Виды приватности

Согласно общепринятой классификации разделяют четыре вида приватности.

🔹ТЕЛЕСНАЯ дает право на защиту от нежелательных прикосновений и физического насилия
🔹ТЕРРИТОРИАЛЬНАЯ (пространственная) считает неприкосновенными место проживания человека, личные, бытовые вещи
🔹КОММУНИКАЦИОННАЯ регулирует право на тайну переписки посредством почтовой связи, телефонных разговоров
🔹 ИНФОРМАЦИОННАЯ обеспечивает право на защиту персональных данных.

В юридической практике эксперты по ПД чаще всего имеют дело с коммуникационной и информационной видами приватности.

#теория

❓Должна ли общеобразовательная организация собирать согласия на обработку ПДн учеников

Нет, если обработка ПДн осуществляется в целях организации образовательного процесса.

Минцифры отмечает, что образовательные организации, осуществляя обработку ПДн учеников в целях организации образовательного процесса, оказывает государственную услугу в соответствии с Распоряжением Правительства №1993-р.
При этом ПДн учеников, не связанные с образовательным процессом, общеобразовательная организация может получить только с письменного согласия родителя (законного представителя). К таким данным относятся в том числе документы, содержащие сведения, необходимые для предоставления обучающемуся гарантий и компенсаций (например, документы о составе семьи и ее социально-экономическом положении).

Обращаю внимание, что согласие на обработку ПДн несовершеннолетние могут давать только по достижении 14 лет. О причинах такого ограничения я писал ранее.

Роскомнадзор указывает, что в таком согласии должна быть прописана информация о законном представителе, о несовершеннолетнем и цели, на которые дается согласие.

#практика

▶️В прошлом году Роскомнадзор зафиксировал 168 случаев утечек персональных данных - в Интернет попали порядка 300 млн записей.

В статье журнала «Информационная безопасность» раскрыл вопрос ответственности утечек и договорных отношений между операторами и "обработчиками" персональных данных:

🔹что обязан делать оператор и в какие сроки
🔹штрафы, предусмотренные за неправомерную или случайную передачу ПДн
🔹как изменятся подходы к доказыванию утечек в случае принятия новых штрафов (спойлер - никак)
🔹каким образом возможно взыскать сумму финансовых потерь в случае, когда оператор оштрафован за действия обработчика
🔹влияние в судах вопроса технической защищенности на размер штрафа (спойлер - не влияет).

Прочитать статью можно здесь.

Ваши вопросы по защите персональных данных в компании можно направлять на e-mail: [email protected]

Вебинар для сотрудников кадровых служб, HR-агентств и юристов по персональным данным.

Ключевые темы:

1️⃣Обработка персональных данных кандидатов: ошибки и решения, Денис Лукаш, Lukash & Partners.

2️⃣Тренды, аналитика и прогнозы в подборе персонала в 2024 г, Татьяна Батырь, SuperJob.

Когда: 18 марта 2024 года 15.00 - 16.40

Описание:

Процессы поиска и привлечения новых работников сопряжены с обработкой персональных данных. Законодательство о персональных данных постоянно меняется, а санкции за нарушения ужесточатся. Данные предоставляют не только кандидаты. Работодатели также могут их собирать из различных источников. Поговорим о том, как не получать штрафы и судебные иски за нарушения при обработке персональных данных кандидатов.

Участие бесплатное, регистрация здесь или по [email protected]

Вебинар организован:
🏳️Безопасность 360
🏳️Superjob

▶️Бизнес общественность продолжает обсуждать законопроект об оборотных штрафах за утечки персональных данных - принят в первом чтении, находится на рассмотрении.

Так, общественная организация «Деловая Россия» направила ряд предложений в Госдуму в части снижения размеров оборотных штрафов на порядок и введения «солидарной» ответственности оператора данных и его поставщика услуг. Мы согласны с позицией о разделении ответственности при инциденте между оператором и обработчиком.

Сейчас на практике оператор ПДн отвечает за качество сервиса обработчика перед субъектами ПДн. То есть все штрафы за ошибки обработчика, вызвавшие утечки данных, берет на себя оператор, с которым он работает по договору оказания услуг.
И единственная возможность снизить расходы – это обратиться в суд за взысканием убытков. Однако это не гарантирует решений о взыскании в пользу оператора. Поэтому, логичнее будет изначально разделить административную ответственность между оператором и обработчиком соразмерно вине.
Также считаю, что в настоящих реалиях ключевым моментом остается подписание правильной формы договора, где важно максимально предусмотреть риски и оператора, и обработчика.

▶️Юристы компании «Лукаш и партнеры» имеют уверенную практику подготовки необходимых документов для снижения правовых рисков предприятия при обработке персональных данных.

#мнение

Продолжается регистрация на встречу экспертов по вопросам обработки персональных данных в организациях, которая пройдет в Москва - Сити, башня "Евразия".

Спасибо всем за обратную связь по предлагаемым темам.
Экспертной группой выделили 3 темы к обсуждению.

1️⃣ Разделение ответственности оператора и обработчика при утечке, учет рисков в договоре, передача ПД в группе компаний.

2️⃣ Кому платить штраф до 800 000 рублей как должностному лицу, проблемы разделения ролей между DPO, CISO, юристами и другими работниками.

3️⃣ Проблемные вопросы уничтожения персональных данных.

Формат проведения встречи предполагает участие в обсуждении всех присутствующих, без инсайдов и новых знакомств с коллегами не уйдете.

Еще раз ссылка на регистрацию.

❓Какими законами регулируется право на приватность

В России сфера персональных данных регулируется большим количеством законов. Изучение только профильного №152-ФЗ недостаточно для понимания принципов защиты субъектов ПДн. Специалисту необходимо изучить широкий спектр иных нормативно-правовых актов.

В частности, к нормативным актам относятся:

🔹 Конституция Российской Федерации

🔹Гражданский кодекс Российской Федерации

🔹Федеральный закон «Об информации, информационных технологиях и о защите информации» №149-ФЗ

🔹 Федеральный закон по работе с ЕБС №572-ФЗ

🔹Конвенция о защите физических лиц при автоматизированной обработке персональных данных № 108

и другие.

Также существует большой пласт позиций надзорных органов и судебной практики, а также отраслевое законодательство оператора персональных данных.

Знание и понимание нормативных документов позволит сформировать начальную теоретическую базу. Однако теория без практики не решит поставленные задачи в бизнесе.

#теория

❓Можно ли включать согласие на обработку персональных данных в договор с субъектом

Нет, нельзя.

Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе (ч. 1 ст. 9 №152-ФЗ).
По мнению Роскомнадзора, условие подписания согласия на обработку ПДн, как неотъемлемой части договора, нарушает принцип добровольности согласия.

Суды даже признают такие договорные условия нарушающими ст. 16 ЗоЗПП:

➡️в деле №2-12745/2023 суд указал, что субъект ПДн подписал стандартную форму договора с заранее установленными банком условиями, в которых отсутствуют положения, по которым клиент мог бы отказаться от дачи согласия на обработку ПДн. Оказание банком финансовых услуг было прямо связано с обеспечением такого согласия клиента, т. е. имело для истца вынужденный характер;

➡️в деле №А40-65677/2022 суд отметил, что условие в договоре, содержащее согласие на обработку ПДн, не охвачено самостоятельной волей и интересом потребителя, поскольку согласие потребителя в данном случае определено наличием напечатанного текста в договоре типографским способом.

Таким образом, включение согласия на обработку ПДн в текст договора влечет риски нарушения не только №152-ФЗ, но и ЗоЗПП. Поэтому операторам рекомендуется использовать другое основание для обработки ПДн или собирать согласие субъекта отдельно от договора.

#практика

29 февраля в 10.00 мск. регистрация на встречу Privacy Club в Москва-Сити будет приостановлена в связи с большим количеством желающих.
Если Вы рассчитывали зарегистрироваться чуть позже (так как встреча 12-го марта), оставляем небольшое временное окно.

Еще раз темы, которые планируем обсуждать.

1️⃣ Разделение ответственности оператора и обработчика при утечке, учет рисков в договоре, передача ПД в группе компаний.

2️⃣ Кому платить штраф до 800 000 рублей как должностному лицу, проблемы разделения ролей между DPO, CISO, юристами и другими работниками.

3️⃣ Проблемные вопросы уничтожения персональных данных.

Записи не будет, только офлайн, при поддержке крупной финансовой корпорации.

▶️В СМИ появилась информация об изменениях в обработке персональных данных в сфере пассажирских перевозок в этом году. Речь идет об обязательной передаче "расширенных" ПДн ( IP- адреса, банковские карты и другие) транспортными компаниями в единую государственную информационную систему обеспечения транспортной безопасности (ЕГИС ОТБ) в лице оператора — ФГУП Минтранса «Защитаинфотранс».

Специалисты обсуждают предстоящие изменения. Несколько моих комментариев по сказанному в статье.

1️⃣ Согласие. В материале СМИ говорилось о необходимости сбора согласий для передачи ПДн во ФГУП «Защитаинфотранс». В действительности согласие не требуется, потому что обработка может осуществляться на основании упомянутого Приказа Минтранса. Роскомнадзор согласится с п. 2 ч. 1 ст. 6 152-ФЗ, как основанием для передачи ПДн (отсылки к законодательству).
И вот здесь интересное, так как согласно информации в СМИ будут передаваться, в том числе, логины и пароли. Исключения для данных ПДн 152-ФЗ не предусматривает.

2️⃣ Защита персональных данных. Как отметила одна авиакомпания, она хранит хэш пароля, а некоторые данные, необходимые для передачи во ФГУП «Защитаинфотранс», не собирает вообще. Судя по текущему регулированию телекоммуникационной отрасли или провайдеров хостинга, если что-то не сделано, придется доделать за свой счет.
По паролю тоже никого не будет интересовать как реализовано сейчас, если пароль передается, то подразумевается его использование тем кто получил. Еще раз повторюсь, это все будет возможно без согласия (см. п.1). Как следствие, влияние на защищенность пользовательских аккаунтов.

Как пишет СМИ, документ дорабатываться уже не будет, а опасения со стороны "близких" к Минтрансу считаются преувеличенными. Надеюсь Минтранс даст официальные комментарии.

#мнение

❓Может ли медицинская организация публиковать персональные данные своих работников на сайте без их согласия

Медицинская организация планирует публиковать информацию о сотрудниках на своем веб-сайте. Нужно ли в таком случае получать от них согласия на распространение их ПДн в соответствии со ст. 10.1 №152-ФЗ?

▶️Не следует, если состав ПДн не выходит за рамки перечня, предусмотренного п. 7 ч. 1 ст. 79 №323-ФЗ.

Медицинская организация обязана информировать граждан в доступной форме, в том числе в интернете:

🔹о медицинских работниках
🔹 об уровне их образования и квалификации.

При этом требования №152-ФЗ не применяются к обработке ПДн в целях выполнения функций, полномочий и обязанностей, законодательно возложенных на подведомственные органам власти организации (ч. 15 ст. 10.1 №152-ФЗ).

Роскомнадзор отмечал, что для учреждений здравоохранения с целью информирования учащихся и пациентов таких организаций не требуется согласие на распространение ПДн при размещении на сайтах или в социальных сетях фотографий и ПДн.

Однако обращаю внимание на то, что:

🔹размещение ПДн работника медицинской организации на сайте производителя лекарственного препарата уже будет требовать согласия по смыслу ст. 10.1 №152-ФЗ;

🔹размещение ПДн о медицинском работнике, не подлежащих раскрытию в силу N323-ФЗ, также будет требовать согласия по смыслу ст. 10.1 №152-ФЗ, иначе это формально может быть признано “утечкой”.

#кейсы

Lukash & Partners ищет data privacy юриста

📍Москва, офис в центре Москвы
Формат работы: в основном удаленно, но быть готовым присутствовать в офисе

Задачи:
- помогать искать правовые риски в договорах, бизнес-процессах и информационных системах,
- участвовать в проведении data privacy аудитов,
- писать правовые заключения,
- составлять ЛНА и договоры, связанные с легализацией оборота данных,
- выполнять задачи внешнего DPO.

Требования:
- опыт в data privacy от 3 лет,
- опыт работы с легализацией обработки персональных данных в бизнесе,
- большой интерес к ИТ-праву и регулированию обработки персональных данных,
- внимательность к деталям и ответственность,

Условия:
- оплата по рынку, зависит от кандидата,
- масштабные проекты, работа с отраслевыми лидерами.
Мы научим нашей методологии работы с корпорациями и поддержим в пути.

Резюме на [email protected].

СМИ периодически публикуют реакции разных отраслей бизнеса на законопроект об увеличении штрафов за "утечки" персональных данных.

▶️Так, со стороны финансового сообщества был подготовлен пакет возражений о размерах штрафов.
Ключевые аргументы:
- Подобные санкции не влияют на повышение уровня информационной безопасности и на повторные инциденты.
- Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями.
- Вместо инвестиций в ИБ компании будут тратить деньги на штрафы.

Что здесь можно добавить следуя логике банков?

Если крупные корпорации с их возможностями по организации защиты ПДн не исключают риски утечек, то, что говорить о предприятиях среднего бизнеса. 10% трат от ИТ бюджета на ИБ условного банка может быть сопоставима со всем ИТ бюджетом ИТ-компании среднего бизнеса (или даже превышать).

Однако, если ИТ-компания тратит 30% своего ИТ бюджета на ИБ, а условный банк только 10%, кто добросовестней относится к ИБ?

Понятно, что финансовые корпорации хотят отменить оборотные штрафы для всех операторов персональных данных, однако не факт, что это произойдет.

Не плохо бы в текущей редакции законопроекта предусмотреть не только дифференциацию по количеству утекших записей, но и дифференциацию по затратам на ИБ, учесть соразмерность бизнеса.

#мнение

❓Что такое коммуникационная приватность

В прошлом веке коммуникационную приватность связывали с тайной переписки посредством почтовой связи📮 и телефонных переговоров☎️.

В настоящее время широкое распространение информационных технологий максимально облегчило поиск и обмен информацией. Персональную информацию о субъекте можно получить из разных источников. Профилирование этих данных позволяет сформировать наиболее полное представление о субъекте и его характеристиках.

Коммуникационная приватность предполагает защиту от противоправной записи, фиксации и передачи любых данных субъекта в информационно-телекоммуникационных сетях:

🔹при телефонных разговорах
🔹e-mail переписке
🔹общения в мессенджерах и другое.

Надзорные органы в России, как и во всем мире, периодически выявляют нарушения у технологических корпораций в области коммуникационной приватности.

#теория

❓Относится ли IP-адрес к персональным данным

Ответ на этот вопрос зависит от того, в какой юрисдикции мы находимся.
Так, в GDPR даже динамический IP-адрес относится к ПДн, так как провайдеры хостинга, присвоившие IP-адреса пользователям сети, могут их идентифицировать Opinion 4/2007 Art. 29 WP.

При этом в российской судебной практике единая позиция по этому вопросу не сложилась.

Суды отмечают, что основная проблема здесь состоит в следующем:

🔹провайдер выделяет динамический IP-адрес пользователю в момент его подключения к сети Интернет;

🔹после отключения пользователя от сети данный динамический IP-адрес автоматически возвращается в список свободных и может быть назначен иному устройству другого пользователя;

🔹IP-адреса являются одним из шлюзов для выхода в интернет большого количества абонентов одновременно и не закрепляются за каким-либо конкретным абонентом или устройством, то есть могут использоваться неограниченным кругом лиц;

🔹 то есть под одним и тем же IP-адресом в сеть Интернет в разное время могут выходить абсолютно разные абоненты дело № 2-91/2023.

В свою очередь, в судебных решениях встречается два противоположных мнения:

➡️ IP-адрес является ПДн, так как совпадение всех четырех чисел в IP-адресе позволяет утверждать, что все лица использовали одну точку доступа для выхода в Интернет дело №33-32777/2022.

⬅️ IP-адрес не представляет собой с сведения о ПДн, так как не соответствует принципу точности, указанному в ст. 5 №152-ФЗ дело №88-11406/2022.

Как мы видим, в России, учитывая несовершенство законодательства и правоприменения, есть пробелы в вопросе принадлежности IP адреса. Подобные «допущения» при работе с ПДн не единичны.

Российские операторы ПДн имеют возможность упрощать или настраивать такие бизнес-процессы, которые невозможны в других юрисдикциях.

Однако для компании важно понимать все риски бизнес-процесса. Поэтому правильно иметь дело с экспертами в этой сфере.
Наш e-mail: [email protected]

#практика

❓Отечественная IT-компания заключила гражданско-правовые договоры с гражданами и резидентами России, которые на данный момент выполняют свои обязанности онлайн и осуществляют обработку ПДн, находясь на территории иностранных государств. Нужно ли в таком случае уведомлять Роскомнадзор, как о трансграничной передаче?

В соответствии с позицией Роскомнадзора - не нужно.

В силу п. 11 ст. 3 №152-ФЗ для признания передачи трансграничной необходимо соблюдение двух условий:

1️⃣ ПДн передаются на территорию иностранного государства;
2️⃣ ПДн передаются иностранному лицу.

Ранее я писал о том, что необходимо одновременное соблюдение этих критериев.

Роскомнадзор отмечал, что это не будет являться трансграничной передачей, так как в определении прописано, что основными критериями отнесения деятельности к трансграничной передаче является факт наличия иностранного гражданства / резидентуры.

Следуя логике надзорного органа, если ПДн передаются физлицам, которые не являются российскими гражданами или резидентами, то уведомлять Роскомнадзор необходимо.

#практика

В СМИ обсуждается новый законопроект, регулирующий обработку персональных данных владельцами онлайн-сервисов (хотя по факту не только онлайн-сервисов, а всех операторов). Ключевой вопрос законопроекта - разделение согласия и пользовательского соглашения, что должно помочь минимизировать обработку ПДн и последствия утечек (по мнению законодателей).

Есть нюанс, в случае взаимодействия с потребителями озвученный вопрос уже регулируется законодательством, потому что:

➡️Принципы минимизации обработки ПДн давно прописаны - ст.5. 152-ФЗ, избыточный сбор уже законом ограничен.

➡️Включение согласия в договор делает из него договорные условия. То есть "согласие" внутри договора невозможно отозвать, так как договор можно только изменить или расторгнуть. ГК РФ в помощь.

➡️Не так давно в Закон о защите прав потребителей внесли изменения - ч. 4 ст. 16 , где проблема избыточного сбора персональных данных в "потребительских" договорах, включая хитрости с избыточными "согласиями", закрывается.

По сути, я согласен с позицией Wildberries, которые отметили "Большинство предложений, перечисленных в инициативе, уже содержатся в других нормативных актах".

Другое дело, что онлайн-сервисы (да и другие отрасли) практикуют с физлицами безвозмездные сделки (например, пользовательские соглашения на сайте). Этот инструмент пока используется для расширения сбора и последующей обработки персональных данных. Законопроект (в случае принятия) повлияет на эту лазейку, Роскомнадзор будет больше погружаться в "безвозмездные" договоры.

Избыточный сбор ПД в договоре может быть прикрыт юридической техникой и даже под это скорректирован бизнес-процесс. Для выявления этих нюансов нужны соответствующие квалификация и опыт от инспекторов Роскомнадзора, увеличится на них нагрузка. Посмотрим, как будет на практике.

Хотите заранее подготовить договоры, заключаемые с субъектом, под планируемые изменения, пишите на [email protected]

P.S. Законопроекта пока в публичном доступе нет.

#мнение