В дополнение к пояснениям Роскомнадзора об обязанности по публикации политики прилагается слайд презентации со дня открытых дверей Роскомнадзора 2017 года.

Согласно позиции на слайде, отсутствует административная ответственность по ч. 3 ст. 13.11 КоАП РФ за содержание документа, определяющего политику в отношении обработки персональных данных.

Еще в 2017 году Роскомнадзор указывал, что обезличивание возможно только для гос. и мун. органов. С тех пор позиция не изменилась.

Комитет Госдумы по безопасности и противодействию коррупции поддержал концепцию законопроекта о хранении бизнесом внутренней переписки в течение трех лет. С 2016 года такая обязанность распространяется на данные, которые передаются по каналам связи. Теперь предлагается обязать бизнес хранить переписку из технологических сетей связи с номерами автономной системы.

https://iz.ru/1242837/natalia-bashlykova/zapomnit-vse-biznes-khotiat-obiazat-tri-goda-khranit-perepisku-v-zakrytykh-setiakh

Подборка НПА по реформе ЕБС, принятых в последнее время в соответствии с ФЗ от 29.12.2020 N 479-ФЗ. Подготовил Олег Ксенофонтов.

1. Постановление Правительства РФ от 23.10.2021 № 1815 об утв. перечня
- Случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических ПДн в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических ПДн
- Случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в ч.1 ст. 761 ФЗ о ЦБ виды деятельности, субъектами национальной платежной системы, ИП указанных информационных систем для идентификации либо идентификации и аутентификации физ. лица, выразившего согласие на их проведение

http://publication.pravo.gov.ru/Document/View/0001202110260023

2. Приказ Минцифры от 10.09.2021 № 930 об утв.
- Порядка обработки, включая сбор и хранение, параметров биометрических ПДн
- Порядка размещения и обновления биометрических ПДн в ЕБС и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических ПДн
- Требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн в целях проведения идентификации

http://publication.pravo.gov.ru/Document/View/0001202110280037

3. Постановление Правительства РФ от 20.10.2021 № 1799 об
- Аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПДн, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических ПДн

http://publication.pravo.gov.ru/Document/View/0001202110210028

4. Постановление Правительства РФ от 15.10.2021 № 1754 об утв.
- Требований к проверке простой электронной подписи, которой в соответствии с ч. 5 и 23 ст. 14.1 ФЗ "Об информации…" подписаны согласия на обработку ПДн и биометрических ПДн, при хранении указанных согласий

http://publication.pravo.gov.ru/Document/View/0001202110180013

5. Постановление Правительства РФ от 15.10.2021 № 1753 об утв.
- Требований к организационным и техническим условиям осуществления МФЦ предоставления государственных и муниципальных услуг
- Размещения или обновления в ЕСИА, необходимых для регистрации физ. лиц в данной системе
- Размещения биометрических ПДн в ЕБС с использованием программно-технических комплексов

http://publication.pravo.gov.ru/Document/View/0001202110180003

6. Постановление Правительства РФ от 20.10.2021 № 1798 об утв.
- Правил осуществления Роскомнадзором и ФСБ контроля и надзора за соблюдением МФЦ предоставления государственных и муниципальных услуг порядка размещения и обновления биометрических ПДн в ЕБС

http://publication.pravo.gov.ru/Document/View/0001202110210025

Статья TADVISER о том, какие подходы к управлению данными существуют в разных странах мира, включая Россию, и как государства пытаются найти баланс между защитой приватности граждан и получением максимальной выгоды от использования данных для экономического роста.

Узбекистан. "Узкомнадзор в среду ограничил работу социальных сетей и мессенджеров Telegram, Facebook, "Одноклассники" и YouTube из-за нарушения закона о персональных данных.
"По поручению президента начальник Государственной инспекции по контролю в сфере информатизации и телекоммуникациям Голибшер Зияев освобожден от занимаемой должности за ошибочные и несогласованные действия, по произошедшему факту будут проведены следственные действия", - написал Асадов в своем Telegram-канале."

https://ria.ru/20211103/uzbekistan-1757642081.html

Приказ Роскомнадзора от 14 сентября 2021 г. N 183 изменил перечень стран, обеспечивающих адекватный уровень защиты прав субъектов персональных данных (зарегистрировано в Минюсте России 21 октября 2021 года).

Исключены из перечня:
➡️ Аргентинская Республика,
➡️ Королевство Марокко,
➡️ Республика Чили,
➡️ Тунисская Республика.

Включены в перечень:
✅ Народная Республика Бангладеш,
✅ Республика Беларусь,
✅ Республика Замбия,
✅ Республика Нигер,
✅ Республика Таджикистан,
✅ Республика Узбекистан,
✅ Республика Чад,
✅ Социалистическая Республику Вьетнам,
✅ Тоголезская Республика,
✅ Федеративная Республика Бразилия,
✅ Федеративная Республика Нигерия.

О рисках оплаты проезда в метрополитене с использованием Face Pay.

Статьей 86 ТК РФ предусмотрен исключительный перечень случаев обработки персональных данных.

"обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества".

Возникает вопрос, как обрабатывать ПД, например, для целей ДМС или предоставления работникам абонементов на фитнес.

1) Работник и работодатель обязаны соблюдать ЛНА согласно ст. 21 и ст. 22 ТК РФ. Работодатель может принять ЛНА о ДМС, а также об обеспечении бытовых нужд работников, связанных с исполнением ими трудовых обязанностей, в виде корпоративного абонемента на фитнес.
2) Согласно ст. 57 ТК РФ, в трудовой договор могут быть включены условия об улучшении социально-бытовых условий работника и членов его семьи. К этому может относиться и фитнес, и ДМС. Работодатель обязан выполнять условия трудового договора согласно ст. 22 ТК РФ.

Пункт 1 и 2 дадут попадание в ст. 86 ТК РФ "... в целях обеспечения соблюдения законов и иных нормативных правовых актов"

Пост подготовлен на основе комментариев Станислава Румянцева в группе Facebook GDPR&152ФЗ.

Добрый день, коллеги! Делюсь интересным рудебным решением Верховного Суда UK (UKSC) от 10 ноября по коллективному иску против Google: https://www.supremecourt.uk/cases/docs/uksc-2019-0213-judgment.pdf . Коротко говоря, UKSC отклонил аппелацию против решения High Court (EWHC) об отказе в иске. Лорд Leggatt, который дал leading judgement указывает, что истцы не представили доказательств действительного материального или морального (distress) ущерба, который был им нанесен Google. Суть иска была в том, что Google незаконно искользовал cookies, фактически обходя настройки Safari, которые не разрешали этого делать без согласия пользователей. Интересное решение по ряду причин. В частности, в нем подробно разбираются принципы обработки данных, правовые основания и права субъекта. Но самое примечательное, что рельефно выражен старый принцип английского права (уже в Robinson v Harman (1848) упоминается как давно установленный), согласно которому возмещение убытков носит компенсационный характер, а не является наказанием для ответчика, даже, если правонарушение доказано. Это одна из ключевых особенностей английского права, отличающая его от других правовопорядков. Надо сказать, что это правило постепенно смягчается в последнее время. Для взыскания морального вреда (distress, “physical inconvenience”), например, поворотным моментом стало дело Farley v Skinner [2001].

"Биометрические данные должны храниться в единой системе биометрической идентификации, а государство должно быть ответственным за их хранение. Об этом Владимир Путин заявил на международной конференции по искусственному интеллекту и анализу данных AI Journey 2021...

При этом, подчеркнул президент, необходимо обеспечить организациям свободный доступ к информации, но в полностью зашифрованном виде, исключающем любое внешнее вмешательство, открытый доступ к персональным данным человека."

https://www.ntv.ru/novosti/2633201/

Если готовы принять участие в качестве спикера в оффлайн формате, пишите администратору канала в директ или на denis.lukash@infobip.com.

Infobip Privacy Forum. Конференция состоится 25 ноября в гибридном формате при информационной поддержке Forbes.

Мероприятие пройдет в формате пленарных дискуссий, посвященных широкому кругу вопросов работы с персональными данными в бизнесе, в частности:

- Обработка персональных данных.
- Персональные данные в маркетинге и контактных центрах.
- Риски трансграничной обработки персональных данных.
- Приоритеты технической безопасности персональных данных коммерческих компаний.
- Персональные данные в экосистемах.
- Обработка персональных данных в HR-процессах.

Подробнее на странице https://privacyforum.ru.

С сегодняшнего дня вступил в силу закон Республики Беларусь "О защите персональных данных".

До этого Роскомнадзор включил Республику Беларусь в перечень стран, обеспечивающих адекватный уровень защиты прав субъектов персональных данных.

На сайте Управления Роскомнадзора по ЦФО опубликован план контрольных (надзорных) мероприятий на 22 год.
Несколько компаний включены в план по виду деятельности:

"Деятельность операторов и третьих лиц, действующих по поручению оператора, по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации"

https://77.rkn.gov.ru/p23422/p23492/p34878/

Согласно письму Министерства финансов РФ №03-04-05/74802 от 15.09.2021

"К доходам физлиц, в частности, относятся доходы собственников недвижимого имущества от сдачи его в аренду или иного использования, включая доходы собственников общего имущества товарищества собственников недвижимости от его использования"

Какое отношение это имеет к теме персональных данных?

Допустим ТСЖ сдало помещение оператору связи в управляемом доме и получает за это ежемесячную плату. Оператор связи должен заплатить 13% от доходов физлиц по списку собственников. Для этого нужно запросить список собственников с большим количеством данных.

Чтобы обеспечить соответствующее нормативным-правовым актам уничтожение персональных данных, оператору персональных данных необходимо разработать политики и процедуры уничтожения, включающие набор правил и устанавливающие ответственность за соответствующие процессы.

Здесь может помочь опубликованный в конце октября стандарт ISO/IEC 27555:2021, подробнее.

Стандарт был подготовлен на основе немецкого стандарта DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ).

"Мировой судья Хамовнического района Москвы признал компанию Oriflame Cosmetics виновной в нарушении закона о персональных данных (ст.13.11 КоАП) и назначил ей 30 тысяч рублей штрафа".
Наказание в связи с утечкой 1,3 миллионов сканов паспортов.

Подробнее https://www.interfax.ru/moscow/803760

Анонс об Infobip Privacy Forum вышел на сайте Forbes.

Форум пройдет в гибридном формате: очная часть состоится в Москве, в отеле Four Seasons на Охотном ряду, а также на сайте Forbes.ru будет идти онлайн-трансляции события — начало в 10:00.

Запланирована секция Forbes "Обработка персональных данных в бизнесе", модерировать будет Дмитрий Озман, директор по развитию Forbes Russia.

Программа и регистрация по ссылке. Участие в онлайн-формате бесплатное. На оффлайн часть билеты не продаются, только по приглашениям.

В сентябре 2021 года в России на базе ФГУП "ГРЧЦ" (при Роскомнадзоре) создан Центр правовой помощи гражданам в цифровой среде. Его главная задача — это защита прав граждан от незаконных действий, которые связаны с использованием их персональных данных в интернете.

Логично, что Центр защищает граждан в конечном счете, от неправомерной (или даже преступной) обработки данных со стороны операторов персональных данных.

Поскольку работа Центра связана с воздействием на бизнес, мы пригласили на Infobip Privacy Forum Людмилу Николаевну Куровскую, директора Центра правовой помощи гражданам в цифровой среде, к.ю.н, заслуженного юриста Российской Федерации, Почетного работника Прокуратуры Российской Федерации.

Людмила Николаевна подтвердила участие и выступит с небольшим докладом "Проблемные вопросы противодействия мошенничеству путем пресечения незаконного оборота персональных данных в цифровой среде". Начало в 10.00 25-го ноября, дополнения в программу внесены.

Сайт Центра
Сайт конференции

Опубликован "Перечень иностранных лиц, осуществляющих деятельность в сети "Интернет" на территории Российской Федерации" в целях выполнения "закона о приземлении".

https://236-fz.rkn.gov.ru/agents/list

Верховная Рада Украины 18.11.2021г. приняла Закон о публичных электронных реестрах, которым, помимо прочего, в ч.5 ст.6 Закона Украины от 01.06.2010 № 2297-VI "О защите персональных данных" включено следующее положение:

http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=66772

«Запрещается обработка персональных данных, требование о защите которых установлено законом, с помощью технологии облачных вычислений и ЦОД, размещенных за пределами административно-территориальных границ Украины, на временно оккупированной территории и/или принадлежащих субъектам, деятельность которых подпадает под действие Закона Украины «О санкциях» и в отношении которых принято решение о применении санкций в Украине и/или в другой стране мира, а также при несоблюдении требований, определенных Законом Украины «О защите информации в информационно-коммуникационных системах».