закона о персональных данных):
- Осуществлять внутренний контроль за соблюдением оператором и его сотрудниками требований по защите персональных данных в соответствии с законодательством Российской Федерации, включая Закон о персональных данных.
- Информировать сотрудников операторов об их обязанностях по обработке персональных данных в соответствии с законодательством Российской Федерации, в том числе Законом о персональных данных.
- Организовывать получение и обработку запросов субъектов данных и контролировать ответы на эти запросы.
5. Если закон о комплексной защите данных требует, чтобы контроллеры данных из частного сектора назначили сотрудника по защите данных (DPO), есть ли у контроллеров данных какие-либо обязательства по уведомлению или передаче контактных данных DPO органу по защите данных или регистрации в орган по защите данных?
В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» (27 июля 2006 г.) операторы данных должны уведомлять или передавать информацию уполномоченного по защите данных в орган по защите данных, включая их имя, адрес, номер телефона и адрес электронной почты.
Посмотреть PDF
Защита персональных данных в России
6.2.1 Правовая база
Статьи 23 и 24 Конституции России (1993 г.) уже показывают, что основными субъектами, на которые направлено законодательство о защите данных, являются субъекты данных и операторы данных. Эти же идеи нашли отражение в законодательстве.
Статья 23 гласит: «Каждый имеет право на неприкосновенность частной жизни, личных и семейных тайн, защиту чести и доброго имени.«Конфиденциальность – это право контролировать информацию о себе. Право на неприкосновенность частной жизни является универсальным правом человека и признано таковым во Всеобщей декларации прав человека и Европейской конвенции о правах человека. Это основа права на защиту данных. Право на защиту данных проистекает из конфиденциальности, но не является универсальным правом человека. Он нацелен на операторов персональных данных, чтобы обеспечить их справедливую обработку. Соответственно, статья 24 Конституции РФ касается операторов персональных данных.Он требует, чтобы «сбор, хранение, использование и распространение информации о частной жизни не разрешались без согласия человека». До принятия специального законодательства в декабре 2005 г. Россия ратифицировала Конвенцию 1981 г. о защите частных лиц в отношении автоматической обработки персональных данных (Конвенция Совета Европы). Конвенция Совета Европы – это фундамент, на котором несколько стран построили свое законодательство о защите данных.
В июле 2007 года Государственная Дума приняла два закона, посвященных защите данных: Федеральный закон №149-ФЗ « Об информации, информационных технологиях и защите информации » и Федеральный закон № 152-ФЗ « О персональных данных » (Закон о персональных данных. ). Положения этих законов были обычными и аналогичными положениям Европейской директивы о защите данных 1995 г. (Garrie and Byhovsky 2017, 239). Закон о персональных данных является основным законом, регулирующим эту сферу в России. Он устанавливает цель защиты персональных данных – обеспечение прав и свобод человека и гражданина при обработке своих данных (статья 2).
До 2014 года российские правила защиты данных не отличались от Конвенции Совета Европы. После террористических актов в Волгограде в 2013 году Государственная Дума приняла антитеррористический пакет законов. Частью этого пакета стал Федеральный закон от 21 июля 2014 г. № 242-ФЗ (Закон о локализации), который ввел требование о локализации (подробнее об этом в разделе 6.3). Помимо российского законодателя, несколько органов власти уполномочены создавать положения о защите данных.Активную роль в этой сфере играют президент России, правительство России и федеральные службы (подробнее см. Гл. 3).
6.2.2 Органы исполнительной власти
Среди органов государственной власти Роскомнадзор играет наиболее активную роль. Дмитрий Медведев учредил Роскомнадзор в 2008 году (Указ Президента № 1715). Роскомнадзор подчиняется Министерству цифрового развития, связи и массовых коммуникаций (Минкомсвязи). У него много важных компетенций, таких как мониторинг средств массовой информации и ведение реестров операторов данных и запрещенных веб-сайтов (Постановление правительства о Роскомнадзоре).Что касается конкретных полномочий Роскомнадзора, то вектор деятельности этой Федеральной службы отклоняется от того направления, в котором нацелена защита персональных данных – обеспечение прав и свобод личности. В соответствии со статьей 23 Закона о защите данных Роскомнадзор может расследовать и инициировать контроль и надзор за операторами данных без учета нарушения личных прав физических лиц. Он действует независимо от того, имеют ли лица, чьи данные обрабатываются, какие-либо претензии к операторам данных.В результате деятельность Роскомнадзора направлена на защиту данных как таковых, а не на защиту индивидуальных прав, затрагиваемых обработкой данных (Терещенко, 2018, 146).
Помимо Роскомнадзора, несколько других органов власти осуществляют свои полномочия по обеспечению соблюдения политики защиты данных в России. Прокуратура отвечает за преследование уголовных дел, связанных с нарушением защиты данных. Федеральная служба по техническому и экспортному контролю отвечает за надзор за безопасностью персональных данных в информационной инфраструктуре России.
6.2.3 Основные категории законодательства о защите данных
Основными категориями, определяющими законодательство о защите данных в России, являются данные, персональные данные, операторы данных, обработка данных и передача персональных данных. Статья 2 (1) Закона о защите данных определяет информацию как любые данные независимо от формы их представления. Согласно статье 3 (1) Закона о персональных данных, персональные данные – это любая информация, прямо или косвенно связанная с определенным или идентифицируемым физическим лицом (субъектом данных).Закон не защищает данные, не относящиеся к идентифицируемому физическому лицу (анонимные данные). Следуя этому определению, может быть трудно провести различие между техническими данными и личными данными, поскольку почти любая транзакция, совершенная в Интернете, будет представлять собой личные данные (Bauer et al. 2015, 2).
Когда дело доходит до установления критериев того, что считается идентифицируемым лицом, практика Роскомнадзора может создать некоторую двусмысленность. Например, в 2017 году из Пенсионного фонда России произошла утечка информации, содержащей полные имена и фамилии его клиентов, их номера налогоплательщиков и информацию об их пенсионных накоплениях.Согласно ответу Пенсионного фонда, это не является утечкой данных, поскольку такие данные не позволяют идентифицировать личность (Терещенко, 2018, 152). Роскомнадзор никакими действиями не отреагировал на это нарушение. Как бы ни старался Пенсионный фонд обезопасить взлом, информация, содержащая имена, фамилии и идентификационные номера, без сомнения, является личными данными. В комментарии к Закону о персональных данных от 2015 года высокопоставленные должностные лица Роскомнадзора заявили, что индивидуальный номер налогоплательщика позволяет однозначно идентифицировать физическое лицо (Гафурова и др.2015, 16).
Закон о персональных данных различает категории персональных данных. Согласно статье 10 закона, особые правила применяются к данным, касающимся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни. Обработка таких данных может производиться только в случаях, предусмотренных законом, например, если субъект данных дает письменное согласие на обработку данных.
В соответствии со статьей 3 (2) Закона о персональных данных, оператор – это орган, компания или физическое лицо, которое организует и (или) выполняет обработку персональных данных.Оператор также определяет цель обработки персональных данных и состав обрабатываемых персональных данных, а также действия в отношении персональных данных. Законодательство о защите данных применяется ко всем операторам данных и третьим лицам, уполномоченным операторами. Общее правило заключается в том, что операторы данных должны уведомить Роскомнадзор о своем намерении обработать данные до того, как приступить к обработке данных (статья 22). Есть определенные случаи, когда в таком уведомлении нет необходимости, например, когда обработка данных осуществляется в соответствии с трудовым законодательством, если данные включают только фамилию, имя и отцовское имя субъекта данных или если субъект данных раскрыл данные в открытый доступ.
При сборе персональных данных операторы должны информировать субъектов об определенных необходимых аспектах обработки данных. Например, согласно статье 18.1 (1) (2) операторам необходимо опубликовать политику обработки данных. Закон применяет разумный подход, возлагая это обязательство на операторов, которые являются юридическими лицами. На практике это означает, что физическим лицам, а также индивидуальным предпринимателям не нужно публиковать свою политику обработки.
Операторам данных необходимо установить меры безопасности.Согласно статье 18.1 закона операторы данных вправе выбирать меры, которые им необходимо принять в соответствии с законом. В соответствии с законом рекомендуемые меры включают назначение сотрудника по защите данных, реализацию определенных организационных и технических мер, направленных на защиту данных, а также выполнение внутреннего контроля и аудита.
Интересно, что в перечень таких мер не входит обязательство уведомлять об утечке данных ни Роскомнадзор, ни субъекты данных.Была попытка внести поправки в законодательство и ввести обязанность уведомлять Роскомнадзор, МВД и даже соответствующих субъектов данных об утечках данных, но законопроект не принимается Госдумой с 2017 года (Законопроект № 416052 -6).
Обработка данных – это любое действие или комбинация действий, связанных с персональными данными (со средствами автоматизации или без них), включая сбор, запись, систематизацию, хранение, извлечение и передачу.Обработка должна быть адекватной, актуальной и не чрезмерной по отношению к цели, для которой обрабатываются данные. Согласно статье 5 (7) Закона о персональных данных, один из принципов обработки данных заключается в том, что после достижения цели, для которой была обработана информация, оператору необходимо анонимизировать или уничтожить данные, если не было договоренности об обратном. . На данный момент нет подробных правил уничтожения данных. Однако соответствующие поправки, разрешающие Роскомнадзору устанавливать такие подробные правила, находятся на рассмотрении Госдумы (законопроект «О прекращении действия персональных данных»).
Согласие субъектов данных является неотъемлемой частью обработки персональных данных. Согласно статье 9 Закона о защите данных, физическое лицо должно дать письменное согласие на обработку данных. Согласие должно быть конкретным, информированным и преднамеренным. Его можно получить в любой форме, подтверждающей его получение, включая заполнение онлайн-форм. Субъект данных может позже передумать и отозвать согласие на обработку данных. Операторы данных несут бремя доказательства того, что субъект данных дал свое согласие.
Согласно статье 9 (4) (4) закона, в некоторых случаях, в том числе при обработке данных, касающихся политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни, согласие должно быть дано в письменной форме. Письменная форма согласия должна включать цель обработки данных. Закон конкретно не требует, чтобы обработчик данных запрашивал у субъекта данных отдельное согласие для каждой цели обработки данных. Обработчики данных часто толкуют это положение таким образом, чтобы перечислить различные цели обработки данных в одной форме.Тем не менее, поскольку толкование закона в обратном направлении возможно, существует существенный риск того, что Роскомнадзор потребует письменного согласия от субъекта данных для каждой цели обработки данных. Так было в споре между обществом с ограниченной ответственностью (ООО) «Скартел» и Роскомнадзором ( ООО «Скартел» против Управления Роскомнадзора Центрального федерального округа ). Арбитражный суд города Москвы, а затем апелляционный суд подтвердили позицию Роскомнадзора. Клиенты «Скартел» подписали условия, в которых перечислены определенные цели обработки данных.После этого некоторые клиенты заключили дополнительные соглашения онлайн. Такие соглашения включают больше целей обработки данных. Суды согласились с Роскомнадзором в том, что согласие на такие дополнительные цели обработки данных после дословного прочтения закона также должно было быть дано в письменной форме на бумажных носителях. Чтобы исправить эту ситуацию, Минкомсвязи подготовило поправки к закону о защите данных, которые, среди прочего, позволят получить единое согласие человека на несколько целей обработки данных (законопроект «О единой форме согласия»).Это один из примеров, когда целью поправок является облегчение бремени для операторов данных, в отличие от создания множества новых правил, вводящих ограничения и обязательства в сфере защиты данных, как будет показано в следующих разделах этой главы.
Персональные данные могут обрабатываться без согласия субъекта данных в определенных случаях (статья 6). Например, согласие не требуется, если обработка данных необходима для профессиональной журналистской деятельности или когда это необходимо для исполнения решения суда или государственного органа.
6.2.4 Передача за пределы России
Операторы данных могут передавать личные данные за пределы России. Перед осуществлением такой передачи оператор должен убедиться, что права субъекта персональных данных получат адекватную защиту в стране-получателе перевода. Статья 12 (1) Закона о персональных данных предусматривает, что все стороны, подписавшие Конвенцию Совета Европы, обеспечивают надлежащую защиту персональных данных. Кроме того, Роскомнадзор ведет регулярно обновляемый список стран, обеспечивающих такую защиту (Приказ Роскомнадзора о списке стран с адекватной защитой персональных данных).
6.2.5 Территориальная сфера применения
Интернет распространяется за пределы национальных границ. Граждане России могут получить доступ к сайтам операторов, расположенных по всему миру (кроме заблокированных Роскомнадзором). Это не означает, что все эти операторы должны соответствовать требованиям русской локализации. Закон о защите данных конкретно не устанавливает территориальную сферу его применения. При этом при определении операторов персональных данных закон не ограничивает операторов только компаниями, зарегистрированными в России.По мнению Роскомнадзора, Закон о персональных данных является обязательным для иностранных компаний, обрабатывающих персональные данные в России (Роскомнадзор, 2019a). Территориальный охват определяется обработкой данных, которая (1) либо имеет место, либо направлена на Россию, либо (2) касается данных российских граждан. Важно не место нахождения компании / лица, а территория, на которую направлены действия такой компании или лица. Тем не менее, компании, зарегистрированные за пределами России, могут подпадать под действие российского законодательства о защите данных.Аналогичным образом статья 3 GDPR устанавливает, что ее требования к защите данных являются обязательными не только для компаний, учрежденных в государствах-членах ЕС, но также и для компаний, расположенных в любой точке мира, если они обрабатывают данные граждан ЕС. Важность территориального аспекта российских правил защиты данных усиливается с принятием требования о локализации для операторов данных.
Новые правила обработки персональных данных
С 1 марта 2021 г.519-ФЗ от 30.12.2020 «О внесении изменений в Федеральный закон« О персональных данных »*» (далее – «Закон») вступил в силу.
Термин «общедоступные персональные данные» заменен на «персональные данные, разрешенные субъектом данных для распространения». Это информация, к которой имеет доступ неограниченное количество лиц. Как правило, он публикуется в социальных сетях или различных банках данных. Теперь, чтобы обрабатывать такую информацию и предоставлять ее широкому кругу людей, необходимо получить согласие субъекта данных.Он оформляется отдельным документом, а требования к его содержанию устанавливает Роскомнадзор, который также разрабатывает информационную систему для получения согласия в электронном виде. Система заработает с 1 июля 2021 года. Правила ее работы будут установлены в постановлении Роскомнадзора, которое сейчас проходит общественное обсуждение.
В течение 3 рабочих дней с момента получения соответствующего согласия оператор должен опубликовать информацию об условиях обработки и запретах, которые третьи лица должны учитывать при обработке данных.
Новые правила коснутся владельцев сайтов, социальных сетей и других интернет-ресурсов, а также тех, кто использует информацию из этих источников. Цель изменений – исключить неконтролируемое использование персональных данных пользователями Интернет-ресурсов, чтобы гарантировать соблюдение прав граждан на неприкосновенность частной жизни.
Кроме того, 27 марта 2021 года вступает в силу Федеральный закон от 24 февраля 2021 года № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который ужесточит ответственность за нарушения в сфере персональные данные и увеличить срок давности привлечения к ответственности до 1 года (в настоящее время – 3 месяца).
Таким образом, штрафы за обработку персональных данных без согласия их субъекта, непринятие политики по
Защита данных в РФ: обзор
6 августа 2018
Это руководство по вопросам и ответам дает общий обзор правил и принципов защиты данных, включая обязательства контроллера данных и согласие субъектов данных; права на доступ к персональным данным или возражение против их сбора; и требования безопасности.Он также распространяется на файлы cookie и спам; обработка данных третьими лицами; и международная передача данных. В этой статье также подробно описывается национальный регулирующий орган; его правоприменительные полномочия; и санкции и средства правовой защиты.
Чтобы сравнить ответы в разных юрисдикциях, посетите инструмент вопросов и ответов о защите данных о стране.
Эта статья является частью глобального руководства по защите данных. Полный список материалов можно найти на сайте global.practicallaw.com/dataprotection-guide.
Постановление
Законодательство
1.Какие национальные законы регулируют сбор и использование личных данных?
Общие законы
Основные положения закона о защите данных и конфиденциальности можно найти в:
– Страсбургская конвенция о защите частных лиц в отношении автоматической обработки персональных данных 2005 г. (Страсбургская конвенция).
– Конституция РФ 1993 г. (статьи 23 и 24).
– Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и защите данных» 2006 г. (Закон о защите данных).
– Федеральный закон № 152-ФЗ «О персональных данных» 2006 г. (Закон о защите персональных данных).
Основным законом в этой области является Закон о защите личных данных.
Отраслевые законы
Положения, касающиеся защиты данных, также можно найти в различных отраслевых законах, например:
– Трудовой кодекс РФ (глава 14).
– Воздушный кодекс России (статья 85.1).
– Федеральный закон № 323 «Об основах охраны здоровья граждан в Российской Федерации».
Существуют также определенные местные административные правила и официальные требования, регулирующие сбор, хранение и использование персональных данных, изданные:
– Президент России.
– Правительство РФ.
– Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
– Федеральная служба по техническому и экспортному контролю (ФСТЭК).
– Федеральная служба безопасности (ФСС).
Сфера действия законодательства
2. На кого распространяется действие закона?
Законы о защите данных применяются ко всем операторам данных и третьим лицам, действующим с разрешения операторов данных.
Российское законодательство о защите данных не содержит понятий «контролер данных» и «обработчик данных». Однако в Законе о защите личных данных упоминаются понятия «оператор данных» и «лицо, действующее в соответствии с инструкциями» оператора данных.
Оператором данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которое:
– Организует и / или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных.
– Определяет цели обработки персональных данных, содержание персональных данных и действия (операции), связанные с персональными данными.
Обработка данных может быть делегирована третьей стороне с согласия субъекта данных, который будет действовать с разрешения оператора данных на основании соответствующего соглашения или на основании специального государственного или муниципального закона.
3. Какие данные регулируются?
Законы о защите данных регулируют все персональные данные, обрабатываемые операторами данных или третьими сторонами. Персональные данные – это любая информация, прямо или косвенно относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных).
Российское законодательство о защите данных не делает различий между прямыми персональными данными и косвенными персональными данными. Таким образом, личные данные будут рассматриваться как «прямые» или «косвенные» в зависимости от обстоятельств каждого дела.
4. Какие законы регулируются?
Законы о защите данных применяются ко всем действиям по обработке данных, включая сбор, запись, систематизацию, накопление, хранение, изменение (обновление, модификация), извлечение, использование, передачу (распространение, предоставление, доступ), анонимизацию, блокирование, удаление или уничтожение данных. Электронный (автоматизированный) и ручной (неавтоматический) учет личных данных и смешанная обработка данных регулируются законодательством о защите данных.
5. Какова юрисдикция правил?
Законы о защите данных не содержат каких-либо явных положений, касающихся их юрисдикции или территориального действия. Таким образом, обычно предполагается, что национальные правила защиты данных применяются к:
– Обработка данных, которая происходит в России или нацелена на нее.
– Сбор, хранение и использование персональных данных граждан России (субъектов данных).
Независимо от того, где установлены и расположены операторы данных.
В контексте трансграничного потока данных национальное законодательство о защите данных также может применяться в определенной степени, если российское физическое лицо является стороной соглашения о передаче данных или пользовательского соглашения либо дает согласие на обработку своих личных данных. данные от стороннего оператора данных.
Какие основные исключения (если таковые имеются)?
Законы о защите данных не распространяются на следующие действия:
– Обработка персональных данных физическими лицами исключительно для личных и семейных нужд (при условии, что права субъектов данных не нарушаются).
– Организация хранения, сбора, учета и использования архивных документов, содержащих персональные данные, в соответствии с национальным законодательством об архивных фондах и делах.
– Обработка персональных данных, которые могут быть отнесены к сведениям, составляющим государственную тайну.
– Предоставление компетентными органами сведений о деятельности судов в России в соответствии с законодательством о судах.
Уведомление
7.Требуется ли уведомление или регистрация перед обработкой данных?
Оператор данных, обрабатывающий персональные данные, должен уведомить Роскомнадзор до того, как он начнет обработку персональных данных. Уведомление может быть подано оператором данных на бумаге или в электронном виде.
Уведомление должно содержать следующую информацию:
– Имя и адрес оператора данных.
– Цели обработки персональных данных.
– Категории персональных данных.
– категории субъектов данных, данные которых обрабатываются.
– Список разрешенных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.
– Описание ИТ-систем и мер безопасности (включая шифрование).
– Имя и контактные данные уполномоченного по защите данных.
– Дата начала обработки персональных данных.
– Продолжительность обработки или условия прекращения обработки персональных данных.
– Информация о трансграничной передаче данных.
– расположение базы данных, которая будет содержать персональные данные российских физических лиц (см. Вопрос 21).
Роскомнадзор зарегистрирует оператора данных в течение 30 дней с даты получения соответствующего уведомления (при отсутствии дополнительных вопросов или запросов). Перечисленная выше информация (за исключением описания ИТ-систем оператора данных и соответствующих мер безопасности) становится общедоступной после включения в реестр.Роскомнадзор ведет реестр операторов данных на основе информации, содержащейся в получаемых им уведомлениях. Реестр операторов данных является общедоступным и доступен на русском языке по адресу http://rkn.gov.ru/personal-data/register.
Требование об уведомлении / регистрации применяется к любому оператору данных, который участвует в обработке различных категорий персональных данных на территории или за пределами России (или обрабатывает персональные данные граждан России) и использует свою внутреннюю ИТ-систему или базу данных в соответствии с законодательство о защите данных.Однако оператор данных может быть освобожден от этого законодательного требования и иметь возможность обрабатывать персональные данные без уведомления / регистрации при определенных обстоятельствах. Например, где личные данные:
– обрабатывается только в соответствии с трудовым законодательством.
– Получено оператором данных в связи с договором с субъектом данных (физическим лицом), при условии, что персональные данные:
– не передается третьим лицам без согласия физического лица;
– используется только для выполнения контракта или заключения дополнительных контрактов с физическим лицом.
– относится к определенному типу обработки, осуществляемой общественным объединением или религиозной организацией, действующей в соответствии с применимыми законами, при условии, что личные данные не передаются и не раскрываются третьим лицам без согласия субъекта данных.
– Субъект данных сделал общедоступным.
– Состоит только из фамилии, имени и отчества субъекта данных.
– необходим для предоставления субъекту данных единовременного доступа в помещение, где находится оператор данных.
– Включен в ИТ-системы, которые приобрели статус государственных компьютерных ИТ-систем в соответствии с действующим законодательством, или в государственные ИТ-системы, созданные в целях государственной безопасности и общественного порядка.
– обрабатывается без использования автоматизированных систем в соответствии с действующим законодательством при соблюдении прав субъекта данных.
– обрабатывается в соответствии с законами и постановлениями, касающимися транспортной безопасности.
Уведомление и регистрация не требуют оплаты официальных сборов.
Основные правила и принципы защиты данных
Основные обязательства и требования к обработке
8. Какие основные обязанности возлагаются на контроллеры данных для обеспечения правильной обработки данных?
Основные обязательства, возлагаемые на операторов данных по обеспечению надлежащей обработки персональных данных, заключаются в следующем:
– Определение категорий персональных данных, целей обработки данных и продолжительности обработки.
– Получение согласия субъекта данных (если иное не предусмотрено законом).
– Назначение сотрудника по защите данных, принятие политики защиты данных (и других необходимых документов) и принятие других соответствующих мер безопасности (особенно юридических, технических и организационных) для предотвращения несанкционированной / незаконной обработки данных и нарушения законодательства о защите данных.
– Размещение центра обработки данных или сервера данных на территории России, если данные российских физических лиц должны обрабатываться оператором данных (см. Вопрос 21).
– Уведомление Роскомнадзора с целью регистрации (если иное не предусмотрено законом) (см. Вопрос 7).
9. Требуется ли согласие субъектов данных перед обработкой персональных данных?
В большинстве случаев перед обработкой персональных данных требуется согласие субъекта данных. Согласие субъекта данных должно быть конкретным, информированным и преднамеренным.
Если иное не предусмотрено законом, согласие субъекта данных может быть получено в любой форме, в том числе в Интернете.Если закон требует, чтобы согласие субъекта данных было дано в письменной форме (например, для обработки биометрических данных), подразумеваемое или предполагаемое согласие не будет считаться действительным.
Электронные подписи разрешены и могут использоваться в соответствии с положениями применимого законодательства о цифровых подписях, если согласие субъекта данных представляет собой электронную форму документа о согласии.
Оператор данных несет бремя доказательства того, что согласие субъекта данных получено.
Нет предписанной или утвержденной формы согласия. Однако Закон о защите личных данных определяет информацию, которая должна быть указана в письменном согласии субъекта данных:
– Имя, отчество, фамилия и адрес субъекта данных, идентификационный номер (например, номер паспорта), дата выдачи удостоверения личности и орган, выдавший удостоверение личности.
– Имя, отчество, фамилия и адрес представителя субъекта данных, номер удостоверения личности (например, паспорт), дата выдачи удостоверения личности и выданный орган, реквизиты доверенности или другие применимый документ (если согласие было дано представителем субъекта данных).
– Имя, отчество, фамилия и адрес оператора данных.
– Цель обработки данных.
– Список предоставленных персональных данных.
– Имя, отчество, фамилия и адрес любой третьей стороны, которая обрабатывает персональные данные с разрешения оператора данных.
– Список согласованных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.
– Срок действия согласия субъекта данных и способ его отзыва.
– Подпись субъекта данных.
Обработка персональных данных несовершеннолетних возможна с согласия законного представителя.
10. Если согласие не дано, какими еще основаниями (если таковые имеются) может быть оправдана обработка?
Обработка персональных данных без согласия субъекта данных может быть оправдана при определенных обстоятельствах. Например, если обработка данных требуется для:
– Цели, определенные международным договором или законодательством Российской Федерации.
– Для определенных судебных целей.
– Осуществление определенных полномочий федеральными органами власти, оказывающими государственные и муниципальные услуги.
– Соглашение с субъектом данных или соглашение, в котором субъект данных является бенефициаром или гарантом.
– Защита жизни, здоровья или других жизненно важных интересов субъекта данных.
– Защита прав и интересов оператора данных или третьих лиц или в общественных целях, при условии отсутствия нарушений прав и свобод субъекта данных.
– Профессиональная журналистская, медийная, научная, литературная или другая творческая деятельность при условии отсутствия нарушений прав и свобод субъекта данных.
– Статистические или другие научные цели (при условии, что соответствующие личные данные были анонимны).
– Обработка данных, которые стали общедоступными субъектом данных по его / ее запросу.
– Обязательная публикация или раскрытие в соответствии с действующим законодательством.
Особые правила
11. Применяются ли особые правила к определенным типам персональных данных, например к конфиденциальным данным?
Согласно Закону о защите личных данных, конфиденциальные данные относятся к любой информации, которая касается национальности, расового или этнического происхождения, политических взглядов, религиозных или философских убеждений, а также состояния здоровья или половой жизни человека. Конфиденциальные данные могут быть обработаны только в том случае, если:
– Субъект данных предоставил письменное согласие на обработку данных.
– Субъект данных сделал общедоступными персональные данные.
– Обработка требуется в соответствии с международным договором России о повторном въезде (например, возвращении иммигрантов в страну).
– Обработка ведется по Всероссийской переписи населения.
– Обработка осуществляется в соответствии с законодательством о социальной поддержке, занятости или пенсиях.
– Обработка требуется для защиты жизни, здоровья или жизненно важных интересов субъекта данных или других лиц, при условии, что получить согласие субъекта данных невозможно.
– Обработка осуществляется лицом, которое занимается различной медицинской деятельностью в определенных медицинских целях, при условии, что обработка выполняется профессионалом с соблюдением медицинской конфиденциальности.
– Обработка осуществляется общественными обществами или религиозными организациями в отношении персональных данных их членов для целей, определенных их учредительными документами, при условии, что персональные данные не передаются третьим лицам без письменного согласия субъекта данных.
– Обработка требуется для установления или обеспечения соблюдения прав субъекта данных или третьих лиц или для отправления правосудия.
– Обработка осуществляется в соответствии с законодательством Российской Федерации о государственной обороне, безопасности, борьбе с терроризмом, транспортной безопасности, борьбе с коррупцией, правоприменении, исполнении, уголовном расследовании и судебном преследовании.
– Обработка производится прокуратурой в рамках особого производства по уголовным делам.
– Обработка производится в соответствии с законодательством о страховании.
– Обработка производится государственными органами, муниципальными учреждениями или организациями для целей усыновления ребенка.
– Обработка производится в соответствии с действующим законодательством о гражданстве.
Обработка конфиденциальных персональных данных (если это разрешено законом) будет немедленно прекращена, если причины для обработки больше не существуют.
Права физических лиц
12.Какая информация должна быть предоставлена субъектам данных в момент сбора персональных данных?
В момент сбора персональных данных субъекту данных должна быть предоставлена следующая информация:
– Цель сбора / обработки данных.
– Объем сбора / обработки данных.
– Срок сбора / обработки данных.
– Подробная информация об операторе данных (или любой третьей стороне, действующей с разрешения оператора данных).
– Иная информация, предусмотренная законом.
13. Какие еще конкретные права предоставляются субъектам данных?
Субъект данных имеет право на доступ к данным, обрабатываемым оператором данных, и право на получение информации, связанной с обработкой данных, включая:
– Подтверждение обработки данных оператором данных.
– Правовые основания и цели обработки данных.
– методы и цели обработки данных, используемые оператором данных.
– Имя и местонахождение оператора данных, а также информация о лицах (кроме сотрудников), которые имеют доступ к персональным данным или которым персональные данные могут быть раскрыты в соответствии с соглашением с оператором данных или в соответствии с законом.
– Продолжительность обработки данных, включая продолжительность хранения личных данных.
– Информация о любой завершенной или предполагаемой трансграничной передаче данных.
– Другая информация, предоставленная Законом о защите личных данных и другими законами.
Кроме того, субъект данных имеет право:
– Исправление и блокировка данных.
– Возражение против обработки данных.
– Возражение против прямого маркетинга.
– Возражать против решений, принимаемых исключительно на основе автоматизированной обработки данных.
– пожаловаться на действия или бездействие оператора данных и потребовать возмещения убытков, включая моральный ущерб.
14. Имеют ли субъекты данных право требовать удаления своих данных?
Субъекты данных могут запросить удаление своих персональных данных, если они:
– Незавершенное.
– Устаревший.
– Неточно.
– Получено незаконно.
– Не требуется для заявленных целей обработки данных.
Требования безопасности
15. Какие требования безопасности предъявляются к персональным данным?
Оператор данных должен принимать необходимые и достаточные меры защиты в соответствии с законодательством о защите данных, включая следующие:
– Назначение сотрудника по защите данных.
– Принятие политики защиты данных и других документов, включая местные / корпоративные правила, предназначенных для предотвращения и обнаружения нарушений законодательства о защите данных.
– Осуществление соответствующих правовых, организационных и технических мер безопасности.
– Осуществление внутреннего контроля и / или аудита для обеспечения соответствия обработки данных законодательству о защите данных и политике, документам и / или местным правилам оператора данных.
– Оценка ущерба, который может быть причинен субъектам данных в случае нарушения законодательства о защите данных.
– Раскрытие соответствующих положений законодательства о защите данных и требований к защите данных, которые определяют его политику, документы и / или местные правила для своих сотрудников.
В любом случае оператор данных должен принять необходимые правовые, организационные и технические меры для защиты личных данных от любого несанкционированного / незаконного или случайного доступа, уничтожения, модификации, блокирования, копирования, предоставления или распространения, а также от любых других несанкционированных действий в отношении персональных данных.Дополнительные меры безопасности могут быть установлены:
– Обнаружение угроз безопасности при обработке персональных данных в соответствующих ИТ-системах.
– Обеспечение надлежащего уровня защиты обработки персональных данных в соответствующих ИТ-системах.
– Применение различных сертифицированных методов защиты персональных данных (включая шифрование).
– Оценка эффективности мер безопасности (до внедрения каких-либо мер безопасности).
– Запись на любой компьютерный носитель, содержащий личные данные.
– Выявление несанкционированного доступа к персональным данным.
– Получение личных данных, которые были изменены или уничтожены из-за несанкционированного доступа.
– Принятие правил, регулирующих доступ к персональным данным, обрабатываемым в соответствующих ИТ-системах, регистрацию и запись всех действий, связанных с персональными данными, в соответствующих ИТ-системах, контроль мер безопасности в отношении персональных данных и уровень защиты соответствующие ИТ-системы.
16. Есть ли требование об уведомлении субъектов данных или национального регулирующего органа о нарушениях безопасности личных данных?
Как правило, закон не требует сообщать об утечке данных субъектам данных или Роскомнадзору.
При обнаружении или обнаружении несанкционированной обработки персональных данных оператор данных (или соответствующее уполномоченное лицо) должен прекратить обработку в течение трех рабочих дней.
Если невозможно преобразовать несанкционированную обработку персональных данных в законную обработку, оператор данных должен уничтожить персональные данные в течение десяти рабочих дней.
После прекращения обработки персональных данных или уничтожения персональных данных оператор данных должен уведомить субъекта данных (или его представителя).
Если запрос о прекращении или уничтожении был сделан Роскомнадзором, уведомление должно быть отправлено в Роскомнадзор.
Обработка третьими сторонами
17. Какие дополнительные требования (если есть) применяются, когда третья сторона обрабатывает данные от имени контроллера данных?
Субъект данных должен дать согласие на передачу персональных данных третьим лицам.Третьи стороны подчиняются тем же юридическим требованиям и обязательствам, что и операторы данных, и должны соблюдать правила обработки данных, определенные законом. Оператор данных будет нести ответственность за все действия или бездействие третьих лиц, действующих с его разрешения, в то время как соответствующие третьи стороны будут нести ответственность перед оператором данных за любое нарушение данных.
Электронная связь
18. При каких условиях контроллеры данных могут хранить файлы cookie или аналогичные устройства на оконечном оборудовании субъекта данных?
Закон не определяет «куки».Также отсутствуют официальные инструкции Роскомнадзора (или другого государственного органа) по использованию, применению или распространению файлов cookie.
В соответствии с Законом о защите данных лицо, распространяющее информацию, должно предоставить адресату явную возможность отклонить информацию (при использовании метода, позволяющего идентифицировать адресата), в том числе при отправке обычных почтовых и электронных сообщений. Поэтому обычно предполагается, что для всех типов файлов cookie требуется согласие субъекта данных (в отсутствие более конкретного законодательства по этому вопросу).
19. Какие требования предъявляются к рассылке нежелательных электронных коммерческих сообщений (спама)?
Незапрашиваемые электронные коммерческие сообщения (спам) в России запрещены. Такие сообщения могут быть отправлены только с предварительного согласия адресата и должны быть немедленно остановлены по его / ее запросу. Несоблюдение этих требований может повлечь за собой различные виды ответственности, в том числе административную.
Международная передача данных
Передача данных за пределы юрисдикции
20.Какие правила регулируют передачу данных за пределы вашей юрисдикции?
Статья 12 Закона о защите личных данных регулирует трансграничные потоки данных. В случае международной передачи персональных данных все операторы данных должны обеспечить (до осуществления передачи), что права и интересы соответствующего субъекта данных полностью защищены надлежащим образом в соответствующей зарубежной стране. Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных.Кроме того, Роскомнадзор утвердил официальный список стран (включая Австралию, Аргентину, Канаду, Израиль, Мексику и Новую Зеландию), которые обеспечивают адекватный уровень защиты для целей трансграничной передачи персональных данных.
Международная передача данных в любую юрисдикцию с адекватным уровнем защиты не подлежит никаким ограничениям при условии получения согласия соответствующего субъекта данных.
Трансграничная передача персональных данных в страны, которые не обеспечивают должного уровня защиты, разрешена только в том случае, если:
– Получено письменное согласие соответствующего субъекта данных.
– Трансграничная передача данных разрешена в соответствии с международным договором, участником которого является Россия.
– Трансграничная передача данных разрешена в соответствии с действующим законодательством, если это необходимо для целей:
– защита конституционного строя России;
– защита обороны государства и безопасности государства;
– обеспечение технического обслуживания транспортной системы России и защита интересов граждан, общества и государства в транспортном секторе от незаконного вторжения.
– Трансграничная передача данных осуществляется для выполнения контракта, стороной которого является субъект данных.
– Трансграничная передача данных необходима для защиты жизни, здоровья или других жизненно важных интересов субъекта данных, и получить его / ее предварительное согласие в письменной форме невозможно.
Обычно компании, действующие в качестве операторов данных, проверяют адекватный уровень защиты данных перед передачей каких-либо личных данных за границу.Кроме того, компании получат письменное согласие от соответствующих субъектов данных или заключат международные соглашения о передаче данных с соответствующими субъектами данных. Следуя этим шагам, компании продолжат передачу данных за границу в соответствии со своими внутренними корпоративными правилами или политиками (если применимо).
21. Есть ли требование хранить (определенные типы) персональных данных внутри юрисдикции?
21 июля 2014 г.242-ФЗ о внесении изменений в некоторые законодательные акты Российской Федерации по разъяснению порядка обработки персональных данных в информационных и телекоммуникационных сетях (Новый Закон о защите данных), вступивший в силу 1 сентября 2015 года.
Новый закон о защите данных вносит поправки в Закон о защите личных данных в основном путем введения:
– Определенные новые обязательства операторов данных по сбору, хранению и обработке персональных данных граждан (физических лиц) России.
– Новый механизм для Роскомнадзора по блокировке веб-сайтов и интернет-ресурсов, незаконно обрабатывающих персональные данные граждан (физических лиц) России.
В частности, Новый Закон о защите данных вводит обязанность всех операторов данных обеспечивать запись, систематизацию, накопление, хранение, изменение и извлечение персональных данных граждан России с использованием центров обработки данных, расположенных на территории Российской Федерации. в процессе сбора соответствующих персональных данных физических лиц, в том числе через Интернет.Это означает, что любые персональные данные граждан России, собираемые операторами данных, должны храниться на серверах, ИТ-системах, базах данных или центрах обработки данных, расположенных в России.
В Новом Законе о защите данных это прямо не оговаривается, но требование интерпретируется как запрещающее хранение персональных данных граждан России за пределами России (без предварительного размещения персональных данных граждан России в России). Таким образом, при буквальном толковании Нового Закона о защите данных местные и иностранные компании (операторы данных) должны обрабатывать или организовывать обработку персональных данных российских граждан в первую очередь в России при соблюдении всех других общих требований законодательство о защите данных.
В целом Новый закон о защите данных не предусматривает:
– Запретить доступ к серверам, ИТ-системам или дата-центрам, находящимся на территории России, из-за границы.
– Установить какие-либо особые ограничения на последующую передачу, в том числе за границу, персональных данных, относящихся к гражданам России.
– Запретить копирование персональных данных граждан России на зарубежные базы данных или серверы.
Договоры передачи данных
22.Предусматриваются или используются ли соглашения о передаче данных? Были ли утверждены какие-либо стандартные формы или прецеденты национальными властями?
Соглашения о передаче данных специально не регулируются законом, но они широко используются на практике, особенно когда в них участвуют иностранные стороны. Роскомнадзор не принял стандартную форму договора о передаче данных. Таким образом, любое соглашение о передаче данных будет составлено в соответствии с конкретными обстоятельствами и подписано сторонами в соответствии с основным принципом свободы контактов.
23. Достаточно ли соглашения о передаче данных для узаконивания передачи или должны быть выполнены дополнительные требования (например, необходимость получения согласия)?
Соглашения о передаче данных обычно достаточно для узаконивания международной передачи личных данных при условии, что согласие субъекта данных прямо указано в таком соглашении или приложено к нему. В некоторых случаях соглашения о передаче данных будут заключаться в виде трехсторонних договоров.
Кроме того, оператор данных должен уведомить Роскомнадзор о своем праве на трансграничную передачу данных во время отправки уведомления для целей регистрации.
24. Должен ли соответствующий национальный регулирующий орган утверждать соглашение о передаче данных?
Роскомнадзору не нужно утверждать или регистрировать договор о передаче данных. Соглашение о передаче данных должно быть подписано соответствующим оператором данных, третьим лицом и субъектом данных в письменной форме, чтобы оно было эффективным и имеющим исковую силу.
Правоприменение и санкции
25. Каковы правоприменительные полномочия национального регулирующего органа?
Роскомнадзор наделен определенными правоприменительными полномочиями и несет ответственность за следующее:
– Отправка запросов физическим / юридическим лицам и получение необходимой информации по обработке данных.
– Проведение проверок и проверка информации, содержащейся в уведомлениях об обработке персональных данных, представленных операторами данных, или взаимодействие с другими государственными органами для этой конкретной цели.
– Исправление, блокирование или уничтожение ложных или незаконно полученных личных данных.
– Ограничение доступа к данным, которые обрабатываются с нарушением законодательства о защите данных (см. Вопрос 21).
– Приостановка или прекращение обработки персональных данных, инициированной нарушением законодательства о защите данных.
– Подача гражданских исков в компетентные суды для защиты прав субъектов данных и представления интересов субъектов данных в суде.
– Подача ходатайств в ФСТЭК, ФСС и другие государственные органы с целью приостановления или аннулирования соответствующих лицензий.
– Подача материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел о нарушениях данных.
– Выдача обязательных постановлений и привлечение виновных к административной ответственности.
26. Каковы санкции и средства правовой защиты за несоблюдение законов о защите данных?
В России несоблюдение законов о защите данных обычно наказуемо:
– Гражданские санкции (например, возмещение морального вреда).
– Административные санкции (например, административные штрафы).
– Уголовные санкции (например, лишение свободы).
Российское законодательство о защите данных в последние годы было достаточно жестким, и субъекты данных направили много жалоб в Роскомнадзор. Также растет число жалоб со стороны операторов данных на приказы и решения Роскомнадзора о наложении различных санкций на операторов данных и блокировке их интернет-ресурсов. В результате национальная прецедентная и судебная практика в отношении санкций за несоблюдение российского законодательства о защите данных продолжает постоянно развиваться.
Поправки к соответствующим законам о защите данных и Кодексу Российской Федерации об административных правонарушениях вступили в силу 1 июля 2017 года, существенно усилив административные санкции за утечку данных. Нарушения защиты данных подразделяются на следующие типы нарушений конфиденциальности, которые подлежат следующим административным штрафам (если нарушение не является преступлением):
– Обработка персональных данных в случаях, не предусмотренных действующим законодательством, и обработка персональных данных, несовместимая с целями обработки (вместо штрафа может быть вынесено предупреждение):
– физические лица: от 1 000 до 3 000 рублей;
– индивидуальные предприниматели: от 5 000 до 10 000 рублей;
– должностные лица компании и государственные служащие: от 5 000 до 10 000 рублей;
– компании: от 30 000 до 50 000 рублей.
– Обработка персональных данных осуществляется без письменного согласия субъекта данных в случаях, когда такое согласие необходимо, или с письменного согласия, не соответствующего обязательным требованиям:
– физические лица: от 3000 до 5000 рублей;
– индивидуальные предприниматели: от 10 000 до 20 000 рублей;
– должностные лица компании и государственные служащие: от 10 000 до 20 000 рублей;
– компании: от 15 000 до 75 000 рублей.
– Отсутствие публикации или предоставления доступа к политике конфиденциальности или информации о требованиях к защите персональных данных (вместо штрафа может быть вынесено предупреждение):
– физические лица: от 700 до 1 500 рублей;
– индивидуальные предприниматели: от 5 000 до 10 000 рублей;
– должностные лица компании и государственные служащие: от 3 000 до 6 000 рублей;
– компании: от 15 000 до 30 000 рублей.
– Непредоставление индивидуальной информации об обработке своих персональных данных (вместо штрафа может быть вынесено предупреждение):
– физические лица: от 1000 до 2000 рублей;
– индивидуальные предприниматели: от 10 000 до 15 000 рублей;
– должностные лица компании и государственные служащие: от 4 000 до 6 000 рублей;
– компании: от 20 000 до 40 000 рублей.
– Невыполнение (в установленный срок) запроса об уточнении, блокировании или уничтожении персональных данных (в случаях, когда персональные данные являются неполными, устаревшими, неточными, незаконно полученными или ненужными для заявленной цели обработки данных) (a вместо штрафа может быть вынесено предупреждение):
– физические лица: от 1000 до 2000 рублей;
– индивидуальные предприниматели: от 10 000 до 20 000 рублей;
– должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;
– компании: от 25 000 до 45 000 рублей.
– Несоблюдение требований безопасности при хранении материальных носителей, содержащих персональные данные, и несанкционированный доступ, который приводит к незаконному или случайному доступу к персональным данным или их уничтожению, изменению, блокированию, копированию, отправке или распространению:
– физические лица: от 700 до 2000 рублей;
– индивидуальные предприниматели: от 10 000 до 20 000 рублей;
– должностные лица компании и государственные служащие: от 4 000 до 10 000 рублей;
– компании: от 25 000 до 50 000 рублей.
– Несоблюдение государственным или муниципальным органом обязательства по анонимизации персональных данных или соблюдение методов или требований анонимности (вместо штрафа может быть вынесено предупреждение): от 3000 до 6000 рублей.
Если Роскомнадзор расследует и выявляет любое нарушение данных, он имеет право:
– Возбуждение дела об административном правонарушении.
– Составить протокол об административном правонарушении в отношении нарушителя.
– Довести дело об административном правонарушении до суда.
– Детали регулятора
Детали регулятора
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
http://eng.rkn.gov.ru
Основные сферы ответственности. Надзор за законной обработкой данных, прием уведомлений, выполнение регистрации и ведения реестра операторов данных, проведение проверок и правоприменения, принятие официальных правил и инструкций.Сайт доступен на английском и русском языках.
Интернет-ресурсы
Роскомнадзор
http://rkn.gov.ru
Описание. Русская версия официального сайта Роскомнадзора. На веб-сайте содержится официальная и актуальная информация о нормах защиты данных, правоприменении и законодательстве в России. На сайте также есть доступ к специальному порталу защиты данных, онлайн-реестру операторов данных и годовым отчетам о деятельности Роскомнадзора.
http://eng.rkn.gov.ru
Описание. Англоязычная версия официального сайта Роскомнадзора. Сайт содержит официальный перевод некоторых страниц русской версии официального сайта Роскомнадзора, а также некоторые юридические аспекты и новости, связанные с защитой данных в России.
http://eng.pd.rkn.gov.ru
Описание. Официальный англоязычный портал защиты данных, поддерживаемый Роскомнадзором. Портал содержит годовые отчеты о деятельности Роскомнадзора, определенную информацию о международной деятельности Роскомнадзора (и его представителей), а также перечень национального и международного законодательства о защите данных.
Вопросы и ответы о странах в области практического права от Thomson Reuters
Сергей Медведев
Почему LinkedIn забанили в России
17 ноября 2016 г. Роскомнадзор включил LinkedIn в базу данных Реестра нарушителей персональных данных как нарушителя прав субъектов данных и направил телекоммуникационным компаниям приказ заблокировать доступ к LinkedIn на территории России. . Приказ (на русском языке) был издан в соответствии с решением Московского районного суда (на русском языке) от 4 августа 2016 года о блокировке LinkedIn, за которым последовало официальное заключение Московского городского суда от 10 ноября, подтверждающее это решение.
Спор, по-видимому, является первой серьезной проверкой российского закона о локализации данных, который был принят в 2014 году и вступил в силу 1 сентября 2015 года. Было установлено, что LinkedIn нарушает требования к локализации данных, а также ряд других другие требования, такие как сбор личных данных от пользователей, не являющихся пользователями, без их согласия до завершения процесса регистрации.
Ниже приведены несколько основных моментов из заключения суда по делу, которые могут повлиять на понимание российского законодательства о конфиденциальности.Обратите внимание, что во многих случаях это просто резюме того, что говорится в заключении суда, хотя факты могут быть оспорены LinkedIn.
Персональные данные. Согласно решению суда, если компания собирает данные от незарегистрированных пользователей, такие как IP-адрес, номер модели устройства и файлы cookie, эти данные считаются персональными данными в России.
Суд установил, что LinkedIn не получала явного письменного согласия пользователей на обработку их персональных данных, и, следовательно, их права были нарушены.Согласно закону, зарубежные страны формально делятся на две группы: страны, обеспечивающие «адекватную защиту личных данных» (в основном, стороны Конвенции 108 ETS, такие как Германия, или страны с комплексным подходом, например, Канада или Израиль) и те, которые не обеспечивают такой защиты – наиболее актуальным примером является US
Кроме того, Роскомнадзор утвердил официальный список (на русском языке) стран (включая Австралию, Аргентину, Мексику и Новую Зеландию), которые могут обеспечить адекватный уровень защиты для целей трансграничной передачи персональных данных.Уровень адекватной защиты измеряется двумя факторами – национальным законодательством о конфиденциальности с основными принципами и адекватным процедурным / правоприменительным механизмом для защиты прав на неприкосновенность частной жизни.
США не попали в список таких стран. Таким образом, если компания желает передать личные данные в США, компания должна получить письменное согласие от субъекта данных. Требуется письменное согласие человека в виде бумажной копии или в электронном формате с действующей электронной подписью.Довод LinkedIn о том, что пользователи дали свое добровольное согласие на использование веб-сайта, был признан недостаточным.
Локализация. Суд пришел к выводу, что серверы LinkedIn расположены только в США, на основании общедоступных данных из базы данных WHOIS. Таким образом, LinkedIn не выполняет требование о передаче данных российских пользователей на серверы, расположенные в России. Согласно закону, персональные данные российских пользователей должны собираться и обрабатываться в России, любые изменения или поправки к таким данным должны всегда собираться, храниться и обрабатываться в России, а любая последующая обработка за рубежом должна быть точно такой же, как и обработка. уже сделано в России.
Порядок следствия. Суд согласился с Роскомнадзором в том, что проверка платформы и проверка общедоступных документов даже без расследования процедуры регистрации являются достаточным доказательством функциональности платформы социальных сетей без необходимости проведения подробного расследования.
Плохая связь. Суд установил, что LinkedIn не приложила все усилия для надлежащего взаимодействия с Роскомнадзором. Агентство предупредило компанию перед тем, как передать дело в суд, но сообщает, что компания не ответила.Представители LinkedIn не присутствовали на первом судебном заседании, несмотря на то, что компания была хорошо информирована (с точки зрения суда) до слушания и что LinkedIn должна была получить уведомление.
Сфера применения. Суд определил, что платформа LinkedIn подчиняется российскому законодательству, поскольку она предлагает русскоязычную версию, доступную по умолчанию для пользователей, получающих доступ к веб-сайту из России, а реклама на сайте предоставляется на русском языке.Таким образом, он нацелен на рынок Российской Федерации после 1 сентября 2015 г. и должен соответствовать российскому закону о локализации данных.
ЗаключениеНа данный момент LinkedIn может подать кассационную жалобу в течение шести месяцев в Московский городской суд, а затем – в Верховный суд России, но это не меняет того факта, что решение вступило в силу. На данный момент LinkedIn не объявил о своих намерениях относительно того, собираются ли они подавать апелляцию.
В то же время LinkedIn может начать работу над программой, чтобы привести в соответствие с постановлением и передать данные российских пользователей на серверы, расположенные в стране. Например, Microsoft Corp. прошла проверку Роскомнадзора в 2016 году, и агентство подтвердило (на русском языке), что Microsoft соблюдает российский закон о локализации данных. Проверка проводилась согласно перечню плановых проверок на 2016 год. Таким образом, есть доказательства возможности создания программы в соответствии с Законом.
Следует отметить, что LinkedIn не входила в список проверок в 2016 году, и от пользователей не поступало никаких заявлений о нарушении их прав. Агентство решило проверить LinkedIn после анализа рынка и информации об утечке данных, произошедшей в 2012 году.
В середине декабря Роскомнадзор опубликовал свой план на 2017 год по проведению проверок соблюдения местными компаниями требований по локализации данных в России. Хорошая новость в том, что U не существует.S. многонациональные компании в списке. Однако было бы неплохо проверить его, чтобы определить, будут ли представители вашей отрасли проходить аудит в следующем году.
В целом, пока не ясно, как часто Роскомнадзор будет обеспечивать соблюдение требований локализации данных, используя только анализ из открытых источников, но на данный момент ясно, что Роскомнадзор обладает достаточными полномочиями, чтобы блокировать веб-сайты в России. Более того, штрафы за несоблюдение, согласно информации Государственной Думы РФ (нижней палаты российского парламента) (на русском языке), будут увеличены.Проект поправки был принят во втором чтении 11 января 2017 г. Таким образом, американские компании должны предпринять шаги для проверки соблюдения ими требований к локализации данных в России, если они планируют выйти на российский рынок.
кредит фото: Россия | Кремль через фотопечать (лицензия) М / п>
Смотрите, но не трогайте – Россия ограничивает обработку общедоступных данных
С 1 марта 2021 года в России будут введены ограничения на обработку персональных данных, общедоступных в Интернете и офлайн.Законодательные изменения направлены на борьбу с неконтролируемым распространением личной информации.
Изменение законного основанияВ соответствии с действующей статьей 6 (1) (10) Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г. любой оператор данных (российский эквивалент термина «контролер») может обрабатывать персональные данные, если данные Субъект сделал его общедоступным или дал указание сделать это другому лицу. В отличие от статьи 6 (1) Общего регламента ЕС по защите данных, нет необходимости обосновывать обработку законными интересами, выполнением контракта, согласием субъекта данных или другими общими законными основаниями.С вступлением в силу «Поправок к Федеральному закону« О персональных данных »№ 519-ФЗ от 30 декабря 2020 года это правило и термин« общедоступные данные »исчезнут.
Поправки вводят новый термин «персональные данные, разрешенные для распространения субъектом данных» и определяют их как персональные данные, доступ к которым предоставляется общественности субъектом данных, давая свое согласие на обработку этих данных. . Проще говоря, согласие субъекта данных станет единственным законным основанием, согласно которому личные данные могут быть размещены в общедоступных источниках и впоследствии использованы любым заинтересованным оператором данных.
Согласно пояснительной записке к поправкам, их цель – предотвратить «сбор и неконтролируемое использование таких персональных данных на веб-сайтах в целях, отличных от первоначальной цели, для которой они были распространены». Однако юридический текст поправок не исключает их применения к офлайн-публикациям данных (например, указание профессиональных биографий в печатных маркетинговых бюллетенях).
Согласие субъекта данных составленияСогласно поправкам, согласие на обработку персональных данных, разрешенных для распространения субъектом данных, должно быть задокументировано отдельно от других форм согласия, если оператор данных запрашивает несколько согласий одновременно.Согласие должно быть составлено таким образом, чтобы субъекты данных могли:
- Ясно выражают готовность сделать личные данные общедоступными.
- Выберите конкретные категории данных для распространения.
- Ограничить способы распространения, за исключением предоставления доступа к данным.
- Устанавливает условия и запреты на обработку распространяемых данных операторами данных, которые имеют доступ к таким данным в общедоступных источниках.
Указанные ограничения, условия и запреты не распространяются на обработку данных в государственных и иных общественных интересах.
Роскомнадзор разработал более конкретные требования к содержанию согласия, но они еще не приняты.
Получение согласия субъекта данныхСубъект данных может либо лично дать согласие оператору данных, стремящемуся распространить персональные данные, либо передать его через специальную ИТ-систему Роскомнадзора. Пока неясно, как будет работать ИТ-система. Роскомнадзор должен ввести его в эксплуатацию 1 июля 2021 года.
Согласно новой статье 10.1 (10) Закона о персональных данных, оператор данных должен опубликовать ограничения, условия и запреты, указанные в согласии, в течение трех рабочих дней с момента его получения. Поправки не уточняют, как должна выглядеть публикация и следует ли ее размещать рядом с публикуемыми данными (например, на той же странице). Операторы данных, осуществляющие доступ к личным данным в общедоступных источниках, должны искать указанные ограничения, условия и запреты и соблюдать их. Они несут бремя доказательства законности обработки данных.
Информирование субъектов данныхВ отличие от статьи 14 GDPR, текущая редакция статьи 18 (4) (3) Закона о персональных данных не требует, чтобы операторы данных информировали субъектов данных об обработке их данных из общедоступных источников. После вступления поправок в силу операторы данных будут освобождены от этой обязанности только в том случае, если они будут соблюдать условия и запреты на обработку распространяемых данных, определенные в согласии.
Прекращение распространения данныхПоправки устанавливают право субъекта данных отозвать согласие в любое время и с немедленным вступлением в силу, уведомив оператора данных без объяснения причин.В этой ситуации , оператор данных может продолжить обработку, за исключением раскрытия категорий данных, перечисленных в уведомлении. Поправки не объясняют, кому субъекты данных могут адресовать свои уведомления – оператору данных, который впервые опубликовал данные, последующим операторам или всем им.
Кроме того, новая статья 10.1 (14) Закона о персональных данных гласит, что субъекты данных могут связываться с любым, кто обрабатывает их данные, и запрещать им распространение, передачу, предоставление и доступ к своим данным или даже подавать иск о таком запрете в случае нарушение требований законодательства, внесенных поправками.Оператор данных, получивший запрещающее уведомление, должен прекратить эти действия в течение трех рабочих дней. Юридический текст не дает никаких указаний на принципиальное различие между этой процедурой и упомянутым отзывом согласия. Вероятно, судебная практика сделает его более ответственным.
Что делать?Новые правила касаются онлайн-бизнеса, особенно компаний, работающих с большими данными, и социальных сетей, рекрутеров, собирающих резюме в Интернете, компаний, размещающих биографии и профили своих сотрудников на корпоративных веб-сайтах, маркетинговых агентств и других предприятий, распространяющих личные данные или использующих любые общедоступные источники. .Таким компаниям представляется разумным поступить следующим образом:
- Проверять свою деятельность по обработке, связанную с общедоступными данными, включая операции на своих корпоративных веб-сайтах.
- Создавать новые шаблоны согласия при утверждении Роскомнадзором требований к их содержанию.
- сопровождать все публикации персональных данных описанием условий обработки, ограничений и запретов, указанных в соответствующем согласии.
- Поручить сотрудникам соблюдать условия обработки, ограничения и запреты, если они используют личные данные из общедоступных источников.
- Обновить процедуры ответа субъектов данных с акцентом на поправки.
- Обновите другие процедуры и документы по обеспечению конфиденциальности, если в них упоминается обработка общедоступных данных на основе устаревшего законодательства.
- Подать в Роскомнадзор уведомление об обновленных персональных данных, если в предыдущем уведомлении упоминалась обработка общедоступных данных.