Статьей 86 ТК РФ предусмотрен исключительный перечень случаев обработки персональных данных.

"обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества".

Возникает вопрос, как обрабатывать ПД, например, для целей ДМС или предоставления работникам абонементов на фитнес.

1) Работник и работодатель обязаны соблюдать ЛНА согласно ст. 21 и ст. 22 ТК РФ. Работодатель может принять ЛНА о ДМС, а также об обеспечении бытовых нужд работников, связанных с исполнением ими трудовых обязанностей, в виде корпоративного абонемента на фитнес.
2) Согласно ст. 57 ТК РФ, в трудовой договор могут быть включены условия об улучшении социально-бытовых условий работника и членов его семьи. К этому может относиться и фитнес, и ДМС. Работодатель обязан выполнять условия трудового договора согласно ст. 22 ТК РФ.

Пункт 1 и 2 дадут попадание в ст. 86 ТК РФ "... в целях обеспечения соблюдения законов и иных нормативных правовых актов"

Пост подготовлен на основе комментариев Станислава Румянцева в группе Facebook GDPR&152ФЗ.

Добрый день, коллеги! Делюсь интересным рудебным решением Верховного Суда UK (UKSC) от 10 ноября по коллективному иску против Google: https://www.supremecourt.uk/cases/docs/uksc-2019-0213-judgment.pdf . Коротко говоря, UKSC отклонил аппелацию против решения High Court (EWHC) об отказе в иске. Лорд Leggatt, который дал leading judgement указывает, что истцы не представили доказательств действительного материального или морального (distress) ущерба, который был им нанесен Google. Суть иска была в том, что Google незаконно искользовал cookies, фактически обходя настройки Safari, которые не разрешали этого делать без согласия пользователей. Интересное решение по ряду причин. В частности, в нем подробно разбираются принципы обработки данных, правовые основания и права субъекта. Но самое примечательное, что рельефно выражен старый принцип английского права (уже в Robinson v Harman (1848) упоминается как давно установленный), согласно которому возмещение убытков носит компенсационный характер, а не является наказанием для ответчика, даже, если правонарушение доказано. Это одна из ключевых особенностей английского права, отличающая его от других правовопорядков. Надо сказать, что это правило постепенно смягчается в последнее время. Для взыскания морального вреда (distress, “physical inconvenience”), например, поворотным моментом стало дело Farley v Skinner [2001].

"Биометрические данные должны храниться в единой системе биометрической идентификации, а государство должно быть ответственным за их хранение. Об этом Владимир Путин заявил на международной конференции по искусственному интеллекту и анализу данных AI Journey 2021...

При этом, подчеркнул президент, необходимо обеспечить организациям свободный доступ к информации, но в полностью зашифрованном виде, исключающем любое внешнее вмешательство, открытый доступ к персональным данным человека."

https://www.ntv.ru/novosti/2633201/

Если готовы принять участие в качестве спикера в оффлайн формате, пишите администратору канала в директ или на denis.lukash@infobip.com.

Infobip Privacy Forum. Конференция состоится 25 ноября в гибридном формате при информационной поддержке Forbes.

Мероприятие пройдет в формате пленарных дискуссий, посвященных широкому кругу вопросов работы с персональными данными в бизнесе, в частности:

- Обработка персональных данных.
- Персональные данные в маркетинге и контактных центрах.
- Риски трансграничной обработки персональных данных.
- Приоритеты технической безопасности персональных данных коммерческих компаний.
- Персональные данные в экосистемах.
- Обработка персональных данных в HR-процессах.

Подробнее на странице https://privacyforum.ru.

С сегодняшнего дня вступил в силу закон Республики Беларусь "О защите персональных данных".

До этого Роскомнадзор включил Республику Беларусь в перечень стран, обеспечивающих адекватный уровень защиты прав субъектов персональных данных.

На сайте Управления Роскомнадзора по ЦФО опубликован план контрольных (надзорных) мероприятий на 22 год.
Несколько компаний включены в план по виду деятельности:

"Деятельность операторов и третьих лиц, действующих по поручению оператора, по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации"

https://77.rkn.gov.ru/p23422/p23492/p34878/

Согласно письму Министерства финансов РФ №03-04-05/74802 от 15.09.2021

"К доходам физлиц, в частности, относятся доходы собственников недвижимого имущества от сдачи его в аренду или иного использования, включая доходы собственников общего имущества товарищества собственников недвижимости от его использования"

Какое отношение это имеет к теме персональных данных?

Допустим ТСЖ сдало помещение оператору связи в управляемом доме и получает за это ежемесячную плату. Оператор связи должен заплатить 13% от доходов физлиц по списку собственников. Для этого нужно запросить список собственников с большим количеством данных.

Чтобы обеспечить соответствующее нормативным-правовым актам уничтожение персональных данных, оператору персональных данных необходимо разработать политики и процедуры уничтожения, включающие набор правил и устанавливающие ответственность за соответствующие процессы.

Здесь может помочь опубликованный в конце октября стандарт ISO/IEC 27555:2021, подробнее.

Стандарт был подготовлен на основе немецкого стандарта DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ).

"Мировой судья Хамовнического района Москвы признал компанию Oriflame Cosmetics виновной в нарушении закона о персональных данных (ст.13.11 КоАП) и назначил ей 30 тысяч рублей штрафа".
Наказание в связи с утечкой 1,3 миллионов сканов паспортов.

Подробнее https://www.interfax.ru/moscow/803760

Анонс об Infobip Privacy Forum вышел на сайте Forbes.

Форум пройдет в гибридном формате: очная часть состоится в Москве, в отеле Four Seasons на Охотном ряду, а также на сайте Forbes.ru будет идти онлайн-трансляции события — начало в 10:00.

Запланирована секция Forbes "Обработка персональных данных в бизнесе", модерировать будет Дмитрий Озман, директор по развитию Forbes Russia.

Программа и регистрация по ссылке. Участие в онлайн-формате бесплатное. На оффлайн часть билеты не продаются, только по приглашениям.

В сентябре 2021 года в России на базе ФГУП "ГРЧЦ" (при Роскомнадзоре) создан Центр правовой помощи гражданам в цифровой среде. Его главная задача — это защита прав граждан от незаконных действий, которые связаны с использованием их персональных данных в интернете.

Логично, что Центр защищает граждан в конечном счете, от неправомерной (или даже преступной) обработки данных со стороны операторов персональных данных.

Поскольку работа Центра связана с воздействием на бизнес, мы пригласили на Infobip Privacy Forum Людмилу Николаевну Куровскую, директора Центра правовой помощи гражданам в цифровой среде, к.ю.н, заслуженного юриста Российской Федерации, Почетного работника Прокуратуры Российской Федерации.

Людмила Николаевна подтвердила участие и выступит с небольшим докладом "Проблемные вопросы противодействия мошенничеству путем пресечения незаконного оборота персональных данных в цифровой среде". Начало в 10.00 25-го ноября, дополнения в программу внесены.

Сайт Центра
Сайт конференции

Опубликован "Перечень иностранных лиц, осуществляющих деятельность в сети "Интернет" на территории Российской Федерации" в целях выполнения "закона о приземлении".

https://236-fz.rkn.gov.ru/agents/list

Верховная Рада Украины 18.11.2021г. приняла Закон о публичных электронных реестрах, которым, помимо прочего, в ч.5 ст.6 Закона Украины от 01.06.2010 № 2297-VI "О защите персональных данных" включено следующее положение:

http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=66772

«Запрещается обработка персональных данных, требование о защите которых установлено законом, с помощью технологии облачных вычислений и ЦОД, размещенных за пределами административно-территориальных границ Украины, на временно оккупированной территории и/или принадлежащих субъектам, деятельность которых подпадает под действие Закона Украины «О санкциях» и в отношении которых принято решение о применении санкций в Украине и/или в другой стране мира, а также при несоблюдении требований, определенных Законом Украины «О защите информации в информационно-коммуникационных системах».

Ссылка на завтрашнюю трансляцию Infobip Privacy Forum, начало в 10.00 мск.
Forbes

Ссылаясь на законный интерес (п. 7 ч. 1 ст. 6 152-ФЗ) Шестнадцатый арбитражный апелляционный суд обязал Управление Федеральной миграционной
службы по Ставропольскому краю предоставить сведения о зарегистрированных лицах в объекте недвижимости по иску банка.

Постановление по делу № А63-12601/2014

У пострадавшей совпали ФИО и дата рождения. Если у вас проблемы из-за штрафов другого гражданина, то "«Для этого физическим лицам необходимо заполнить форму электронного обращения в сервисе «Интернет-приёмная», выбрав тему «Я двойник!». Данная форма обращения также даёт возможность прикрепить документы, позволяющие однозначно идентифицировать гражданина: копию паспорта, СНИЛС, ИНН. На рассмотрение обращения, идентификацию гражданина, устранение нарушений и ответ заявителю отводится два дня», — сообщили RT в ФССП"

Статья

Ксения Шудрова письменно повторила ответы на вопросы, адресованные ей на Infobip Privacy Forum в секции Техническая безопасность ПД.

Вопросы.
1. Какой процент от продукта или услуги нужно заложить в ИБ ПДн, Маркетинг или публичное наказание нарушителя может быть все-таки дешевле?
2. Функция ИБ ПДн часто выполняется централизовано. Должен ли кто-то в холдинге из 5-15 компаний получить лицензию ФСТЭК для этого, как можно без лицензий? Если функцию ИБ выполняет иностранная компания, например, материнская?
3. Email, мессенджеры — это ИСПДН? Могут ли коммерческие компании работать с физлицами через них, что учесть?

Ответы по ссылке.
https://shudrova.blogspot.com/2021/11/blog-post.html

ЮНЕСКО приняло глобальные стандарты в сфере ИИ
https://en.unesco.org/artificial-intelligence/ethics

Презентация директора Центра правовой помощи гражданам в цифровой среде, представленная на Infobip Privacy Forum.
Запись доклада здесь начиная с 37 минуты.

Антимонопольный комитет Италии оштрафовал компании Google и Apple на 10 млн евро каждую за "агрессивные практики", связанные с коммерческим использованием пользовательских данных.

Как сообщил регулятор, обе компании не предоставляют четкие сведения по сбору и использованию данных пользователей своих сервисов. При настройке учетной записи в Google система работает таким образом, что пользователю ничего другого не остается, как принять условия обработки данных. То же самое касается Apple.

Подробнее: https://www.securitylab.ru/news/526929.php

Опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 29.09.2021 № 1015 "Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима"

По смыслу приказа
1. В течение 1 дня блокировка, в течение 7 дней уничтожение.
2. Уничтожение производится с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
3. Составляется Акт с приложением подтверждающих документов.
4. Акт направляется в Роскомнадзор, ФСБ.

http://publication.pravo.gov.ru/Document/View/0001202111290065?index=0&rangeSize=1