Ст 9 152 фз о персональных данных: Закон О персональных данных. Статья 9. Согласие субъекта персональных данных на обработку его персональных данных 2016-2021г. ЮрИнспекция

В Госдуму внесён законопроект об усилении защиты прав субъектов персональных данных

Главная  •   База знаний  •   Алерты  •   В Госдуму внесён законопроект об усилении защиты прав субъектов персональных данных

Юридическая компания «Пепеляев Групп» сообщает, что 6 апреля 2022 г. в Госдуму на рассмотрение поступил законопроект [1], предусматривающий внесение поправок в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Законопроект). Целью законопроекта является усиление защиты прав российских граждан на неприкосновенность частной жизни.

Проблема защищенности персональных данных от несанкционированного доступа со стороны неограниченного круга лиц имеет высокую актуальность. В последнее время персональные данные российских граждан часто попадают в открытый доступ. В соответствии с Пояснительной запиской к Законопроекту широкое распространение получили интернет-сервисы, позволяющие приобрести персональные данные российских граждан из различных баз данных.

Часть таких сервисов находится в иностранном сегменте сети Интернет, на который не распространяются требования российского законодательства о персональных данных. По данным Роскомнадзора, более 2,5 тыс. операторов персональных данных осуществляют трансграничную передачу персональных данных российских граждан в недружественные страны.

В Пояснительной записке к Законопроекту также отмечается, что существующих законодательных механизмов недостаточно для обеспечения защиты прав российских граждан как субъектов персональных данных.   

Введение принципа экстерриториальности действия № 152-ФЗ

Предлагается распространить положения Закона № 152-ФЗ на действия с персональными данными граждан РФ, совершаемые иностранными органами власти, юридическими или физическими лицами. Предусматривается возможность вмешательства уполномоченных органов власти РФ в вопросы обработки персональных данных российских граждан на территории других государств.

Уточнение требований к согласию на обработку персональных данных

В настоящее время согласие субъекта на обработку персональных данных должно быть конкретным, информированным и сознательным (ч. 1 ст. 9 152-ФЗ). Законопроектом предлагается дополнить норму требованием о предметности и однозначности согласия на обработку персональных данных.

Введение обязанности операторов при допущении утечек персональных данных

Предлагается ввести обязанность операторов обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, предоставление, распространение, передачу персональных данных.

Для учета информации Роскомнадзор будет вести реестр учета инцидентов с неправомерной обработкой персональных данных.

Регламентация статуса лица, осуществляющего обработку персональных данных по поручению оператора

Регламентируется статус лица, осуществляющего обработку персональных данных по поручению оператора. В частности, вводится определение такого лица в качестве государственного органа, муниципального органа, юридического или физического лица, осуществляющего обработку персональных данных по поручению оператора с согласия субъекта, если иное не предусмотрено Законом № 152-ФЗ.

Законопроект конкретизирует, что лицо, осуществляющее обработку персональных данных, не определяет цели обработки, состав обрабатываемых данных и действия, совершаемые с такими данными.

Уточнение порядка трансграничной передачи персональных данных

Дополняется понятие трансграничной передачи персональных данных. Законопроект предусматривает, что при такой передаче определяющим является не организационно-правовая форма получателя данных, а его нахождение на территории иностранного государства.

Ограничения в части обработки биометрических персональных данных

Вводится запрет на обработку биометрических персональных данных несовершеннолетних лиц в возрасте до 18 лет, за исключением случаев, предусмотренных ч. 2 ст. 11 152-ФЗ (реализация международных договоров о реадмиссии, осуществление правосудия и исполнение судебных актов, проведение обязательной государственной дактилоскопической регистрации, а также иные случаи, предусмотренные законодательством РФ).

Существенное сокращение сроков на исполнение запросов Роскомнадзора

В настоящее время операторы имеют возможность исполнять запросы Роскомнадзора или субъекта по вопросам, связанным с незаконной обработкой персональных данных или получением информации об обработке персональных данных, в течение 30 дней с даты их получения. Предлагается сократить срок для исполнения таких запросов до 10 рабочих дней.

О чем подумать, что сделать

Несмотря на то, что Законопроект только внесен в Госдуму РФ, организациям, осуществляющим обработку персональных данных, уже сейчас целесообразно предпринять шаги по приведению деятельности в соответствие с готовящимися изменениями законодательства в области персональных данных.

Заблаговременное выявление и устранение нарушений позволит снизить правовые риски, возможные дополнительные расходы на устранение последствий, а также избежать репутационных потерь.

Помощь консультанта

Специалисты «Пепеляев Групп» осуществляют постоянный мониторинг изменений законодательства в области персональных данных и обладают опытом всесторонней поддержки бизнеса по вопросам соблюдения законодательства, выявлению и оценке правовых рисков, а также разработке бизнес-ориентированных предложений по минимизации выявленных рисков.

В спектр услуг «Пепеляев Групп» входят:

• консалтинг по вопросам соблюдения требований законодательства в области персональных данных;

• разработка необходимых документов по вопросам обработки персональных данных;

• аудит организационных и технических мер защиты персональных данных;

• представление интересов в судах по спорам, связанным с обработкой персональных данных;

• digital-услуга для упрощения работы по обновлению перечней лиц с доступом к персональным данным.

---

[1] Законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных».

Согласие на обработку персональных данных (2014/2015)

Участники Международной олимпиады молодежи обязаны предоставить в Оргкомитет следующий документ в письменной форме:

 Согласие на обработку персональных данных (PDF, 78 Кб)

Согласие необходимо распечатать, заполнить от руки и принести на олимпиадное состязание. В случае участия в состязаниях по двум и более предметам, необходимо принести соответствующий документ  по каждому из состязаний.

Примеры заполнения в зависимости от возраста участника

Совершеннолетний участник (согласие заполняется самостоятельно)

Пример заполнения согласия на обработку персональных данных (PDF, 150 Кб)

Несовершеннолетний участник (согласие заполняется родителем/законным представителем)

Пример заполнения согласия на обработку персональных данных (PDF, 151 Кб)

В случае если в роли законного представителя субъекта персональных данных выступает лицо, не являющееся родителем, необходимо внести реквизиты доверенности или иного документа, подтверждающего полномочия представителя, в соответствующую графу.

Cодержание документа на английском языке

 Consent to personal data processing (PDF, 48 Кб)

Обращаем внимание, что для заполнения предусмотрена форма согласия на русском языке, а англоязычный вариант текста имеет только разъяснительную функцию.

Вопросы и ответы

Кто должен давать согласие на обработку персональных данных?

Согласие на обработку персональных данных дает совершеннолетний участник, либо родитель (законный представитель) несовершеннолетнего участника (в соответствии со ст. 9  ФЗ от 27.07.2006 N 152-ФЗ (ред. от 23.07.2013) «О персональных данных»).

  

Могут ли родители дать согласие на обработку персональных данных своих несовершеннолетних детей?

Родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий (в соответствии со ст. 64 Семейного кодекса Российской Федерации).

Могут ли родители (законные представители) или же сам совершеннолетний школьник не давать свое согласие на обработку персональных данных?

Согласие на обработку персональных данных дается добровольно (в соответствии с ФЗ «О персональных данных»). Однако если родители (законные представители) или же сам совершеннолетний школьник не хотят давать согласие на обработку персональных данных в установленной в соответствии с законом форме, то школьник не сможет принять участие в Олимпиаде, поскольку для организации и проведения олимпиадных состязаний требуется обработка персональных данных участников.

Достаточно ли согласия от одного родителя?

Да, достаточно.

Зачем (почему) в согласии на обработку персональных данных должны указываться паспортные данные родителя (законного представителя)?
Эти данные вносятся на основании статьи 9, п. 4.1 и п. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

 

Почему необходимо давать согласие на обработку персональных данных, регулирование которых осуществляется в соответствии с законодательством РФ, если участник является гражданином другого государства?

Международная олимпиада молодежи проводится НИУ ВШЭ, в том числе электронная регистрация участников проводится на странице Олимпиады на корпоративном портале (сайте) НИУ ВШЭ, списки победителей и призеров Олимпиады размещаются на странице Олимпиады на корпоративном портале (сайте). НИУ ВШЭ расположен на территории РФ, соответственно обработка персональных данных также будет производиться на территории РФ. При этом каких-либо ограничений в отношении гражданства субъектов персональных данных, подпадающих под сферу деятельности вышеуказанного ФЗ, не установлено. Следовательно, обработка персональных данных участников Олимпиады, вне зависимости от их гражданства должна осуществляться в соответствии с нормами Закона о персональных данных.

Статья 9 📖 GDPR. Обработка специальных категорий персональных данных

Статья 1. Предмет и целиСтатья 2. Материальный объемСтатья 3. Территориальный охватСтатья 4. ОпределенияСтатья 5. Принципы обработки персональных данныхСтатья 6. Законность обработкиСтатья 7. Условия предоставления согласияСтатья 9. Обработка специальных категорий персональных данныхСтатья 10. Обработка персональных данных, касающихся уголовных судимостей и правонарушенийСтатья 11. Обработка, не требующая идентификацииСтатья 12. Прозрачная информация, связь и условия осуществления прав субъекта данныхСтатья 13. Информация, которая должна быть предоставлена когда персональные данные собираются от субъекта данных Статья 14. Информация, которая должна быть предоставлена, если персональные данные не были получены от субъекта данных Статья 15. Право доступа субъекта данных Статья 16. Право на исправление Статья 17. Право на удаление («право быть забыты’) Статья 18. Право на ограничение процесса essingСтатья 19.

Обязательство уведомления об исправлении или удалении персональных данных или ограничении обработкиСтатья 20. Право на переносимость данныхСтатья 21. Право на возражениеСтатья 22. Автоматизированное индивидуальное принятие решений, включая профилированиеСтатья 23. ОграниченияСтатья 24. Предмет и целиСтатья 25. Защита данных по дизайну и по умолчаниюСтатья 26. Совместные контролерыСтатья 27. Представители контролеров или обработчиков, не зарегистрированных в СоюзеСтатья 28. ПроцессорСтатья 29. Обработка под руководством контролера или обработчикаСтатья 30. Записи об обработкеСтатья 31. Сотрудничество с надзорным органомСтатья 32. Безопасность обработкиСтатья 33. Уведомление надзорного органа о нарушении персональных данныхСтатья 34. Сообщение об утечке персональных данных в отношении данных предметСтатья 35. Оценка воздействия на защиту данныхСтатья 36. Предварительные консультацииСтатья 37. Назначение уполномоченного по защите данныхСтатья 38. Должность уполномоченного по защите данныхСтатья 39. Задачи уполномоченного по защите данныхСтатья 40. Кодексы поведенияСтатья 41. Мониторинг утвержденных кодексов поведенияСтатья 42. СертификацияСтатья 43. Органы по сертификацииСтатья 44. Общий принцип передачиСтатья 45. Передача на основании решения об адекватностиСтатья 46. Передача с соблюдением соответствующих гарантийСтатья 47 Обязательные корпоративные правилаСтатья 48. Передача или раскрытие информации, не разрешенные законодательством СоюзаСтатья 49. Отступления для конкретных ситуацийСтатья 50. Международное сотрудничество по защите персональных данныхСтатья 51. Надзорный органСтатья 52. НезависимостьСтатья 53. Общие условия для членов надзорного органаСтатья 54. Правила образования надзорного органаСтатья 55. КомпетенцияСтатья 56. Компетенция головного надзорного органаСтатья 57. ЗадачиСтатья 58. ПолномочияСтатья 59. Отчеты о деятельностиСтатья 60. Сотрудничество между головным надзорным органом и другими заинтересованными надзорными органамиСтатья 61. ВзаимопомощьСтатья 62. Совместная деятельность надзорных органовСтатья 63. Механизм согласованностиСтатья 64. Мнение ПравленияСтатья 65. Разрешение споров ПравлениемСтатья 66. Экстренная процедураСтатья 67. Обмен информациейСтатья 68. Европейский совет по защите данныхСтатья 69. НезависимостьСтатья 70. Задачи советаСтатья 71. ОтчетыСтатья 72. ПроцедураСтатья 73. ПредседательСтатья 74. Задачи председателяСтатья 75. СекретариатСтатья 76. КонфиденциальностьСтатья 77. Право на подачу жалобы в надзорный органСтатья 78. Право на эффективное средство судебной защиты от надзорного органаСтатья 79. Право на эффективное средство судебной защиты против контролера или обработчикаСтатья 80. Представительство субъектов данныхСтатья 81. Приостановление производстваСтатья 82. Право на компенсацию и ответственностьСтатья 83. Общие условия наложения административных штрафовСтатья 84. НаказанияСтатья 85. Обработка и свобода выражения мнений и информацииСтатья 86 .Обработка и публичный доступ к официальным документамСтатья 87. Обработка национального идентификационного номераСтатья 88. Обработка в контексте трудоустройстваСтатья 89. Гарантии и отступления, связанные с обработкой в ​​целях архивирования в общественных интересах, в целях научных или исторических исследований или в статистических целях Отмена Директивы 95/46/ЕССтатья 95. Связь с Директивой 2002/58/ЕССтатья 96. Связь с ранее заключенными СоглашениямиСтатья 97. Commission reportsArticle 98. Review of other Union legal acts on data protectionArticle 99. Entry into force and applicationRecital 1Recital 2Recital 3Recital 4Recital 5Recital 6Recital 7Recital 8Recital 9Recital 10Recital 11Recital 12Recital 13Recital 14Recital 15Recital 16Recital 17Recital 18Recital 19Recital 20Recital 21Recital 22Recital 23Recital 24Recital 25Recital 26Recital 27Recital 28Recital 29 Сольный концерт 30 Сольный концерт 31 Сольный концерт 32 Сольный концерт 33 Сольный концерт 34 Сольный концерт 35 Сольный концерт 36 Сольный концерт 37 Сольный концерт 38 Сольный концерт 39Recital 40Recital 41Recital 42Recital 43Recital 44Recital 45Recital 46Recital 47Recital 48Recital 49Recital 50Recital 51Recital 52Recital 53Recital 54Recital 55Recital 56Recital 57Recital 58Recital 59Recital 60Recital 61Recital 62Recital 63Recital 64Recital 65Recital 66Recital 67Recital 68Recital 69Recital 70Recital 71Recital 72Recital 73Recital 74Recital 75Recital 76Recital 77Recital 78Recital 79Recital 80Recital 81Recital 82Recital 83Recital 84Recital 85Recital 86Recital 87Recital 88Recital 89Сольный концерт 90Recital 91Recital 92Recital 93Recital 94Recital 95Recital 96Recital 97Recital 98Recital 99Recital 100Recital 101Recital 102Recital 103Recital 104Recital 105Recital 106Recital 107Recital 108Recital 109Recital 110Recital 111Recital 112Recital 113Recital 114Recital 115Recital 116Recital 117Recital 118Recital 119Recital 126Recital 127Recital 128Recital 129Recital 130Recital 131Recital 132Recital 133Recital 134Recital 135Recital 136Recital 137Recital 138Recital 139Recital 140Recital 141Recital 142Recital 120Recital 121Recital 122Recital 123 Сольный концерт 124 Сольный концерт 125 Сольный концерт 143 Сольный концерт 144 Сольный концерт 145 Сольный концерт 146 Сольный концерт 147 Сольный концерт 148 Сольный концерт 149Секретат 150 -рецтатный 151 декабря 152 декабря 153 деката 154 -декал. GDPR > Статья 9. Обработка особых категорий персональных данных

Один язык Два языка Три языка

Скачать PDF

Текст

Преамбула

Руководящие принципы и прецедентное право

Комментарии экспертов

Регистрация | Войти

Болгарский (bg)Чешский (sc)Датский (da)Немецкий (de)Греческий (el)Английский (en)Испанский (es)Эстонский (et)Финский (fi)Французский (fr)Ирландский (ga)Хорватский (hr)Венгерский (hu)Итальянский (it)Корейский (ko)Литовский (lt)Латышский (lv)Мальтийский (mt)Голландский (nl)Норвежский (no)Польский (pl)Португальский (pt)Румынский (ro)Русский (ru)Словацкий (sk )Словенский (sl)Шведский (sv)Украинский (uk)Китайский (zh)

Комментарий эксперта ИСО 27701 Сольные концерты Руководящие принципы и прецедентное право

Комментарий эксперта

ИСО 27701

Сольные концерты

(51) Персональные данные, которые по своему характеру являются особо конфиденциальными в отношении основных прав и свобод, заслуживают особой защиты, поскольку контекст их обработки может создавать значительные риски для основных прав и свобод. Эти персональные данные должны включать персональные данные, раскрывающие расовое или этническое происхождение, при этом использование термина «расовое происхождение» в настоящем Регламенте не означает принятия Союзом теорий, которые пытаются определить существование отдельных человеческих рас. Обработка фотографий не должна систематически рассматриваться как обработка особых категорий персональных данных, поскольку они охватываются определением биометрических данных только при обработке с помощью конкретных технических средств, позволяющих однозначно идентифицировать или аутентифицировать физическое лицо. Такие персональные данные не должны обрабатываться, за исключением случаев, когда обработка разрешена в конкретных случаях, изложенных в настоящем Регламенте, принимая во внимание, что законодательство государств-членов может устанавливать специальные положения о защите данных, чтобы адаптировать применение правил настоящего Регламента для соблюдения с юридическим обязательством или для выполнения задачи, выполняемой в общественных интересах или при осуществлении официальных полномочий, возложенных на контролера. В дополнение к конкретным требованиям к такой обработке должны применяться общие принципы и другие правила настоящего Регламента, в частности, в отношении условий законной обработки. Отступления от общего запрета на обработку таких особых категорий персональных данных должны быть прямо предусмотрены, в частности, в случаях, когда субъект данных дает свое явное согласие или в связи с конкретными потребностями, в частности, когда обработка осуществляется в ходе законных деятельность определенных ассоциаций или фондов, целью которой является предоставление возможности осуществления основных свобод.

(52) Отступление от запрета на обработку особых категорий персональных данных также должно быть разрешено, если это предусмотрено законодательством Союза или государства-члена, и при условии соблюдения соответствующих гарантий для защиты персональных данных и других основных прав, если это отвечает общественным интересам, в частности обработка персональных данных в сфере трудового права, права социальной защиты, включая пенсионное обеспечение, и в целях охраны здоровья, в целях мониторинга и оповещения, предотвращения или контроля инфекционных заболеваний и других серьезных угроз для здоровья. . Такое отступление может быть сделано для целей здравоохранения, включая общественное здравоохранение и управление услугами здравоохранения, особенно для обеспечения качества и рентабельности процедур, используемых для урегулирования требований о пособиях и услугах в системе медицинского страхования, или для целей архивирования в общественных интересах, научных или исторических исследований или статистических целей. Отступление также должно разрешать обработку таких персональных данных, когда это необходимо для установления, осуществления или защиты правовых требований, будь то в судебном или административном или внесудебном порядке.

(53) Особые категории персональных данных, которые требуют более высокой защиты, должны обрабатываться в целях, связанных со здоровьем, только в случае необходимости для достижения этих целей на благо физических лиц и общества в целом, в частности, в контексте управление службами и системами здравоохранения или социального обеспечения, включая обработку руководством и центральными национальными органами здравоохранения таких данных с целью контроля качества, управленческой информации и общего национального и местного надзора за системой здравоохранения или социального обеспечения, а также обеспечение непрерывность медицинского или социального обслуживания и трансграничного здравоохранения или безопасности здоровья, мониторинга и оповещения, или для целей архивирования в общественных интересах, научных или исторических исследований или статистических целей, на основании законодательства Союза или государства-члена, которое должно соответствовать общественному интересу, а также для исследований, проводимых в общественном интересе в сфере общественного алт. Таким образом, настоящий Регламент должен предусматривать гармонизированные условия обработки особых категорий персональных данных, касающихся здоровья, в отношении конкретных потребностей, в частности, когда обработка таких данных осуществляется для определенных целей, связанных со здоровьем, лицами, на которых распространяется юридическое обязанность хранить профессиональную тайну. Законодательство Союза или государства-члена должно предусматривать конкретные и подходящие меры для защиты основных прав и персональных данных физических лиц. Государствам-членам должно быть разрешено сохранять или вводить дополнительные условия, включая ограничения, в отношении обработки генетических данных, биометрических данных или данных, касающихся здоровья. Однако это не должно препятствовать свободному обмену персональными данными внутри Союза, когда эти условия применяются к трансграничной обработке таких данных.

(54) Обработка особых категорий персональных данных может быть необходима по соображениям общественного интереса в области общественного здравоохранения без согласия субъекта данных. К такой обработке должны применяться подходящие и конкретные меры для защиты прав и свобод физических лиц. В этом контексте «общественное здоровье» следует толковать в соответствии с определением, определенным в Регламенте (ЕС) № 1338/2008 Европейского парламента и Совета [11], а именно, все элементы, связанные со здоровьем, а именно состояние здоровья, включая заболеваемость и инвалидность, детерминанты, влияющие на это состояние здоровья, потребности в медицинской помощи, ресурсы, выделяемые на здравоохранение, предоставление медицинской помощи и всеобщий доступ к ней, а также расходы и финансирование медицинской помощи, а также причины смертности. Такая обработка данных, касающихся здоровья, по соображениям общественного интереса не должна приводить к обработке персональных данных для других целей третьими сторонами, такими как работодатели или страховые и банковские компании.

_{[11] Регламент (ЕС) № 1338/2008 Европейского парламента и Совета от 16 декабря 2008 г. о статистике Сообщества в области общественного здравоохранения, здоровья и безопасности на рабочем месте (ОЖ L 354, 31. 12.2008, стр. 70). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2008:354:TOC}

(55) Кроме того, обработка персональных данных официальными власти в целях достижения целей, установленных конституционным законом или международным публичным правом, официально признанных религиозных объединений, осуществляется исходя из общественных интересов.

(56) Если в ходе избирательной деятельности функционирование демократической системы в государстве-члене требует, чтобы политические партии собирали персональные данные о политических взглядах людей, обработка таких данных может быть разрешена по соображениям общественного проценты при условии, что установлены соответствующие гарантии.

Руководящие принципы и прецедентное право

Документы

Статья 29Рабочая группа, Мнение 2/2010 о поведенческой рекламе (2010):

Любое возможное нацеливание на субъекты данных на основе конфиденциальной информации открывает возможность злоупотреблений. Кроме того, учитывая конфиденциальность такой информации и возможные неловкие ситуации, которые могут возникнуть, если люди получают рекламу, раскрывающую, например, сексуальные предпочтения или политическую деятельность, не следует предлагать/использовать категории интересов, которые раскрывают конфиденциальные данные .

В этом контексте единственным доступным юридическим основанием, которое узаконило бы обработку данных, было бы явное, отдельное предварительное согласие . Требование об отдельном положительном предварительном указании на согласие субъектов данных означает, что механизм отказа от согласия ни в коем случае не будет соответствовать требованию закона. Это также означает, что такое согласие не удалось получить через настройки браузера . Чтобы законно собирать и обрабатывать информацию такого типа, провайдеры рекламных сетей должны были бы создать механизмы для получения явного предварительного согласия 9.0080 отдельно от другого согласия, полученного для обработки в целом .

EDPB, Оценка необходимости мер, ограничивающих основное право на защиту персональных данных: набор инструментов (2017 г.).

WP29, Мнение об обработке данных на работе  (2017).

Европейская комиссия, Руководство Комиссии по применению закона ЕС о защите данных в контексте выборов, Вклад Европейской комиссии на встрече лидеров в Зальцбурге 19-20 сентября 2018 г.

EDPB, Руководство по оценке пропорциональности мер, ограничивающих основные права на неприкосновенность частной жизни и защиту персональных данных (2019).

EDPB,  Руководство по использованию данных о местоположении и инструментов отслеживания контактов в контексте вспышки COVID-19 (2020 г.).

EDPB, Руководство 8/2020 по таргетингу на пользователей социальных сетей (2020).

EDPB, Руководство 3/2020 по обработке данных о здоровье в целях научных исследований в контексте Covid-19Вспышка  (2020 г. ).

EDPB, Руководство 3/2019 по обработке персональных данных с помощью видеоустройств (2020).

Европейская комиссия, Руководство по приложениям, поддерживающим борьбу с пандемией COVID 19 в отношении защиты данных, Брюссель  (2020 г.).

EDPB, Руководство 02/2021 по виртуальным голосовым помощникам (2021).

Прецедентное право

Grainger Plc против Nicholson , [2010] ICR 360.

CJEC, Линдквист , C-101/01 (2003).

Евро. Суд по правам человека (Большая палата), Лопес Рибальда против Испания , ном. 1874/13 и 8567/13 (2019 г.).

Евро. Court HR, Gaughran v. United Kingdom , no. 45245/15 (2020).

• Войти
• Новый аккаунт

Назад к входу в систему

*

URL-ссылка на выделенный текст скопирована в буфер обмена!

Подготовка к загрузке. ..

Передача данных в Россию и Китай во время кризиса | Spirit Legal

[соавтор: Беттина Блаверт]

Фото: Unsplash / Icons: The Noun Project

Регулятор по защите данных недавно призвал любую компанию, которая экспортирует персональные данные в Россию и Украину, пересмотреть свою практику, чтобы убедиться, что она по-прежнему остается законной ¹ .

Это яркий пример того, насколько актуальной и потенциально взрывоопасной является проблема передачи персональных данных в третьи страны. Особенно в наши дни, когда экономическая ценность персональных данных растет, а их защите все чаще угрожают автократия и даже война, стоит более внимательно изучить правила защиты данных во всем мире. В этой статье мы сосредоточимся на передаче данных в Россию и Китай, задав вопрос: все ли мы стали прозрачными гражданами, по крайней мере, в этих странах?

После вынесения Шремсом постановления Европейского суда (ECJ) компании и национальные органы по защите данных были обязаны тщательно оценивать передачу данных и прекращать ее всякий раз, когда правила страны, в которую отправляются данные, не противоречат гарантировать защиту, эквивалентную GDPR/CREU. Эта тенденция оказала большое влияние на передачу данных в США, а также в Россию и Китай.

Российские правила защиты персональных данных ²

Российское законодательство о защите данных — сложный вопрос, не в последнюю очередь потому, что в настоящее время страна ведет агрессивную войну против Украины и, соответственно, остального цивилизованного мира. Крайне важные изменения в сентябре 2015 г. (N 242-ФЗ) были внесены в Федеральный закон РФ о персональных данных 152-ФЗ (2006 г.). Эти правила дают российским властям широкий спектр предлогов для получения доступа к персональным данным. Основания для такого доступа — даже к специальным категориям персональных данных, таким как раса, половая жизнь, политические и религиозные убеждения, — включают в себя цели обороны, безопасности, противодействия терроризму, транспортной безопасности, противодействия коррупции, оперативно-розыскной деятельности, исполнительного производства, а также уголовное законодательство Российской Федерации. ³ Это означает, что право человека на защиту данных и неприкосновенность частной жизни может быть ограничено всякий раз, когда государство заявляет, что на карту поставлены интересы национальной безопасности. Кроме того, Россия часто грубо нарушает ЕКПЧ, особенно когда речь идет о свободе слова. ⁴

Цифровизация также проложила путь к новым формам государственного надзора, цензуры и контроля информации. Согласно итоговому отчету EDPB, российское государство использует существующие права на защиту данных в качестве инструмента для контроля над Интернетом и защиты интересов правительства. ⁵ По сравнению с ЕС существует явный дисбаланс между основными правами субъектов данных и интересами защиты самого государства. ⁶

Почему нас беспокоит эта угроза? Российско-украинская война на примере ⁷

Защита, предлагаемая российскими правилами защиты данных, не равна защите GDPR. Это то, о чем мы все должны заботиться как с точки зрения закона о защите данных, так и на личном, практическом уровне.

Опасности недостаточного уровня защиты данных можно рассматривать с социально-политической и правовой точек зрения. В свете российского вторжения в Украину правительствам не следует забывать, что личные данные приобретают все большую экономическую ценность. В то время как санкции были быстрыми — с уже действующими запретами на импорт и экспорт материальных товаров и фактически отрезанной от глобальной платежной системы Россия — другая потенциальная санкция может принять форму прекращения потока персональных данных. Рано утром 24 февраля 2022 года российские войска вторглись на территорию Украины. Сообщается, что военная операция сопровождалась атаками на веб-сайты и диверсионными атаками на отдельные украинские учреждения. DDoS-атаки (распределенный отказ в обслуживании) якобы были ограничены веб-сайтами украинских банков и министерств, а также парламента. ⁸ В то же время сообщается, что на украинских компьютерах были обнаружены программы удаления данных, известные как вайперы. Сообщается также, что пострадали банки и поставщики услуг украинского правительства с офисами в Литве и Латвии. В некоторых случаях вредоносное ПО якобы распространялось через групповую политику Windows. ⁹ Таким образом, преступники уже должны были иметь соответствующие полномочия администратора и доступ к центральным серверам, таким как служба каталогов. После вторжения партнеры НАТО все чаще сообщали об агрессивных действиях по сканированию своих сетей. Федеральное управление информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik, BSI) и Национальный центр реагирования на кризисные ситуации в сфере ИТ (Nationales IT-Krisenreaktionszentrum, IT-KRZ) выпустили специальный отчет о текущем развитии кризиса в Украине с рейтингом « 3 / Оранжевый». Ситуация с ИТ-угрозами, особенно в критически важных инфраструктурах, классифицируется как критическая для бизнеса; нельзя исключать массивное ухудшение регулярных операций. Однако в настоящее время для немецких компаний не предполагается никаких изменений в угрозе. ¹⁰

Кроме того, BSI в настоящее время предостерегает от использования программного обеспечения для защиты от вирусов от российского производителя Kaspersky. BSI рекомендует заменить приложения из портфолио антивирусного программного обеспечения «Лаборатории Касперского» альтернативными продуктами. ¹¹

BSI сообщает по этому поводу: «Действия вооруженных сил и/или разведывательных служб в России, а также угрозы российской стороны против ЕС, НАТО и Федеративной Республики Германии в ходе Текущий вооруженный конфликт связан со значительным риском успешной ИТ-атаки. Российский производитель ИТ может сам проводить наступательные операции, быть вынужден атаковать целевые системы против своей воли, стать жертвой кибероперации без его ведома или быть использован в качестве инструмента для атак против собственных клиентов». ¹²

В целом это означает, что личные данные могут оказаться под угрозой из-за кибератак.

Положения о защите данных в Китае ¹³

Закон о безопасности данных (DSL, 2021 г. ) является первым в Китае комплексным положением о безопасности данных. Еще одним нововведением является Закон о защите личной информации (PIPL, 2021). Как следует из названий, их общими целями являются безопасность данных и защита личной информации, но они также регулируют трансграничную передачу данных. Законы являются новыми столпами правил безопасности данных Китая, многие положения которых аналогичны положениям GDPR. Всякий раз, когда компания работает в Китае, она должна быть сертифицирована в соответствии с его законодательством и иметь прочную структуру управления. PIPL охватывает обработку персональных данных в пределах границ Китая. Однако это не относится к деятельности по обработке, которая происходит в Гонконге, Тайване и Сямэне (статья 3 PIPL).

Проблема

Хотя Китайская Народная Республика установила режим защиты данных, реальных ограничений, препятствующих доступу государства к персональным данным, практически нет. защитить себя от сбора данных провайдерами, особенно крупными корпорациями. В этом отношении китайский закон о защите данных, безусловно, сопоставим с европейским GDPR. Тем не менее, это новое законодательство ни в коем случае не означает конец «прозрачного гражданина» в Китае.

Что касается персональных данных иностранцев, EDPS указывает, что в правовой системе Китая также отсутствуют достаточные гарантии, сопоставимые с теми, что приняты в ЕС. ¹⁴ Например, поскольку Закон Китая о кибербезопасности предусматривает меры только «в соответствии с законом», само законодательство Китая не содержит каких-либо ограничений на доступ правительства к данным. ¹⁵ В целом правовая система Китая узаконивает широкий и неограниченный доступ государственных органов к персональным данным. ¹⁶ Кроме того, принцип пропорциональности не соблюдается, поскольку не упоминается независимый надзор и существуют лишь ограниченные гарантии прав субъектов данных. ¹⁷

Закон направлен против (или, возможно, против) делового мира, в частности крупных интернет-компаний и их неправомерного использования данных. Однако это ничего не меняет в узаконенной государством слежке, которая осуществляется с помощью бесчисленных камер в общественных местах. И это, конечно же, не означает отказ от запланированной китайской системы социального кредита. Несмотря на задержку с внедрением, эта система введет вознаграждения или санкции на основе данных для собственных граждан страны.

Цепочка поставок и ответственность поставщиков

Передача данных в небезопасные третьи страны не всегда очевидна на первый взгляд. Многие компании используют поставщиков услуг и сервисов, которые, в свою очередь, используют поставщиков в соответствующих странах, вызывая проблемы с передачей данных, за которые в конечном счете отвечает контролер в конце цепочки в соответствии с GDPR. Только в прошлом году приложение Clubhouse подверглось критике из-за серьезных нарушений закона о защите данных и несоблюдения GDPR, ¹⁸ можно было даже подслушивать пользователей. Clubhouse использует функции китайского стартапа Agora. io, с помощью которых можно специально записывать разговоры пользователей.

Незашифрованная передача персональных данных в Россию и Китай представляет большую проблему как с точки зрения GDPR, так и с точки зрения прав человека. Ни в одном штате нет надлежащего уровня защиты данных или гарантий основных прав, и в обоих штатах государственные органы имеют широкий доступ к персональным данным, обрабатываемым внутри страны.

сноски:

1 https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2022/overforing-av-data-til-russland-og-ukraina/

2 https://www.roedl. de/themen/russland/datenschutzrecht-personenbezogene-daten-speicherung; https://www.roedl.de/themen/datenschutzgrundverordnung-dsgvo-datenschutzrecht-russland; https://cms.law/de/deu/publication/neue-datenschutzregelungen-in-russland-lassen-viele-fragen-offen; https://cms.law/en/int/expert-guides/the-impact-of-gdpr-in-non-eu-countries/russia; https://www.projekt29.de/die-neuen-russischen-datenschutzregelungen-wer-wie-was/

3 Доступ правительств к данным в третьих странах – Заключительный отчет, Европейский совет по защите данных (EDPB), ноябрь 2021 г. (EPDS/2019/02-13) , п. 45.

4 EPDS/2019/02-13, с. 52.

5 EPDS/2019/02-13, с. 52.

6 EPDS/2019/02-13, с. 56.

7 https://www.datenschutz-notizen.de/aktuelle-entwicklungen-zur-ukraine-krise-bsi-warnt-vor-cyberattacken-2033918/;

8 Вторжение в Украину – какие последствия в киберпространстве? – SEKOIA.IO

9 https://www.heise.de/news/Cyberattacken-auf-Ukraine-6524405.html; https://www.zeit.de/digital/2022-02/cyberattacke-ukraine-regierung-russland-angriff

10 https://www.datenschutz-notizen.de/aktuelle-entwicklungen-zur-ukraine-krise- bsi-warnt-vor-cyberattacken-2033918/

11 https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html

12 https://www. .bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html

13 Такая Теракава, Китайский закон о защите личной информации – краткий обзор, DPOblog.eu, 12 июля 2021 г.; Йоханнес: Datenschutz und Datensicherheit in China ZD 2022, 90; Йоханнес: Китай: Zweiter Entwurf eines Datenschutzgesetzes veröffentlicht, ZD-Aktuell 2021, 05219; https://www.