🎙 Контент на выходные: команда Privacy Tech в гостях у Git.Legal

Пока вы планируете, как провести выходные, предлагаем вам интересный контент. Мы не могли упустить возможность поговорить об автоматизации в сфере privacy, поэтому в конце прошлого года заглянули в гости к Ивану Мелихову (Git.Legal) и рассказали о нашем проекте. Благодарим за тёплый приём 🫶.

Мы обсудили:
⚫️Как появилась идея автоматизации функции DPO
⚫️Что из себя представляет сервис PrivacyLine и какие задачи он решает
⚫️Наш подход к сочетанию автоматизации и консалтинга
⚫️Планы на будущее

Смотрите на RuTube или слушайте подкаст в Podster или Я.Музыка

Канал Ивана: Git.Legal

✏️ Кейс: удалить не значит уничтожить

Сегодня разбираем достаточно свежее решение суда (декабрь 2023 года), которое напоминает нам о последствиях поручения обработки третьему лицу, сроках реагирования на запросы субъектов, а также о том, как важно понимать различия между уничтожением и удалением.

Обстоятельства дела:

Собственница земельного участка в СНТ «Барсуки» обратилась к председателю СНТ с требованием уничтожить её персональные данные. Она указала, что её ФИО, номер участка и домашний адрес были переданы в ООО «СНТклуб» для бухгалтерского обслуживания без её письменного согласия.

СНТ уведомило ООО о том, что данные собственницы необходимо уничтожить, и ООО подтвердило, что выполнило это. Однако позднее собственница получила на свою электронную почту квитанцию от бухгалтера ООО об оплате за очередной месяц со своими персональными данными.

После этого собственница обратилась с жалобой в Управление Роскомнадзора указав, что несмотря на ее требование, ее персональные данные не были уничтожены. При рассмотрении жалобы Управление запросило у ООО пояснения о том, почему данные не были уничтожены. ООО пояснило, что данные были ошибочно восстановлены из резервной копии базы данных 1С, что привело к их повторному использованию.

Что решил суд:

Суд привлек СНТ к административной ответственности по ч. 5 ст. 13.11 КоАП РФ за несвоевременное выполнение требования субъекта об уничтожении персональных данных. Поскольку СНТ поручило обработку персональных данных ООО, именно СНТ несет ответственность перед собственницей за действия ООО (с учетом ч. 5 ст. 6 Закона о персональных данных).

Суд назначил СНТ наказание в виде предупреждения, поскольку учёл смягчающие обстоятельства (совершение правонарушения впервые, отсутствие вреда и имущественное положение СНТ как некоммерческой организации, которая существует только за счёт членских взносов).

О каких нюансах регулирования нам напоминает это решение:

⚫️Необходимо отличать уничтожение и удаление персональных данных. В судебном решении эти слова используются практически как синонимы, но такой подход некорректен. Напомним, что легальное определение уничтожения предполагает невозможность восстановить персональные данные. Соответственно, при уничтожении персональных данных, их необходимо уничтожать как в основной базе данных, так и в ее резервных копиях.

⚫️Оператор несёт ответственность за обработчика, в том числе в части обеспечения сроков и полноты уничтожения персональных данных. Поэтому при поручении обработки персональных данных важно уделять особое внимание процедуре контроля за прекращением обработки персональных данных обработчиком.

⚫️Для поручения обработки персональных данных третьему лицу оператор должен иметь надлежащее правовое основание. Суд не прокомментировал этот момент прямо, но представитель Роскомнадзора выразил позицию о том, что основанием передачи данных для обработки по поручению могут быть только согласие или прямое указание закона, которых в данном случае не было (между тем, по вопросу о допустимых основаниях поручения обработки есть и другая позиция).

Отсутствие учёта процессов обработки данных = штраф?

Сегодня разберем дело из судебной практики (июнь 2023 года), которое является достаточно классическим примером привлечения к ответственности за такое нарушение, как неопубликование политики обработки персональных данных. Но помимо этого, это дело напоминает нам о важности такой составляющей комплаенса, как инвентаризация и подготовка реестра процессов обработки персональных данных.

Обстоятельства дела:

Транспортная прокуратура провела проверку в отношении компании, которая вела деятельность по бронированию авиаперевозок. Проверка выявила несколько нарушений: (1) не опубликована политика в отношении обработки данных, (2) не организована обработка обращений субъектов персональных данных, а также (3) не разработаны документы, которые определяют для каждой цели обработки параметры, установленные в п. 2 ч. 1 ст. 18.1 Закона о персональных данных:

⚫️Категории и перечень обрабатываемых персональных данных;
⚫️Категории субъектов, персональные данные которых обрабатываются;
⚫️Способы обработки персональных данных;
⚫️Сроки обработки и хранения персональных данных;
⚫️Порядок уничтожения персональных данных.

Прокуратура потребовала привлечь к административной ответственности по ч. 3 ст. 13.11 КоАП РФ директора общества, которая была назначена ответственной за организацию обработки персональных данных.

Что решил суд:

Суд установил, что материалы проверки транспортной прокуратуры подтверждают нарушение и назначил директору (как должностному лицу) наказание в виде штрафа в минимальном размере, поскольку к моменту рассмотрения дела нарушения уже были устранены.

Чем интересно это решение:

⚫️Это дело — хорошее напоминание о том, что не только Роскомнадзор может составлять протокол об административном правонарушении. Прокуратура тоже может возбуждать дела об административных правонарушениях в сфере персональных данных. Мы изучили немало судебной практики и с уверенностью можем сказать, что прокуратура активно пользуется этим правом.

⚫️Суд при обосновании ответственности директора прямо указал на факт назначения его лицом, ответственным за обработку персональных данных, а также указал на неисполнение обязанности ответственного лица в качестве основания для назначения наказания.

⚫️И прокуратура, и суд назвали в качестве основания назначения наказания не только неопубликование политики, но и отсутствие документов, определяющих параметры обработки персональных данных.

Основой исполнения обязанностей по ч. 2 ст. 18.1 Закона о персональных данных является инвентаризация и документирование процессов обработки персональных данных. Как делать это с помощью реестра процессов обработки и о том, как вести его правильно и удобно, написали отдельную статью (читать ➡️ здесь ⬅️).

Privacy Day 🎉

Каждый год 28 января мы наблюдаем рост количества публикаций о важности приватности и защиты данных. Почему? Потому что в этот день, уже 44 года назад, был принят один из ключевых международных документов в области защиты частной жизни — Конвенция № 108.

В этот день мы предлагаем вспомнить не только о защите данных (хотя мы уверены, что вы об этом и не забывали), но и подумать о чаяниях тех, кто стоит на страже этой самой защиты — о DPO. Чего же не хватает DPO?

Бизнес-завтрак Nextons для фармацевтического бизнеса

Вопросы обработки персональных данных актуальны для любой компании, и фармацевтический бизнес не исключение. Помимо стандартных процессов обработки персональных данных, в фарме есть и свои особенности: обработка данных в рамках клинических исследований и фармаконадзора, при работе с KOL и развитии цифровых сервисов.

Сегодня на бизнес-завтраке Nextons для фармацевтического бизнеса обсудили главные события и инициативы 2024 года в сфере регулирования персональных данных. Событий и инициатив было много, но мы выбрали ключевые:
⚫️Изменение ответственности в КоАП РФ и УК РФ;
⚫️Изменения в правилах контрольной (надзорной) деятельности, включая новые правила проведения профилактических визитов;
⚫️Введение специального порядка обезличивания персональных данных для создания датасетов и тренировки ИИ.

Также вспомнили инициативы прошлого года, которые могут получить свою реализацию в 2025 году:
🔷ужесточение требования о локализации персональных данных;
🔷требование оформлять согласие на обработку персональных данных отдельно от других документов;
🔷введение института уполномоченных операторов;
🔷введение обязательных стандартов работы с персональными данными.

Прикладываем презентацию, подготовленную для мероприятия:

📖 Читать презентацию здесь

Персональные данные и ИИ

Использование персональных данных для обучения ИИ давно перестало быть теоретическим вопросом и стало реальной проблемой задачей для DPO. Так, если датасет, используемый для обучения ИИ, потенциально содержит персональные данные, необходимо оценить:

1) Возможности для предварительной анонимизации данных в датасете, чтобы они больше не могли быть отнесены к персональным, но датасет при этом остался полезным;

2) Возможное основание обработки персональных данных, которые не могут быть исключены из датасета.

С точки зрения российского законодательства о персональных данных потенциально применимыми могут быть несколько оснований:

⚫️Согласие на обработку персональных данных (практически нереалистичный вариант, который с учетом права субъекта на отзыв согласия еще и не очень надежен).

⚫️ Обработка персональных данных в исследовательских целях (в целом рабочее основание, которое, однако, плохо сочетается с любого рода коммерциализацией).

⚫️ «Законный интерес». По сути, единственное основание, которое может применяться относительно универсально. При этом оператор должен соблюсти требование об отсутствии "нарушения прав и свобод субъекта персональных данных". Пределы указанных прав и свобод весьма размыты, особенно, в условиях отечественного правоприменения.

Как мы видим, очевидно надежных и универсальных решений непосредственно в законе не обнаруживается. Пока российский надзорный орган хранит молчание по вопросу, DPO может черпать вдохновение в творчестве зарубежного регулятора.

EDPB опубликовал в декабре 2024 года рекомендации, связанные с соблюдением privacy при работе с ИИ. В них рассмотрены такие вопросы, как, например, анонимизация персональных данных, возможность использования законного интереса в качестве основания для разработки ИИ, последствия незаконной обработки данных, использование сторонних датасетов.

Тем же, кто хочет погрузиться в тему более глубоко, может быть интересен опыт экспертов сообщества RPPA, которые уже работают с ИИ в контексте персональных данных. Практические нюансы такой работы будут разбираться на курсе AI Governance.

Новые правила проведения профилактических визитов

28 декабря 2024 года вступил в силу Федеральный закон № 540-ФЗ, который внес целый ряд изменений в порядок осуществления контроля и надзора (наш пост с общим обзором изменений). Сегодня подробнее разберём новые правила проведения профилактических визитов. В последнее время они стали одним из основных инструментов регуляторов. Активно ими пользуется и Роскомнадзор.

Ожидаем, что в развитие этих изменений в обозримом будущем будут внесены соответствующие изменения и в Положение о контроле за обработкой персональных данных.

Подготовили для вас сравнительную таблицу нового и старого регулирования — смотреть тут.

🔎На что DPO стоит обратить особенное внимание?

⚫️Изменение правил проведения обязательных профилактических визитов. Обязательный профилактический визит (ст. 52.1 ФЗ № 248) инициируется контрольным (надзорным) органом в случаях, предусмотренных законом. Отказ от такого визита теперь невозможен.

Непосредственно из закона следует, что такие визиты должны проводиться в отношении объектов высокого риска. Периодичность проведения визитов для объектов значительного, среднего и умеренного рисков должна быть определена Правительством по отдельным видам контроля (но пока такая периодичность не определена). С учетом внесенных изменений обязательные визиты становятся похожими на полноценные проверки.

Важно, что на профилактические визиты не распространяется мораторий, установленный Постановлением Правительства № 336.

⚫️Расширение полномочий инспектора. При обязательном визите инспектор теперь вправе не только запрашивать документы и информацию, но и проводить осмотр, инструментальное обследование, испытания, а также экспертизу.

⚫️Возможность выдать предписание. При обнаружении нарушений в рамках обязательного визита теперь может быть выдано предписание об их устранении, если такие нарушения не устранены до окончания проведения визита.

Фреймворки для DPO. Data Protection Audit Framework

Мы начинаем серию постов про международные и зарубежные фреймворки для организации обработки персональных данных и приватности.

Сегодня поговорим о Data Protection Audit Framework от британского регулятора ICO. Это один из самых свежих фреймворков — выпущен в октябре 2024 года. В этом посте сделаем общий обзор его содержания, а в одном из следующих — расскажем про конкретные рекомендации, которые показались нам наиболее полезными и интересными.

Что такое фреймворк и чем он полезен для DPO?

Фреймворк — это структурированный набор подходов, который помогает организовать работу над какой-то задачей или проектом. Он строится вокруг конкретных целей или требований (например, законов) и описывает практические шаги по их выполнению.

Простой пример: чтобы обработка данных соответствовала закону, нужно:
1. Определить, зачем и какие данные собираются, выбрать подходящее законное основание.
2. Зафиксировать это документально.
3. Повторять эти шаги перед запуском каждого нового процесса обработки.

Фреймворки обычно помогают наладить процессы и организацию работы, но не разъясняют конкретные законы. Пока в России нет своего фреймворка, можно ориентироваться на проверенные международные и зарубежные подходы.

📄 Из чего состоит Data Protection Audit Framework?

⚫️ Toolkits
ICO предлагает «группы» рекомендаций по отдельным направлениям. Есть самый общий «Accountability», где описаны все основные процессы в работе DPO (учёт, отношения с контрагентами, обработка обращений и т.д.). Если решите познакомиться с фреймворком, мы рекомендуем начать именно с этого раздела. Есть и более узкие toolkits: про обучение сотрудников, передачу данных, искусственный интеллект, утечки и др.

⚫️Trackers
Это большие «чек-листы» в виде Excel-табличек, которые помогают отслеживать реализацию положений фреймворка.  На каждый toolkit есть свой трекер. В них выписаны все требования и для каждого можно указать текущий статус его выполнения, какие действия были предприняты, ответственных лиц и другие параметры. Наш регулятор при проверке очень оценил бы, если бы у оператора был похожий трекер, заполненный с учетом утвержденного проверочного листа🙂.

⚫️ Case studies (кейсы)
Фреймворк включает раздел с примерами практической реализации положений фреймворка реальными организациями. Сейчас раздел состоит преимущественно из «историй успеха», где компании благодарят ICO за прекрасный фреймворк с минимумом конкретики. Тем не менее, было бы радостно когда-нибудь увидеть аналогичные отзывы на сайте нашего регулятора.

🎁 Сам фреймворк написан на английском, но мы перевели и адаптировали часть, посвящённую учёту процессов обработки данных (DPO может быть полезно сравнить с ним свои подходы) — смотреть тут.

DPO отвечает | #Фреймворки

✏️ Кейс: Утечка длиною в жизнь

Через три месяца вступит в силу штраф за повторную утечку персональных данных (ч. 15 и 18 ст. 13.11 КоАП РФ). И это не просто штраф, а штраф в процентах от оборота компании. Мы решили проверить, привлекались ли компании ранее к ответственности за повторные утечки, и нашли несколько судебных решений. Сегодня разберем одно из них — достаточно свежее решение суда от сентября 2023 года.

Обстоятельства дела:

Управление Роскомнадзора по ЦФО в ходе мониторинга интернет-ресурсов обнаружило в открытом доступе базу данных ПАО «ВымпелКом», содержащую персональные данные клиентов: ФИО, номера телефонов, паспортные данные и адреса прописки. Компания уведомила Роскомнадзор об этой утечке 2 и 4 июня 2023 года, указав, что в базе содержатся данные, актуальные на 2006 год, и что они были распространены неустановленным третьим лицом.

Роскомнадзор квалифицировал этот инцидент как повторное нарушение и составил протокол по ч. 1.1 ст. 13.11 КоАП РФ, поскольку в феврале 2023 года компания уже привлекалась к ответственности по ч. 1 ст. 13.11 КоАП РФ — тоже за утечку.

Позиция защиты:

Защитник компании заявил, что отсутствуют признаки повторности, а срок давности привлечения к административной ответственности истек, ведь база данных была размещена в сети Интернет еще в 2006 году. Кроме того, он подчеркнул, что направление уведомления об утечке — это не признание вины, а просто исполнение обязанности, предусмотренной законом.

Что решил суд?

Суд признал нарушение длящимся. Днём обнаружения правонарушения была определена дата, когда в сети была размещена информация об утечке — 1 июня 2023 года. Это подтверждалось уведомлениями компании об утечке и скриншотами.

Суд отклонил довод защиты о том, что уведомление об утечке не может быть основанием для возбуждения дела. Суд указал, что добровольное сообщение об утечке не препятствует возбуждению производства, если событие правонарушения установлено. Однако учел это как смягчающее обстоятельство со ссылкой на п. 3 ч. 1 ст. 4.2 КоАП РФ (добровольное сообщение о совершенном административном правонарушении). В итоге штраф составил минимальные 100 000 рублей.

О чём нам напоминает это решение?

Новая редакция ст. 13.11 КоАП выделяет утечку персональных данных в отдельное правонарушение. Но риски, вытекающие из этого судебного решения, останутся актуальными:

⚫️Утечка как длящееся нарушение. Если данные продолжают находиться в открытом доступе, суды могут квалифицировать это как длящееся правонарушение. Срок давности в таких случаях отсчитывается с момента фактического обнаружения нарушения или когда оно могло быть обнаружено. Даже если утечка произошла до 30 мая 2025 года, есть риск, что штрафы будут накладываться по новым составам ст. 13.11 КоАП РФ (несмотря на то, что закон не имеет обратной силы).

⚫️Уведомление как подтверждение нарушения. Суд может расценить уведомление об утечке как подтверждение факта нарушения.

Решение было оставлено в силе в апелляции. Более того, похожие аргументы позже были использованы в решении суда по другому делу.

Дайджест постов канала «DPO отвечает» за период с января по февраль

В январе и феврале у канала появилось много новых читателей (🫶), поэтому мы решили сделать для вас дайджест публикаций.

Разбор изменений и трендов регулирования:

⚫️Изменения в контроле и надзоре
28 декабря 2024 года приняли поправки в закон о госконтроле. Мы разобрали изменения, которые затронут контроль за обработкой персональных данных. Теперь внеплановые документарные проверки требуют согласования с прокуратурой, а утечка данных в интернет — повод для проверки.

⚫️Обзор основных изменений регулирования за 2024 год
На бизнес-завтраке для фармбизнеса рассказали про ключевые изменения и тренды в регулировании обработки персональных данных. Презентация — по ссылке.

⚫️Новые правила проведения профилактических визитов
Разобрали изменения в регулировании профилактических визитов. Теперь они стали больше похожи на проверки. Сравнительная табличка старого и нового регулирования — по ссылке.

Интересные судебные решения:

⚫️Кейс: удалить не значит уничтожить
Свежий кейс напомнил нам, что удаление данных — не то же самое, что их уничтожение, а контроль обработчиков входит в задачи операторов.

⚫️Отсутствие учета процессов обработки = штраф?
Классический случай: компанию оштрафовали за неопубликованную политику обработки данных и отсутствие учёта процессов после проверки прокуратуры. Рассказали подробности дела и подготовили статью о том, как вести такой учет с помощью реестра процессов — читайте здесь.

⚫️Кейс: утечка длиною в жизнь
Рассмотрели дело о повторной утечке, в котором суд признал нарушение длящимся и расценил уведомление об утечке как подтверждение факта нарушения.

Про организацию и автоматизацию задач DPO:

⚫️Privacy Tech в гостях у Git.Legal
В конце 2024 года обсудили с Иваном Мелиховым (Git.Legal) автоматизацию задач DPO и сервис PrivacyLine. Интервью доступно на RuTube, а также в подкастах на Я.Музыке и Podster.

⚫️Персональные данные и ИИ
Как использовать персональные данные для обучения ИИ в рамках закона? Мы рассмотрели основания обработки и подсказали, где искать вдохновение.

⚫️Фреймворки для DPO: Data Protection Audit Framework
Начали серию постов о международных фреймворках и сделали обзор Data Protection Audit Framework от ICO. Это руководство помогает структурировать работу DPO. Адаптированный перевод части фреймворка про учёт процессов — по ссылке.

Мы продолжим рассказывать про тренды регулирования, интересные кейсы, автоматизацию задач DPO и многое другое. Спасибо, что читаете! ❤️

DPO отвечает | #дайджест