Сегодня в СФ РФ рассматривают поправки по ужесточению требований к локализации баз персональных данных (ч. 5 ст. 18 152-ФЗ).

Направляю для свободного использования мнение о применении новых требований к локализации баз персональных данных.

В справке приведены примеры различий правоприменения до 01.07.2025 и после. В том числе, упомянута локализация первичным вводом и локализация «транспортными» каналами.

Не забываем про отношение Роспотребнадзора к перечню третьих лиц в договоре.

Общество включило в договор страхования (Полис) с потребителем согласие на передачу персональных данных в сторонние организации, при этом не указав конкретный перечень третьих лиц, которым оно вправе передать персональные данные потребителя.

Управление Роспотребнадзора по Республике Татарстан установило, что включение таких условий ущемляет права потребителя, и вынесло постановление о привлечении Общества к административной ответственности по части 2 статьи 14.8 КоАП РФ.

Суды согласились с позицией регулятора, отметив, что перечень третьих лиц, кому в дальнейшем будут переданы персональные данные по поручению страховой компании, установить невозможно. У третьих лиц, получивших доступ к персональным данным потребителя, не возникает обязанности сохранять конфиденциальность таких данных. Таким образом, подписав данные условия, потребитель фактически согласился с возможностью обработки его персональных данных третьими лицами. При этом обществом не были учтены установленные законом специальные требования к письменному согласию субъекта персональных данных (ч.4 ст. 9 Закона о персональных данных).

Кроме того, суды отметили, что включение в договор страхования вышеуказанного условия не охвачено самостоятельной волей и интересом потребителя, лишает возможности согласия или отказа в согласии на обработку персональных данных и не соответствует требованиям статьи 16 Закона о защите прав потребителей.

#практика

Еще один ответ об использовании ст. 8 152-ФЗ "общедоступные источники" как способ легализации обработки всем "видимых" ПД работников внутри групп компаний. Первый здесь.

Текст вопроса для полноты:

Прошу разъяснить, могут ли внутренние справочники или иные системы организации, функционирующие в целях информационного обеспечения, доступ к которым имеют исключительно работники организации, а также лица, заключающие с организацией договоры гражданско-правового характера, относиться к общедоступным источникам данных по смыслу статьи 8 Федерального закона от 27.07.2006 N 152-ФЗ (далее – ФЗ-152)?

Также прошу разъяснить, должно ли согласие субъекта персональных данных на обработку его персональных данных в общедоступных источниках, оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных, если такие согласия, также, оформляются в письменной форме, согласно требованиям части 4 статьи 9 ФЗ-152 и, в свою очередь, не требуют оформления отдельно от иных согласий субъекта персональных данных на обработку его персональных данных?

P.S. Спасибо, что делитесь ответами Роскомнадзора

Решили командой собрать новостные изменения за февраль по ПДн, положить внутрь ссылки на наши справки и комментарии.
https://lukash.partners/content/PDn_february_2025.pdf

Как Вы легализуете передачу персональных данных "внешним" аудиторам? Если согласиями, то такие согласия не правомерные, так как берутся не в интересах субъектов персональных данных (см. ч. 1 ст. 9 152-ФЗ). Даже если согласия взяли с работников, что в отношении других субъектов (представители контрагентов, самозанятые и т.п.)?

Я и Юлия Белякова написали статью для журнала "Внутренний контроль в кредитной организации", где рассказали о легализации обработки персональных данных при при обязательном внешнем аудите, "не обязательном" внешнем аудите, внутреннем аудите.

Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами

Сейчас статья доступна только по платной подписке на журнал. Позже сможем сделать ее в общем доступе.

Как мы увидели Решение Суда:

1. Добровольное уведомление РКН о факте неправомерной передачи ПДн подтверждает добросовестность оператора в исполнении обязанности по уведомлению, но не свидетельствует об отсутствии вины за «утечку»

2.Договор на оказание услуг по технической защите конфиденциальной информации мог бы освободить компанию от ответственности за «утечку» ПДн (нужна лицензия ТЗКИ) и переложить ее на исполнителя по договору

Общество заключило договор на оказание услуг с ИП по сопровождению и технической поддержке информационных систем. Исполнитель обязан был осуществлять полное обслуживание инфраструктуры ИТ заказчика. В результате хакерской атаки персональные данные работников и клиентов Общества стали доступны неопределенному кругу лиц, о чем Общество уведомило РКН. В нарушение положений ч.1 ст. 6, ст. 7 и ст. 10.1 Федерального закона № 152-ФЗ Общество допустило раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, в связи с чем Общество было привлечено к ответственности по ч.1 ст. 13.11 КоАП РФ.

Отрицая наличие своей вины, Общество указало на следующие обстоятельства:

- Общество предприняло меры, направленные на защиту персональных данных сотрудников, а именно, заключило договор на оказание услуг по сопровождению и технической поддержке информационных систем;

- РКН стало известно о предоставлении неправомерного доступа к базе данных Оператора только ввиду добросовестности Общества, которое добровольно направило уведомление в РКН.

Позиция РКН:
- заключенный договор не содержит в себе услуги по технической защите конфиденциальной информации, в этой связи позиция Общества, что ответственность за данные нарушения несет ИП – ошибочна;

- действия Общества по добровольному обращению в РКН не свидетельствуют об отсутствии вины Общества, так как в данном случае оно действовало добросовестно во исполнение требований ч. 3.1 ст. 21 Федерального закона № 152-ФЗ по уведомлению РКН в случае установления факта неправомерной передачи персональных данных.

Суд поддержал позицию РКН, отметив, что:
- постороннее вмешательство в информационную систему Общества (хакерская атака) при наличии договора с ИП является подтверждением факта неисполнения Обществом обязанности, предусмотренной ст. 7 Федерального закона № 152-ФЗ не раскрывать персональные данные третьим лицам без согласия субъекта персональных данных, а также подтверждением неисполнения или ненадлежащего исполнения обязательств по договору ИП.

На сайте Восьмого кассационного суда общей юрисдикции отсутствуют сведения об обжаловании решения.

#практика

Напомню о деле 2018 года

В рамках договора оказания услуг общество поручило обработку персональных данных соискателей на замещение вакантных должностей третьему лицу. При этом Общество не запрашивало отдельных согласий у кандидатов, а в качестве основания обработки ПДн использовало «Соглашение об оказании услуг по содействию в трудоустройстве…», опубликованное на сайте по поиску работы. По данному соглашению владелец сайта являлся оператором, которому соискатель давал согласие на обработку своих персональных данных. Владелец сайта также мог поручить обработку ПДн соискателей привлекаемых третьим лицам.

Роскомнадзор признал действия Общества нарушением требований части 3 статьи 6 Закона о персональных данных. Суды согласились с регулятором, отметив, что в данном случае оператором, осуществляющим обработку ПДн соискателей и поручившим обрабатывать их третьему лицу, является само Общество, а не владелец площадки. Общество обязано было взять у каждого такого соискателя соответствующее согласие.

#практика

Сегодня последний срок подачи уведомлений в Роскомнадзор по изменениям в обработке ПД, произошедшим в феврале 2025 года. Операторы по ч. 7 ст. 22 152-ФЗ должны подавать сведения ежемесячно не позднее 15-го числа за предыдущий месяц.

Решил, что буду напоминать периодически. В прошлом напоминании я и подписчики отметили, что за неподачу ничего не будет. По КоАП ответственность не большая, но давайте посмотрим шире. Спойлер: возможность подавать изменения - ваш индикатор зрелости privacy-комплаенса.

Трудозатраты по сравнению с ответственностью.

1. За не подачу уведомления об изменениях ответственность по 19.7 КоАП РФ (3-5 тысяч руб.). В то же время нужно организовать ежемесячный (считай постоянный) контроль изменений параметров обработки ПД в компании / группе компаний (цели обработки, перечни ПД, субъекты ПД, нахождение баз данных у обработчиков). Помимо того, что это трудозатратно само по себе, процесс будет работать при высокой зрелости организации процессов обработки ПД в целом. Последнее достижимо не только благодаря ресурсам, но и таким аспектам как культура, поддержка руководства, квалификация и т.д.

2. С 30 мая 2025 года будет действовать новая ч. 10 ст. 13.11 КоАП, где указано "Невыполнение или несвоевременное выполнение ... обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных". Слово намерение корреспондирует с ч. 1 ст. 22 152-ФЗ (первичное уведомление), а не с ч. 7 ст. 22 152-ФЗ (уведомление об изменениях). По моему мнению, новая ч. 10 не будет распространяться на уведомление об изменениях.

Конечно, со временем РКН может подтянуть какую-то казуистику, но:
- если посмотрим на применение ст. 3 ч. 13.11 КоАП РФ, то мы не наблюдаем непризнание политик обработки ПД таковыми, если пропущен один или несколько обязательных условий (аналогия правоприменения).
- выявить однозначно расхождения в реестре и при фактической обработке ПД можно при проверке (но есть нюансы ниже).

Если ответственность не большая, то зачем?

1. Сведения в реестре операторов персональных данных все больше становятся ключевой точкой контроля Роскомнадзора операторов персональных данных. Также со временем субъекты ПД будут опираться на реестр операторов при жалобах.
Здесь можно упомянуть проект приказа Минцифры РФ (систематические наблюдения по жалобам субъекта) и уже действующие индикаторы риска (не соответствие сведений на сайте и в реестре операторов ПД).
Еще подведомственная организация Роскомнадзора (ФГУП ГРЧЦ) развивает функции автоматического контроля сведений о ПД на сайтах.

Непрямая ответственность за не уведомление об изменениях будет выше.

2. Обязанность по ежемесячному уведомлению Роскомнадзора может стать драйвером изменения процессов обработки ПД в лучшую сторону.

Небольшой пример.

Если руководитель отдела продаж (РОП), согласует договор (без DPO/юриста) и соглашается на цель обработки ПД "обработчика" в поручении обработки, а не указывает свою цель оператора (по. ч. 3 ст. 6 152-ФЗ в поручении указывается цель обработки), то у оператора появляется новая цель. Это требует уведомления Роскомнадзора в следующем месяце.
Если РОП понимает, что форсировав согласование договора он не уменьшил свою операционную нагрузку, а даже увеличил, будет более внимательно относится к параметрам обработки ПД в поручениях на обработку (в лучших практиках бизнес участвует в определении и контроле параметров обработки ПД). Для РОПа это будет не просто "хотелка" DPO, а приземленное требование.

3. Возможность ежемесячных уведомлений Роскомнадзора об изменениях в обработке персональных данных является индикатором зрелости privacy-комплаенса. Подумайте, смогли бы Вы сегодня уведомить об изменениях в обработке ПД в прошлом месяце? На сколько достоверно? Если с достоверностью 50%, что мешает дойти до 90% в следующем месяце?

Общаться можно не только в комментариях. Еще есть Прайваси чат, где я и другие эксперты обсуждаем проблемные вопросы легализации обработки ПД. Чат модерируется, нет "потоков сознания" и неконструктивного общения.

Роскомнадзор: хранение и передача способ обработки ПД, при делегировании нужно поручение.
Вопрос задавался в контексте необходимости поручения обработки персональных данных между провайдером хостинга и оператором ПД.

P.S Спасибо, что делитесь ответами

18 марта 2025 года прошел традиционный вебинар «Как защитить бизнес?» для юристов и руководителей промышленных предприятий Псковской области, организованный МКА Арбат.

Напомнил участникам об ужесточении административной ответственности с 30 мая 2025 года за нарушения в области персональных данных и рассказал что делать, чтобы минимизировать риски получения штрафов.

Запись вебинара по ссылке.

Запрос сведений об обработке ПДн в Банк по электронной почте.

Гражданин направил по электронной почте Банку претензию относительно неправомерного направления на номер его мобильного телефона СМС- сообщения рекламного характера, а также просил предоставить ему сведения относительно его персональных данных (в силу части 7 статьи 14 №152-ФЗ). Банк не предоставил запрашиваемые сведения в установленный срок, и гражданин обратился в суд с иском о признании незаконным бездействия Банка.

Суд первой инстанции требования гражданина удовлетворил, указав что:

- гражданин реализовал право на получение информации об обработке его ПДн, направив
соответствующий запрос, однако Банк свою обязанность по ответу в 10-дневный срок не выполнил, хотя был обязан предоставить ответ на запрос вне зависимости от того, какого характера ответ - положительного или отрицательного;

- факт получения письма с претензией подтверждается электронным отчетом о доставке.

Также суд отметил, что части 1, 3 статьи 20 № 152-ФЗ предусматривают две самостоятельные обязанности оператора ПДн, а именно:

1. предоставление информации (направления ответа на запрос);

2. предоставление субъекту ПДн возможности ознакомления с его персональными данными. Банк вне зависимости от предоставления ответа на запрос (письменного изложения перечня запрашиваемой информации), мог направить гражданину разъяснение о способе, месте и времени его ознакомления с персональными данными, и при наличии сомнений в личности обратившегося лица, устранить их перед непосредственным ознакомлением субъекта с персональными данными.
 
Вышестоящие судебные инстанции не согласились с данным выводом, аргументируя следующим:

- оператор обязан предоставить ответ на запрос субъекта ПДн, направленный посредством электронной почты, только в случае подписания такого запроса усиленной квалифицированной подписью (УКЭП);

- у Банка отсутствовала объективная возможность идентифицировать лицо, направившее требование в нарушение установленного законом порядка;

-  направление ответа Банком на запрос, не подписанный УКЭП, являлось бы нарушением законодательства, запрещающего распространение данных клиентов неустановленным источникам;
 
- имелись основания для освобождения банка от обязанности предоставить гражданину информацию об обработке его ПДн, связанные с заключенным между сторонами договором банковского обслуживания;

- действия гражданина могут расцениваться как злоупотребление правом с целью формирования условий для искусственного создания обстоятельств, формально влекущих к возникновению видимости нарушения Банком прав гражданина и необоснованному возникновению обязанности у Банка по выплате гражданину денежного возмещения.

#практика

Приходите 7 апреля 2025 года в Холидей ИНН Сокольники (Москва). Пройдет конференция "Защита данных".

В секции с 16.15 до 18.00 выступлю с темой "Новая ответственность за нарушения в области обработки персональных данных. Взгляд практикующего DPO" с коллегами из Газпромбанк, ГК «Гарда», ГК Infowatch.

Вторая часть секции - это дискуссия со спикерами под модераторством Евгения Царева (RTM Group). Сможем пообщаться по темам ниже. Участие бесплатное.

К обсуждению будут:

1. Обзор актуальных изменений в нормативных актах – что нового и как это затронет компании.
2. Персональные данные и риски – на что обратить внимание, чтобы избежать нарушений.
3. Инциденты и штрафы – почему важно выстраивать процедуры реагирования и какие санкции предусмотрены в 2025 году.
4. Практика расследования нарушений – реальные кейсы, ошибки компаний и рекомендации по защите данных.
5. Как эффективно подготовиться к новым требованиям, минимизировать риски и выстроить надежную систему защиты данных

Полная программа и регистрация на конференцию https://datasec.ib-bank.ru/

Если у Вас не было времени посмотреть все секции конференции Privacy Forum 2025, можно быстро прочитать основные тезисы по секциям.

Подборку тезисов разместили на сайте.

🔹Проблемы внутреннего контроля за обработкой персональных данных в России
🔹Персональные данные в иностранных юрисдикциях
🔹Персональные данные в образовательных организациях
🔹Точки пересечения персональных данных, интеллектуальной собственности и рекламы
🔹Персональные данные в IT-компаниях

Сами записи всех секций доступны на платформах VK и Rutube.

Опубликован проект приказа "Об утверждении требований к обезличиванию
‎персональных данных и методов обезличивания
‎персональных данных".

Ключевое:

🔹В продолжение 152-ФЗ обезличивание является способом обработки персональных данных, осуществляемым по определенной документированной методике.

🔹Проект приказа определяет концептуально методы обезличивания, детальная методика по обезличиванию будет устанавливаться оператором.

🔹Оценка достаточности разработанной оператором методики обезличивания остается под ответственностью оператора.

🔹До обезличивания и после это будут персональные данные. От соблюдения требований 152-ФЗ обезличивание не освободит.

🔹При обезличивании необходимо предпринять перечисленные в проекте приказа меры (безопасность, определение субъектов ПД и перечней ПД, учет действий/операций с ПД и т.п.).

P.S Если в поручениях на обработку каким-то образом указано обезличивание, повод убрать (иначе объясняться) или определить в договоре "обработчику" методику (ее определяет оператор). Аналогично и с ЛНА по ПД.

Ранее давал ссылку на первый в 2025 году номер  журнала "Внутренний контроль в кредитной организации", где я и Юлия Белякова опубликовали статью

"Легализация передачи персональных данных при работе с внешними и внутренними консультантами и аудиторами".

Теперь статья не только в доступе по подписке, но и бесплатно для подписчиков канала (полный текст статьи во вложении).

Спасибо издательскому дому "Регламент".

Легализация обработки персональных данных тесно связана с другими направлениями информационного права (да и не информационного тоже).

В команде Lukash & Partners давно предлагают размешивать в канале тему ПДн смежными правовыми событиями, имеющими высокое воздействие на предпринимательскую среду. Тем более, что мы смежные вопросы тоже закрываем для наших клиентов ⬇️

Запрет рекламы на ресурсах нежелательных и запрещённых организаций

25 марта 2025 года Госдума окончательно одобрила законопроект, который вводит запрет на распространение рекламы на информационных ресурсах иностранных или международных неправительственных организаций, признанных нежелательными, запрещёнными и ограниченными на территории РФ.

Закон вступит в силу с 1 сентября 2025 года (при одобрении Советом Федерации и Президентом).

🔹Нельзя будет распространять рекламу:
1. На ресурсах организаций, деятельность которых признана нежелательной.
2. На ресурсах организаций, деятельность которых запрещена (экстремистские и террористические).
3. На иных ресурсах, доступ к которым ограничен по решению Роскомнадзора (можно проверять на сайте РКН).

🔹Ответственность за нарушения будут нести как рекламодатели, так и рекламораспространители.

🔹Штрафы составят:
⦁ для ФЛ: от 2 000 до 2 500 руб.;
⦁ для ДЛ: от 4 000 до 20 000 руб.;
⦁ для ЮЛ: от 100 000 до 500 000 руб.

🔹На обсуждении законопроекта Хинштейн А.Е. отметил, что «ответственность, безусловно, будет наступать в отношении тех действий, которые произойдут с момента вступления закона в силу».

Однако пока не устоится практика привлечения к ответственности за нарушения новых требований, мы не можем утверждать, что не будут привлекать за уже размещенную рекламу. Такая вероятность есть, по аналогии, например, с практикой привлечения к ответственности по ч. 16 ст. 14.3 КоАП РФ (дело о несоблюдении требований к маркировке рекламы, размещенной до утверждения Требований) и практикой привлечения к ответственности по ч.1 ст.20.3 КоАП РФ (дело о размещение в соц.сети сообщений с символикой организации, впоследствии признанной экстремистской)

В обоих случаях, суды аргументировали свою позицию тем, что правонарушением является сам факт демонстрации ненадлежащего контента без учета даты ее первого распространения.

Из пояснительной записки к законопроекту следует, что он направлен на прекращение финансирования российскими пользователями владельцев запрещенных информационных ресурсов, на которых распространяется запрещенная в РФ информация.

Рекомендуется провести аудит рекламных кампаний до сентября 2025 года, а также планомерно переходить на другие рекламные площадки.

Свежее письмо Минцифры РФ по общедоступным источникам, соответствующее ранее приведенной позиции Роскомнадзора.

Рабочий механизм для легализации корпоративных справочников в группах компаний.

P.S. Спасибо, что делитесь ответами

Не все комментарии телеграм прикрепляет к посту. Если вступить в чат, который прикреплен к постам для комментариев (таков механизм телеграм), то можно будет увидеть больше комментариев про общедоступные источники ПД.

По результатам обсуждения письма МЦ об общедоступных источниках ПД у Кирилла родилась статья, которую уже опубликовал.