❗️Завтра последний день подачи изменений по обработке ПД в Роскомнадзор.

Тем, кто ранее уведомлял Роскомнадзор о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 152-ФЗ), нужно не забыть уведомить об изменениях, произошедших в январе 2025 года (относительно направленных ранее сведений).
Основание: ч. 7 ст. 22 152-ФЗ.
Форма уведомления об изменениях на сайте Роскомнадзора: ссылка.

У Вас же есть процессы по ежемесячной оценке необходимости подачи изменений?

О последствиях планируемых изменений по систематическим наблюдениям Роскомнадзора в области персональных данных (далее СН ПД). Если не видели, ссылка на Проект приказа Минцифры РФ.

3 момента через субъективный взгляд:

1. Можно будет проводить СН ПД оператора по жалобе субъекта ПД.

Например, субъект персональных данных может сообщить, что сведения в размещенной политике не соответствуют сведениям в уведомлении Роскомнадзора. РКН издаст приказ на СН ПД, подтвердит. А раз это официальный СН ПД, еще и трансграничку с не уведомлением может найти (если есть Гугл Аналитика, например).

2. Будут требования об удалении незаконно собранных ПД.

Теоретически возможный пример. Вместо согласия на Яндекс.Метрику использовали безальтернативное информирование, значит согласия, как основания обработки, не было, данные собраны незаконно. Вот кейс: информирование не является согласием.
Придется удалить все собранные данные по метрике и сообщить о выполнении.

3. С удалением незаконно собранных данных на стороне "обработчика" будет работать поручивший оператор ПД.

Например, кадровое агентство, действующее по поручению оператора-работодателя, не удалило резюме кандидатов после завершения проекта. Роскомнадзор может направить требование работодателю, работодатель будет разбираться не только у себя (если не удалил), но и с кадровым агентством. Узнать Роскомнадзор может из жалобы кандидата.

Сегодня в СФ РФ рассматривают поправки по ужесточению требований к локализации баз персональных данных (ч. 5 ст. 18 152-ФЗ).

Направляю для свободного использования мнение о применении новых требований к локализации баз персональных данных.

В справке приведены примеры различий правоприменения до 01.07.2025 и после. В том числе, упомянута локализация первичным вводом и локализация «транспортными» каналами.

Не забываем про отношение Роспотребнадзора к перечню третьих лиц в договоре.

Общество включило в договор страхования (Полис) с потребителем согласие на передачу персональных данных в сторонние организации, при этом не указав конкретный перечень третьих лиц, которым оно вправе передать персональные данные потребителя.

Управление Роспотребнадзора по Республике Татарстан установило, что включение таких условий ущемляет права потребителя, и вынесло постановление о привлечении Общества к административной ответственности по части 2 статьи 14.8 КоАП РФ.

Суды согласились с позицией регулятора, отметив, что перечень третьих лиц, кому в дальнейшем будут переданы персональные данные по поручению страховой компании, установить невозможно. У третьих лиц, получивших доступ к персональным данным потребителя, не возникает обязанности сохранять конфиденциальность таких данных. Таким образом, подписав данные условия, потребитель фактически согласился с возможностью обработки его персональных данных третьими лицами. При этом обществом не были учтены установленные законом специальные требования к письменному согласию субъекта персональных данных (ч.4 ст. 9 Закона о персональных данных).

Кроме того, суды отметили, что включение в договор страхования вышеуказанного условия не охвачено самостоятельной волей и интересом потребителя, лишает возможности согласия или отказа в согласии на обработку персональных данных и не соответствует требованиям статьи 16 Закона о защите прав потребителей.

#практика

Еще один ответ об использовании ст. 8 152-ФЗ "общедоступные источники" как способ легализации обработки всем "видимых" ПД работников внутри групп компаний. Первый здесь.

Текст вопроса для полноты:

Прошу разъяснить, могут ли внутренние справочники или иные системы организации, функционирующие в целях информационного обеспечения, доступ к которым имеют исключительно работники организации, а также лица, заключающие с организацией договоры гражданско-правового характера, относиться к общедоступным источникам данных по смыслу статьи 8 Федерального закона от 27.07.2006 N 152-ФЗ (далее – ФЗ-152)?

Также прошу разъяснить, должно ли согласие субъекта персональных данных на обработку его персональных данных в общедоступных источниках, оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, если такие согласия, также, оформляются в письменной форме, согласно требованиям части 4 статьи 9 ФЗ-152 и, в свою очередь, не требуют оформления отдельно от иных согласий субъекта персональных данных на обработку его персональных данных?

P.S. Спасибо, что делитесь ответами Роскомнадзора

Решили командой собрать новостные изменения за февраль по ПДн, положить внутрь ссылки на наши справки и комментарии.
https://lukash.partners/content/PDn_february_2025.pdf

Как Вы легализуете передачу персональных данных "внешним" аудиторам? Если согласиями, то такие согласия не правомерные, так как берутся не в интересах субъектов персональных данных (см. ч. 1 ст. 9 152-ФЗ). Даже если согласия взяли с работников, что в отношении других субъектов (представители контрагентов, самозанятые и т.п.)?

Я и Юлия Белякова написали статью для журнала "Внутренний контроль в кредитной организации", где рассказали о легализации обработки персональных данных при при обязательном внешнем аудите, "не обязательном" внешнем аудите, внутреннем аудите.

Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами

Сейчас статья доступна только по платной подписке на журнал. Позже сможем сделать ее в общем доступе.

Как мы увидели Решение Суда:

1. Добровольное уведомление РКН о факте неправомерной передачи ПДн подтверждает добросовестность оператора в исполнении обязанности по уведомлению, но не свидетельствует об отсутствии вины за «утечку»

2.Договор на оказание услуг по технической защите конфиденциальной информации мог бы освободить компанию от ответственности за «утечку» ПДн (нужна лицензия ТЗКИ) и переложить ее на исполнителя по договору

Общество заключило договор на оказание услуг с ИП по сопровождению и технической поддержке информационных систем. Исполнитель обязан был осуществлять полное обслуживание инфраструктуры ИТ заказчика. В результате хакерской атаки персональные данные работников и клиентов Общества стали доступны неопределенному кругу лиц, о чем Общество уведомило РКН. В нарушение положений ч.1 ст. 6, ст. 7 и ст. 10.1 Федерального закона № 152-ФЗ Общество допустило раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, в связи с чем Общество было привлечено к ответственности по ч.1 ст. 13.11 КоАП РФ.

Отрицая наличие своей вины, Общество указало на следующие обстоятельства:

- Общество предприняло меры, направленные на защиту персональных данных сотрудников, а именно, заключило договор на оказание услуг по сопровождению и технической поддержке информационных систем;

- РКН стало известно о предоставлении неправомерного доступа к базе данных Оператора только ввиду добросовестности Общества, которое добровольно направило уведомление в РКН.

Позиция РКН:
- заключенный договор не содержит в себе услуги по технической защите конфиденциальной информации, в этой связи позиция Общества, что ответственность за данные нарушения несет ИП – ошибочна;

- действия Общества по добровольному обращению в РКН не свидетельствуют об отсутствии вины Общества, так как в данном случае оно действовало добросовестно во исполнение требований ч. 3.1 ст. 21 Федерального закона № 152-ФЗ по уведомлению РКН в случае установления факта неправомерной передачи персональных данных.

Суд поддержал позицию РКН, отметив, что:
- постороннее вмешательство в информационную систему Общества (хакерская атака) при наличии договора с ИП является подтверждением факта неисполнения Обществом обязанности, предусмотренной ст. 7 Федерального закона № 152-ФЗ не раскрывать персональные данные третьим лицам без согласия субъекта персональных данных, а также подтверждением неисполнения или ненадлежащего исполнения обязательств по договору ИП.

На сайте Восьмого кассационного суда общей юрисдикции отсутствуют сведения об обжаловании решения.

#практика

Напомню о деле 2018 года

В рамках договора оказания услуг общество поручило обработку персональных данных соискателей на замещение вакантных должностей третьему лицу. При этом Общество не запрашивало отдельных согласий у кандидатов, а в качестве основания обработки ПДн использовало «Соглашение об оказании услуг по содействию в трудоустройстве…», опубликованное на сайте по поиску работы. По данному соглашению владелец сайта являлся оператором, которому соискатель давал согласие на обработку своих персональных данных. Владелец сайта также мог поручить обработку ПДн соискателей привлекаемых третьим лицам.

Роскомнадзор признал действия Общества нарушением требований части 3 статьи 6 Закона о персональных данных. Суды согласились с регулятором, отметив, что в данном случае оператором, осуществляющим обработку ПДн соискателей и поручившим обрабатывать их третьему лицу, является само Общество, а не владелец площадки. Общество обязано было взять у каждого такого соискателя соответствующее согласие.

#практика

Сегодня последний срок подачи уведомлений в Роскомнадзор по изменениям в обработке ПД, произошедшим в феврале 2025 года. Операторы по ч. 7 ст. 22 152-ФЗ должны подавать сведения ежемесячно не позднее 15-го числа за предыдущий месяц.

Решил, что буду напоминать периодически. В прошлом напоминании я и подписчики отметили, что за неподачу ничего не будет. По КоАП ответственность не большая, но давайте посмотрим шире. Спойлер: возможность подавать изменения - ваш индикатор зрелости privacy-комплаенса.

Трудозатраты по сравнению с ответственностью.

1. За не подачу уведомления об изменениях ответственность по 19.7 КоАП РФ (3-5 тысяч руб.). В то же время нужно организовать ежемесячный (считай постоянный) контроль изменений параметров обработки ПД в компании / группе компаний (цели обработки, перечни ПД, субъекты ПД, нахождение баз данных у обработчиков). Помимо того, что это трудозатратно само по себе, процесс будет работать при высокой зрелости организации процессов обработки ПД в целом. Последнее достижимо не только благодаря ресурсам, но и таким аспектам как культура, поддержка руководства, квалификация и т.д.

2. С 30 мая 2025 года будет действовать новая ч. 10 ст. 13.11 КоАП, где указано "Невыполнение или несвоевременное выполнение ... обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных". Слово намерение корреспондирует с ч. 1 ст. 22 152-ФЗ (первичное уведомление), а не с ч. 7 ст. 22 152-ФЗ (уведомление об изменениях). По моему мнению, новая ч. 10 не будет распространяться на уведомление об изменениях.

Конечно, со временем РКН может подтянуть какую-то казуистику, но:
- если посмотрим на применение ст. 3 ч. 13.11 КоАП РФ, то мы не наблюдаем непризнание политик обработки ПД таковыми, если пропущен один или несколько обязательных условий (аналогия правоприменения).
- выявить однозначно расхождения в реестре и при фактической обработке ПД можно при проверке (но есть нюансы ниже).

Если ответственность не большая, то зачем?

1. Сведения в реестре операторов персональных данных все больше становятся ключевой точкой контроля Роскомнадзора операторов персональных данных. Также со временем субъекты ПД будут опираться на реестр операторов при жалобах.
Здесь можно упомянуть проект приказа Минцифры РФ (систематические наблюдения по жалобам субъекта) и уже действующие индикаторы риска (не соответствие сведений на сайте и в реестре операторов ПД).
Еще подведомственная организация Роскомнадзора (ФГУП ГРЧЦ) развивает функции автоматического контроля сведений о ПД на сайтах.

Непрямая ответственность за не уведомление об изменениях будет выше.

2. Обязанность по ежемесячному уведомлению Роскомнадзора может стать драйвером изменения процессов обработки ПД в лучшую сторону.

Небольшой пример.

Если руководитель отдела продаж (РОП), согласует договор (без DPO/юриста) и соглашается на цель обработки ПД "обработчика" в поручении обработки, а не указывает свою цель оператора (по. ч. 3 ст. 6 152-ФЗ в поручении указывается цель обработки), то у оператора появляется новая цель. Это требует уведомления Роскомнадзора в следующем месяце.
Если РОП понимает, что форсировав согласование договора он не уменьшил свою операционную нагрузку, а даже увеличил, будет более внимательно относится к параметрам обработки ПД в поручениях на обработку (в лучших практиках бизнес участвует в определении и контроле параметров обработки ПД). Для РОПа это будет не просто "хотелка" DPO, а приземленное требование.

3. Возможность ежемесячных уведомлений Роскомнадзора об изменениях в обработке персональных данных является индикатором зрелости privacy-комплаенса. Подумайте, смогли бы Вы сегодня уведомить об изменениях в обработке ПД в прошлом месяце? На сколько достоверно? Если с достоверностью 50%, что мешает дойти до 90% в следующем месяце?

Общаться можно не только в комментариях. Еще есть Прайваси чат, где я и другие эксперты обсуждаем проблемные вопросы легализации обработки ПД. Чат модерируется, нет "потоков сознания" и неконструктивного общения.

Роскомнадзор: хранение и передача способ обработки ПД, при делегировании нужно поручение.
Вопрос задавался в контексте необходимости поручения обработки персональных данных между провайдером хостинга и оператором ПД.

P.S Спасибо, что делитесь ответами

18 марта 2025 года прошел традиционный вебинар «Как защитить бизнес?» для юристов и руководителей промышленных предприятий Псковской области, организованный МКА Арбат.

Напомнил участникам об ужесточении административной ответственности с 30 мая 2025 года за нарушения в области персональных данных и рассказал что делать, чтобы минимизировать риски получения штрафов.

Запись вебинара по ссылке.