Персональные данные. Чек-лист на 2022-2023 годы
2022 год был богат на события, мы столкнулись с масштабными утечками персональных данных и разнообразными внешними угрозами информационной безопасности. Законодательство изменилось в соответствии с новыми обстоятельствами. Произошло то, чего все давно ждали: сфера действия закона о персональных данных была расширена.
Автор: Ксения Шудрова, эксперт по информационной безопасности
ФЗ № 152 «О персональных данных» (далее – Закон) претерпел некоторые изменения, теперь его положения применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами (ч. 1.1, ст. 1). С 1 сентября 2022 г. вступило в силу множество других изменений Закона, которые были введены Федеральным законом от 14.07.2022 г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных…»; чтобы в них не запутаться, для операторов был составлен чек-лист основных мероприятий.
Что нужно сделать в ближайшее время
1. Проверить поручение на обработку персональных данных
В новой редакции Закона были конкретизированы требования ко всем обработчикам, как к отечественным, так и к иностранным. В ч. 3 ст. 6 указано, что именно должно быть определено в поручении на обработку (перечень персональных данных, перечень действий с персональными данными, цели их обработки и т.д.). Российский обработчик несет ответственность перед оператором, а тот, в свою очередь, перед субъектами. В случае если иностранное физическое или юридическое лицо является обработчиком, оно будет нести совместную с оператором ответственность перед субъектами персональных данных (ч. 6, ст. 6).
2. Отказаться от избыточного сбора биометрии
У субъекта появилось право отказать в предоставлении биометрических персональных данных. C сентября 2022 г. предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст.
11 Закона. При этом оператор не вправе отказывать в обслуживании субъекту, который отказался предоставлять биометрические персональные данные и (или) согласие на их обработку (ч. 3, ст. 11).
3. Проверить договоры с субъектами персональных данных
Обратите внимание на изменения в ст. 6: теперь заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
4. Проверить формы согласий
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9). Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, то оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку (ст.
18).
5. Проверить формы уведомлений субъектов
До начала обработки персональных данных, полученных не от субъекта персональных данных, оператор обязан предоставить субъекту персональных данных перечень важной информации об этом процессе, включающий цель обработки, наименование оператора, а с сентября в обязательном порядке еще и перечень персональных данных (ч. 3, ст. 18).
6. Проверить регламент ответов на запросы субъектов
В какие сроки нужно отвечать на запросы субъекта? К сожалению, срок сократился до 10 рабочих дней, он может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор также должен предоставлять по запросу информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона (ст. 14, ст. 20). Требование об уничтожении персональных данных тоже должно быть выполнено в 10-дневный срок.
7. Назначить лицо, ответственное за организацию обработки персональных данных
8. Проверить комплект документов
Документы не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности. В комплект документов должны входить:
- политика оператора в отношении обработки персональных данных;
- локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, способы, сроки их обработки и хранения;
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
- локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Теперь подлежат обязательному согласованию нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, принятые государственными органами, Банком России, органами местного самоуправления, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания (ст. 4).
9. Проверить регламент внутреннего аудита соответствия обработки персональных данных
10. Издать временный регламент оценки вреда субъектам персональных данных
Требования будут уточнены к марту 2023 года.
11. Проверить регламент ознакомления работников с требованиями законодательства и локальных нормативных актов
12. Проверить регламент обучения работников
13.
Разместить политику в отношении обработки персональных данных на своем сайтеОператор, осуществляющий сбор персональных данных с использованием сайта, обязан опубликовать на страницах сайта политику в отношении обработки персональных данных (ст. 18.1).
14. Проверить уведомление об обработке персональных данных
Можно ли не подавать уведомление? Исключений осталось совсем немного (ст. 22). Привычная нам обработка в целях осуществления трудовых отношений или исполнения обязательств по договору больше не является причиной обработки без уведомления. Осталось лишь три случая:
- государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обработка персональных данных исключительно без использования средств автоматизации;
- обработка в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.
Изменились требования к содержанию уведомления.
Теперь вся необходимая информация указывается оператором для каждой цели отдельно (ст. 22). Дополнительно потребуется указать фамилию, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах. Формы уведомлений (об обработке, о внесении изменений, о прекращении обработки) устанавливаются Роскомнадзором.
15. Проверить регламент реагирования на инциденты
Добавлена обязанность уведомления Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (ч. 3.1 ст. 21). Времени не так уж много: 24 часа на информирование регулятора, 72 часа на исправление ситуации. Оператор также обязан передать информацию в ГосСОПКА (ст. 19).
В 2023 году
С 01.03.2023 г. вступят в силу дополнительные требования, внесенные Федеральным законом № 266-ФЗ.
16. Уведомить Роскомнадзор о трансграничной передаче
Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан будет уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. В ст. 12 будут указаны требования к уведомлению.
Оператор до подачи уведомления обязан будет получить от иностранных лиц следующие сведения:
- сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
- информацию о правовом регулировании в области персональных данных иностранного государства и т.д. Решение о запрещении или об ограничении трансграничной передачи персональных данных будет принято Роскомнадзором по результатам рассмотрения уведомления.
17. Провести оценку вреда по новым требованиям
Ожидается издание нормативно-правового акта, определяющего оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона (ст.
18.1).
18. Разработать регламент уничтожения скомпрометированных персональных данных
Ожидается утверждение документа, определяющего требования к подтверждению уничтожения персональных данных, скомпрометированных в результате инцидентов (ст. 21).
19. Периодически проверять актуальность сведений в уведомлении
В случае изменения сведений, указанных в уведомлении, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан будет уведомить Роскомнадзор обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан будет уведомить об этом в течение 10 рабочих дней с даты прекращения обработки персональных данных (ст. 22).
20. Актуализировать регламент реагирования на инциденты
Ожидается издание порядка, определяющего условия взаимодействия регуляторов с операторами в рамках ведения реестра инцидентов (ст. 23).
21. Отслеживать изменения законодательства
Проверка Роскомнадзора в 2023 году: как оценить правовые риски компании
В 2023 году ужесточили законодательство о персональных данных.
Роскомнадзор обновил форму уведомления о намерении обрабатывать персональные данные, установил новые требования к их уничтожению и правилам по трансграничной передаче персональных данных. Правовые риски каждой компании в связи с этими изменениями выросли в разы. В статье разберем, какие нарушения компании могут стать объектом проверки Роскомнадзора, и как внутренний аудит документов поможет избежать штрафных санкций.
|
Содержание
Правовые риски компании при обработке персональных данных: что изменилось Внутренний аудит: что проверить в документах компании Локальные акты по обработке персональных данных: советы и чек-лист для экспресс-аудита |
|
Скачайте образцы документов для работы: |
|
|
Перечень основных документов и действий для внутреннего аудита персданных |
|
Правовые риски компании при обработке персональных данных: что изменилось
В этом году требований к обработке персональных данных стало еще больше, а значит, компании должны применять более строгие меры безопасности, чтобы избежать внеплановой проверки Роскомнадзора и ответственности за правонарушения.
Ниже расскажем о самых распространенных ошибках, которые допускают компании при работе с персональными данными:
1. Не обновляют локальные нормативные акты о персональных данных в связи с изменениями в законодательстве, или такие акты вовсе отсутствуют.
2. Не подают актуальное уведомление в Роскомнадзор о намерении обрабатывать персональные данные (приказ от 28.10.2022 № 180).
3. Не направляют уведомление о трансграничной передаче данных в Роскомнадзор (п. 7 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).
4. Не запрашивают сведения по обеспечению безопасности персональных данных у стороны, которая имеет доступ к личным данным работников.
5. Используют не конкретные, а общие формулировки в согласии на обработку персональных данных.
6. Публикуют персональные данные работников на сайте компании, в социальных сетях без получения согласия на распространение персональных данных.
7. Не применяют меры по защите персональных данных сотрудников, к которые хранят в электронном виде. Не проводят внутренние аудиты (контроль) и обучение лиц, которые имеют доступ к персональным данным,
8. Не проводят оценку угрозы безопасности.
Основные факторы, которые повлияли на повышение правовых рисков каждой компании за последние несколько месяцев:
1) С 1 сентября 2022 года внесли значительные изменения в Закон «О персональных данных». Теперь организациям необходимо пересмотреть свои процессы обновить локальные нормативные акты и согласия по защите персональных данных. Убедиться, что все работники ознакомлены с ними под подпись.
2) С 1 марта 2023 года ввели новый порядок трансграничной передачи персональных данных, уничтожения данных, оценки угроз безопасности и т.д. Теперь Роскомнадзор будет рассматривать уведомления, и решать, разрешить, ограничить или запретить трансграничную передачу персональных данных.
3) Появится реестр учета инцидентов в области персональных данных. Теперь на основании уведомлений о произошедшем инциденте, Роскомнадзор будет вносить запись в специальный реестр.
4) В этом году Роскомнадзор будет все чаще привлекать к ответственности за нарушения при обработке персональных данных. Чтобы выявить такие нарушения не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).
|
Новый порядок оценки степени вреда при работе с персданными
С 1 марта 2023 года Роскомнадзор обязал компании оценивать возможный вред в случае нарушений Закона «О персональных данных» (приказ от 27.10.2022 № 178). Раньше компании делали это по своему усмотрению. Теперь ответственный работник будет оценивать степень вреда при нарушениях обработки персональных данных. Всего три степени вреда: высокая, средняя и низкая. |
Внутренний аудит: что проверить в документах компании
Внутренний аудит персональных данных поможет выявить нарушения в документах раньше Роскомнадзора, а также выполнить требования п. 4. ч. 1 ст. 18.1 Закона «О персональных данных». Риски административных санкций за нарушения достаточно высокие (ст. 13.11 и 19.7 КоАП РФ). Кроме того, могут выписать отдельный штраф за каждое правонарушение в соглашениях. Поэтому важно вовремя проводить аудит документов об обработке персональных данных.
Перечень основных документов и действий для внутреннего аудита персональных данных скачайте здесь
|
Совет
Обращайте внимание на содержание уведомлений Роскомнадзора, согласий на обработку и на распространение ПД, а также – на порядок их оформления. |
Именно по ним Роскомнадзор применяет отдельный штраф за каждый документ или его отсутствие.
Локальные акты по обработке персональных данных: советы и чек-лист для экспресс-аудита
Разработайте и утвердите несколько специализированных ЛНА для исполнения отдельных требований законодательства по работе с ПД в зависимости от процессов, которые они будут регламентировать. Среди таких ЛНА могут быть:
-
Положение о порядке обработки персональных данных на бумажных носителях;
-
Положение о порядке обработки персональных данных в информационных системах;
-
Регламент по порядку хранения персональных данных;
-
Инструкция по порядку доступа в помещения с персональными данными;
-
Иные локальные нормативные акты в зависимости от особенностей бизнес-процессов и специфики компании.
Проведение такого контроля — это обязанность каждой организации, чтобы выполнить требования п. 4. ч. 1 ст. 18.1 Закона «О персональных данных». Результаты аудита, а также подтверждение исправленных нарушений необходимо представить в ходе проверки Роскомнадзора.
|
Совет Разработайте положение о внутреннем аудите, в котором определите перечень мер по предотвращению правовых рисков. Ознакомьте с ним работников по подпись. |
|
ПАМЯТКА Что важно проверить в Положении по персональным данным 1) Наличие перечня должностных лиц, имеющих полный доступ.
2) Наличие перечня должностных лиц, имеющих ограниченный доступ (с указанием целей и перечня ПД). 3) Закрепление внутреннего доступа. 4) Закрепление внешнего доступа. 5) Определение порядка хранения документов, содержащих персданные. 6) Определение порядка действий представителей работодателя при нахождении на территории третьих лиц и при передачи ПД третьим лицам. 7) Определение угроз безопасности персональных данных при их обработке в информационных системах ПД. 8) Установление правил доступа к персданным, обрабатываемым в информационной системе ПД, а также обеспечением регистрации и учета всех действий, совершаемых с персданными в информационной системе ПД. |
Чек-лист нарушений для экспресс-аудита персональных данных
| № п/п | Нарушение | Основание (НПА) | Рекомендации по исправлению |
|
1 |
Отсутствует локальный нормативный акт, устанавливающий порядок обработки ПД работников, а также – закрепляющий их права и обязанности в этой области |
Ст. 86, 88 ТК РФ
|
Разработать локальный нормативный акт, ознакомить с ним всех работников текущей датой. |
| 2 | Отсутствует письменная форма согласия на обработку ПД либо – указанная форма не соответствует требованиям законодательства |
Ст. 6, ст. 9 ФЗ №152 |
Разработать/доработать письменную форму согласия на обработку персональных данных. Получить согласие/ несогласие на обработку указанных форме персональных данных от работника |
| 3 | Не подается уведомление о намерении осуществлять обработку персональных данных |
Ст. 22 ФЗ №152 |
Подать уведомление в Роскомнадзор |
| 4 | Отсутствует приказ о назначении ответственного за организацию обработки ПД |
Ст. 22.1 ФЗ №152
|
Назначить лицо, ответственное за организацию обработки персональных данных |
| 5 | Документ, определяющий политику в отношении обработки персональных данных не опубликован или к нему не обеспечен неограниченный доступ к документу | Ч. 2 ст. 18.1 ФЗ №152 | Опубликовать Политику (например, на сайте организации) либо иным способом обеспечить к нему неограниченный доступ (например, на информационном стенде). |
| 6 | Отсутствует акт об уничтожении персональных данных | Ч. 7 ст. 21 ФЗ №152 | Фиксировать факт уничтожения персональных данных по новой форме |
| 7 | Отсутствует уведомление о трансграничной передаче персональных данных |
Ст. 12 ФЗ №152
|
Направлять уведомление в Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян |
Материал подготовлен департаментом трудового права компании «Митрофанова и партнеры»
|
Чтобы снизить риск проверок и штрафов, проведите аудит персданных в кадровых документах вашей компании самостоятельно с помощью нашего чек-листа или обратитесь за помощью к нашим экспертам. Профессиональный аудит не только выявит нарушения раньше проверки Роскомнадзора и позволит избежать высоких штрафов, но и даст рекомендации с пошаговым алгоритмом для устранения ошибок. |
законов о СМИ и защите данных в 2021 году: что нового?
Мы хотели бы сообщить вам, что в конце 2020 года были приняты несколько законов, которые окажут значительное влияние на регулирование ИТ и защиты данных (« Поправки »).
Первая поправка к российскому законодательству направлена на обеспечение гарантий прав граждан на свободный поиск, доступ и распространение информации. Вводится статус владельца интернет-ресурса, причастного к нарушениям фундаментальных прав граждан России.
Генеральный прокурор по согласованию с МИД России может присвоить этот статус владельцу интернет-ресурса, в том числе дискриминирующего материалы российских СМИ. Такое решение может быть принято, если интернет-ресурс ограничивает доступ к общественно важной информации по национальному, языковому признаку или в связи с введением санкций против России или ее граждан. О таком решении должен быть уведомлен владелец интернет-ресурса.
В случае, если владелец интернет-ресурса не прекратит цензуру или каким-либо образом ограничит доступ к аккаунтам российских СМИ, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (« Роскомнадзор ») вправе полностью или частично ограничить доступ к такому интернет-ресурсу.
Данная поправка вступила в силу 10 января 2021 года.
Новые поправки влекут за собой значительные штрафы за неудаление запрещенной информации по запросу Роскомнадзора.
Штрафы, налагаемые на (i) хостинг-провайдеров или любое лицо, позволяющее другим лицам публиковать информацию в Интернете, за неограничение доступа к запрещенной информации и (ii) владельцев веб-сайтов или интернет-ресурсов, за неудаление запрещенной информации, может составлять до 4 000 000 рублей (около 43 500 евро, 53 000 долларов США) за первое нарушение и до 10% годового оборота компании за предыдущий календарный год (но не менее 4 000 000 рублей) за одно последующего правонарушения.
Если запрещенная информация содержит пропаганду экстремизма, детской порнографии или наркотиков, ответственность увеличивается до 8 000 000 рублей (около 87 000 евро, 106 000 долларов США) за первое нарушение или до 20% годового оборота компании с момента предыдущего календарного года (но не менее 8 000 000 рублей) за последующее правонарушение.
Данная поправка разработана в связи с тем, что российское законодательство не предусматривает ответственности хостинг-провайдеров, владельцев сайтов и информационных ресурсов, не ограничивающих доступ или не удаляющих информацию, распространение которой запрещено в России.
Данная поправка вступила в силу 10 января 2021 года.
Данная поправка вводит запрет на публикацию информации о деятельности и частной жизни силовиков и государственных служащих и их родственников. По действующему законодательству такой запрет был предусмотрен только в случае угрозы жизни должностных лиц.
Авторы данной поправки отмечают, что расширяется практика несанкционированной публикации в сети Интернет сведений о деятельности и частной жизни сотрудников силовых структур и государственных органов и их родственников, что негативно сказывается на их способности выполнять свои функции.
Полагаем, что в связи с этой поправкой суд может признать такую информацию запрещенной и обязать сайты ее удалить.
Данная поправка вступила в силу 10 января 2021 года.
Согласно поправкам, социальные сети определяются как веб-сайты, информационные системы или программное обеспечение, которые одновременно подпадают под следующие критерии:
используемые для предоставления и распространения информирование путем создания персональных страниц пользователей на русском, официальных языках республик России и других языках русских национальных групп;
содержат рекламу, направленную на привлечение внимания потребителей на территории Российской Федерации;
ежедневно сайт посещают более 500 000 пользователей сети Интернет с территории Российской Федерации.
Если такой ресурс считается социальной сетью, он будет включен в реестр, который уполномочен вести Роскомнадзор.
В течение 3 дней после получения социальной сетью уведомления Роскомнадзора о включении в реестр хостинг-провайдер или иное лицо, осуществляющее размещение социальной сети в сети Интернет, обязано идентифицировать владельца социальной сети и предоставить информацию о нем в Роскомнадзор.
В случае включения ресурса в реестр социальной сети такой ресурс становится обязанным выявлять и ограничивать доступ к нелегальному контенту. Это детская порнография, пропаганда наркотиков и суицида, реклама онлайн-казино, дистанционная продажа алкоголя, а также информация, выражающая «явное неуважение» к обществу и государству.
Кроме того, в социальной сети ее владельцем должна быть размещена следующая информация:
имя, адрес электронной почты и электронная форма для отправки запросов о любом противоправном содержании;
годовые отчеты о результатах рассмотрения обращений и контрольных мероприятий;
условия использования социальной сети.
Данная поправка вступит в силу с 1 февраля 2021 года.
Новый закон определяет использование Единой биометрической системы (« УБС ») для удаленной идентификации для получения широкого спектра финансовых и государственных услуг. В настоящее время только банки с базовой лицензией имеют право использовать UBS для открытия банковских счетов и выдачи кредитов.
После вступления в силу Законопроекта об УБС биометрические данные (записи голоса, личные изображения и т. д.) могут использоваться для идентификации государственными органами, органами местного самоуправления, финансовыми организациями, индивидуальными предпринимателями, нотариусами и т. д.
Эта поправка вступила в силу 1 января 2021 года, однако некоторые положения поправки вступят в силу 1 января 2022 года.
Новый закон существенно меняет правовую среду в отношении использования общедоступных персональных данных.
Согласно новому закону, контролеры данных, делающие персональные данные общедоступными для их дальнейшего использования третьими лицами, должны:
получать конкретные согласия физических лиц, которые не должны быть объединены с какими-либо другими согласиями;
позволяют физическим лицам выбирать типы своих персональных данных, которые должны быть общедоступными, и устанавливать ограничения на использование таких персональных данных;
позволяют отдельным лицам отозвать свое согласие на предоставление общедоступных данных с немедленным вступлением в силу;
устанавливают правила использования общедоступных данных с целью получения согласия физических лиц и размещают такие правила на своих соответствующих веб-ресурсах.
Что касается третьих лиц, которые намерены использовать общедоступные персональные данные, такие третьи лица могут:
полагаться на согласие, полученное контролером, делая данные общедоступными, с учетом определенных правил такого использования этим контроллером;
полагаться на согласие, предоставленное физическим лицом Роскомнадзору, через специальную веб-платформу, которая должна быть создана в соответствии с законом, а также с учетом правил использования данных, установленных Роскомнадзором;
самостоятельно убедиться, что у них есть соответствующие правовые основания для использования таких общедоступных персональных данных.
Новые требования будут вступать в силу постепенно с 1 марта и 1 июля 2021 года.
Изменения направлены на более детальное регулирование ИТ и защиты информации в России. Они устраняют правовые пробелы и ужесточают существующую ответственность за правонарушения, совершенные в цифровом пространстве.
Таким образом, у российских властей появится больше механизмов воздействия на сайты, СМИ, социальные сети и видеохостинги. Мы полагаем, что предстоящие значительные штрафы и возможное занесение в «черные списки» изменят особенности обеспечения соблюдения российского законодательства, в том числе для компаний, не имеющих присутствия в России.
<>
Загрузите этот информационный бюллетень.
Надеемся, что информация, представленная здесь, будет вам полезна. Если вы или кто-либо из ваших коллег хотели бы получать наши информационные бюллетени по электронной почте, пожалуйста, заполните форму «Подписаться» внизу страницы.
Отрасль: телекоммуникации, средства массовой информации и технологии
Примечание: Обратите внимание, что вся информация, представленная в этом письме, была взята из открытых источников. Ни Юридическая фирма АЛРУД, ни автор настоящего письма не несут никакой ответственности за последствия любых решений, принятых на основании данной информации.
Мы надеемся, что представленная здесь информация будет для вас полезной.
Если кто-либо из ваших коллег также хотел бы получать наши информационные бюллетени, отправьте им ссылку для заполнения Форма подписки .
Узнайте больше о нашей практике:
Защита данных и кибербезопасность
Телекоммуникации, СМИ и технологии
Примечание: Обратите внимание, что вся информация, представленная в этом письме, была взята из открытых источников. Ни Юридическая фирма АЛРУД, ни автор настоящего письма не несут никакой ответственности за последствия любых решений, принятых на основании данной информации.
Если у вас есть какие-либо вопросы, пожалуйста, не стесняйтесь обращаться к нам.
С уважением,
Юридическая компания АЛРУД
ул. Скаковая, д. 17, корп. 2, эт. 6, Москва, Россия, 125040
Т: +7 495 234 96 92, Т: +7 495 926 16 48, [email protected]
www.alrud.com
Решение о блокировке LinkedIn в России демонстрирует Обязательство правительства России ввести новые требования «локализации» для обработки персональных данных | ТОО Дечерт
Недавние поправки к российским правилам обработки данных требуют, чтобы базы данных, используемые для обработки личной информации российских граждан, находились в Российской Федерации, даже если данные ведутся иностранными корпорациями
LinkedIn — первый международный оператор, которого забанили за нарушение этого требования по локализации путем блокировки его сервисов в России
Возникает вопрос, могут ли российские правила локализации быть оспорены на международной арене как потенциальное нарушение ее обязательств перед ВТО
Компаниям (в том числе не имеющим юридического присутствия в России) следует задуматься о том, как закон влияет на их деятельность в России и как наилучшим образом выполнить требования локализации, иначе они столкнутся с возможной блокировкой своих интернет-сервисов в России
Введение
Недавнее решение Московского городского апелляционного суда в отношении корпорации LinkedIn («LinkedIn»), разрешающее правительству блокировать интернет-сервисы LinkedIn в Российской Федерации («РФ»), можно рассматривать как сигнал о том, что правительство России намерено использовать свои новые полномочия по обеспечению соблюдения своих законов о защите данных для блокировки компаний, которые не соблюдают новые правила.
Это решение привлекло большое внимание средств массовой информации и вызвало бурю негодования. Даже крупнейший российский банк Сбербанк публично прокомментировал потенциальные трудности с набором персонала, которые наложит на него блокировка LinkedIn.
Решение суда основано как на новых требованиях законодательства в отношении обработки персональных данных в соответствии с недавно принятым Федеральным законом № 242-ФЗ, так и на уже действовавших в течение некоторого времени нормах российского законодательства о необходимости получения надлежащих согласие физических лиц на сбор и обработку их персональных данных. Короче говоря, LinkedIn обвинили в нарушении российского законодательства путем обработки персональных данных российских граждан в базах данных, расположенных за пределами России, и якобы в неполучении необходимых согласий на такие операции. В этом обновлении мы сосредоточимся на первой проблеме (отсутствие локализации), которая является относительной новинкой российского законодательства.
Обзор законов о персональных данных, рассматриваемых в деле LinkedIn
Закон № 242, принятый 21 июля 2014 г. и вступающий в силу с 1 сентября 2015 г., вносит в некоторые законодательные акты Российской Федерации новые конкретные требования к обработке «персональных данных» «операторами». Что наиболее важно, Закон № 242 внес изменения в Федеральный закон № 152-ФЗ 2006 г. «О персональных данных» («Закон о персональных данных») и Закон № 149-ФЗ 2006 г. (совместно именуемые «Правила обработки данных»), требуя « операторы» персональных данных (например, LinkedIn) для использования базы данных, расположенные на территории РФ , для «записи, систематизации, накопления, хранения, уточнения (обновления, изменения) и извлечения» персональных данных граждан Российской Федерации.
«Персональные данные» определяются в Законе о персональных данных как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу («субъект персональных данных»).
«Операторы» включают в себя государственные органы, муниципальные органы, а также юридические или физические лица – самостоятельно или совместно с другими, – которые (а) организуют и/или осуществляют обработку персональных данных (кроме личных личных и семейных нужд) и/или (б) определить цель обработки персональных данных, состав персональных данных, подлежащих обработке, действие или операцию с использованием персональных данных. Это чрезвычайно широкое определение «оператора» трактуется как включающее в себя как отечественные, так и иностранные компании, даже иностранные компании, не представленные в РФ (как в случае с LinkedIn). Для российских сотрудников иностранных компаний, даже работающих за границей, исключений нет. «Обработка персональных данных» — любое действие или операция, совершаемая с персональными данными (с использованием средств автоматизации или без таковых), в том числе «сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление» такие персональные данные.
В результате иностранные компании, работающие в России, были обязаны обеспечить обработку персональных данных российских граждан на локальном российском сервере, а не на серверах, расположенных за границей.
Операторы, нарушающие закон, подлежат штрафам и возможной блокировке их услуг в России. В частности, в соответствии с законом создан Реестр нарушителей прав субъектов персональных данных («Реестр правонарушителей» или «Реестр»), в котором перечислены операторы, осуществляющие неправомерное обращение с персональными данными. Если правонарушитель не прислушается к предупреждению правительства и не устранит своевременно любые нарушения Правил обработки данных, правоохранительный орган (в настоящее время «Роскомнадзор») может включить его в Реестр и «ограничить доступ» или «заблокировать» такого нарушителя. информационные ресурсы в России, включая ее сетевые адреса, доменные имена и индексные страницы интернет-сайтов. Роскомнадзор должен основывать включение правонарушителя в Реестр на основании решения суда с указанием нарушения со стороны оператора и санкционированием исполнительного производства.
Решение суда запускает процедуру, в соответствии с которой Роскомнадзор должен направить нарушителю письменное уведомление о нарушении на русском и английском языках в течение трех дней после вступления в законную силу решения суда и предоставить нарушителю один рабочий день (с момента получения уведомления) для принятия мер по устранению нарушения. нарушение. Если не будет устранено, услуги правонарушителя в России могут быть заблокированы в течение трех рабочих дней с момента получения правонарушителем уведомления. Если нарушитель, внесенный в Реестр, впоследствии устранит нарушение, Роскомнадзор может исключить нарушителя из Реестра.
Помимо возможной блокировки в РФ, нарушения Правил обработки данных могут повлечь за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность оператора и его сотрудников, виновных в нарушениях. Поскольку компании, не имеющие юридического присутствия в РФ, не могут быть легко привлечены к административной ответственности (например, штрафы), блокирование их деятельности является наиболее вероятным и эффективным средством дисциплинарного воздействия.
Операторы, нарушающие Закон о персональных данных, также потенциально могут нести ответственность перед субъектами персональных данных за причиненный имущественный ущерб, личные убытки и моральный вред в соответствии с законодательством Российской Федерации.
Обзор дела LinkedIn в российских судах на сегодняшний день
Решение по делу LinkedIn знаменует собой первое крупное правоприменительное дело против международного оператора в соответствии с Правилами обработки данных через год после вступления поправок в силу.
Ранее в этом году Роскомнадзор подал иск против LinkedIn в Таганский районный суд Москвы, утверждая, что LinkedIn нарушила права и законные интересы граждан России, незаконно собирая персональные данные о пользователях и даже непользователях, а также используя и передавая эту информацию без надлежащего согласия за пределами территории РФ. Хотя согласно решению суда первой инстанции уведомление об иске было отправлено в LinkedIn, по всей видимости, LinkedIn не участвовала в судебных заседаниях первой инстанции и не представила в суд никаких материалов.
В августе 2016 года Таганский районный суд вынес решение в отношении LinkedIn по делу № 2-3491/2016, признав, что его деятельность нарушает требования ч. 5 ст. 18 Закона о персональных данных, поскольку LinkedIn не использовала базу данных, расположенную в России, для обрабатывать и обрабатывать персональные данные граждан Российской Федерации. Как указывалось выше, в соответствии с этим положением перед сбором персональных данных с использованием сети Интернет оператор обязан обеспечить использование баз данных, расположенных на территории Российской Федерации, для записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан. данные. Суд также установил, что LinkedIn нарушила часть 1 статьи 6 Закона о персональных данных, обрабатывая данные третьих лиц, которые не были участниками или посетителями сайта и, следовательно, не подпадали под действие пользовательских соглашений или любых других документов LinkedIn ( , т.
е. , без получения согласия этих сторон). На основании решения суда о признании данных нарушений Роскомнадзор обязан принять меры по блокированию интернет-доступа к LinkedIn в России путем внесения его доменных имен и иной информации в Реестр правонарушителей.
LinkedIn подала апелляционную жалобу на решение Таганского районного суда в Московский городской апелляционный суд, который не усмотрел оснований для отмены решения суда первой инстанции и оставил в силе решение в отношении LinkedIn 10 ноября 2016 г. Текст решения апелляционного суда еще не выпущен, но ожидается, что он будет опубликован в ближайшее время. По решению суда Роскомнадзор принял решение инициировать блокировку LinkedIn в России 17 ноября 2016 г.
Среди некоторых торговых экспертов ведутся споры о том, можно ли оспорить на международной арене требования к российской локализации, такие как требования, введенные измененными Правилами обработки данных, как нарушение обязательств России перед ВТО. Хотя оно еще не было опробовано на международных площадках по разрешению споров в отношении России, можно утверждать, что такое требование о локализации баз данных представляет собой защитную меру, которая противоречит обязательствам члена ВТО, включая неограниченный доступ на рынок в соответствии со статьей XVI ГАТС и трансграничное предоставление услуг передачи данных, как указано в Приложении ГАТС по телекоммуникациям.
Еще неизвестно, будет ли такой вызов брошен против России.
Соответствие новым требованиям законодательства к персональным данным
Дело LinkedIn демонстрирует приверженность правительства России обеспечению соблюдения российских правил обработки данных путем блокировки компаний, которые не соблюдают требования, несмотря на отсутствие у них юридического присутствия в России. Это решение служит предупреждением социальным сетям и другим технологическим компаниям, а также любой компании, обрабатывающей персональные данные граждан России, о том, что неправильная обработка данных приведет к их блокировке в России.
С момента вступления в силу Правил обработки данных многие компании искали способы привести свои процедуры в соответствие с российским законодательством, например, путем перемещения всех персональных данных, касающихся граждан России, в базы данных, расположенные на территории России. Однако там, где этот вариант оказался слишком обременительным с финансовой или логистической точки зрения, некоторые поставщики услуг передали этот аспект на аутсорсинг местным поставщикам.
