РОСКОМНАДЗОР | Объявления | kargopolland.ru
Информация о порядке подачи уведомлений
об обработке персональных данных
С 26 января 2007 года действует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Закон). Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В соответствии с указанным законом оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных (т.
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
В соответствии с требованиями п. 4 ст. 25 Федерального закона «О персональных данных» Операторы, которые осуществляют обработку персональных данных, обязаны направить в Управление Уведомление об обработке персональных данных.
При рассмотрении вопроса о направлении уведомления об обработке персональных данных необходимо руководствоваться ст.ст. 1, 3, 22, 25 Закона. Обязательный перечень представляемых сведений определен ч. 3 ст. 22 Закона.
Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью.
Одновременно сообщаем, что запущен общедоступный «Портал персональных данных» (http://pd.rsoc.ru), посвященный вопросам защиты прав субъектов персональных данных.
д. Также через Интернет-портал осуществляется доступ к реестру операторов, осуществляющих обработку персональных данных.Операторам предоставлена возможность составления уведомлений об обработке персональных данных в электронной форме непосредственно на «Портале персональных данных» — http://pd.rsoc.ru/operators-registry/notification/. После заполнения формы уведомления об обработке персональных данных и отправки ее в информационную систему Роскомнадзора, необходимо распечатать заполненную форму, после чего ее подписать и направить в адрес Управления (163000, г. Архангельск, пр. Троицкий, д.45, а/я 280) с указанием ответственного лица, контактного телефона.
Обращаем внимание, что информационные системы персональных данных, используемые в Вашей организации, должны быть классифицированы в порядке, предусмотренном Постановлением Правительства России от 17.
Кроме того, в целях исполнения указанного Закона сотрудники Управления Роскомнадзора по Архангельской области и Ненецкого автономного округа готовы дать разъяснения по заполнению формы уведомления и провести консультационную работу. Контактный телефон: (8182)41-17-13.
Роскомнадзор не удовлетворил отчет Facebook и Twitter о хранении персональных данных россиян
21 Января 2019
Новости
В пресс-службе ведомства «АГ» сообщили, что компании предоставили формальные ответы о локализации персональных данных российских пользователей, а потому Роскомнадзор начинает в отношении обеих компаний административное производство.
Эксперты рассказали, скажется ли это на пользователях соцсетей. Также юристы пояснили, как в России защищаются персональные данные, предупредили о возможных угрозах их владельцев и дали им рекомендации
В пресс-службе Роскомнадзора «АГ» сообщили о том, что Facebook и Twitter предоставили ведомству сведения о локализации баз персональных данных российских пользователей.
Напомним, что Закон о персональных данных обязывает российские и иностранные компании хранить персональные данные россиян на территории РФ. За исполнением этой нормы следит Роскомнадзор.
Как рассказали в ведомстве, «компании, управляющие соцсетями Facebook и Twitter, предоставили формальные ответы на наши требования подтвердить локализацию персональных данных российских пользователей в России. Они не содержат конкретики ни о фактическом исполнении законодательства на текущий момент, ни о сроках исполнения данных норм в будущем. В связи с этим сегодня [21 января 2019 г.
«АГ» попросила юриста практики по интеллектуальной собственности/информационным технологиям АБ «Качкин и Партнеры» Андрея Алексейчука прокомментировать эту ситуацию.
Если Facebook и Twitter откажутся соблюдать требования Закона о персональных данных или не предоставят необходимые сведения Роскомнадзору, работу соцсетей заблокируют?
На данный момент единственной эффективной мерой воздействия на компании, которые отказываются хранить данные российских граждан на территории РФ, является блокировка сайта, с помощью которого осуществляется сбор персональных данных. Такое возможно на основании статьи 15.5 Закона об информации1 по решению суда. В этом случае сайт, используемый для сбора данных, будет недоступен на территории РФ. При этом компания после этого не прекратит работу. Более того, граждане России смогут получить доступ к заблокированному сайту с помощью специальных технологий.
Запрета на использование заблокированных сервисов или средств обхода блокировок гражданами законодательство пока не содержит. Впрочем, Роскомнадзор может заблокировать работу конкретного сервиса, позволяющего обходить блокировки, например VPN, если такой сервис не предпринимает действий по ограничению доступа к заблокированным интернет-ресурсам. Но пока Роскомнадзор не осуществляет активной деятельности в этом направлении: большинство известных VPN-сервисов по-прежнему работают и позволяют получить доступ к заблокированным сайтам.
Показательным примером последствий несоблюдения требования закона о локализации персональных данных является дело LinkedIn – социальной сети для осуществления деловых контактов. LinkedIn отказалась выполнять требование Закона о персональных данных, руководствуясь тем, что она является иностранной компанией, не имеет представительств на территории РФ, и потому на нее не могут распространяться требования российского законодательства. После этого в 2016 г.
Почему компании обязывают хранить персональные данные россиян на территории РФ?
Любое государство может требовать выполнения своих законов только на своей территории. Если персональные данные российских граждан будут храниться на территории иностранного государства, Россия не сможет контролировать исполнение требований Закона о персональных данных иностранной компанией в отношении данных своих граждан. Более того, даже если российская компания будет хранить персональные данные на территории другого государства, Россия не сможет проконтролировать выполнение своих правил, поскольку не имеет возможности, например, прийти с проверкой на территорию другой страны.
Максимум, чего можно будет потребовать от российской компании, – предоставления отчетов о мерах, принимаемых для обеспечения безопасности хранения персональных данных. Но не факт, что такие отчеты не будут содержать ложную или искаженную информацию. Поэтому теоретически запрет на хранение персональных данных за рубежом имеет под собой определенные основания.
Другое дело, что соответствующее положение Закона о персональных данных не обязывает компании хранить персональные данные исключительно на территории России. Речь идет только о том, что на территории РФ должны быть обеспечены сбор, запись, систематизация, накопление, хранение и уточнение персональных данных. При этом запрет на параллельную обработку персональных данных на территории другого государства законодательство не содержит. То есть обязанность компаний, по сути, заключается в создании актуальной копии персональных данных граждан на территории РФ. А после создания такой копии данные могут передаваться и храниться в том числе на территории иностранного государства (с соблюдением требований Закона о персональных данных, касающихся трансграничной передачи данных).
Это подтверждает и Минкомсвязи в своих разъяснениях3: «Персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней (“первичная база данных”), могут далее передаваться в базы данных, расположенные за пределами России (“вторичные базы данных”), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр.». В такой трактовке цель правила о локализации персональных данных не совсем ясна, но, по моему мнению, она не связана с необходимостью защиты персональных данных граждан РФ.
Как сейчас защищают персональные данные в России?
По моему мнению, нельзя сказать, что в России сейчас обеспечивается защита персональных данных на должном уровне. Это в первую очередь связано с тем, что Закон о персональных данных был принят более 10 лет назад, когда такие сведения собирались и обрабатывались преимущественно без использования интернета.
В современном мире данные обрабатываются в основном онлайн. Более того, огромное коммерческое значение приобрели сведения о пользователе, его поведении, действиях и предпочтениях, которые формально могут и не являться персональными данными, поскольку их нельзя соотнести с конкретным лицом. Например, некий интернет-сервис, которым пользуется обычный человек, может не знать Ф.И.О. этого человека, но зато собирать информацию обо всех совершенных им действиях, его местоположении и перемещениях (если интернет-сервис, к примеру, установлен на телефоне), круге друзей и т.п. Такая информация зачастую обезличивается. После этого в форме, не подпадающей под регулирование Закона о персональных данных, эти сведения передаются третьим лицам, например для показа персонализированной рекламы.
Отметим, что значительную угрозу нарушения прав граждан представляют утечки персональных данных. Например, в предыдущем году в Сбербанке произошло несколько таких утечек.
Эти случаи широко обсуждали в СМИ, и неизвестно еще, сколько подобных утечек под внимание прессы не попало или произошло у менее крупных компаний.
Эффективность деятельности Роскомнадзора можно оценить на основании опубликованных ведомством данных за первое полугодие 2018 г.4 Так, за указанный период Роскомнадзор провел 1505 контрольно-надзорных мероприятий, составил 3317 административных протоколов в отношении выявленных нарушений. При этом только в реестре зарегистрированных операторов обработки персональных данных содержатся сведения о 392 816 операторах. То есть можно сделать вывод, что за первое полугодие Роскомнадзор осуществил проверку деятельности менее 0,5% зарегистрированных лиц, осуществляющих обработку персональных данных. По моему мнению, это не свидетельствует об эффективной работе.
«АГ» попросила старшего партнера юридической компании «Катков и партнеры», члена Совета ТПП РФ по интеллектуальной собственности Павла Каткова рассказать о том, как владельцам персональных данных избежать рисков и защитить свои права.
Зачем при подписании документов требуют согласия на обработку персональных данных?
Закон защищает персональные данные граждан. Это означает, что для их обработки, в том числе сбора, записи, хранения, передачи и иных действий, необходимо получить разрешение человека, чьи данные лицо собирается обрабатывать. Такое разрешение называется согласием на обработку персональных данных, а лицо, которое будет обрабатывать их, называется оператором персональных данных. Соответственно, при подписании документов, например на получение кредита в банке, гражданин-заемщик является владельцем персональных данных, а банк-кредитор становится оператором персональных данных, так как получает и обрабатывает данные этого гражданина, включая данные о его личности, месте работы, платежах. Подобные правоотношения встречаются и в других ситуациях. Это защищает граждан от несанкционированного использования их данных, ведь без их согласия это будет незаконно.
Как защитить свои персональные данные?
В первую очередь данными не стоит «разбрасываться».
Не посылайте скан паспорта. Тем более не выкладывайте его в публичный доступ. То же касается штрих-кодов с авиабилетов и иных технологических ключей; любых сведений, дающих доступ к персональной информации. Избегайте публичных анкет и анкет на непроверенных сайтах.
Следите за информационной безопасностью. Берегите пароли от личных кабинетов и электронных почтовых ящиков. Пользуйтесь антивирусами и средствами технической защиты. Соблюдайте общепринятые меры компьютерной безопасности.
Я бы рекомендовал внимательно знакомиться с документами до их подписания. К таким документам относятся и бумажные договоры и соглашения, а также сопроводительные бумаги к ним, и электронные оферты на сайтах, почтовых службах, мобильных приложениях и иных электронных сервисах. Изменить их, как правило, невозможно, но, во всяком случае, вы будете знать, на что идете.
Так, пользователи Windows 10, прочитав, насколько сильно они должны будут «раскрываться» перед данным оператором персональных данных для пользования продуктом, зачастую отказывались от апгрейда либо вручную выключали его наиболее одиозные опции, направленные на обработку персональных данных.
Что делать владельцу персональных данных, если он обнаружил, что его права нарушены?
Если человек считает, что его права нарушены, он может пойти несколькими путями. Первый – досудебное урегулирование, претензионный порядок, т.е. обратиться с претензией к лицу, нарушившему правила обработки персональных данных. Часто это помогает.
Если это не помогло, целесообразно направить жалобу в Роскомнадзор – федеральный орган власти, осуществляющий надзор в данной сфере.
Наконец, для граждан доступен судебный порядок защиты прав.
Если вы добровольно дали согласие на обработку персональных данных, помните, что по закону такое согласие может быть отозвано субъектом данных.
Это самые общие рекомендации по управлению своими персональными данными. Вопрос этот гораздо сложнее и имеет множество правовых нюансов, которые полезно знать. Для лучшего понимания я бы рекомендовал ознакомиться с Федеральным законом от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных», а также публичными материалами и рекомендациями Роскомнадзора по данному вопросу.
1 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
2 Определение Московского городского суда от 10 ноября 2016 г. по делу № 33-38783/2016.
3https://digital.gov.ru/ru/personaldata/#1438546984884
4https://rkn.gov.ru/news/rsoc/news59176.htm
Верховный суд научил рассматривать иски о защите персональных данных
Иллюстрация: Право.ru/Петр Козлов
Куда идти с иском
Михаил Возин* подал заявление в управление Роскомнадзора по ДФО. Он указал, что в интернете без его разрешения компания с Багамских островов Whois Privacy Corp. распространяла его персональные данные. Роскомнадзор от его имени направил заявление в суд.
Ведомство потребовало защитить права Возина как субъекта персональных данных и ограничить доступ к информации о нем.
В Центральном районном суде Хабаровска, куда было направлено исковое заявление, отказались его принять. Там решили, что требования заявителя по своей природе административные и не должны рассматриваться в порядке гражданского судопроизводства. В апелляции согласились с такой позицией и указали, что претензии Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ, поэтому выводы первой инстанции о рассмотрении спора в административном порядке верны.
Судебная коллегия по гражданским делам Верховного суда под председательством судьи Асташова указала на ошибку нижестоящих коллег.
Коллегия напомнила, что Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных (в том числе неопределенного круга лиц – п. 5 ч. 3 ст. 23 закона «О персональных данных») и представлять их в суде. При этом по ч.
6 ст. 26 ГПК иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца, указал ВС.
Заявление следовало рассмотреть в порядке гражданского судопроизводства, сказано в определении по делу (дело № 58-КГ20-2)
Сложности глазами эксперта
Алгоритм подачи иска о защите персональных данных обладает некоторыми характерными особенностями, отмечает Ксения Созина, юрист S&K Вертикаль
S&K Вертикаль
Федеральный рейтинг.
группа
Банкротство (включая споры) (mid market)
группа
Арбитражное судопроизводство (крупные споры — high market)
группа
Разрешение споров в судах общей юрисдикции
группа
Семейное и наследственное право
группа
Частный капитал
3место
По выручке на юриста (более 30 юристов)
10место
По выручке
24место
По количеству юристов
Профайл компании
.
Истцом в спорах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. В отдельных случаях предъявить в суд соответствующий иск может Роскомнадзор в силу полномочий, указанных в ч. 1 ст. 23 Закона № 152-ФЗ, в защиту прав субъекта персональных данных – гражданина, как это было в попавшем в ВС деле.
Ответчиком в спорах данной категории является оператор персональных данных или другое лицо, получившее доступ к персональным данным истца. «Встречное исковое требование по рассматриваемой категории споров обычно не заявляется. Кроме того, по спорам этой категории не предусмотрен обязательный досудебный претензионный порядок их разрешения. Однако зачастую до обращения в суд будущий истец направляет будущему ответчику требование прекратить обработку персональных данных, удалить данные, а в случае неполучения ответа на подобные запросы лицо обращается за защитой своих прав в суд», – рассказывает Созина.
Так, в деле № 2-2794/18 истец обратился к администратору домена с требованием удалить с сайта профиль истца, содержащий его персональные данные, и отзывы пользователей, но в удовлетворении претензии ему было отказано, после чего последовало обращение в суд.
Такие дела рассматриваются в качестве суда первой инстанции районным судом (ст. 24 ГПК), поясняет юрист.
По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации – в суд по ее адресу (ст. 28 ГПК).
При этом иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться и в суд по месту жительства истца (ч. 6.1 ст. 29 ГПК).
Если истец обосновывает свои требования нормами закона о защите прав потребителей, то иск можно предъявить по выбору истца в суд по месту нахождения ответчика-организации. А если ответчиком является индивидуальный предприниматель – по месту его жительства, по месту жительства или пребывания истца либо по месту заключения или исполнения договора (ч. 7, 10 ст. 29 ГПК, п. 2 ст. 17 закона «О защите прав потребителей»).
ЗаконодательствоТребования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК (например, апелляционное определение Московского городского суда от 02.
08.2019 по делу № 33-35187/2019).
Случаи административного производства – это скорее исключение при наличии определенных обстоятельств.
«Несмотря на довольно специфический предмет требований и зачастую сложную конструкцию состава, в рамках исков о защите персональных данных экспертизы назначаются судом в исключительных случаях. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите в указанном порядке, а это означает, что именно через призму судебного усмотрения формируется подход к защите персональных данных», – обращает внимание на важную деталь юрист юркомпании «S&K Вертикаль».
* – имена и фамилии участников спора изменены редакцией.
Обработка и хранение персональных данных: закон требует, ЦОДы предлагают
Законодательство Российской Федерации в области персональных данных предъявляет строгие требования к обеспечению их безопасности при обработке.
Решение части проблем могут взять на себя ЦОДы.
Сергей СМОЛИН, ведущий юрист, DataSpace
В последнее время у всех на слуху новеллы, вносимые законодателем в правовое регулирование действий по обработке и хранению персональных данных граждан. Изменения в Федеральном законе «О персональных данных» (№ 152-ФЗ) направлены на ужесточение контроля за операторами, обрабатывающими такие данные. Помимо введения обязанности хранить персональные данные российских граждан только на территории РФ, законодатель расширил полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), на которую возложен контроль за операторами, обрабатывающими персональные данные граждан. Указанные изменения в той или иной степени затрагивают деятельность широкого круга участников экономического оборота — от небольших интернет-магазинов до операторов центров обработки данных.
Какие данные — персональные?
В соответствии с п.
1 ст. 3 152-ФЗ персональными данными является «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу», т.е. любая информация, при помощи которой можно идентифицировать личность. Как правило, к персональным данным относят: ФИО, дату и место рождения, паспортные данные, физические характеристики, контактную информацию и т.д. — перечень подобных сведений достаточно широк, но не является исчерпывающим.
Кто является оператором?
Понятие «оператор» в значении, определенном в 152-ФЗ, значительно шире, чем мы привыкли считать. Согласно п. 2 ст. 3 упомянутого закона, оператор — это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».
Персональные данные граждан в той или иной степени получает, обрабатывает и хранит практически каждая компания — при приеме на работу новых сотрудников или при переписке с клиентами — и любая из них может быть признана оператором персональных данных. Операторов можно разделить на две группы: на тех, которые обязаны уведомлять Роскомнадзор об обработке персональных данных, и тех, которые делать это не обязаны.
Кто не обязан уведомлять Роскомнадзор?
Перечень действий по обработке персональных данных, которые не требуют уведомления Роскомнадзора, приведен в ст. 22 152-ФЗ. К таким действиям относятся действия юридических лиц, которые получают и обрабатывают персональные данные граждан в следующих случаях:
- Для исполнения требований трудового законодательства.
- При заключении компанией договора с физическим лицом.
- Если персональные данные содержат только ФИО граждан.
- Если персональные данные раскрываются для предоставления разового пропуска.
- Если персональные данные обрабатываются без использования компьютера.
- Если персональные данные обрабатываются в целях транспортной безопасности.
Во всех перечисленных случаях компания не обязана уведомлять уполномоченный орган о том, что осуществляет сбор, обработку и хранение персональных данных. Тем не менее всегда существует риск того, что компания неумышленно может осуществлять такую обработку персональных данных, которая влечет за собой обязанность уведомлять Роскомнадзор.
Кто обязан уведомлять Роскомнадзор?
К таким операторам относятся компании, которые обрабатывают персональные данные на постоянной основе. В эту категорию попадают владельцы сайтов с регистрацией пользователей (с указанием ФИО, электронной почты и телефона), туристические агентства, банки, розничные магазины с клубными картами, медицинские клиники, бизнес-центры и т.п.
Список компаний и организаций, обязанных уведомлять Роскомнадзор об обработке персональных данных, не является исчерпывающим.
Часто компании, получая персональные данные граждан, не осознают, что их обработка регулируется законом.
Что должен делать оператор?
Если компания относится к первой группе, то никаких действий предпринимать не требуется. Операторы персональных данных, входящие во вторую группу, должны подготовить необходимый пакет документов (перечень можно найти на сайте Роскомнадзора) и направить их в ведомство для внесения компании в реестр операторов персональных данных.
В настоящий момент в этом реестре зарегистрировано почти 370 тыс. компаний. Процедура регистрации не сложна, но после внесения в реестр оператор должен будет следить за изменениями, вносимыми в ФЗ «О персональных данных». Такие изменения могут повлечь необходимость подачи дополнительных документов в Роскомнадзор. Неуведомление уполномоченного органа об обработке персональных данных может привести к серьезным последствиям.
Каковы последствия нарушения требований закона?
В первую очередь компании необходимо оценить риск того, что факт обработки персональных данных, не подпадающий под ст.
22 152-ФЗ, будет выявлен Роскомнадзором. Если компания однократно произвела обработку персональных данных и работа с такими данными не является для нее постоянной, то риск привлечения к ответственности относительно низок.
Большинство ИT-компаний являются операторами персональных данных и максимально вовлечены в процесс их обработки. В связи с этим велика вероятность проверки Роскомнадзором соблюдения ими положений 152-ФЗ.
Роскомнадзор может привлечь к ответственности сотрудников, руководителя компании и саму компанию. Как правило, за различные выявленные нарушения — от нарушения порядка сбора, хранения и обработки информации о гражданах до несоответствия требованиям лицензий — на оператора персональных данных накладывается целый ряд штрафов. Крупные игроки ИT-индустрии помимо штрафов подвержены репутационным рискам, которые трудно оценить в денежном выражении. Центр обработки данных или оператор связи, не способный надлежащим образом организовать обработку персональных данных, может вызвать сомнение у потенциальных клиентов.
Необходимо также учитывать, что проверки Роскомнадзора могут быть не только плановыми, но и организованными по заявлению третьих лиц или сотрудника компании, который сочтет, что при обработке персональных данных были нарушены его права.
Что могут обеспечить ЦОДы?
Организация надлежащей работы с персональными данными, требующаяся от любой ИT-компании, должна быть многосторонней. Она должна охватывать как юридические направления (правовые аспекты получения персональных данных), так и практические (организация процедуры хранения персональных данных, ведения журналов доступа к персональным данным и т.д.).
Логика законодательного ужесточения требований к процедурам обработки персональных данных обусловлена в первую очередь необходимостью обеспечения безопасности граждан. С каждым годом все больше персональных данных вовлекается в оборот во всемирной сети: номера телефонов, данные банковских карт, личная переписка — и все они должны храниться надежно.
Многие компании передают хранение персональных данных специалистам — профессиональным операторам связи и дата-центрам. В такой ситуации сохранность персональных данных зависит от правильного выбора поставщика услуг. Центр обработки данных, имеющий не только отказоустойчивую инфраструктуру, но и надежную физическую охрану, в полной мере способен обеспечить защиту серверов клиентов и не допустить несанкционированного доступа к персональным данным. По этой причине большинство банков и крупных компаний доверяют хранение персональных данных ЦОДам высокого уровня надежности.
Что нужно знать о Федеральном законе Российской Федерации № 152-ФЗ
В июле 2006 г. Государственная Дума Российской Федерации приняла Федеральный закон Российской Федерации № 152-ФЗ. Это был один из немногих законов о защите данных, действовавших до принятия Общего регламента по защите данных. (GDPR) вступил в силу.
После того, как закон был принят, в него было внесено несколько поправок, чтобы гарантировать, что закон хорошо подходит для решения текущих технологических проблем и проблем с конфиденциальностью данных.
Одна из поправок касается требования о локализации данных, которое требует хранения и хранения данных, принадлежащих российским гражданам, в базах данных на территории России. Это по-прежнему позволяет передавать данные через границы, если выполняются условия трансграничной передачи.
В соответствии с последним изменением 266-ФЗ, вступающим в силу с 1 сентября 2022 года, обработка персональных данных посредством договоров между субъектом данных и оператором возможна только при отсутствии в договоре условий, ограничивающих права и свободы субъектов данных.
Вот все важные вещи, которые организация должна знать для соблюдения закона:
1. Кто должен соблюдать закон
Вот какие данные охватываются, а также географическая юрисдикция этого закона:
а. Сфера применения материала
Действие настоящего Закона распространяется на федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы, юридические лица или иные организации, осуществляющие сбор и обработку данных в коммерческих целях.
Однако этот закон не применяется в следующих случаях:
- Личные данные, собранные физическими лицами для личных и семейных целей;
- Дело Государственного архива Российской Федерации;
- Сбор персональных данных, составляющих государственную тайну;
- Деятельность судов в Российской Федерации в соответствии с Федеральным законом № 152-ФЗ.
б. Территориальный охват
Действие закона распространяется на любое юридическое лицо, включая любое иностранное лицо с юридическим присутствием в России, которое осуществляет сбор персональных данных в России. Закон также распространяется на лиц, не учрежденных в Российской Федерации, если они целенаправленно направляют свою деятельность в сторону Российской Федерации и извлекают выгоду из этой деятельности.
Согласно последним изменениям в законе 266-ФЗ действие закона распространяется также на обработку персональных данных граждан Российской Федерации, осуществляемую иностранными юридическими или иностранными физическими лицами на основании договора, сторонами которого являются граждане Российской Федерации.
или на основании согласия граждан России.
2. Обязанности организаций
В соответствии с Федеральным законом № 152-ФЗ все операторы и контролеры данных имеют определенные обязательства перед субъектами данных, данные которых они собирают. Некоторые из этих обязательств и обязанностей включают следующее:
Требования к законному основанию
Оператор может приступить к обработке данных только на одном из следующих законных оснований:
- Обработка данных осуществляется с согласия субъекта данных;
- Обработка Данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом;
- Обработка данных осуществляется в связи с привлечением лица к участию в конституционном, гражданском, административном, уголовном судопроизводстве, рассмотрении дел в арбитражных судах;
- Обработка данных необходима для исполнения полномочий федеральных органов;
- Обработка данных необходима для исполнения судебного акта;
- Обработка данных требуется для обработки договора, по которому субъект данных является выгодоприобретателем или поручителем;
- Обработка данных необходима для профессиональной деятельности журналиста и/или законной деятельности средств массовой информации или в целях научной, литературной или иной творческой деятельности при условии, что она не ущемляет права и свободы субъекта данных ;
- Обработка данных требуется для статистических и исследовательских целей;
- Обработка данных необходима для защиты жизненно важных интересов субъекта данных, если невозможно получить его согласие;
- Обработка данных для публичного доступа, предоставляемая субъектом данных по его запросу;
- Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами
Требования согласия
Согласие является одним из основных правовых оснований для обработки данных.
Любое согласие, полученное от субъекта данных, должно быть:
- Бесплатно (свободная воля субъекта данных)
- Конкретное (конкретное и отдельное согласие для конкретных и отдельных целей обработки данных, например, согласие на публично распространяемые данные должно быть получено отдельно)
- Информирован (перед обработкой необходимо уведомление об обработке персональных данных)
- Добросовестный
- Основная (внесена недавней поправкой к Закону № 266-ФЗ)
- Однозначный (введено недавним изменением Закона № 266-ФЗ)
Субъекты данных имеют право отозвать свое согласие в любое время. В таком случае контролер/обработчик данных должен прекратить обработку персональных данных или организовать ее прекращение, и если хранение персональных данных больше не требуется для целей обработки данных, контролеры данных должны уничтожить или обеспечить их уничтожения в срок, не превышающий десяти рабочих дней с даты получения указанного запроса об отзыве данных.
Письменное согласие требуется для следующих действий по обработке данных:
- Трансграничная передача данных из России в страны, не имеющие решения о достаточности;
- Обработка конфиденциальных персональных данных;
- Обработка биометрических персональных данных;
- Обработка персональных данных для автоматизированного принятия решений;
- Обработка или передача данных сотрудников третьим лицам;
В марте 2021 года в Федеральный закон № 152-ФЗ были внесены дополнительные изменения, которые ввели новые требования о согласии на «публично распространяемые данные». Это особенно влияет на деятельность организаций, которые распространяют или распространяют данные субъектов данных среди неограниченного числа лиц, например, размещая такие данные на общедоступном веб-сайте.
Таким образом, на эти организации распространяются следующие обязательства по согласию, когда речь идет о таких «публично распространяемых данных»:
- Такое согласие необходимо запрашивать отдельно;
- Контроллеры/обработчики данных должны позволять субъекту данных выбирать категории персональных данных, которые они разрешают распространять;
- Молчание/бездействие со стороны субъекта данных не является эквивалентом согласия на обработку персональных данных;
- Субъект данных может запросить ограничения на передачу своих персональных данных. Данные ограничения не распространяются на получение третьими лицами доступа к их персональным данным или на обработку данных, осуществляемую в государственных, общественных и иных публичных интересах;
- Субъект данных может отозвать свое согласие в любое время, после чего любая передача его персональных данных должна быть прекращена.
Данные ограничения не распространяются на получение третьими лицами доступа к их персональным данным или на обработку данных, осуществляемую в государственных, общественных и иных публичных интересах;Наконец, контролер/обработчик данных должен получить прямо выраженное согласие пользователя, прежде чем отправлять ему любые прямые маркетинговые сообщения. Если пользователь отменяет свое согласие на получение таких сообщений, контроллер/обработчик данных должен немедленно прекратить обработку своих данных.
Поскольку лицо моложе 18 лет не может юридически дать согласие на какую-либо форму обработки данных, согласие должно быть получено от законного опекуна или родительского органа.
Требования безопасности
Закон гласит, что оператор должен принимать необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных.
В соответствии с поправками к закону 266-ФЗ контролеры данных также обязаны обеспечивать принятие операторами данных необходимых мер для защиты персональных данных и обеспечения конфиденциальности.
Требования к уведомлению о нарушении данных
С 1 сентября 2022 года операторы данных должны уведомлять Роскомнадзор о нарушениях безопасности в отношении персональных данных, если инцидент привел к незаконной или случайной передаче персональных данных. Передача персональных данных означает предоставление, распространение или доступ к данным.
- В случае незаконной или случайной передачи данных уведомление должно быть сделано в течение 24 часов с момента обнаружения инцидента. Уведомление должно как минимум содержать информацию о предполагаемых причинах, которые привели к нарушению прав субъектов данных, предполагаемом вреде и мерах по его устранению.
- В течение 72 часов должно быть сделано уведомление о результатах внутреннего расследования выявленного инцидента и любой информации о лицах, чьи действия привели к инциденту.
Требование к сотруднику по защите данных
Организации должны нанимать сотрудника по защите данных (DPO) в следующих случаях:
- Обработка данных осуществляется государственным органом;
- Характер обработки данных, осуществляемой обработчиком/контролером данных, требует крупномасштабного мониторинга субъектов данных;
- Процессор/контролер данных собирает большое количество данных специальных категорий;
- В организации работает определенное количество работников на территории Российской Федерации.
Несмотря на отсутствие дополнительных критериев, связанных с приемом на работу сотрудника по защите данных, настоятельно рекомендуется, чтобы сотрудник по защите данных организации хорошо разбирался в Федеральном законе № 152-ФЗ, чтобы обеспечить надлежащее применение всех его положений и поправок к нему в организации. .
Оценка воздействия на защиту данных
В законодательстве нет явных требований к оценке воздействия на защиту данных.
Однако закон обязывает всех операторов принимать соответствующие меры для оценки эффективности мер, принятых для защиты собранных персональных данных.
Требования к трансграничной передаче данных
Передача данных за пределы России в страны, входящие в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбургская конвенция), и другие страны, предоставляющие адекватные гарантии защиты данных в соответствии с разрешены Роскомнадзором.
Регулирующий орган Роскомнадзор отвечает за утверждение списка стран, обеспечивающих надлежащую защиту данных, несмотря на то, что они не являются участниками Страсбургской конвенции. Эти страны включают Австралию, Габонскую Республику, Израиль, Катар, Канаду, Малайзию, Монголию, Бангладеш, Новую Зеландию, Анголу, Беларусь, Бенин, Замбию, Казахстан, Коста-Рику, Корею, Мали, Нигер, Перу, Сингапур, Таджикистан, Узбекистан, Чад, Вьетнам, Республика Того, Бразилия, Нигерия, Южная Африка и Япония.
Передача данных в страны, которые либо не являются участниками Страсбургской конвенции, либо не одобрены регулирующим органом как обеспечивающие адекватную защиту, может осуществляться на одном из следующих оснований:
- Получено письменное согласие субъекта данных
- Передача данных предусмотрена международными договорами Российской Федерации
- Передача данных предусмотрена федеральными законами в целях защиты конституционного строя, обороны страны и безопасности государства или для обеспечения безопасной эксплуатации транспортного комплекса
- Передача данных предназначена для исполнения договора, стороной которого является субъект данных
- Передача данных осуществляется для защиты жизненно важных интересов субъекта данных или других лиц, и невозможно получить их согласие
Однако любые трансграничные перемещения могут быть запрещены или ограничены в целях защиты основ конституционного строя Российской Федерации, нравственности и здоровья населения, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Перед передачей персональных данных оператор должен провести оценку, чтобы убедиться, что предлагаемая страна имеет эти надежные механизмы защиты данных. Согласно недавней поправке 266-ФЗ, которая вступает в силу с 1 сентября 2022 года, оператор данных должен уведомить регулирующий орган о намерении осуществить трансграничную передачу данных.
Также контролеры данных, осуществляющие сбор персональных данных граждан Российской Федерации, обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, расположенных на территории Российской Федерации. Данное требование по локализации данных распространяется на иностранные организации, осуществляющие целенаправленную деятельность на территории Российской Федерации и осуществляющие сбор персональных данных граждан Российской Федерации.
3. Права субъектов данных
Как и все другие основные законы о защите данных в мире, Федеральный закон № 152-ФЗ гарантирует всем пользователям или субъектам персональных данных определенные права и контроль над своими данными.
Права субъекта данных могут быть реализованы при определенных обстоятельствах и имеют исключения. Эти права включают следующее:
a. Право на доступ к персональным данным
Все субъекты данных имеют право на доступ ко всем персональным данным, собранным организацией.
Кроме того, субъект данных может запросить доступ к следующей информации:
- Подтверждение обработки данных оператором;
- Правовые основания и цель обработки данных оператором;
- Методы, используемые при обработке данных оператором;
- Контактная информация оператора;
- Источник собранных данных;
- Срок обработки данных, в том числе срок их хранения;
- Порядок осуществления прав субъекта данных;
- Информация о любых трансграничных передачах данных, были ли данные субъекта данных частью каких-либо трансграничных передач;
- Контактная информация лица, осуществляющего обработку данных от имени оператора
В соответствии с последними изменениями в законе на запросы о доступе к данным необходимо ответить в течение десяти рабочих дней.
б. Право на исправление и удаление персональных данных
Все субъекты данных имеют право потребовать от оператора исправления, блокировки или уничтожения их персональных данных, если собранные данные с тех пор устарели, неполны или устарели. Субъект данных также может воспользоваться правом на удаление данных, если данные больше не нужны для его целей.
в. Право субъектов данных в отношении принятия решений исключительно на основе автоматизированной обработки их персональных данных
Субъект данных может потребовать от оператора прекратить использование автоматизированного принятия решений на основе собранных им данных, если он считает, что его права или интересы нарушаются.
д. Права субъектов данных, если их персональные данные обрабатываются в целях продвижения товаров на рынке
Оператор может собирать персональные данные субъекта данных для целей прямого маркетинга, если он получил предварительное согласие от субъекта данных. Это может включать продвижение товаров, работ и услуг на рынке.
Субъект данных может потребовать от оператора прекратить отправку ему любых таких сообщений или материалов. Оператор должен немедленно прекратить свою деятельность по прямому маркетингу в отношении субъекта данных после того, как будет сделан такой запрос. Если хранение данных больше не требуется для целей, для которых данные были собраны, организации должны уничтожить данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты получения запроса на отзыв субъектом данных.
Однако в соответствии с изменением 266-ФЗ, вступающим в силу с 1 сентября 2022 года, оператор данных обязан прекратить обработку персональных данных в течение 10 рабочих дней с момента получения оператором запроса.
эл. Права в отношении публично распространяемых данных
Для распространения или разрешения распространения персональных данных среди неограниченного числа лиц требуется согласие субъекта данных. Такое согласие должно быть получено отдельно от других видов согласия.
4. Регулирующий орган
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является основным надзорным органом, обеспечивающим соблюдение закона о конфиденциальности данных в стране. Является уполномоченным федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в соответствии с положениями Федерального закона «О персональных данных».
5. Штрафы за несоблюдение
В марте 2021 года внесены изменения в штрафные санкции, связанные с несоблюдением Федерального закона № 152-ФЗ со стороны обработчиков или контролеров данных.
Закон предусматривает компенсацию морального вреда и наложение административных штрафов за нарушение требований локализации данных, нарушение законодательства о защите данных или неполучение согласия в соответствии с требованиями.
От минимальной до максимальной суммы, которая может быть присуждена, составляет:
- Штраф для граждан составляет от двух тысяч до шести тысяч рублей
- Штраф на должностных лиц — от десяти тысяч до двадцати тысяч рублей
- Штраф на юридических лиц от шестидесяти тысяч до ста тысяч рублей
Повторное совершение административного правонарушения влечет наложение следующих административных штрафов:
- Штраф на граждан в размере от четырех тысяч до двенадцати тысяч рублей
- Штраф на должностных лиц от двадцати тысяч до пятидесяти тысяч рублей
- Штраф на индивидуальных предпринимателей — от пятидесяти тысяч до ста рублей
- Штраф на юридических лиц составляет от ста до трехсот тысяч рублей.
6. Как организация может применять закон
Для организаций часто недостаточно просто знать свои обязанности и обязанности. О соблюдении закона зачастую легче сказать, чем сделать, поскольку может возникнуть множество сложностей. К счастью, многие из этих проблем можно решить, если у организации есть сильная база для работы. Следовательно, вот несколько способов, которыми организация может операционализировать закон:
- Иметь политику конфиденциальности, которая легко понятна и эффективно сообщает обо всех обязательствах организации и правах субъектов данных;
- Наймите компетентного DPO, который разбирается в законах и может дать совет по обеспечению соответствия методов сбора данных организации закону;
- Убедитесь, что все сотрудники и сотрудники компании четко осознают свои обязанности в соответствии с законом;
- Проводите регулярные оценки воздействия на защиту данных, а также учения по сопоставлению данных, чтобы обеспечить максимальную эффективность ваших усилий по обеспечению соответствия требованиям;
- Незамедлительно уведомлять соответствующие органы и затронутых субъектов данных о любой утечке данных.
7. Как Securiti может помочь
Пользователи теперь более осведомлены и бдительны в отношении веб-сайтов или организаций, собирающих любые данные о них в Интернете. Кроме того, почти в каждой крупной стране в настоящее время действует или находится в стадии разработки закон о защите данных. Это означало, что организациям пришлось изменить и развить свои методы сбора данных, чтобы обеспечить выполнение своих юридических обязательств без потери доверия пользователей.
Однако из-за огромного количества задействованных данных большинство организаций могут счесть эту геркулесову задачу достаточно пугающей. Вероятность ошибки крайне мала, а любые нарушения строго наказываются.
Здесь Securiti может помочь.
Securiti является лидером на рынке решений для управления данными и соответствия требованиям. К ним относятся, среди прочего, роботизированное выполнение DSR, сопоставление данных и управление нарушениями.
Запросите демонстрацию сегодня, чтобы узнать, что еще может предложить Securiti и как это может помочь вам в соблюдении Федерального закона № 152-ФЗ.
В Государственную Думу внесен законопроект об усилении защиты субъектов персональных данных
Главная • Аналитика и брошюры • Оповещения • В Государственную Думу внесен законопроект об усилении защиты субъектов персональных данных быть улучшенным
«Пепеляев Групп» сообщает, что 06.04.2022 законопроект В Государственную Думу внесено постановление № [1] , предусматривающее внесение изменений в Федеральный закон № 152-ФЗ «О персональных данных» (далее — Законопроект). Законопроект призван усилить защиту прав граждан России на неприкосновенность частной жизни.
Вопрос обеспечения безопасности персональных данных от несанкционированного доступа посторонних лиц является весьма актуальным. Персональные данные российских граждан в последнее время часто становятся доступными для широкой публики. Согласно пояснительной записке к законопроекту, стали популярными интернет-сервисы, реализующие персональные данные граждан России из различных баз данных.
Часть таких сервисов находится в зарубежном сегменте сети Интернет, на который не распространяются требования российского законодательства о персональных данных. По статистике Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (известной в России под аббревиатурой «Роскомнадзор»), более 2500 операторов персональных данных передают персональные данные граждан России через границу во враждебные страны. .
В пояснительной записке к законопроекту также подчеркивается, что существующих инструментов недостаточно для обеспечения защиты прав граждан Российской Федерации как субъектов персональных данных.
Введение принципа экстерриториальности № 152-ФЗ
Предлагается распространить положения Закона № 152-ФЗ на действия с персональными данными граждан Российской Федерации, совершаемые иностранными органами, юридическими и физическими лицами. Предусмотрена возможность вмешательства уполномоченных органов Российской Федерации в обработку персональных данных граждан Российской Федерации на территориях других государств.
Уточнение требований для получения согласия на обработку персональных данных
В настоящее время согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным (пункт 1 статьи 9 152-ФЗ). В законопроекте предлагается дополнить регламент требованием о том, что согласие на обработку персональных данных должно быть содержательным и однозначным.
Введение ответственности оператора при утечке персональных данных
Предлагается ввести обязанность операторов обеспечивать постоянное взаимодействие с государственной системой обнаружения, предотвращения и ликвидации последствий кибератак на российские информационные ресурсы, в том числе оповещение о киберинцидентах, повлекших за собой неправомерный доступ раскрытия, распространения и передачи персональных данных.
В целях учета Роскомнадзор будет вести журнал инцидентов, связанных с неправомерной обработкой персональных данных.
Регулирование статуса лица, осуществляющего обработку персональных данных, на основании указания оператора
Статус лица, осуществляющего обработку персональных данных, регулируется указанием оператора. Например, вводится определение такого лица как государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных по поручению оператора на основании согласия субъекта данных, если иное не установлено Законом № 152-ФЗ.
В законопроекте указано, что лицо, осуществляющее обработку персональных данных, не определяет цели обработки, состав обрабатываемых данных и действия, совершаемые с такими данными.
Уточнение порядка передачи персональных данных через границу
Актуализируется понятие трансграничной передачи персональных данных. Законопроект предусматривает, что для такой передачи решающим является факт нахождения получателя данных на территории иностранного государства, а не его организационно-правовая форма.
Ограничения на обработку биометрических персональных данных
Вводится запрет на обработку биометрических персональных данных несовершеннолетних (до 18 лет), за исключением случаев, предусмотренных пунктом 2 статьи 11 152-ФЗ (исполнение международных договоров о реадмиссии, исполнение законов и судебных решений, обязательной государственной дактилоскопии, а также в других случаях, предусмотренных законодательством Российской Федерации).
Значительное сокращение срока выполнения требований Роскомнадзора
В настоящее время операторы имеют возможность выполнить запросы Роскомнадзора или субъекта данных, связанные с неправомерной обработкой персональных данных или получением информации, касающейся обработки персональных данных, в течение 30 дней после получения таких запросов. Предлагается сократить срок выполнения таких запросов до 10 рабочих дней.
О чем подумать и что делать
Несмотря на то, что законопроект только что внесен в Государственную Думу, организациям, осуществляющим обработку персональных данных, уже сейчас следует предпринять шаги по приведению своей деятельности в соответствие с грядущими изменениями законодательства о персональных данных.
Своевременное выявление и устранение нарушений позволит минимизировать правовые риски, возможные дополнительные расходы на устранение последствий, а также избежать репутационных потерь.
Помощь вашего консультанта
Специалисты «Пепеляев Групп» осуществляют постоянный мониторинг изменений законодательства о персональных данных и имеют солидный опыт комплексного сопровождения бизнеса в вопросах соблюдения законодательства, выявления и оценки правовых рисков, разработки бизнес-ориентированных предложений по минимизации выявленных рисков. .
«Пепеляев Групп» оказывает следующие виды услуг:
предоставление консультаций по вопросам соблюдения требований законодательства о персональных данных;
разработка необходимых документов, связанных с обработкой персональных данных;
проверка организационно-технических мероприятий по защите персональных данных;
представительство в суде по спорам, связанным с обработкой персональных данных; а также
предложение цифрового сервиса для упрощения актуализации списка лиц, имеющих доступ к персональным данным.
[1] Законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации в части защиты прав субъектов персональных данных».
| HL Chronicle of Data Protection
Обновление: 3 декабря 2019 г.вступил в силу закон о многомиллионных штрафах за нарушение российского законодательства о локализации данных и информационной безопасности. Поскольку закон уже вступил в силу, новые штрафы могут быть наложены на компании по результатам проверок Роскомнадзора в 2020 году. Роскомнадзор уже определил лиц, которые планирует проверять в 2020 году, но может инициировать внеплановые проверки, например, на основании жалобы субъекта данных или его онлайн-мониторинг деятельности компании.
13 июня 2019 г., в Государственную Думу (нижняя палата российского парламента) внесен новый законопроект о наложении многомиллионных штрафов за нарушение российского законодательства о локализации данных и информационной безопасности, увеличивающий максимальное наказание по действующему закону в 240 раз.
Это дополнит существующие штрафы, которые, как мы сообщали, ранее были увеличены в 2017 году.
Недавно Роскомнадзор организовал День открытых дверей в честь Международного дня защиты персональных данных. В ходе мероприятия сотрудники Роскомнадзора рассказали о правоприменительной деятельности ведомства в 2017 году. За этой презентацией последовал период открытых вопросов и ответов, в ходе которого они ответили на многочисленные вопросы, поднятые участниками. В этом посте собраны основные выводы.
Две недели назад отдельные территориальные подразделения Роскомнадзора опубликовали планы на 2018 год по проведению проверок соблюдения местными компаниями российских требований к конфиденциальности данных, в том числе российских требований по локализации данных. Планы инспекций включают ряд известных многонациональных и российских компаний.
31 июля российский орган по защите данных, Роскомнадзор, выпустил руководство для операторов данных по составлению политик конфиденциальности в соответствии с российским законодательством о защите данных.
Российский закон о конфиденциальности 2006 г. — Федеральный закон № 152-ФЗ от 27 июля 2006 г. «О персональных данных» — требует, среди прочего, чтобы российские операторы данных приняли политику конфиденциальности, описывающую порядок обработки ими персональных данных. Это требование об уведомлении аналогично подходу, применяемому в Европе. Кроме того, операторы данных должны публиковать такую политику в Интернете, когда персональные данные собираются онлайн, или иным образом предоставлять неограниченный доступ к политике, когда персональные данные собираются в автономном режиме. Руководство, хотя и не имеющее обязательной силы и рекомендательное по своему характеру, подчеркивает ожидания регулирующего органа в отношении соблюдения требований, и поэтому оно должно учитываться организациями, выступающими в качестве операторов данных в России.
7 февраля 2017 года Президент Российской Федерации подписал закон о внесении изменений в Кодекс Российской Федерации об административных правонарушениях, которые увеличивают размер штрафов, налагаемых за нарушение законодательства Российской Федерации о защите информации, и дифференцируют соответствующие виды правонарушений.
Наибольшее увеличение увеличивает максимальные штрафы за определенные нарушения с 10 000 до 75 000 рублей (примерно со 170 до 1 260 долларов США). Закон вступит в силу 1 июля 2017 года.
В конце 2016 года территориальные подразделения Роскомнадзора России опубликовали планы на 2017 год проведения проверок соблюдения местными компаниями российских требований к конфиденциальности данных, включая локализацию данных. Планы инспекций включают ряд известных многонациональных и российских компаний.
По делу, имеющему большое значение для иностранных онлайн-компаний, ведущих бизнес в России, в четверг, 10 ноября, Московский городской суд удовлетворил решение суда низшей инстанции, удовлетворившее запрос Российского органа по защите персональных данных о блокировании доступа к социальной сети LinkedIn на территории России. территория. Хотя требование о локализации данных вступило в силу в сентябре 2015 года, это первый случай, когда Россия блокирует доступ к иностранному онлайн-бизнесу из-за несоблюдения требования о локализации данных в России.
Были некоторые сомнения относительно того, насколько строго будет применяться требование локализации данных, и этот случай указывает на то, что, по крайней мере, при некоторых обстоятельствах Роскомнадзор будет агрессивно настаивать на блокировке веб-сайтов. Подобные онлайн-сервисы должны проверить свое соответствие требованиям локализации данных в свете этого решения.
СМИ на этой неделе сообщили о том, что в августе прошлого года российский суд первой инстанции постановил заблокировать LinkedIn для российских пользователей Интернета за нарушение российского закона о локализации данных, который требует, чтобы веб-сайты и другие компании, собирающие персональные данные российских граждан, хранили эти данные. на территории России. Согласно имеющемуся постановлению суда, была подана апелляционная жалоба, рассмотрение которой назначено на 10 ноября 2016 года.
Прошел год с тех пор, как в сентябре 2015 года в России вступило в силу требование о локализации данных, согласно которому компании должны хранить в России базы данных, содержащие персональные данные, которые они собирают у граждан России.
Ровно через год Роскомнадзор опубликовал пресс-релиз о первом годе вступления в силу.
В сообщении Роскомнадзора указано, что абсолютное большинство проверенных компаний соблюдают требование по локализации данных и уровень несоблюдения низкий.
Вчера Президент России Владимир Путин подписал закон «О внесении изменений в Федеральный закон «О борьбе с терроризмом» и иные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности». В частности, Закон вносит изменения в Закон Российской Федерации «О связи» и Закон Российской Федерации «Об информации, информационных технологиях и о защите информации».
В последний раз мы сообщали о российском законе о локализации данных ранее в этом году, когда Роскомнадзор опубликовал свой план проверок на 2016 год. С тех пор Роскомнадзор проводит проверки соблюдения как в соответствии с планом, так и в отдельных случаях, когда у него есть основания сделать это.
Результаты этих проверок и последние […]
В середине января территориальные подразделения Роскомнадзора выложили свои планы на 2016 год по проведению проверок соблюдения местными компаниями требований России по локализации данных, и в списке есть ряд известных транснациональных компаний.
Закон «О праве на забвение» обязывает поисковые системы, распространяющие рекламу, ориентированную на потребителей, находящихся в России, удалять из результатов поиска информацию о физических лицах, если такая информация распространяется незаконно, недостоверна, устарела или неактуальна (т. существенным образом относящимся к рассматриваемому лицу в связи с последующими событиями или действиями отдельных лиц). Закон включает исключения, когда поисковая система не обязана соблюдать требования – (i) информация о событиях, сообщающих о преступлении, по которым не истек срок давности привлечения к уголовной ответственности; а также (ii) преступления, совершенные физическим лицом, судимость которого не была стерта.
Прошло почти два месяца с начала действия российского Закона о локализации данных, который вступил в силу 1 сентября. В то время как некоторые ожидали немедленного применения, Российский орган по защите данных, Роскомнадзор, еще не предпринял никаких действий за нарушение требований к локализации данных. В прошлом месяце Роскомнадзор предпринял официальные меры по блокировке веб-сайта и внесению его в реестр нарушителей прав субъектов данных за ведение незаконной базы данных в Интернете, содержащей контактные данные более 1,5 млн граждан России. Однако это правоприменение было связано не с нарушением закона о локализации данных, а скорее с незаконным сбором и распространением персональных данных в соответствии с другими российскими законами о защите данных.
1 сентября 2015 года вступил в силу долгожданный российский закон о локализации данных. В недавних интервью европейскому генеральному директору и The Financial Times Наталья Гуляева, партнер московского офиса Hogan Lovells, выделила некоторые ключевые моменты, которые транснациональные корпорации должны учитывать при ведении бизнеса в России.
В интервью Наталья поясняет, что Роскомнадзор вряд ли какое-то время будет проводить проверки соответствия крупных транснациональных компаний и разрешит передачу данных за пределы России, если основная база данных находится внутри России. Она также подчеркнула, что, поскольку определение «персональных данных» в России очень широкое, компании должны рассматривать всю информацию, используемую для идентификации физических лиц, как «персональные данные».
Сегодня, 1 сентября 2015 года, вступил в силу российский Закон о локализации данных. До сих пор не было никаких неожиданных событий или сообщений о каких-либо незапланированных проверках со стороны Роскомнадзора, российского органа по защите данных. Существующие документы по планированию, однако, обеспечивают некоторую предсказуемость для организаций, подпадающих под действие закона, в отношении графика, согласно которому Роскомнадзор планирует проводить проверки соблюдения установленных норм.
В целях не отставания от европейской практики 13 июля 2015 г.
Президентом Российской Федерации был подписан законопроект о внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» № 149.-ФЗ от 27 июля 2006 года. Этот закон вводит в России так называемое «право на забвение» или «право на забвение» и вступает в силу с 1 января 2016 года.
Как мы сообщали на прошлой неделе, 3 августа 2015 года Министерство связи России, агентство, которое курирует российский орган по защите данных, который будет обеспечивать соблюдение российского Закона о локализации данных, опубликовало на своем веб-сайте неофициальные разъяснения, которые дают представление о том, как министерство считает организации должны соблюдать закон. Хотя эти разъяснения не имеют обязательной силы, они представляют собой единственное из опубликованных на сегодняшний день письменных нормативных указаний о законе, который вступает в силу 1 сентября и требует от организаций, собирающих персональные данные от физических лиц, находящихся в России, хранить эти данные на территории России.
. На веб-сайте министерства также предусмотрен механизм, позволяющий задавать дополнительные вопросы в режиме онлайн. В этом сообщении блога мы резюмируем основные вопросы, поднятые в опубликованных разъяснениях, и возможное влияние на глобальные компании, стремящиеся соблюдать закон.
В сентябре 2015 года вступит в силу российский Закон о локализации данных, который обяжет организации, собирающие персональные данные физических лиц, находящихся в России, хранить эти данные на территории России. В этом сообщении блога мы кратко излагаем последние события в отношении того, как будет применяться закон, включая неожиданную публикацию нормативных указаний, выпущенных правительством на этой неделе.
Благодарим всех, кто принял участие в вебинаре Hogan Lovells «Обновление информации о локализации данных в России: новые подробности, появившиеся в результате встреч с российским регулирующим органом» 2 апреля 2015 г. Это обновление последовало за презентацией Hogan Lovells в октябре 2014 г.
, в которой был изложен недавно принятый в России Закон о локализации данных. . На этом вебинаре Наталья Гуляева и Брет Коэн из Hogan Lovells, занимающиеся конфиденциальностью и защитой данных, рассказали об ожиданиях российских регулирующих органов по мере приближения крайнего срока реализации в сентябре 2015 года.
Поскольку до даты вступления в силу российского Закона о локализации данных в сентябре 2015 года осталось менее шести месяцев, российский орган по защите данных, Роскомнадзор, до сих пор не выпустил каких-либо официальных указаний о том, как он интерпретирует широкое требование закона о том, что компании должны обрабатывать и хранить персональные данные. российских граждан на территории России. Однако Роскомнадзор недавно провел серию встреч с различными отраслевыми группами по поводу закона. Хотя взгляды Роскомнадзора, высказанные на этих встречах, не являются официальной позицией, они дают представление о том, как регулирующий орган может интерпретировать закон.
24 февраля Государственная Дума РФ (нижняя палата парламента РФ) приняла в первом чтении законопроект о внесении изменений в Кодекс РФ об административных правонарушениях, предусматривающих увеличение размера штрафов, налагаемых за нарушение законодательства РФ о защите информации введение дифференциации соответствующих видов правонарушений.
Примечательно, что законопроект не вводит отдельного штрафа за нарушение нового российского Закона о локализации данных, хотя все еще существует вероятность того, что он может быть изменен в ходе законодательного процесса.
31 декабря Президент Российской Федерации подписал Федеральным законом № 526-ФЗ предложение об изменении даты вступления в силу Закона о локализации персональных данных, принятого летом прошлого года, с 1 сентября 2016 года на 1 сентября 2015 года.
Юридическая фирма АЛРУД
Юридическая фирма АЛРУД
jpg»>
jpg» data-image-desktop=»/upload/Slider_main_lat/2020_The_Lawyers_Firm_of_the_year/1439×582-Firm-of-the-2020-EN.jpg» data-image-max-desktop=»/upload/Slider_main_lat/2020_The_Lawyers_Firm_of_the_year/2550×950-Firm-of-the-2020-EN.jpg»>Превосходный опыт и знания
в юридических областях:
Банковское дело и проектное финансирование Рынки капитала и акций Коммерческий Конкуренция/антимонопольное законодательство Корпоративное право и M&A Антикризисное управление, экономические санкции и комплаенс Защита данных и кибербезопасность Разрешение спора Прямые иностранные инвестиции
Интеллектуальная собственность Труд и занятость Частные клиенты Недвижимость нормативный Реструктуризация и неплатежеспособность налог Беловоротничковая преступность, комплаенс и расследования
Энергетика, природные ресурсы и инфраструктура Финансовые технологии Пищевая промышленность
Здравоохранение и фармацевтическая промышленность Телекоммуникации, медиа и технологии
Наша команда
Максим Алексеев Старший партнер
Василий Рудомино Старший партнер, Адвокат
Александр Жарский Партнер, адвокат, кандидат юридических наук
Ирина Анюхина Партнер
Антон Джуплин Партнер
Андрей Жарский Партнер, адвокат, кандидат юридических наук
Мария Осташенко Партнер
Герман Захаров Партнер
Сергей Петрачков Партнер, адвокат, кандидат юридических наук
Магомед Гасанов Партнер, адвокат, кандидат юридических наук
Аналитика и новости
Эксперты АЛРУД подготовили Обзор российских контрсанкционных мер
В связи с введенными санкциями эксперты АЛРУД подготовили Обзор российских контрсанкционных мер, принятых в ответ на действия недружественных стран с 24 февраля 2022 года9.
0003Узнать больше
Эксперты антимонопольной практики АЛРУД подготовили статью для Legal Insight
В новом номере журнала Legal Insight опубликована статья старшего юриста АЛРУД Александра Артеменко и адвоката АЛРУД Анастасии Ярыгиной, посвященная анализу возможности и необходимости применения правил о злоупотреблении доминирующим положением при совершении действий в интересах компаний, входящих в единую группу лиц с «нарушителем».
Узнать больше
АЛРУД провел исследование рынка слияний и поглощений в России и СНГ
Юридическая фирма АЛРУД и международное агентство исследований, анализа и новостей Mergermarket провели Эксклюзивное исследование рынка слияний и поглощений в России и СНГ в конце 2021 года, приуроченное к 30-летию АЛРУД, и представили результаты опроса на отдельном вебинаре.
Узнать больше
Крупная реформа российского законодательства о защите данных и информации в июле 2022 года
Информируем вас о том, что новые законы, вводящие основную реформу российского законодательства в области защиты информации и информации, были приняты российским парламентом и подписаны Президентом Российской Федерации , в июле 2022 года.
Подробнее
Россия временно упростила режим контроля за слияниями до 2022 года
Значительная временная мера на 2022 год была введена в российскую процедуру контроля за слияниями, которая может повлиять на процесс одобрения регулирующими органами многих сделок по слияниям и поглощениям и может иметь особое значение для выкупа Менеджментом.
Узнать больше
Новые правила договора аренды о приостановлении деятельности арендатора
Информируем вас о том, что 14 июля 2022 г. был принят новый Федеральный закон № 332-ФЗ («Закон»), позволяющий арендодателям требовать от арендатора среднемесячную арендную плату или расторгнуть договор аренды, если коммерческая деятельность арендатора приостановлена.
Узнать больше
0003
31 год опыта в бизнесе, предоставление практической и ориентированной на результат поддержки
22 юридические практики и основные отрасли
1000+ разнообразных дел в год
png» data-image-desktop=»/upload/Slider_main_lat/Intern_Reach/01-en/1439х582.png» data-image-max-desktop=»/upload/Slider_main_lat/Intern_Reach/01-en/1920-2550×830.png»>Рейтинги и награды
- АЛРУД подтверждает лидирующие позиции в рейтинге Chambers Global
- АЛРУД – Юридическая фирма года в России и СНГ
- Юридическая фирма АЛРУД подтверждает высокую позицию в рейтинге Chambers Global 2021
- АЛРУД лидирует в рейтинге Chambers HNW.
- АЛРУД — Юридическая фирма года 2021 в России
- АЛРУД остается ведущей российской юридической фирмой в рейтинге Chambers Europe 2021
- АЛРУД вошла в число 100 лучших юридических фирм мира в сфере международного арбитража по рейтингу Global Arbitration Review
- АЛРУД занял лидирующую позицию в рейтинге The Legal 500 EMEA 2021
- Эксперты АЛРУД подтвердили свои лидирующие позиции в рейтинге Best Lawyers
- АЛРУД входит в топ-100 юридических фирм по версии Global Data Review 2021, 2022
- Юридическая фирма АЛРУД вошла в международный рейтинг Media Law
- АЛРУД подтверждает лидирующие позиции в 31-м выпуске IFLR1000 2021/22
- АЛРУД занял лидирующую позицию в рейтинге IFLR1000
- АЛРУД лидирует в Chambers HNW 2020
- АЛРУД возглавил рейтинг Mergermarket в России
- Юридическая фирма АЛРУД вошла в шорт-лист Global Competition Review Awards
- АЛРУД в рейтинге Chambers HNW 2019
- АЛРУД — Юридическая фирма года 2019 в России
Обратная связь с клиентами
Чемберс Европа
«Надежность, опыт и доверие – все это есть в имени АЛРУД.
Фирма отличная, и наш первый инстинкт — позвонить им, если у нас возникнут какие-либо сложные проблемы. Мы очень довольны — юристы дают нам четкий анализ плюсов и минусов, и нам дают варианты, а также рекомендации и очень хорошую оценку рисков».Юридический 500
«Юридическая фирма АЛРУД сочетает в себе практические советы, хорошее соотношение цены и качества, очень хорошую отзывчивость и ориентацию на потребности и интересы клиентов».
ИФЛР1000
«АЛРУД всегда давал нам полезные и своевременные советы. Мы ценим фирму за ее опыт и знание российского рынка».
Чемберс Европа
«Они всегда отвечают нам быстро и качественно, а также дают отличный результат. Эта фирма внимательно относится к качеству и быстро реагирует. Эта фирма входит в наш топ-лист в России.»
ИФЛР1000
«Они клиентоориентированы, быстры и профессиональны. Они хорошо знают закон и предлагают нестандартное мышление».
Чемберс Европа
«Их главная сила в том, что они имеют прагматичный подход в довольно формальной юрисдикции. Они понимают трудности, с которыми иногда сталкиваются клиенты, и предлагают практические решения. Кроме того, они быстро реагируют на вопросы.»
Фирма отличная, и наш первый инстинкт — позвонить им, если у нас возникнут какие-либо сложные проблемы. Мы очень довольны — юристы дают нам четкий анализ плюсов и минусов, и нам дают варианты, а также рекомендации и очень хорошую оценку рисков».
Мы используем файлы cookie, чтобы обеспечить лучшую работу веб-сайта и выполнить некоторые другие цели, указанные в Политике конфиденциальности. Поставив галочку, вы даете свое согласие на использование файлов cookie. В противном случае мы будем использовать только технические файлы cookie, необходимые для надлежащего функционирования веб-сайта.
Принять
Роскомнадзор: государственные протоколы для блокировки веб-сайтов
Заголовки типа «[Веб-сайт] заблокирован в России» в последние годы становятся все более распространенными в связи с ограничением тысяч торрент- и пиратских веб-сайтов, онлайн-казино и даже социальных сетей.
Эти заголовки говорят о том, что ограничение веб-сайтов является формой подавления в Интернете и еще одним кирпичиком в «Великом российском брандмауэре».
Главный вопрос многих интернет-компаний, работающих в России, — почему блокируются те или иные сайты.
Законодательной основой для ограничения доступа к сайтам являются Закон «Об информации, информационных технологиях и о защите информации» (ФЗ № 149) и Закон «О персональных данных» (ФЗ № 152). Эти законы содержат неисчерпывающий перечень правовых оснований для ограничения доступа к информации в Интернете.
Роскомнадзор — государственный орган исполнительной власти, осуществляющий надзор за всеми СМИ в России, в том числе за теми, которые могут появляться в Интернете. Он отвечает за управление всем процессом блокировки веб-сайтов: от ведения реестров до связи с веб-сайтами, веб-хостинговыми компаниями, судами и другими государственными органами.
Роскомнадзор ведет следующие реестры:
- Реестр нарушителей авторских прав
- Реестр экстремистских материалов
- Единый реестр запрещенной информации
- Реестр нарушителей персональных данных
- Реестр организаторов распространения информации и блогеров
- Реестр операторов персональных данных
Включение в реестр не обязательно означает автоматическую блокировку веб-сайта.
Реестр организаторов распространения информации и реестр операторов персональных данных носят учетный характер. Отсутствие регистрации в указанных реестрах влечет за собой риск закрытия, что и произошло с мессенджером WeChat (подробнее см. «WeChat снова в сети»). Другие реестры предназначены для записи информации о веб-сайтах с нелегальным контентом — доступ к этим сайтам ограничен до тех пор, пока нелегальный контент не будет удален.
При добавлении веб-страницы, веб-сайта или IP-адреса в один из названных реестров Роскомнадзор направляет по электронной почте уведомление на русском и английском языках хостинг-провайдеру или иным лицам, позволяющее размещать или поддерживать информацию о веб-сайте со следующей строкой темы : «Роскомнадзор информирует».
Технически Роскомнадзор осуществляет блокировку в рамках специальной процедуры, называемой «системой взаимодействия», в соответствии с которой он получает решения судов и других государственных органов с требованием заблокировать веб-страницу, сайт или IP-адрес с незаконным содержанием.
Роскомнадзор в течение одного рабочего дня вносит сайт-нарушитель в реестр и направляет хостинг-провайдеру или иным лицам уведомление, разрешающее размещение или ведение информации на сайте.
В случае удаления с сайта материалов, нарушающих авторские права, в течение трех рабочих дней с момента получения уведомления Роскомнадзор снимает сайт с учета. Однако если противоправный контент не будет удален, Роскомнадзор направляет операторам связи запрос на ограничение доступа к сайту.
Как исполнительный орган Роскомнадзор разделяет бремя интернет-мониторинга и фильтрации контента с другими государственными органами, включая Федеральную налоговую службу, Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека, прокуратуру и полицию.
Ниже приведен перечень судебных и внесудебных оснований для блокировки сайта и разграничения полномочий между государственными органами.
| Государственный орган | Территория |
|---|---|
| Несудебные основания | |
| Роскомнадзор |
|
| Федеральная налоговая служба |
|
| МВД |
|
| Федеральная служба по надзору в сфере защиты прав потребителей и благополучия человека |
|
| Прокуратура |
|
| Судебная база | |
| Суды |
|
| Московский городской суд |
|
Эта статья была первоначально опубликована в IAM Weekly и воспроизводится с разрешения.
НЕ ЮРИДИЧЕСКАЯ КОНСУЛЬТАЦИЯ. Информация, размещенная на этом веб-сайте в любой форме, предназначена только для информационных целей. Это не является и не должно восприниматься как юридическая консультация. Вы не должны полагаться на эту информацию или предпринимать или не предпринимать никаких действий на основании этой информации. Никогда не пренебрегайте профессиональной юридической консультацией и не откладывайте обращение за юридической консультацией из-за чего-то, что вы прочитали на этом веб-сайте.
Специалисты Gowling WLG будут рады обсудить с вами решение ваших конкретных юридических вопросов.Связанный Энергетика, продукты питания и напитки, здравоохранение и уход, химические вещества, коммерческие споры, изменение климата и экологическое право
Защита данных в Российской Федерации: обзор
6 августа 2018 г.
В этом руководстве по вопросам и ответам представлен общий обзор правил и принципов защиты данных, включая обязательства контроллера данных и согласие субъектов данных; права на доступ к персональным данным или возражение против их сбора; и требования безопасности. Это также распространяется на файлы cookie и спам; обработка данных третьими лицами; и международная передача данных. В этой статье также подробно описывается национальный регулирующий орган; его правоприменительные полномочия; санкции и средства правовой защиты.
Чтобы сравнить ответы в разных юрисдикциях, посетите инструмент вопросов и ответов по защите данных в разных странах.
Эта статья является частью глобального руководства по защите данных. Полный список содержания см. на странице global.practicallaw.com/dataprotection-guide.
Постановление
Законодательство
1. Какие национальные законы регулируют сбор и использование персональных данных?
Общие законы
Основные положения закона о защите данных и конфиденциальности можно найти в:
— Страсбургская конвенция о защите физических лиц при автоматизированной обработке персональных данных 2005 г. (Страсбургская конвенция).
— Конституция России 1993 г. (статьи 23 и 24).
— Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» 2006 г. (Закон о защите информации).
— Федеральный закон № 152-ФЗ «О персональных данных» 2006 г. (Закон о персональных данных).
Основным законом в этой области является Закон о защите персональных данных.
Отраслевые законы
Специальные положения о защите данных также можно найти в различных отраслевых законах, например:
— Трудовой кодекс РФ (глава 14).
— Воздушный кодекс РФ (статья 85.1).
— Федеральный закон № 323 «Об основах охраны здоровья граждан в Российской Федерации».
Существуют также определенные местные административные правила и официальные требования, регулирующие сбор, хранение и использование персональных данных, изданные:
— Президент России.
— Правительство РФ.
— Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
— Федеральная служба по техническому и экспортному контролю (ФСТЭК).
— Федеральная служба безопасности (ФСБ).
Сфера действия законодательства
2. На кого распространяются законы?
Законы о защите данных применяются ко всем операторам данных и третьим лицам, действующим с разрешения операторов данных.
Российские законы о защите данных не содержат понятий «контролер данных» и «обработчик данных». Однако в Законе о защите персональных данных упоминаются понятия «оператор данных» и «лицо, действующее по указанию» оператора данных.
Оператором данных может быть государственный или муниципальный орган, юридическое или физическое лицо, которое одновременно:
— Организует и/или осуществляет (самостоятельно или совместно с другими лицами) обработку персональных данных.
— Определяет цели обработки персональных данных, состав персональных данных, действия (операции) с персональными данными.
Обработка данных может быть делегирована третьему лицу с согласия субъекта данных, которое будет действовать с разрешения оператора данных на основании соответствующего договора или в силу специального государственного или муниципального акта.
3. Какие данные регулируются?
Законы о защите данных регулируют все персональные данные, обрабатываемые операторами данных или третьими лицами.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту данных).
Российское законодательство о защите данных не различает прямые персональные данные и косвенные персональные данные. Таким образом, персональные данные будут рассматриваться как «прямые» или «косвенные» в зависимости от обстоятельств каждого дела.
4. Какие акты регулируются?
Законы о защите данных применяются ко всем действиям по обработке данных, включая сбор, запись, систематизацию, накопление, хранение, изменение (обновление, модификацию), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление или уничтожение данных. Электронные (автоматизированные) и ручные (неавтоматизированные) записи персональных данных, а также смешанная обработка данных подпадают под действие законодательства о защите данных.
5. Какова юрисдикция правил?
Законы о защите данных не содержат каких-либо явных положений об их юрисдикционном или территориальном действии.
Поэтому обычно предполагается, что национальные правила защиты данных применяются к:
— Обработка данных, которая происходит или нацелена на Россию.
— Сбор, хранение и использование персональных данных граждан Российской Федерации (субъектов данных).
Независимо от того, где установлены и расположены операторы данных.
В контексте трансграничного потока данных национальное законодательство о защите данных также может в определенной степени применяться, если российское физическое лицо является стороной договора о передаче данных или пользовательского соглашения либо дает согласие на обработку своих персональных данных. данных иностранным оператором данных.
Каковы основные исключения (если таковые имеются)?
Законы о защите данных не распространяются на следующие действия:
— Обработка персональных данных физическими лицами исключительно для личных и семейных нужд (при условии неущемления прав субъектов данных).
— Организация хранения, сбора, учета и использования архивных документов, содержащих персональные данные, в соответствии с национальным законодательством об архивных фондах и делах.
— Обработка персональных данных, которые могут быть отнесены к сведениям, составляющим государственную тайну.
— Представление компетентными органами сведений о деятельности судов в России согласно соответствующему судебному законодательству.
Уведомление
7. Требуется ли уведомление или регистрация перед обработкой данных?
Оператор данных, осуществляющий обработку персональных данных, обязан уведомить Роскомнадзор до начала обработки персональных данных. Уведомление может быть представлено оператором данных на бумаге или в электронном виде.
Уведомление должно содержать следующую информацию:
— Имя и адрес оператора данных.
— Цели обработки персональных данных.
— Категории персональных данных.
— Категории субъектов данных, чьи данные обрабатываются.
— Перечень согласованных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.
— Описание ИТ-систем и мер безопасности (включая шифрование).
— Имя и контактные данные уполномоченного по защите данных.
— Дата начала обработки персональных данных.
— Срок обработки или условия прекращения обработки персональных данных.
— Информация о трансграничной передаче данных.
— Местонахождение базы данных, в которой будут храниться персональные данные российских граждан (см. вопрос 21).
Роскомнадзор регистрирует оператора данных в течение 30 дней с момента получения соответствующего уведомления (при отсутствии дополнительных вопросов и запросов). Перечисленная выше информация (за исключением описания ИТ-систем оператора данных и соответствующих мер безопасности) становится общедоступной после включения в реестр.
Роскомнадзор ведет реестр операторов данных на основании информации, содержащейся в получаемых им уведомлениях. Реестр операторов данных является общедоступным и доступен на русском языке, см. http://rkn.gov.ru/personal-data/register.
Требование об уведомлении/регистрации распространяется на любого оператора данных, осуществляющего обработку различных категорий персональных данных на территории Российской Федерации или за ее пределами (или обработку персональных данных граждан Российской Федерации) и использующего свою внутреннюю ИТ-систему или базу данных с соблюдением законодательство о защите данных. Однако оператор данных может быть освобожден от этого установленного законом требования и иметь возможность обрабатывать персональные данные без уведомления/регистрации при определенных обстоятельствах. Например, где персональные данные:
— Обрабатывается только в соответствии с трудовым законодательством.
— Получены оператором данных в связи с договором с субъектом данных (физическим лицом) при условии, что персональные данные:
— не передается третьим лицам без согласия физического лица;
— используется только для выполнения контракта или для заключения дальнейших контрактов с физическим лицом.
— Относится к определенному виду обработки общественным объединением или религиозной организацией, действующими в соответствии с действующим законодательством, при условии, что персональные данные не распространяются и не раскрываются третьим лицам без согласия субъекта данных.
— Субъект данных сделал их общедоступными.
— Состоит только из фамилии, имени и отчества субъекта данных.
— Необходим для предоставления субъекту данных разового доступа в помещение, где находится оператор данных.
— Входит в состав ИТ-систем, получивших статус государственных компьютерных ИТ-систем в соответствии с действующим законодательством, либо в государственные ИТ-системы, созданные в целях обеспечения государственной безопасности и общественного порядка.
— Обрабатывается без использования автоматизированных систем в соответствии с действующим законодательством при условии соблюдения прав субъекта данных.
— Обрабатывается в соответствии с законами и правилами, касающимися транспортной безопасности.
Уведомление и регистрация не требуют уплаты какой-либо официальной пошлины.
Основные правила и принципы защиты данных
Основные обязательства и требования к обработке
8. Какие основные обязательства возлагаются на контролеров данных для обеспечения надлежащей обработки данных?
Основные обязанности, возлагаемые на операторов данных для обеспечения надлежащей обработки персональных данных, следующие:
— Определение категорий персональных данных, целей обработки данных и сроков обработки.
— Получение согласия субъекта данных (если иное не предусмотрено законом).
— Назначение сотрудника по защите данных, принятие политики защиты данных (и других необходимых документов) и принятие других соответствующих мер безопасности (особенно правовых, технических и организационных) для предотвращения несанкционированной/незаконной обработки данных и нарушения законодательства о защите данных.
— Размещение центра обработки данных или сервера данных на территории России, если данные российских физических лиц подлежат обработке оператором данных (см. вопрос 21).
— Уведомление Роскомнадзора в целях регистрации (если иное не установлено законом) (см. вопрос 7).
9. Требуется ли согласие субъектов данных на обработку персональных данных?
В большинстве случаев перед обработкой персональных данных требуется согласие субъекта данных. Согласие субъекта данных должно быть конкретным, информированным и умышленным.
Если иное не предусмотрено законодательством, согласие субъекта данных может быть получено в любой форме, в том числе онлайн. Если закон требует, чтобы согласие субъекта данных было дано в письменной форме (например, для обработки биометрических данных), подразумеваемое или предполагаемое согласие не будет считаться действительным.
Электронные подписи разрешены и могут использоваться в соответствии с положениями применимого законодательства о цифровых подписях, если согласие субъекта данных представляет собой электронную форму документа согласия.
Бремя доказывания получения согласия субъекта данных лежит на операторе данных.
Нет предписанной или утвержденной формы согласия. Однако Закон о защите персональных данных определяет информацию, которая должна быть указана в письменном согласии субъекта данных:
— Имя, отчество, фамилия и адрес субъекта данных, номер удостоверения личности (например, номер паспорта), дата выдачи удостоверения личности и орган, выдавший его.
— Имя, отчество, фамилия и адрес представителя субъекта данных, номер удостоверения личности (например, паспорта), дата выдачи удостоверения личности и орган выдачи, реквизиты доверенности или др. применимый документ (если согласие дано представителем субъекта данных).
— Имя, отчество, фамилия и адрес оператора данных.
— Цель обработки данных.
— Список согласованных персональных данных.
— Имя, отчество, фамилия и адрес любого третьего лица, которое обрабатывает персональные данные с разрешения оператора данных.
— Перечень согласованных действий в отношении персональных данных и общее описание методов обработки данных, используемых оператором данных.
— Срок действия согласия субъекта данных и способ его отзыва.
— Подпись субъекта данных.
Обработка персональных данных несовершеннолетнего допускается с согласия законного представителя.
10. Если согласие не дано, какими другими основаниями (если таковые имеются) может быть оправдана обработка?
Обработка персональных данных без согласия субъекта данных может быть оправдана при определенных обстоятельствах. Например, если обработка данных требуется для:
— Цели, определенные международным договором или законодательством Российской Федерации.
— Определенные судебные цели.
— Осуществление отдельных полномочий федеральными органами, предоставляющими государственные и муниципальные услуги.
— Соглашение с субъектом данных или соглашение, в котором субъект данных является выгодоприобретателем или поручителем.
— Защита жизни, здоровья или других жизненно важных интересов субъекта данных.
— Защита прав и интересов оператора данных или третьих лиц или в общественных целях при условии отсутствия нарушений прав и свобод субъекта данных.
— Профессиональная журналистская, медийная, научная, литературная или иная творческая деятельность при условии отсутствия нарушений прав и свобод субъекта данных.
— Статистические или другие научные цели (при условии анонимизации соответствующих персональных данных).
— Обработка данных, которые были сделаны общедоступными субъектом данных по его запросу.
— Обязательная публикация или раскрытие в соответствии с действующим законодательством.
Специальные правила
11. Применяются ли особые правила к определенным типам персональных данных, например конфиденциальным данным?
В соответствии с Законом о защите персональных данных к конфиденциальным данным относится любая информация, которая касается национальности, расового или этнического происхождения, политических взглядов, религиозных или философских убеждений, состояния здоровья или сексуальной жизни человека.
Конфиденциальные данные могут быть обработаны только в том случае, если:
— Субъект данных дал письменное согласие на обработку данных.
— Персональные данные были опубликованы субъектом данных.
— Требуется оформление по международному договору России о реадмиссии (например, возвращение иммигрантов в страну).
— Обработка производится для Всероссийской переписи населения.
— Обработка осуществляется в соответствии с соответствующими законами о социальной поддержке, занятости или пенсиях.
— Обработка необходима для защиты жизни, здоровья или жизненно важных интересов субъекта данных или других лиц при условии невозможности получения согласия субъекта данных.
— Обработка производится лицом, занимающимся различной медицинской деятельностью в определенных медицинских целях, при условии, что обработка осуществляется профессионалом с соблюдением врачебной тайны.
— Обработка осуществляется общественными объединениями или религиозными организациями в отношении персональных данных их членов для целей, определенных их учредительными документами, при условии, что персональные данные не передаются третьим лицам без письменного согласия субъекта данных.
— Обработка необходима для установления или защиты прав субъекта данных или третьих лиц или для отправления правосудия.
— Обработка производится в соответствии с законодательством Российской Федерации об обороне, безопасности, противодействии терроризму, транспортной безопасности, противодействии коррупции, правоохранительной деятельности, исполнении, уголовном розыске и уголовном преследовании.
— Обработка производится органами прокуратуры в порядке особого уголовного преследования.
— Обработка производится в соответствии со страховым законодательством.
— Обработка производится государственными органами, муниципальными учреждениями или организациями в целях усыновления ребенка.
— Обработка производится в соответствии с действующим законодательством о гражданстве.
Обработка конфиденциальных персональных данных (если это разрешено законом) будет немедленно прекращена, если причины для обработки больше не существуют.
Права физических лиц
12. Какая информация должна быть предоставлена субъектам данных в момент сбора персональных данных?
В момент сбора персональных данных субъекту данных должна быть предоставлена следующая информация:
— Цель сбора/обработки данных.
— Объем сбора/обработки данных.
— Срок сбора/обработки данных.
— Подробная информация об операторе данных (или любой третьей стороне, действующей с разрешения оператора данных).
— Иная информация, предусмотренная законодательством.
13. Какие другие конкретные права предоставляются субъектам данных?
Субъект данных имеет право на доступ к данным, обрабатываемым оператором данных, и право на получение информации, связанной с обработкой данных, в том числе:
— Подтверждение обработки данных оператором данных.
— Правовые основания и цели обработки данных.
— Способы и цели обработки данных, используемые оператором данных.
— Наименование и местонахождение оператора данных, а также сведения о лицах (кроме работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные по договору с оператором данных или в соответствии с законодательством.
— Срок обработки данных, в том числе срок хранения персональных данных.
— Информация о любой завершенной или предполагаемой трансграничной передаче данных.
— Другая информация, предусмотренная Законом о защите персональных данных и другими законами.
Кроме того, субъект данных имеет право:
— Исправление и блокировка данных.
— Возражение против обработки данных.
— Объект прямого маркетинга.
— возражать против принятия решений исключительно на основе автоматизированной обработки данных.
— Обжаловать действия или бездействие оператора данных и требовать возмещения убытков, в том числе морального.
14. Имеют ли субъекты данных право требовать удаления своих данных?
Субъекты данных могут запросить удаление своих персональных данных, если данные:
— Неполный.
— Устарело.
— Неточно.
— Получено незаконно.
— Не требуется для заявленных целей обработки данных.
Требования безопасности
15. Какие требования безопасности предъявляются к персональным данным?
Оператор данных должен принять необходимые и достаточные защитные меры для соблюдения законодательства о защите данных, включая следующее:
— Назначение сотрудника по защите данных.
— Принятие политики защиты данных и других документов, в том числе локальных/корпоративных правил, направленных на предотвращение и выявление нарушений законодательства о защите данных.
— Осуществление соответствующих правовых, организационных и технических мер безопасности.
— Проведение внутреннего контроля и/или аудита для обеспечения соответствия обработки данных законодательству о защите данных и политике, документам и/или локальным правилам оператора данных.
— Оценка ущерба, который может быть нанесен субъектам данных в случае нарушения законодательства о защите данных.
— Раскрытие соответствующих положений законодательства о защите данных и требований к защите данных, которые определяют его политику, документы и/или местные правила для своих сотрудников.
В любом случае оператор данных обязан принять необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного/неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления или распространения, а также от любых иных несанкционированных действий в отношении персональных данных. Дополнительные меры безопасности могут быть установлены:
— Выявление угроз безопасности при обработке персональных данных в соответствующих ИТ-системах.
— Обеспечение надлежащего уровня защиты обработки персональных данных в соответствующих ИТ-системах.
— Применение различных сертифицированных методов защиты персональных данных (включая шифрование).
— Оценка эффективности мер безопасности (перед внедрением каких-либо мер безопасности).
— Запись любых компьютерных носителей, содержащих личные данные.
— Выявление несанкционированного доступа к персональным данным.
— Получение персональных данных, которые были изменены или уничтожены из-за несанкционированного доступа.
— Принятие правил, регулирующих доступ к персональным данным, обрабатываемым в соответствующих ИТ-системах, регистрацию и учет всех действий, связанных с персональными данными, в соответствующих ИТ-системах, контроль за соблюдением мер безопасности в отношении персональных данных, уровнем защиты соответствующие ИТ-системы.
16. Существует ли требование уведомлять субъектов данных или национальный регулирующий орган о нарушениях безопасности персональных данных?
Законодательство обычно не требует сообщать об утечке данных субъектам данных или Роскомнадзору.
При обнаружении или обнаружении несанкционированной обработки персональных данных оператор данных (или соответствующее уполномоченное лицо) должен прекратить обработку в течение трех рабочих дней.
В случае невозможности преобразования несанкционированной обработки персональных данных в законную обработку, оператор данных обязан уничтожить персональные данные в течение десяти рабочих дней.
В случае прекращения обработки персональных данных или уничтожения персональных данных оператор данных обязан уведомить об этом субъекта данных (или его представителя).
Если запрос на прекращение или уничтожение был сделан Роскомнадзором, уведомление должно быть направлено в Роскомнадзор.
Обработка третьими лицами
17. Какие дополнительные требования (если таковые имеются) применяются, когда третья сторона обрабатывает данные от имени контроллера данных?
Субъект данных должен дать согласие на передачу персональных данных третьим лицам. На третьи стороны распространяются те же юридические требования и обязательства, что и на операторов данных, и они должны соблюдать правила обработки данных, определенные законом. Оператор данных будет нести ответственность за все действия или бездействие третьих лиц, действующих с его разрешения, в то время как соответствующие третьи лица будут нести ответственность перед оператором данных за любую утечку данных.
Электронные средства связи
18. При каких условиях контролеры данных могут хранить файлы cookie или эквивалентные устройства на конечном оборудовании субъекта данных?
Закон не дает определения «куки». Также отсутствуют официальные указания Роскомнадзора (или другого государственного органа) по использованию, применению или распространению файлов cookie.
В соответствии с Законом о защите данных лицо, распространяющее информацию, должно предоставить адресату явную возможность отказа от информации (при использовании метода, позволяющего идентифицировать адресата), в том числе при отправке обычных почтовых сообщений и электронных сообщений. Поэтому обычно предполагается, что все типы файлов cookie требуют согласия субъекта данных (в отсутствие более конкретного законодательства по этому вопросу).
19. Какие требования предъявляются к отправке нежелательных электронных коммерческих сообщений (спама)?
В России запрещены нежелательные электронные коммерческие сообщения (спам).
Такие сообщения могут быть отправлены только с предварительного согласия адресата и должны быть немедленно прекращены по его требованию. Несоблюдение этих требований может привести к различным видам ответственности, в том числе административной.
Международная передача данных
Передача данных за пределы юрисдикции
20. Какие правила регулируют передачу данных за пределы вашей юрисдикции?
Статья 12 Закона о защите персональных данных регулирует трансграничные потоки данных. В случае международной передачи персональных данных все операторы данных должны обеспечить (до осуществления передачи), что права и интересы соответствующего субъекта данных полностью и надлежащим образом защищены в соответствующем иностранном государстве. Все страны, подписавшие Страсбургскую конвенцию, считаются юрисдикциями, обеспечивающими «адекватную защиту» прав и интересов субъектов данных. Кроме того, Роскомнадзор утвердил официальный список стран (включая Австралию, Аргентину, Канаду, Израиль, Мексику и Новую Зеландию), обеспечивающих адекватный уровень защиты в целях трансграничной передачи персональных данных.
Международная передача данных в любую юрисдикцию с надлежащим уровнем защиты не подлежит никаким ограничениям при условии получения согласия соответствующего субъекта данных.
Трансграничная передача персональных данных в страны, не обеспечивающие адекватный уровень защиты, разрешена только в том случае, если:
— Получено письменное согласие соответствующего субъекта данных.
— Трансграничная передача данных разрешена в соответствии с международным договором, участником которого является Россия.
— Трансграничная передача данных разрешена действующим законодательством, если это необходимо для целей:
— защита конституционного строя России;
— обеспечение обороны страны и безопасности государства;
— обеспечение содержания транспортной системы России и защита интересов личности, общества и государства в транспортной сфере от незаконного посягательства.
— Трансграничная передача данных осуществляется для исполнения договора, стороной которого является субъект данных.
— Трансграничная передача данных необходима для защиты жизни, здоровья или других жизненно важных интересов субъекта данных, и невозможно получить его/ее предварительное согласие в письменной форме.
Как правило, компании, выступающие в качестве операторов данных, проверяют адекватный уровень защиты данных перед передачей каких-либо персональных данных за границу. Кроме того, компании будут получать письменное согласие от соответствующих субъектов данных или заключать международные соглашения о передаче данных с соответствующими субъектами данных. Следуя этим шагам, компании будут осуществлять трансграничную передачу данных в соответствии со своими внутренними корпоративными правилами или политиками (если применимо).
21. Есть ли требование хранить (определенные типы) персональные данные внутри юрисдикции?
21 июля 2014 г. Президентом Российской Федерации подписан Федеральный закон № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (новый Закон о защите персональных данных), который вступил в силу 1 сентября 2015 г.
Новый Закон о защите данных вносит поправки в Закон о защите персональных данных, главным образом путем введения:
— Некоторые новые обязанности операторов данных в части сбора, хранения и обработки персональных данных граждан (физических лиц) Российской Федерации.
— Новый механизм Роскомнадзора по блокировке сайтов и интернет-ресурсов, неправомерно обрабатывающих персональные данные граждан (физических лиц) РФ.
В частности, Новым законом «О защите информации» вводится обязанность всех операторов данных обеспечивать запись, систематизацию, накопление, хранение, изменение и извлечение персональных данных граждан Российской Федерации с использованием центров обработки данных, расположенных на территории Российской Федерации при сборе соответствующих персональных данных физических лиц, в том числе с использованием сети Интернет. Это означает, что любые персональные данные граждан России, собираемые операторами данных, должны храниться на серверах, ИТ-системах, базах данных или центрах обработки данных, расположенных в России.
В Новом Законе о защите данных это прямо не оговорено, но требование трактуется как запрет на хранение персональных данных граждан России за пределами России (без предварительного размещения персональных данных граждан России в России). Таким образом, при буквальном толковании Нового Закона о защите данных местные и иностранные компании (операторы данных) должны обрабатывать или организовывать обработку персональных данных российских граждан в России в первую очередь при соблюдении всех остальных общих требований Закона о защите данных. законодательство о защите данных.
В целом Новый закон о защите данных не предусматривает:
— Запретить доступ из-за рубежа к серверам, ИТ-системам или дата-центрам, расположенным на территории России.
— Установить какие-либо специальные ограничения на последующую передачу, в том числе трансграничную, персональных данных, относящихся к гражданам Российской Федерации.
— Запретить дублирование персональных данных граждан РФ на иностранные базы данных или серверы.
Соглашения о передаче данных
22. Предусматриваются или используются соглашения о передаче данных? Утверждены ли какие-либо стандартные формы или прецеденты национальными властями?
Договоры о передаче данных специально не регулируются законодательством, но широко используются на практике, особенно при участии иностранных сторон. Роскомнадзор не принял типовой формы договора о передаче данных. Поэтому любое соглашение о передаче данных будет составлено в соответствии с конкретными обстоятельствами и подписано сторонами в соответствии с основным принципом свободы контактов.
23. Является ли соглашение о передаче данных достаточным для узаконивания передачи или должны быть выполнены дополнительные требования (например, необходимость получения согласия)?
Соглашения о передаче данных, как правило, достаточно для узаконивания международной передачи персональных данных при условии, что согласие субъекта данных прямо указано в таком соглашении или прилагается к нему.
В некоторых случаях соглашения о передаче данных будут заключаться в виде трехсторонних контрактов.
Кроме того, оператор данных должен уведомить Роскомнадзор о своем праве на трансграничную передачу данных в момент направления уведомления для целей регистрации.
24. Должен ли соответствующий национальный регулирующий орган утверждать соглашение о передаче данных?
Роскомнадзору не нужно согласовывать или регистрировать договор о передаче данных. Соглашение о передаче данных должно быть подписано соответствующим оператором данных, третьей стороной и субъектом данных в письменной форме, чтобы быть эффективным и подлежащим исполнению.
Правоприменение и санкции
25. Каковы правоприменительные полномочия национального регулирующего органа?
Роскомнадзор имеет определенные правоприменительные полномочия и несет ответственность за следующее:
— Направление запросов физическим/юридическим лицам и получение необходимой информации по обработке данных.
— Проведение проверок и проверка информации, содержащейся в уведомлениях об обработке персональных данных, представленных операторами данных, или привлечение других государственных органов для этой конкретной цели.
— Исправление, блокирование или уничтожение ложных или полученных незаконным путем персональных данных.
— Ограничение доступа к данным, которые обрабатываются в нарушение законодательства о защите данных (см. Вопрос 21).
— Приостановление или прекращение обработки персональных данных, инициированной нарушением законодательства о защите данных.
— Подача гражданских исков в компетентные суды по защите прав субъектов данных и представление интересов субъектов данных в суде.
— Подача ходатайств в ФСТЭК, ФСС и другие государственные органы о приостановлении или аннулировании соответствующих лицензий.
— Направление материалов в прокуратуру и другие правоохранительные органы для возбуждения уголовных дел по фактам утечки данных.
— Издание обязательных для исполнения предписаний и привлечение виновных к административной ответственности.
26. Какие существуют санкции и средства правовой защиты в случае несоблюдения законов о защите данных?
В России несоблюдение законодательства о защите данных в целом может быть наказано:
— Гражданские санкции (например, возмещение морального вреда).
— Административные санкции (например, административные штрафы).
— Уголовные санкции (например, лишение свободы).
Российские законы о защите данных в последние годы применялись довольно активно, и субъекты данных направили много жалоб в Роскомнадзор. Также увеличилось количество обращений операторов данных на приказы и решения Роскомнадзора о наложении различных санкций на операторов данных и блокировке их интернет-ресурсов. В результате национальная судебная и судебная практика, касающаяся санкций за несоблюдение российского законодательства о защите данных, продолжает постоянно развиваться.
С 1 июля 2017 года вступили в силу поправки в соответствующие законы о защите данных и Кодекс Российской Федерации об административных правонарушениях, существенно ужесточившие административные санкции за утечку данных. Нарушения защиты данных подразделяются на следующие типы нарушений конфиденциальности, которые влекут за собой следующие административные штрафы (если правонарушение не является преступлением):
— Обработка персональных данных в случаях, не предусмотренных действующим законодательством, и обработка персональных данных, несовместимая с целями обработки (вместо штрафа может быть вынесено предупреждение):
— физические лица: от 1000 до 3000 рублей;
— индивидуальные предприниматели: от 5 000 до 10 000 рублей;
— должностные лица организаций и государственных служащих: от 5 000 до 10 000 рублей;
— организации: от 30 000 до 50 000 рублей.
— Обработка персональных данных, осуществляемая без письменного согласия субъекта данных в случаях, когда такое согласие необходимо, либо с письменного согласия, не отвечающего обязательным требованиям:
— физические лица: от 3 000 до 5 000 рублей;
— индивидуальные предприниматели: от 10 000 до 20 000 рублей;
— должностные лица компаний и государственные служащие: от 10 000 до 20 000 рублей;
— организации: от 15 000 до 75 000 рублей.
— Неопубликование или предоставление доступа к политике конфиденциальности или информации о требованиях к защите персональных данных (вместо штрафа может быть вынесено предупреждение):
— физические лица: от 700 до 1500 рублей;
— индивидуальные предприниматели: от 5 000 до 10 000 рублей;
— должностные лица компаний и государственные служащие: от 3 000 до 6 000 рублей;
— организации: от 15 000 до 30 000 рублей.
— Непредоставление физическим лицом сведений об обработке его персональных данных (вместо штрафа может быть вынесено предупреждение):
— физические лица: от 1000 до 2000 рублей;
— индивидуальные предприниматели: от 10 000 до 15 000 рублей;
— должностные лица компаний и государственные служащие: от 4 000 до 6 000 рублей;
— организации: от 20 000 до 40 000 рублей.
— Неудовлетворение (в установленный срок) требования об уточнении, блокировании или уничтожении персональных данных (в случаях, когда персональные данные являются неполными, устаревшими, неточными, неправомерно полученными либо ненужными для заявленной цели обработки данных) (a вместо штрафа может быть вынесено предупреждение):
— физические лица: от 1000 до 2000 рублей;
— индивидуальные предприниматели: от 10 000 до 20 000 рублей;
— должностные лица компаний и государственные служащие: от 4 000 до 10 000 рублей;
— организации: от 25 000 до 45 000 рублей.
— Несоблюдение требований безопасности при хранении материальных носителей, содержащих персональные данные, а также несанкционированный доступ, повлекший неправомерный или случайный доступ к персональным данным либо их уничтожение, изменение, блокирование, копирование, передачу или распространение:
— физические лица: от 700 до 2000 рублей;
— индивидуальные предприниматели: от 10 000 до 20 000 рублей;
— должностные лица компаний и государственные служащие: от 4 000 до 10 000 рублей;
— организации: от 25 000 до 50 000 рублей.
— Неисполнение государственным или муниципальным органом обязанности по обезличиванию персональных данных либо несоблюдение способов или требований обезличивания (вместо штрафа может быть вынесено предупреждение): от 3 000 до 6 000 рублей.
Если Роскомнадзор расследует и выявит любую утечку данных, он уполномочен:
— Возбудить дело об административном правонарушении.
— Составить протокол об административном правонарушении в отношении нарушителя.
— Довести дело об административном правонарушении до суда.
— Детали регулятора
Детали регулятора
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
http://eng.rkn.gov.ru
Основные зоны ответственности. Надзор за законной обработкой данных, прием уведомлений, регистрация и ведение реестра операторов данных, проведение проверок и правоприменение, принятие официальных правил и руководств. Сайт доступен на английском и русском языках.
Интернет-ресурсы
Роскомнадзор
http://rkn.gov.ru
Описание. Русскоязычная версия официального сайта Роскомнадзора. Сайт содержит официальную актуальную информацию о регулировании защиты данных, правоприменении и законодательстве в России. Сайт также обеспечивает доступ к специальному порталу защиты данных, онлайн-реестру операторов данных и ежегодным отчетам о деятельности Роскомнадзора.
