Консультация эксперта

Закон о персональных данных ужесточили. Штрафы увеличились. Обрабатывать персональные данные без согласия субъекта нельзя. Новостные ленты пестрят страшными заголовками. Но что на самом деле относится к персональным данным, помимо фамилии, имени и отчества? Ответ на этот вопрос вы найдёте в статье нашего эксперта Анастасии Чекмаревой.

***

Определение персональных данных 

Начнём с основы. Определение можно найти в ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ.

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу.

В редакции 2011 года закон содержал перечень:

• Фамилия, имя, отчество
• Дата и место рождения
• Адрес
• Семейное положение
• Социальное положение
• Имущественное положение
• Образование
• Профессия
• Доходы
• Другая информация о гражданине

В действующей редакции список не конкретизирован, в него входит вся информация, по которой можно определить субъекта прямо или косвенно.  

Важно понимать, что не вся информация, которая относится к физическому лицу, будет считаться персональными данными, а только та, которая помогает идентифицировать субъекта. Например, адрес проживания сам по себе к таким данным не относится, но в связке с другой информацией, которая позволяет определить субъекта, его уже можно будет по определению к ним отнести.

Категории персональных данных 

Среди всей информации, по которой можно определить субъекта, в законе выделено несколько особых категорий.

Специальные: раса, национальность и религия; политические и философские взгляд, здоровье, подробности личной жизни, судимости и др.

Биометрические: физиологические и биологические особенности человека. К ним относятся: отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии. 

По таким категориям важна привязка к личности. Например, мужчина, рост 180 см, вес 75 кг – это неперсональные данные. Гражданина по такой информации   идентифицировать невозможно. Но если добавить фамилию, имя, отчество – это биометрические персональные данные.

Ещё один пример, когда для прохода в офис сотрудники используют отпечаток пальца или радужную оболочку глаза. Для обработки такой информации необходимо согласие субъекта.

Вся остальная информация, по которой можно определить субъекта, также может быть отнесена к персональным данным. Отличие выделенных категорий в том, что к их обработке установлены особые требования.

Например, согласие должно быть всегда в письменной форме или в форме электронного документа, подписанного электронной подписью.

По сведениям, которые в эти категории не попадают, такая форма согласия не всегда обязательна.

В 2021 году была выделена ещё одна категория: персональные данные, разрешённые для распространения. Это информация, которую сам субъект разрешил распространять. Обратите внимание, это не та информация, которую граждане публикуют, например, в социальных сетях. На распространение должно быть получено отдельное согласие от субъекта.

Рассмотрим на примерах, какая информация является персональными данными, а что к ним отнести нельзя с точки зрения закона и судебной практики. 

Паспортные данные

Информацию в паспорте можно поделить на две категории.

Сведения о владельце паспорта: фамилия, имя, отчество, дата и место рождения, адрес регистрации и др. Тут ответ однозначный. Информация прямо относится к гражданину и может его идентифицировать, соответственно, это персональные данные.

• Данные паспорта как бланка: серия, номер, дата выдачи, наименование выдавшего органа, код подразделения.
• По вопросу, являются ли серия и номер паспорта персональными данными, существуют две позиции судов
• Из вышесказанного следует, что серию и номер паспорта отдельно суды не всегда признают персональными данными, но в совокупности с другой информацией, по которой можно определить субъекта, они всегда будут считаться таковыми.
• Остальная информация в паспорте: наименование органа, выдавшего паспорт, код подразделения, дата выдачи — к персональным данным не относится, так как определить по ней субъекта невозможно.  

ИНН

На вопрос, является ли ИНН персональными данными, нет однозначного ответа.

С одной стороны, Минфин России неоднократно давал разъяснения, что ИНН к ним не относится, а используется исключительно для того, чтобы упорядочить учёт налогоплательщиков внутри системы налоговых органов.

https://www.youtube.com/watch?v=8mIF3m6nfv0\u0026pp=ygVt0J_QtdGA0YHQvtC90LDQu9GM0L3Ri9C1INCU0LDQvdC90YvQtSDQr9Cy0LvRj9GO0YLRgdGPINCa0L7QvNC80LXRgNGH0LXRgdC60L7QuSDQotCw0LnQvdC-0Lkg0JIgMjAyMyDQk9C-0LTRgw%3D%3D

По мнению ведомства, ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в Едином государственном реестре налогоплательщиков (6 знаков) и контрольное число (2 знака).

Каков перечень составляющих коммерческую тайну сведений?

Перечень составляющих коммерческую тайну сведений необходим организациям, которые хотят защитить свою внутреннюю информацию. О том, что может входить в этот перечень, читайте в нашей статье.

Понятие коммерческой тайны (КТ) регулируется в нашей стране законом «О коммерческой тайне» от 29.07.2004 № 98-ФЗ.

КТ — это особый режим, который сохраняет конфиденциальность информации, обладатель, которой может получить какую-либо коммерческую выгоду, например, получить дополнительные прибыли или сократить расходы, занять долю рынка и т. д.

Данные, которые попадают под КТ, могут быть любого вида и должны иметь коммерческую ценность в связи с их засекреченностью от третьих лиц.

Кто же вправе определять, какая информация может попадать под режим КТ, и есть ли ограничения на это? Согласно п. 1 ст. 4 закона № 98-ФЗ обладатель информации имеет право отнести эту информацию к попадающей под режим КТ.

Обладателем информации является тот, кто владеет ей на законных основаниях. Обладатель может дать доступ к секретной информации на условиях неразглашения, может передать третьему лицу по договору, может предоставить госорганам.

Однако существует установленный законодательно перечень данных, распространение которых не может ограничиваться КТ.

Что относится к сведениям, которые не могут составлять коммерческую тайну предприятия

Такие сведения оговорены в ст. 5 закона № 98-ФЗ и включают в себя информацию:

• указанную в учредительных документах и документах о регистрации юрлица или ИП в госорганах;
• указанную в разрешениях на коммерческую деятельность;
• об использовании бюджетных средств и об имуществе госучреждений и государственных (муниципальных) унитарных предприятий;
• влияющую на безопасность отдельных граждан или всего населения (о влиянии на окружающую среду, о соблюдении противопожарной, санитарной техники безопасности, безвредность пищевых продуктов и т. д.);
• относящуюся к кадровой (количество работников, их состав, система оплаты труда, условия и охрана труда, травматизм и проф. заболевания, имеющиеся вакансии, задолженность по зарплате и соцвыплатам);
• о противозаконных действиях и понесенных за это наказаниях;
• об условиях приватизации госсобственности;
• для некоммерческих организаций: о доходах, расходах, имуществе, о количестве сотрудников и их зарплате, об использовании бесплатного труда;
• о списке лиц, которые выступают от имени организации без доверенности;
• прочая информация, необходимость раскрытия которой указана в других законах.

Какой перечень информации, составляющей коммерческую тайну на территории РФ, может являться образцом?

Если организация устанавливает режим КТ в отношении какой-либо информации, то необходимо создать внутренние положения по соблюдению этого режима с указанием мер ответственности за их нарушения, а также зафиксировать перечень составляющих коммерческую тайну сведений.

Сотрудники, работающие с закрытой информацией, должны быть ознакомлены с правилами конфиденциальности и с перечнем составляющих коммерческую тайну сведений.

В этот перечень может входить любая информация, которая имеет коммерческую ценность в данный момент или в будущем в связи с тем, что она не известна третьим лицам и у них нет свободного доступа на законном основании к этим данным.

Примерный перечень сведений, составляющих коммерческую тайну, может выглядеть таким образом:

• Список клиентов и поставщиков.
• Информация об условиях заключенных договоров и о потенциальных сделках.
• Информация о ходе переговоров с контрагентами.
• Методика ценообразования.
• Финансовая информация о структуре себестоимости.
• Составляющие коммерческую тайну предприятия сведения о размерах, видах и условиях кредитов.
• Информация из управленческой отчетности.
• Стратегические и операционные планы, бюджеты, инвестиционные проекты, маркетинговые исследования, рекламные кампании.
• Информация о незапатентованных изобретениях.
• Информация о планируемых разработках или модернизациях.
• Информация о технологических характеристиках выпускаемой продукции.
• Информация о видах и состоянии используемого программного обеспечения.
• Информация, позволяющая получить доступ к программному обеспечению и компьютерной технике.
• Сведения о системах внутренней безопасности и охраны.
• Сведения о порядке и датах внутренних проверок.
• Сведения о результатах совещаний.
• Сведения о заработной плате сотрудников.
• Информация о методах управления и внутренней организации предприятия.
• Деловая переписка.

О том, как утвердить режим КТ, читайте в статье «Положение о коммерческой тайне — образец 2022 года».

За разглашение коммерческой тайны может быть предусмотрена дисциплинарная, материальная и даже уголовная ответственность. Когда можно привлечь сотрудника к ответственности рассказывают эксперты КонсультантПлюс. Получите пробный доступ и бесплатно изучите материал.

Итоги

Доступ к сведениям, составляющим коммерческую тайну, может даваться работнику только с его согласия, если это заранее не было оговорено в трудовом договоре или инструкциях к нему.

Ознакомление сотрудников с режимом КТ и с перечнем закрытой информации проводится под расписку.

В перечень составляющих коммерческую тайну сведений необходимо включить все виды информации, попадание которых в руки третьих лиц может нанести вред организации, но необходимо также учитывать, что закон ограничивает этот список.

О прочих кадровых документах читайте в наших статьях:

Защита персональных данных: новые требования и обязанности фирм

Защита персональных данных в настоящий момент приобрела приоритетное значение.

Поэтому в спешном порядке были подготовлены и приняты поправки в закон о персданных, большинство из которых  вступили в силу с сентября 2022 года. Следующая «порция» заработает в марте 2023 года.

  У работодателей появились новые обязанности, законодатели сократили ряд сроков, ввели очередные запреты для операторов персданных.  

Большинство норм Федерального закона от 14.07.

2022 № 266‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”» вступили в силу с 01 сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2023 года (какие именно, расскажем ниже).

Цель поправок – усиление защиты субъектов персональных данных и обеспечение неприкосновенности их частной жизни.

Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию о гражданах, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения.

В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих непростых условиях.

https://www.youtube.com/watch?v=8mIF3m6nfv0\u0026pp=YAHIAQE%3D

Как подавать уведомление об обработке персональных данных после 1 сентября 2022 года

Читать далее…

Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под ее юрисдикцию. Трансграничная передача персданных нашими законами практически не регулируется, а осуществляется большим количеством операторов повсеместно и в больших масштабах.

Рассмотрим подробнее, какие меры ввело государство для защиты персональных данных и что это значит для работодателей, операторов персданных и рядовых граждан.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.

2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку.

Другими словами – ​независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:

• трансграничной передачи персональных данных;
• обработки специальных категорий данных (например, состояние здоровья человека);
• биометрических данных; персональных данных несовершеннолетних лиц;
• а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.

У ведомства по закону будет 30 дней на согласование проекта документа.

Новые запреты

В договор с субъектом персональных данных нельзя включать следующие условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):

• ограничивающие его права и свободы. Например, на отзыв согласия на обработку персданных или соблюдение дополнительных условий для такого отзыва, включая значительный срок, за который нужно подать уведомление оператору;
• устанавливающие случаи обработки персданных несовершеннолетних лиц, если иное не предусмотрено законодательством РФ;
• допускающее в качестве условия заключения договора бездействие субъекта персональных данных. 

Скажем, у оператора может возникнуть соблазн не получать отдельное согласие от гражданина, а включить условие о заранее данном согласии в оферту, к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, он должен проставить соответствующее обозначение.

Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя.

Чем подтвердить факт удаления персональных данных?

Читать далее…

Поручение по обработке персданных

Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам, в том числе государственным и муниципальным органам власти. Лицо, которому поручается обработка, должно обеспечить базовые принципы обработки данных, их конфиденциальность, принимать меры к выполнению всех своих обязанностей.

В самом поручении на обработку нужно определить:

• перечень данных,
• перечень действий по их обработке,
• цели и иные обязательные требования;
• право оператора и корреспондирующую обязанность лица, которому поручается обработка, предоставлять документы и информацию, подтверждающие выполнение обязательных требований.

Естественно, оператору не стоит ограничиваться только поручением, а рекомендуется заключить договор и оформить соответствующие отношения как обязательства, включив в него в том числе штрафы за нарушения в соответствии со ст. 330 ГК РФ.

https://www.youtube.com/watch?v=8mIF3m6nfv0\u0026t=40s

Также на случай нарушения контрагентом условий договора можно предусмотреть, что он в качестве имущественных потерь возместит все суммы штрафов, компенсаций и иных расходов и других убытков, которые возникнут в связи с предъявлением требований со стороны субъектов персональных данных и контролирующих органов (ст. 406.1 ГК РФ). Такое договорное условие позволит вашей организации как оператору персданных создать источник возмещения за счет контрагента-нарушителя, учитывая, что от рисков неправильных действий (бездействия) в отношении персданных сейчас никто не застрахован.

С 1 сентября 2022 года вступили в силу…

Читать далее…

К кому требования о распространении персданных не относятся

Требования ст. 10.1 Закона № 152‑ФЗ об особенностях обработки перс­данных путем распространения теперь не будут касаться не только государственных и муниципальных органов, но и подведомственных им организаций (ч. 15 указанной статьи).

Поправка логична, учитывая, что не все свои властные полномочия и функции органы власти осуществляют самостоятельно. Для этих целей они создают и используют подведомственные организации.

В ином же случае деятельность органов власти была бы существенно затруднена дополнительными формальностями, связанными с необходимостью получения согласия от субъекта персональных данных и организацией этого процесса.

Биометрические персданные

Согласно новой ч. 3 ст. 11 Закона № 152‑ФЗ, получение биометрических персональных данных обязательным не является.

Подобное уточнение совсем не лишнее, учитывая, что банки и иные профессиональные участники рынка их собирают (достаточно вспомнить, как при открытии счета в банке клиентов фотографируют), но при этом многие из них, к сожалению, так и не научились должным образом их защищать (в новостях информация о масштабных «сливах» персданных появляется чуть ли не еженедельно).

Поэтому граждане теперь могут отказываться предоставлять биометрические данные. А организация будет не вправе на этом основании отказать в заключении договора. Такой отказ будет считаться незаконным (См. также информацию на сайте Минцифры России.

Фирмы обязаны сообщить об утечке персданных

Читать далее…

Трансграничная передача персданных

С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор.

Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если какие-то организации осуществляют трансграничную передачу уже сейчас, такое уведомление им необходимо направить в ведомство до 01.03.2023.

Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных.

Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.

Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:

• о принимаемых мерах по защите прав субъектов персональных данных;
• правовом регулировании персданных в иностранном государстве;
• об органах власти иностранного государства, иностранных юридических и физических лицах, которым будут передаваться данные.

Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления).

При положительном решении регулятора оператор может осуществлять трансграничную передачу перс­данных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора.

Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.

https://www.youtube.com/watch?v=8mIF3m6nfv0\u0026t=113s

Какие условия больше нельзя включать в договор с потребителем

Читать далее…

Взаимодействие с ГосСОПКА

На оператора теперь возложена обязанность обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ — ГосСОПКА (См. ст. 5 Федерального закона от 26.07.

2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст.

19 Закона № 152‑ФЗ).

Порядок такого взаимодействия будет определен органом власти, уполномоченным в сфере обеспечения безопасности (видимо, имеется в виду МВД РФ).

Такая мера позволяет повысить гарантии информационной безопасности нашей страны в целом за счет эффективной и слаженной защиты всех ее информационных элементов на самых различных уровнях, а также позволяет более плотно вовлечь операторов в юридически значимые для органов власти процессы.

Раз оператор как предприниматель зарабатывает в нашей стране, в том числе на использовании персональной информации граждан, он должен более ответственно, а не формально подходить и к вопросам ее защиты.

Более того, он сам непосредственно участвует в обработке персональных данных, поэтому может и обязан незамедлительно сигнализировать о возможных нарушениях и инцидентах, а не делать вид, что они его не касаются.

Новые сроки

Оператору персональных данных стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). Так, оператору в этот период необходимо:

• ответить на обращение субъекта персональных данных по поводу того, обрабатывает он его данные или нет, и если да, то предоставить к ним доступ;
• дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых персданных;
• сообщить Роскомнадзору необходимые сведения по его запросу.

Кроме того, у оператора появились новые обязанности по уведомлению Роскомнадзора (ч. 3.1 ст. 21 Закона № 152‑ФЗ). При выявлении случаев неправомерной или случайной передачи персданных оператор обязан:

1. в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту персданных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;
2. в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.

При обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней.

Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст. 21 Закон № 152‑ФЗ).

Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Роскомнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.

Наказание за утечку данных очень сильно «подорожает»

Читать далее…

Изменения в законодательстве о госрегистрации недвижимости и нотариате

Что нужно знать бизнесу о защите персональных данных — новости Право.ру

В 2022 году вступили в силу существенные изменения закона «О персональных данных». Поправки внесли в 15 из 29 статей, подсчитал Станислав Румянцев, старший юрист
Федеральный рейтинг.

группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Консалтинг) группа Интеллектуальная собственность (Регистрация) группа ТМТ (телекоммуникации, медиа и технологии)
Все изменения, по его словам, носят точечный характер и разъясняют много вопросов из практики.

Это добавляет сложности юристам, уверен эксперт. Теперь его коллегам нужно провести аудит в своей компании и проконтролировать, учитываются ли там требования закона в новой редакции. 

Румянцев подробнее остановился на самых ключевых изменениях. Так, операторам связи придется чаще уведомлять Роскомнадзор. Раньше нужно было сообщать об обработке персональных данных, но были и исключения. Согласно поправкам, большинство из исключений убрали.

https://www.youtube.com/watch?v=8mIF3m6nfv0\u0026t=405s

С начала сентября 2022-го компании обязаны сообщать Роскомнадзору об утечках. Оператор должен сделать это в течение 24 часов, рассказала Екатерина Ефимова, начальник отдела организации контрольно-надзорной деятельности управления по защите прав субъектов персональных данных Роскомнадзора.

Практика Персональные данные: как юристу работать с ними

В России не было единой методики подсчета интернет-аудитории, но с 1 октября 2021 года действует ст. 12.2 закона «Об информации» («Особенности исследования объема аудитории информационных ресурсов в сети «Интернет»). Его называют законом об исследовании аудитории интернета.

Подробнее о нем рассказал Михаил Хохолков, руководитель практики «Медиаправо» Федеральный рейтинг.

группа Цифровая экономика группа ТМТ (телекоммуникации, медиа и технологии) 8место По количеству юристов 30место По выручке на юриста 41место По выручке Профайл компании
Он отметил, что изучается обширный пласт информации: сведения о каждом факте доступа к информационному ресурсу с указанием времени, типа использованного оборудования и браузера. 

Хохолков заметил, что пока закон работает точечно. Есть реестр интернет-ресурсов, чью аудиторию исследуют. В него попали четыре новостных агрегатора, восемь соцсетей, 26 зарегистрированных СМИ.

При этом Хохолков отметил, что норма позволяет мониторить практически любой информационный ресурс, аудитория которого больше 1000 пользователей в месяц. Даже если это не самый популярный юридический блог, то он может набрать столько просмотров, уверен эксперт.

«Пока не выглядит страшно, но непонятно, что будет в будущем», — признал Хохолков.

Артем Дмитриев, руководитель практики IP, Tech & Privacy Федеральный рейтинг.

группа ТМТ (телекоммуникации, медиа и технологии) группа Цифровая экономика
, рассказал, что в их компании исследовали, как менялось законодательство, связанное с персональными данными почти в 15 странах с 2019 года.

Это помогло выявить тренды в том, как меняется регулирование. В частности, повышается контроль, в том числе за утечками данных. Дмитриев ожидает, что в России оборотные штрафы за это появятся уже в этом году. Пока поправки еще обсуждают.

Наверное, в следующем году активно будет обсуждаться и уголовная ответственность за утечки персональных данных, что делает вопрос более острым. 

Артем Дмитриев

Дмитриев отметил еще одну тенденцию: государство получает больше доступа к процессам бизнеса, и, собственно, больше возможностей для контроля бизнеса.

Так, эксперта заинтересовала инициатива Минцифры о предоставлении субъектам персональных данных права отзывать согласие на их обработку через «Госуслуги».

Очевидно, когда такая возможность для граждан будет запущена, государство получит возможность контролировать, кто какой запрос направил и отреагировал ли бизнес на этот запрос или нет, уверен эксперт.

Советы для бизнеса

Законодательство меняется, и бизнесу нужно знать, как себя защитить. Подробнее об этом рассказал Максим Лагутин, исполнительный директор юридической компании «Б-152». Мало лишь создать политику обработки персональных данных и положение об обработке для работников и согласия.

Лагутин предлагает всегда назначать ответственного за персональные данные, а еще провести инвентаризацию обработки персональных данных и информационных систем. Это нужно, чтобы понимать, куда уходят данные, и выявить возможные риски утечки. Потом разработать дорожную карту по исправлению выявленных замечаний.

По мнению Лагутина, еще бизнесу нужно выстроить порядок реагирования на запросы физлиц.

С 1 марта 2023 года у нас будет десять рабочих дней, чтобы отреагировать на запрос. А сейчас 30 дней. То есть в три раза больше.

Максим Лагутин

А еще Лагутин советует заранее определить, какие действия нужно предпринять в случае отзыва согласия или утечки данных. 

Свои рекомендации бизнесу дала и Баира Бембеева, старший юрист цифровой группы Федеральный рейтинг.

группа Антимонопольное право (включая споры) группа ВЭД/Таможенное право и валютное регулирование группа Комплаенс группа Налоговое консультирование и споры (Налоговое консультирование) группа Налоговое консультирование и споры (Налоговые споры) группа Недвижимость, земля, строительство группа Трудовое и миграционное право (включая споры) группа Цифровая экономика группа Арбитражное судопроизводство (средние и малые коммерческие споры — mid market) группа Банкротство (реструктуризация и консалтинг) группа Банкротство (споры mid market) группа Интеллектуальная собственность (Консалтинг) группа Интеллектуальная собственность (Регистрация) группа Корпоративное право/Слияния и поглощения (mid market) группа Природные ресурсы/Энергетика группа Семейное и наследственное право группа ТМТ (телекоммуникации, медиа и технологии) группа Фармацевтика и здравоохранение группа Финансовое/Банковское право группа Международный арбитраж группа Разрешение споров в судах общей юрисдикции группа Экологическое право
С учетом вступивших изменений она советует:

• провести аудит локальных нормативных актов, которые посвящены персональным данным;
• добавить в них данные о целях обработки персональных данных;
• исходя из целей определить способы, сроки их обработки и хранения;
• включить в локальные нормативные акты порядок уничтожения таких сведений.

Дмитрий Зыков, руководитель практики правовой защиты информации Федеральный рейтинг.

группа Трудовое и миграционное право (включая споры) группа Фармацевтика и здравоохранение группа ГЧП/Инфраструктурные проекты группа Корпоративное право/Слияния и поглощения (mid market) группа Налоговое консультирование и споры (Налоговые споры) группа Природные ресурсы/Энергетика группа Санкционное право группа ТМТ (телекоммуникации, медиа и технологии) группа Частный капитал группа Банкротство (реструктуризация и консалтинг) группа ВЭД/Таможенное право и валютное регулирование группа Интеллектуальная собственность (Консалтинг) группа Комплаенс группа Налоговое консультирование и споры (Налоговое консультирование) группа Недвижимость, земля, строительство группа Финансовое/Банковское право
, рассказал о ситуациях, когда по закону необходимо уничтожить персональные данные: компания достигла цели обработки, или утратила такую необходимость, или выявлен факт неправомерной обработки, или согласие на обработку отозвали. Зыков рассказал, что оператор заранее должен предусмотреть порядок уничтожения персональных данных. Часто юристы советуют назначать комиссию, ответственную за это. Зыков говорит, что это может быть постоянно действующая комиссия либо можно собираться при необходимости.

https://www.youtube.com/watch?v=8mIF3m6nfv0\u0026t=536s

Единственная рекомендация — включать в состав комиссии лицо, ответственное за организацию обработки персональных данных. Потому что, как правило, именно это лицо будет взаимодействовать с Роскомнадзором, когда тот начнет спрашивать: «Как вы уничтожили персональные данные?»

Дмитрий Зыков

Зыков говорит, что важно после уничтожения как-то зафиксировать этот факт. Это можно сделать, оформив акт или сделав запись в специально созданном для этого журнале.

Василий Зуев, руководитель практики «Интеллектуальная собственность» Федеральный рейтинг.

группа Интеллектуальная собственность (Защита прав и судебные споры) группа Интеллектуальная собственность (Регистрация) группа Арбитражное судопроизводство (средние и малые коммерческие споры — mid market) группа Банкротство (споры mid market)
, рассказал о системе защиты коммерчески значимой информации. По его словам, некоторые сведения нельзя отнести к коммерческой тайне и отказаться их предоставлять. Например, сведения об аккредитациях и лицензиях, о задолженности работодателей по выплате зарплаты, а для некоммерческих организаций еще и о размерах и структуре доходов. А вот коммерческой тайной можно признать сведения о предметах и целях совещаний, стратегии рекламных мероприятий, о подготовке к судебным спорам.

Эксперт рассказал и о способах защиты таких сведений. Наиболее востребованные — соглашение о неразглашении и пункт договора о том, что его конкретные сведения нельзя сообщать третьим лицам. При этом за нарушение предусматривается неустойка. 

Грядущие изменения

С 1 марта 2023 года операторам связи придется сообщать Роскомнадзору о трансграничной передаче персональных данных. Пока не до конца ясно, как будут действовать поправки, и рынок частично находится в неведении. Поэтому Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных Федеральный рейтинг.

группа Интеллектуальная собственность (Регистрация) группа Интеллектуальная собственность (Защита прав и судебные споры) группа ТМТ (телекоммуникации, медиа и технологии) 22-24место По количеству юристов 27место По выручке на юриста 49место По выручке
, ждет, что до вступления новых правил в силу Роскомнадзор выпустит какие-то разъяснения.

Порядок передачи зависит от того, обеспечивает ли страна адекватную защиту прав субъектов персональных данных.

23 сентября этого года Роскомнадзор сообщил, что утвердил перечень таких государств — в него вошли 89 стран.

Если государство не включено в этот список, то нужно получать разрешение на трансграничную передачу персональных данных. А когда страна вошла в реестр, достаточно лишь уведомить РКН.

Минцифры предлагает ужесточить ответственность юрлиц за утечки персональных данных клиентов — ввести оборотные штрафы в зависимости от выручки компании. Пока законопроекта нет в публичном доступе, говорит Мария Самарцева, советник, глава практики защиты интеллектуальной собственности Федеральный рейтинг.

группа Международные судебные разбирательства группа Международный арбитраж группа Санкционное право группа Арбитражное судопроизводство (крупные коммерческие споры — high market) группа Банкротство (споры high market) группа Комплаенс группа Корпоративное право/Слияния и поглощения (high market) группа Финансовое/Банковское право группа Антимонопольное право (включая споры) группа Интеллектуальная собственность (Консалтинг)

Появилась некая тенденция, связанная с утечками данных. Если раньше утечки случались по вине действующих или уволенных сотрудников, то сейчас это происходит чаще извне, чтобы каким-то образом причинить репутационный вред компании.

Мария Самарцева

Только за три летних месяца этого года в сеть попало не менее 140 баз данных российских организаций, привела данные Самарцева. Основная причина успешных сливов — несовершенство технической базы. Поэтому, по ее словам, инициатива была ожидаемой. Аналогичные штрафы для компаний есть и в других странах. 

Персональные данные в 2023 году: на что обратить внимание физлицам

Иллюстрация: Andrew Moca/unsplash

Федеральный закон от 14.07.2022 № 266-ФЗ изменил правила работы с персональными данными.

Основные его положения заработали с 1 сентября 2022 года.

Что этот закон меняет

Новых требований много, мы остановимся на самых важных.

Во-первых, теперь правила работы с персональными данными должны соблюдать иностранные операторы ПД.

Операторы персональных данных – это государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки этих данных.

Далее: согласие на обработку персональных данных должно быть конкретным, информированным и сознательным, а также предметным и однозначным.

Биометрические персональные данные – это особая категория персональных данных. Человек должен сообщить такие данные о себе только в случаях, которые перечислены в ч. 2 ст. 11 Закона 266-ФЗ. Во всех остальных ситуациях предоставление биометрических данных не может быть обязательным.

Дальше: оператор ПД по-новому взаимодействует с человеком, чьи персональные данные обрабатывает. Например, теперь действует запрет отказывать в обслуживании человеку, который не хочет сообщать свои биометрические данные.

Что должен делать оператор ПД

По новому закону в числе обязанностей оператора персональных данных:

• заранее сообщать человеку, чьи ПД он получил не от него самого, среди прочей информации перечень персональных данных, которые оператор будет обрабатывать (ч. 3 ст. 18 Закона),
• предоставлять человеку информацию о способах выполнения оператором обязанностей, которые предусмотрены Законом (ч. 7 ст. 14 Закона);
• прекратить обработку ПД человека, который потребовал этого, в срок не позднее 10 рабочих дней с даты получения обращения (ч. 5.1 ст. 21 Закона).

Этот срок можно продлить, но не больше чем на 5 рабочих дней, заранее уведомив человеку.

Но прекращать обработку ПД надо не всегда. Исключения такие:

• оператор обрабатывает ПД не по согласию человека, а по другим основаниям (например, когда обработка нужна для исполнения судебного акта),
• оператор законно обрабатывает биометрические ПД,
• оператор законно обрабатывает специальные категории ПД (которые касаются расовой, национальной принадлежности гражданина, политических взглядов, состояния здоровья и т.п.)

Что с доступом человека к своим ПД: новые сроки

Челочек, чьи персональные данные обрабатывает оператор, имеет право на доступ к ним. В частности, он может рассчитывать на получение следующих сведений:

• подтверждение факта обработки его данных оператором;
• правовые основания и цели обработки;
• подробная информация об операторе;
• сами обрабатываемые ПД;
• источник их получения, сроки обработки.

Получить всю эту информацию может сам человек или его представитель. Для этого надо обратиться к оператору с обращением или запросом (ст. 14 Закона).

С 1 сентября 2022 года действуют новые нормы о сроках доступа человека к своим ПД. Оператору дается всего 10 рабочих дней, чтобы успеть предоставить запрошенную информацию. Этот срок можно увеличить, но не больше чем на 5 рабочих дней, по решению самого оператора. Тогда человека надо уведомить об этом и указать причины, по которым срок ответа продлевается.

Важно! Требуемые сведения оператор направляет человеку или его представителю в той же форме, в какой тот направил обращение или запрос. Правда, заявитель может указать в них другие предпочтительные варианты получения информации.