Знакомство с администратором канала @privacyexpert

Кто меня не знает, сайт-визитка или страница в FB. Работаю с персональными данными по законодательным требованиям России, ЕС, Турции, Казахстана и других стран.

Где меня можно увидеть в ближайшее время и пообщаться.

➡️ 06 октября в 11.00 на конференции Customer Experience Forum. Выступлю с докладом “Персональные данные клиентов. Как избежать штрафов до 18 миллионов рублей”. Там же приму участие в круглом столе по построению омниканального клиентского сервиса с учетом информационной безопасности (конференция платная).

➡️ 06 октября в 14.00 на конференции Customer Contacts Week выступаю с темой
“Особенности законной обработки персональных данных в контактных центрах“ (конференция платная).

➡️ 13 октября приму участие в межблогерском вебинаре Сергея Борисова (блог) и Ксении Шудровой (блог), регистрация здесь https://proib.timepad.ru/event/1805278 . Участие бесплатное.
Тема “О безопасном использовании мессенджеров для корпоративных задач и в бизнес-процессах компании”. Онлайн-формат, можно будет задать мне вопрос.
Вопросы заранее можно отправлять Ксении в FB.

Ответ Минцифры РФ об обработке биометрических персональных данных для целей идентификации и аутентификации в связи с вступлением в силу с 01 января 2022 года отдельных поправок в Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Спасибо Алексею Мунтяну за запрос.

За первую неделю работы Центра правовой помощи гражданам в цифровой среде поступило несколько десятков обращений.

Его специалисты бесплатно консультируют россиян, которые стали жертвами незаконного использования персональных данных.

Эксперты уже начали готовить документы для подачи исков в суды и жалоб в другие инстанции.

Источник Роскомнадзор.

14 октября 60 минутный вебинар от Европейских экспертов по теме "Международная передача персональных данных из Европейского региона: практические подходы к совместимой передаче из ЕС, Швейцарии и Великобритании". Язык английский.

Постановление о привлечении Google по ч. 8 ст. 13.11 КоАП РФ (базы ПД не в РФ). Ссылка на первоисточник на сайте суда.
Также, файл постановления для удобства во вложении.

Из интересного:
1. Защитник по делу делал ставку на процессуальные основания для отказа в привлечении к адм. ответственности.
2. То, что в РФ пользуются сервисами Google доказыванию не подлежит, цитата: "Безусловно, (Google) базируется в Соединенных Штатах Америки, не имеет представительств в Российской Федерации, но вместе с тем, утверждать о том, что Компания не ведет никакой фактической деятельности в Российской Федерации, значит отрицать не подлежащие доказыванию обстоятельства, а именно то, что многие граждане Российской Федерации пользуются многочисленными сервисами Google"
3. Поясняющий ответ Google с ссылкой на https://safety.google.com в ответ на запрос "Где данные?" использовался как одно из доказательств совершения АП.

Много других интересных деталей в файле постановления.

Постановление о привлечении WhatsApp LLC по ч. 8 ст. 13.11 КоАП РФ (базы ПД не в РФ). Ссылка на первоисточник на сайте суда.
Также, файл постановления для удобства во вложении. На данный момент подана апелляция.

Из интересного.
Как известно, WhatsApp работает через приложения. В качестве доказательств сбора ПД на сервера не на территории РФ использовался результат проверки IP-адреса через https://2ip.ru/whois. Вероятно, главной страницы сайта WhatsApp. О связи сбора ПД через приложения с использованием зафиксированного IP - адреса упоминаний нет.
Защитника от WhatsApp на рассмотрении дела не было.

Многие думаю, что если нет сайта, то публиковать политику в отношении обработки персональных данных не требуется. Такая логика связана с риском штрафа до 60 тысяч рублей.

Часть 2 статьи 18.1 152-ФЗ упоминает не сайт, а сбор персональных данных с использованием информационно-телекоммуникационных сетей.

Например, если компанией осуществляется сбор резюме с использованием электронной почты, то на нее распространяется требование о публикации политики в отношении обработки ПД в Интернет (с Email связаны и другие вопросы).

Кроме того, часть 2 статьи 18.1 152-ФЗ не указывает конкретно про "Интернет", а про информационно-телекоммуникационные сети (ИКС) в целом. Понятие ИКС установлено в п. 4 ст. 2 ФЗ № 149-ФЗ от 27.07.2006 года,

"информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники"

под это понятие подпадают, например, внутренние "сети" группы компаний.

Даже если нет сбора ПД с использованием ИКС, все равно требуется публиковать или иным образом предоставлять неограниченный доступ к политике в отношении обработки ПД, например, в бумажном виде (см. первое предложение ч. 2 ст. 18.1 152-ФЗ).

Такие же требования и к публикации сведений о реализуемых требованиях к защите персональных данных.

За невыполнение требований предусмотрена ответственность по ч. 3 ст. 13.11 КоАП РФ (штраф на должностное до 12 000 р., на ИП до 20 000 р., на юрлицо до 60 000 р.)

Знакомство с администратором канала @privacyexpert

С кем не знаком, сайт-визитка или страница в FB.

20 октября в 10:00-10:30 меня можно встретить на церемонии открытия Eurasian Data Protection Congress (EDPC). Буду как организатор экспертного сообщества Privacy Club. Хочется, что бы больше опытных DPO узнали о нем и приходили на экспертные встречи. Спасибо организаторам EDPC, что поддерживают.

С 16:00 до 17:30 в этот же день на EDPC принимаю участие в панельной дискуссии DPO. Здесь я как DPO Infobip (по странам Евразии). Будет возможность присылать мне вопросы.

22 октября в 19.00, как член жури, буду на награждении Russian Privacy Awards 2021. Кто не успел подать заявки, то сюда. Даже если Вы не не пройдете в финал, для меня это возможность узнать о Вас через ваш проект.

"Компании навязывают гражданам согласие на обработку и передачу персональных данных, которые потом кочуют из одной базы в другую, используются для спама, агрессивной рекламы и даже попадают к мошенникам. Мы подготовим масштабную реформу, которая положит конец этому беспределу"

«Любая компания, которая отважится рассылать спам и звонить по «холодной базе», должна понимать, что она может стать банкротом в течение месяца»

Подробнее https://regnum.ru/news/polit/3394437.html

Если на какой-то конференции или курсе повышения квалификации Вам объясняли, что согласно 152-ФЗ есть Обработчики и Операторы персональных данных, а передача и поручение - это взаимозаменяемые типы отношений, презентации с такими трактовками можно переместить в папку "устаревшее".

Позиция Роскомнадзора: у нас другая правовая система, все являются операторами, всегда есть передача персональных данных, которая может быть с поручением и без поручения, обработчик - это частная функция Оператора персональных данных.

Вопрос (цитата) Ю.Контемирову - начальнику Управления по защите прав субъектов персональных данных Роскомнадзора на последней онлайн конференции и ответ на него:

"Европейское законодательство разделяет взаимоотношения Контролер-Контролер и Контролер-Процессор. Какова позиция Роскомнадзора по 152-ФЗ, отделено ли поручение оператора на обработку от передачи? Можно ли говорить об отношениях Оператор-Оператор при передаче и Оператор - "Обработчик" при поручении Оператора?"

Ответ:

"В российском законодательстве нет разделений на операторов и обработчиков, как в GDPR. Все – операторы."

На данный момент некоторые представители экспертного сообщества считают такую позицию оспоримой. Но пока протоколы составляют не они, при имплементации решений, отличных от мнения Роскомнадзора, нужно иметь ввиду риск, а значит и управление этим риском.

Что помимо слов? Позиции Роскомнадзора соответствует новый порядок проведения контроля (надзора) за персональными данными, в котором было дополнено понятие "Оператор", установленное в 152-ФЗ.

Согласно п. 1 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденным ПП РФ РФ от 29 июня 2021 г. № 1046

Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Какие последствия несет смешение понятий Обработчика и Оператора?
1. Больше сложностей при внедрении единых бизнес-процессов в нескольких юрисдикциях (например в РФ и ЕС), включая договорные отношения.
2. Всем, кто считал, что ст. 22 152-ФЗ распространялась только на операторов (цитата "Оператор до начала обработки персональных данных обязан уведомить..."), должны внести изменения в уведомление Роскомнадзора, дополнив функцией "Обработчика".
3. Соглашения о поручении оператору на обработку по ч. 3 ст. 6 152-ФЗ должны включать больше деталей о передаваемых ПД по этому поручению. Это нужно "Обработчику". Теперь как Оператор он должен не только соблюдать договорные требования по защите из ст. 19 152-ФЗ и но и сам применять недостающие.

Управление Роскомнадзора по Центральному округу не стало пересматривать обращение относительно обработки номера телефона в связи со спам-звонками. Предложило его обжаловать в установленном порядке.
Спасибо Елене Себякиной за предоставление копии.

Есть ли плюсы от смешения понятий Обработчика и Оператора по 152-ФЗ в дополнение к последствиям?

По GDPR выделение ролей Контролера и Процессора хоть носит и правовую природу, но весьма условную. В любой момент у Обработчика может появится в отношении данных, обрабатываемых по поручению (инструкциям Контролера), функция Контролера. Например, при ответе на запрос правоохранительных органов (таких случаев может быть много в зависимости от сферы деятельности).

Плюсы видятся с позиции субъекта персональных данных и Оператора: "Обработчик" будет прозрачней для обоих, будет больше вкладываться в соблюдение законодательства.

Можно ли назначить юридическое лицо в качестве ответственного за организацию обработки персональных данных?

Возможность такого назначения упомянута в перечне сведений, указываемых в уведомлении об обработке персональных данных (п. 7.1. ч. 3 ст. 22 152-ФЗ). Т.е. присутствует отсылка в законе.

"7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты"

Также Роскомнадзор предлагает указать стороннюю организацию в выпадающем списке электронной формы уведомления.