Ответ РКН по биометрии (2).docx
33.2 KB
В сообществах поделились ответом Роскомнадзора по Биометрии. Вроде все как всегда в ответе, но обратил внимание на этот нюанс:
"При этом, используя СКУД необходимо обрабатывать только те данные, которые определены в ч. 4 ст. 3 Закона № 572-ФЗ" (добавил ссылку для удобства).
Данную фразу можно понять двояко, но если в строгой интерпритации, то по мнению РКН в биометрических СКУД может быть только фото или голос, никаких там отпечатков ладошек и другой биометрии. Т.е. если хотим обойти 572-ФЗ, используя не голос и не фото, то РКН будет не согласен.
P.S. Спасибо, что делитесь ответами.
"При этом, используя СКУД необходимо обрабатывать только те данные, которые определены в ч. 4 ст. 3 Закона № 572-ФЗ" (добавил ссылку для удобства).
Данную фразу можно понять двояко, но если в строгой интерпритации, то по мнению РКН в биометрических СКУД может быть только фото или голос, никаких там отпечатков ладошек и другой биометрии. Т.е. если хотим обойти 572-ФЗ, используя не голос и не фото, то РКН будет не согласен.
P.S. Спасибо, что делитесь ответами.
👍22😢5❤3🔥3🤔2
Опубликовали сегодня завершающую секцию Privacy Forum 2025 "Персональные данные в IT-компаниях".
В рамках темы эксперты поделились своими рассуждениями о том, как создать баланс взаимоотношений в поручениях на обработку, обсудили вопрос последующей обработки, а также много дискутировали о разграничении ответственности за утечки ПДн.
Модератор - Денис Лукаш, управляющий партнёр "Lukash & Partners"
Участники:
🔹Михаил Кравцов, главный юрист по персональным данным, ГК "Иннотех"
🔹Анастасия Котенева, руководитель юридического направления по странам Евразии группы компаний "Infobip"
🔹Станислав Румянцев, старший юрист, "Городисский и партнеры"
🔹Кристина Боровикова, CDPO в международной финтех компании, соучредитель RPPA.pro
🔹Евгений Царев, руководитель RTM Group, эксперт в области персональных данных
Запись доступна на платформах:
VK video
Rutube
В рамках темы эксперты поделились своими рассуждениями о том, как создать баланс взаимоотношений в поручениях на обработку, обсудили вопрос последующей обработки, а также много дискутировали о разграничении ответственности за утечки ПДн.
Модератор - Денис Лукаш, управляющий партнёр "Lukash & Partners"
Участники:
🔹Михаил Кравцов, главный юрист по персональным данным, ГК "Иннотех"
🔹Анастасия Котенева, руководитель юридического направления по странам Евразии группы компаний "Infobip"
🔹Станислав Румянцев, старший юрист, "Городисский и партнеры"
🔹Кристина Боровикова, CDPO в международной финтех компании, соучредитель RPPA.pro
🔹Евгений Царев, руководитель RTM Group, эксперт в области персональных данных
Запись доступна на платформах:
VK video
Rutube
👍11😢2❤1🔥1😁1
трудовые споры январь 2025.pdf
679.7 KB
Зачастую работники используют ошибки работодателя в работе с ПДн в качестве аргументов в трудовых спорах, осведомленность граждан о правах в области защиты личной информации растет.
В статье январского номера журнала "Трудовые споры" эксперты разобрали, против чего выступают сотрудники в спорах, касающихся персональных данных, и рассказали, как компаниям защититься от внутренних privacy-активистов.
В статье январского номера журнала "Трудовые споры" эксперты разобрали, против чего выступают сотрудники в спорах, касающихся персональных данных, и рассказали, как компаниям защититься от внутренних privacy-активистов.
👍21🔥3👏3
дисциплинарный_бонус_Заключение_Шавин.pdf
143 KB
Напомню, что мы помогаем с легализацией обработки персональных в рекрутинговых и кадровых процессах. Партнером этого трека выступает Василий Шавин, к.ю.н, адвокат, эксперт по трудовому праву. Ссылка на нашу презентацию.
Сегодня Василий решил поделиться небольшой справкой по вопросу применения «дисциплинарного бонуса». Хотя это не совсем про ПД, решил опубликовать. Если Вы "кадровик", будет полезно. Ее можно обсудить в комментариях.
Сегодня Василий решил поделиться небольшой справкой по вопросу применения «дисциплинарного бонуса». Хотя это не совсем про ПД, решил опубликовать. Если Вы "кадровик", будет полезно. Ее можно обсудить в комментариях.
👍9
Справка штрафы 13.12 КоАП.pdf
151.6 KB
В начале февраля в Государственную Думу поступил законопроект о внесении изменений в КоАП РФ в части увеличения административных штрафов и срока давности привлечения к ответственности до 1 года за нарушения правил защиты информации (статья 13.12 КоАП РФ).
Разработчик законопроекта - ФСТЭК России.
Для наглядности подготовил сравнительную таблицу текущих и планируемых штрафов.
Разработчик законопроекта - ФСТЭК России.
Для наглядности подготовил сравнительную таблицу текущих и планируемых штрафов.
😢7👍6👏1
Ключевые тезисы 1-й секции конференции PrivacyForum, проведенной 28 января 2025 года.
Полная запись секции доступна здесь.
Полная запись секции доступна здесь.
👍22🔥1
❗️Завтра последний день подачи изменений по обработке ПД в Роскомнадзор.
Тем, кто ранее уведомлял Роскомнадзор о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 152-ФЗ), нужно не забыть уведомить об изменениях, произошедших в январе 2025 года (относительно направленных ранее сведений).
Основание: ч. 7 ст. 22 152-ФЗ.
Форма уведомления об изменениях на сайте Роскомнадзора: ссылка.
У Вас же есть процессы по ежемесячной оценке необходимости подачи изменений?
Тем, кто ранее уведомлял Роскомнадзор о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 152-ФЗ), нужно не забыть уведомить об изменениях, произошедших в январе 2025 года (относительно направленных ранее сведений).
Основание: ч. 7 ст. 22 152-ФЗ.
Форма уведомления об изменениях на сайте Роскомнадзора: ссылка.
У Вас же есть процессы по ежемесячной оценке необходимости подачи изменений?
😁12
О последствиях планируемых изменений по систематическим наблюдениям Роскомнадзора в области персональных данных (далее СН ПД). Если не видели, ссылка на Проект приказа Минцифры РФ.
3 момента через субъективный взгляд:
1. Можно будет проводить СН ПД оператора по жалобе субъекта ПД.
Например, субъект персональных данных может сообщить, что сведения в размещенной политике не соответствуют сведениям в уведомлении Роскомнадзора. РКН издаст приказ на СН ПД, подтвердит. А раз это официальный СН ПД, еще и трансграничку с не уведомлением может найти (если есть Гугл Аналитика, например).
2. Будут требования об удалении незаконно собранных ПД.
Теоретически возможный пример. Вместо согласия на Яндекс.Метрику использовали безальтернативное информирование, значит согласия, как основания обработки, не было, данные собраны незаконно. Вот кейс: информирование не является согласием.
Придется удалить все собранные данные по метрике и сообщить о выполнении.
3. С удалением незаконно собранных данных на стороне "обработчика" будет работать поручивший оператор ПД.
Например, кадровое агентство, действующее по поручению оператора-работодателя, не удалило резюме кандидатов после завершения проекта. Роскомнадзор может направить требование работодателю, работодатель будет разбираться не только у себя (если не удалил), но и с кадровым агентством. Узнать Роскомнадзор может из жалобы кандидата.
3 момента через субъективный взгляд:
1. Можно будет проводить СН ПД оператора по жалобе субъекта ПД.
Например, субъект персональных данных может сообщить, что сведения в размещенной политике не соответствуют сведениям в уведомлении Роскомнадзора. РКН издаст приказ на СН ПД, подтвердит. А раз это официальный СН ПД, еще и трансграничку с не уведомлением может найти (если есть Гугл Аналитика, например).
2. Будут требования об удалении незаконно собранных ПД.
Теоретически возможный пример. Вместо согласия на Яндекс.Метрику использовали безальтернативное информирование, значит согласия, как основания обработки, не было, данные собраны незаконно. Вот кейс: информирование не является согласием.
Придется удалить все собранные данные по метрике и сообщить о выполнении.
3. С удалением незаконно собранных данных на стороне "обработчика" будет работать поручивший оператор ПД.
Например, кадровое агентство, действующее по поручению оператора-работодателя, не удалило резюме кандидатов после завершения проекта. Роскомнадзор может направить требование работодателю, работодатель будет разбираться не только у себя (если не удалил), но и с кадровым агентством. Узнать Роскомнадзор может из жалобы кандидата.
Telegram
Денис Лукаш | Privacy Expert
Информирование не является фактом получения согласия
🔹Образовательным учреждением при зачислении несовершеннолетнего на обучение были переданы персональные данные субъекта и его законного представителя третьему лицу без полученного на это согласия.
🔹Роскомнадзор…
🔹Образовательным учреждением при зачислении несовершеннолетнего на обучение были переданы персональные данные субъекта и его законного представителя третьему лицу без полученного на это согласия.
🔹Роскомнадзор…
👍9❤5
Справка_по_планируемым_требованиям_к_локализации_баз_ПДн_Lukash.pdf
171.9 KB
Сегодня в СФ РФ рассматривают поправки по ужесточению требований к локализации баз персональных данных (ч. 5 ст. 18 152-ФЗ).
Направляю для свободного использования мнение о применении новых требований к локализации баз персональных данных.
В справке приведены примеры различий правоприменения до 01.07.2025 и после. В том числе, упомянута локализация первичным вводом и локализация «транспортными» каналами.
Направляю для свободного использования мнение о применении новых требований к локализации баз персональных данных.
В справке приведены примеры различий правоприменения до 01.07.2025 и после. В том числе, упомянута локализация первичным вводом и локализация «транспортными» каналами.
👍21🤔3
Не забываем про отношение Роспотребнадзора к перечню третьих лиц в договоре.
Общество включило в договор страхования (Полис) с потребителем согласие на передачу персональных данных в сторонние организации, при этом не указав конкретный перечень третьих лиц, которым оно вправе передать персональные данные потребителя.
Управление Роспотребнадзора по Республике Татарстан установило, что включение таких условий ущемляет права потребителя, и вынесло постановление о привлечении Общества к административной ответственности по части 2 статьи 14.8 КоАП РФ.
Суды согласились с позицией регулятора, отметив, что перечень третьих лиц, кому в дальнейшем будут переданы персональные данные по поручению страховой компании, установить невозможно. У третьих лиц, получивших доступ к персональным данным потребителя, не возникает обязанности сохранять конфиденциальность таких данных. Таким образом, подписав данные условия, потребитель фактически согласился с возможностью обработки его персональных данных третьими лицами. При этом обществом не были учтены установленные законом специальные требования к письменному согласию субъекта персональных данных (ч.4 ст. 9 Закона о персональных данных).
Кроме того, суды отметили, что включение в договор страхования вышеуказанного условия не охвачено самостоятельной волей и интересом потребителя, лишает возможности согласия или отказа в согласии на обработку персональных данных и не соответствует требованиям статьи 16 Закона о защите прав потребителей.
#практика
Общество включило в договор страхования (Полис) с потребителем согласие на передачу персональных данных в сторонние организации, при этом не указав конкретный перечень третьих лиц, которым оно вправе передать персональные данные потребителя.
Управление Роспотребнадзора по Республике Татарстан установило, что включение таких условий ущемляет права потребителя, и вынесло постановление о привлечении Общества к административной ответственности по части 2 статьи 14.8 КоАП РФ.
Суды согласились с позицией регулятора, отметив, что перечень третьих лиц, кому в дальнейшем будут переданы персональные данные по поручению страховой компании, установить невозможно. У третьих лиц, получивших доступ к персональным данным потребителя, не возникает обязанности сохранять конфиденциальность таких данных. Таким образом, подписав данные условия, потребитель фактически согласился с возможностью обработки его персональных данных третьими лицами. При этом обществом не были учтены установленные законом специальные требования к письменному согласию субъекта персональных данных (ч.4 ст. 9 Закона о персональных данных).
Кроме того, суды отметили, что включение в договор страхования вышеуказанного условия не охвачено самостоятельной волей и интересом потребителя, лишает возможности согласия или отказа в согласии на обработку персональных данных и не соответствует требованиям статьи 16 Закона о защите прав потребителей.
#практика
👍23🔥9🤔1👌1
Общедоступные_источники_ответ_Роскомнадзора.pdf
189.9 KB
Еще один ответ об использовании ст. 8 152-ФЗ "общедоступные источники" как способ легализации обработки всем "видимых" ПД работников внутри групп компаний. Первый здесь.
Текст вопроса для полноты:
Прошу разъяснить, могут ли внутренние справочники или иные системы организации, функционирующие в целях информационного обеспечения, доступ к которым имеют исключительно работники организации, а также лица, заключающие с организацией договоры гражданско-правового характера, относиться к общедоступным источникам данных по смыслу статьи 8 Федерального закона от 27.07.2006 N 152-ФЗ (далее – ФЗ-152)?
Также прошу разъяснить, должно ли согласие субъекта персональных данных на обработку его персональных данных в общедоступных источниках, оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, если такие согласия, также, оформляются в письменной форме, согласно требованиям части 4 статьи 9 ФЗ-152 и, в свою очередь, не требуют оформления отдельно от иных согласий субъекта персональных данных на обработку его персональных данных?
P.S. Спасибо, что делитесь ответами Роскомнадзора
Текст вопроса для полноты:
Прошу разъяснить, могут ли внутренние справочники или иные системы организации, функционирующие в целях информационного обеспечения, доступ к которым имеют исключительно работники организации, а также лица, заключающие с организацией договоры гражданско-правового характера, относиться к общедоступным источникам данных по смыслу статьи 8 Федерального закона от 27.07.2006 N 152-ФЗ (далее – ФЗ-152)?
Также прошу разъяснить, должно ли согласие субъекта персональных данных на обработку его персональных данных в общедоступных источниках, оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, если такие согласия, также, оформляются в письменной форме, согласно требованиям части 4 статьи 9 ФЗ-152 и, в свою очередь, не требуют оформления отдельно от иных согласий субъекта персональных данных на обработку его персональных данных?
P.S. Спасибо, что делитесь ответами Роскомнадзора
❤13👍9
Решили командой собрать новостные изменения за февраль по ПДн, положить внутрь ссылки на наши справки и комментарии.
https://lukash.partners/content/PDn_february_2025.pdf
https://lukash.partners/content/PDn_february_2025.pdf
👍24❤5🔥1
Как Вы легализуете передачу персональных данных "внешним" аудиторам? Если согласиями, то такие согласия не правомерные, так как берутся не в интересах субъектов персональных данных (см. ч. 1 ст. 9 152-ФЗ). Даже если согласия взяли с работников, что в отношении других субъектов (представители контрагентов, самозанятые и т.п.)?
Я и Юлия Белякова написали статью для журнала "Внутренний контроль в кредитной организации", где рассказали о легализации обработки персональных данных при при обязательном внешнем аудите, "не обязательном" внешнем аудите, внутреннем аудите.
Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами
Сейчас статья доступна только по платной подписке на журнал. Позже сможем сделать ее в общем доступе.
Я и Юлия Белякова написали статью для журнала "Внутренний контроль в кредитной организации", где рассказали о легализации обработки персональных данных при при обязательном внешнем аудите, "не обязательном" внешнем аудите, внутреннем аудите.
Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами
Сейчас статья доступна только по платной подписке на журнал. Позже сможем сделать ее в общем доступе.
👍25❤4😁3