Яндекс.Еда, привлеченная мировым судом к ответственности за “утечку”, подала жалобу на постановление по делу об административном нарушении в вышестоящий суд (дата на сайте суда 06.05.2022).
Как рассматривали дело Яндекс.Еда по логике текста постановления о назначении административного наказания (мирового суда).
1. ЦА Роскомнадзора направило по ст. 28.1 КоАП РФ в Управление Роскомнадзора по ЦФО (далее УРКН) материалы, свидетельствующие о наличии признаков нарушения Федерального закона «О персональных данных».
2. В ходе мониторинга электронных средств массовой информации УРКН установило факт наличия персональных данных на интернет-ресурсе (скрыто), зафиксировало скриншотами.
3. Роскомнадзор сделал запрос оператору ПД, получил подтверждение "утечки" с ссылкой на недобросовестные действия сотрудника.
4. Роскомнадзор классифицировал это как “факт неправомерной обработки персональных данных в форме предоставления доступа без правовых оснований к базе данных, содержащей персональные данные пользователя сервиса, что является нарушением ч. 1 ст. 6 Закона о персональных данных”.
5. Защитник в суде вину не признал, просил дело закрыть.
6. Суд установил, что у юридического лица имелась реальная возможность обеспечить выполнение требований действующего законодательства (не раскрывается как).
P.S. Приведена субъективно упрощенная логика из текста постановления, см. первоисточник.
Как рассматривали дело Яндекс.Еда по логике текста постановления о назначении административного наказания (мирового суда).
1. ЦА Роскомнадзора направило по ст. 28.1 КоАП РФ в Управление Роскомнадзора по ЦФО (далее УРКН) материалы, свидетельствующие о наличии признаков нарушения Федерального закона «О персональных данных».
2. В ходе мониторинга электронных средств массовой информации УРКН установило факт наличия персональных данных на интернет-ресурсе (скрыто), зафиксировало скриншотами.
3. Роскомнадзор сделал запрос оператору ПД, получил подтверждение "утечки" с ссылкой на недобросовестные действия сотрудника.
4. Роскомнадзор классифицировал это как “факт неправомерной обработки персональных данных в форме предоставления доступа без правовых оснований к базе данных, содержащей персональные данные пользователя сервиса, что является нарушением ч. 1 ст. 6 Закона о персональных данных”.
5. Защитник в суде вину не признал, просил дело закрыть.
6. Суд установил, что у юридического лица имелась реальная возможность обеспечить выполнение требований действующего законодательства (не раскрывается как).
P.S. Приведена субъективно упрощенная логика из текста постановления, см. первоисточник.
Forwarded from РоскомнадZор
❓К нам продолжает приходить большое количество вопросов по теме персональных данных (ПД). Мы видим интерес граждан и хотим рассказать о самых актуальных вопросах из области ПД.
В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора?
В соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПД. Исключение составляют случаи, указанные в ч. 2 ст. 22 — подробнее смотри в инфографике.
Данные исключения действуют для тех операторов, которые занимаются только вышеперечисленными действиями. Если оператор занимается ещё каким-либо видом обработки, то ему необходимо подать уведомление, в котором рассказать обо всех действиях с ПД, включая перечисленные выше.
Подать соответствующее уведомление можно на портале РКН.
#персданные
В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора?
В соответствии с ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку ПД. Исключение составляют случаи, указанные в ч. 2 ст. 22 — подробнее смотри в инфографике.
Данные исключения действуют для тех операторов, которые занимаются только вышеперечисленными действиями. Если оператор занимается ещё каким-либо видом обработки, то ему необходимо подать уведомление, в котором рассказать обо всех действиях с ПД, включая перечисленные выше.
Подать соответствующее уведомление можно на портале РКН.
#персданные
👍3
У Яндекс.Еда есть шанс оспорить привлечение к ответственности мировым судом за "утечку".
Некоторые доводы, которые могут быть использованы при обжаловании:
1. Не исследовано почему ресурс, на котором нашли персональные данные является электронным средством массовой информации (упомянуто в постановлении, что СМИ), правомерно ли Роскомнадзор проводил мониторинг в отношении этого ресурса и, следовательно, получил доказательства совершения административного правонарушения (АП).
По ч. 3 ст. 26.2 КоАП РФ не допускается использование доказательств по делу АП если указанные доказательства получены с нарушением закона.
2. Формально п. 2 ч. 1 ст. 28.1 КоАП РФ подразумевает составление протокола по поступившим материалам, а не после проведения по ним дополнительных проверочных мероприятий.
Сами переданные материалы (при буквальном прочтении) должны указывать на состав АП, а не на его признаки (в постановлении суда ссылка на признаки).
Дополнительно можно поднять вопрос правомерности сбора доказательств со стороны ЦА Роскомнадзора в целях передачи по п. 2 ч. 1 ст. 28.1 КоАП РФ и сослаться на п. 3 ст. 26.2 КоАП РФ в рамках деятельности ЦА (правомерность получения доказательств).
3. Не исследована реальная возможность обеспечить выполнение требований действующего законодательства о персональных данных в связи с (умышленными?) неправомерными действиями работника. Здесь большой простор для правовой логики со стороны привлекаемого лица.
P.S. Мнение выше не имеет отношение к возможной позиции Яндекс.Еда.
@privacyexpert
Некоторые доводы, которые могут быть использованы при обжаловании:
1. Не исследовано почему ресурс, на котором нашли персональные данные является электронным средством массовой информации (упомянуто в постановлении, что СМИ), правомерно ли Роскомнадзор проводил мониторинг в отношении этого ресурса и, следовательно, получил доказательства совершения административного правонарушения (АП).
По ч. 3 ст. 26.2 КоАП РФ не допускается использование доказательств по делу АП если указанные доказательства получены с нарушением закона.
2. Формально п. 2 ч. 1 ст. 28.1 КоАП РФ подразумевает составление протокола по поступившим материалам, а не после проведения по ним дополнительных проверочных мероприятий.
Сами переданные материалы (при буквальном прочтении) должны указывать на состав АП, а не на его признаки (в постановлении суда ссылка на признаки).
Дополнительно можно поднять вопрос правомерности сбора доказательств со стороны ЦА Роскомнадзора в целях передачи по п. 2 ч. 1 ст. 28.1 КоАП РФ и сослаться на п. 3 ст. 26.2 КоАП РФ в рамках деятельности ЦА (правомерность получения доказательств).
3. Не исследована реальная возможность обеспечить выполнение требований действующего законодательства о персональных данных в связи с (умышленными?) неправомерными действиями работника. Здесь большой простор для правовой логики со стороны привлекаемого лица.
P.S. Мнение выше не имеет отношение к возможной позиции Яндекс.Еда.
@privacyexpert
👍4🔥1😢1
Суд кассационной инстанции поддержал ПАО Аэрофлот по всем пунктам, с которыми РКН был не согласен.
Еще раз кратко по смыслу спора между РКН и Аэрофлотом (чуть подробнее здесь):
1. Сроки хранения документов (в частности, по уволенным работникам) применяются в силу самого факта наличия того или иного документа в перечне документов, утвержденных приказом Росархива № 236, а не в силу признания документа архивным. История с Архивами по мнению суда проще.
2. ПД работников можно передавать без согласия, если создан соответствующий ЛНА / есть коллективный договор.
3. На письменное согласие на передачу ПД, упоминаемое в ТК РФ, не распространяется требования к письменному согласию по ч. 4 ст. 9 152 ФЗ.
Еще раз кратко по смыслу спора между РКН и Аэрофлотом (чуть подробнее здесь):
1. Сроки хранения документов (в частности, по уволенным работникам) применяются в силу самого факта наличия того или иного документа в перечне документов, утвержденных приказом Росархива № 236, а не в силу признания документа архивным. История с Архивами по мнению суда проще.
2. ПД работников можно передавать без согласия, если создан соответствующий ЛНА / есть коллективный договор.
3. На письменное согласие на передачу ПД, упоминаемое в ТК РФ, не распространяется требования к письменному согласию по ч. 4 ст. 9 152 ФЗ.
👍22
РКН-__-Эрарта-Исходящий.docx
47.2 KB
Фото и биометрия.
Управление Роскомнадзора по Северо-Западному федеральному округу в ответе на обращение гражданина указало, что фотоизображение не содержит информации, являющейся биометрической по своей сути, поскольку не отражает индивидуальных параметров субъекта персональных данных, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личность.
УРКН обошло стороной вопрос цели использования непосредственно фотоизображения для целей установления личности. Ранее ВС РФ подтверждал, что если фото используется для целей установления личности - это биометрические персональные данные.
Управление Роскомнадзора по Северо-Западному федеральному округу в ответе на обращение гражданина указало, что фотоизображение не содержит информации, являющейся биометрической по своей сути, поскольку не отражает индивидуальных параметров субъекта персональных данных, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личность.
УРКН обошло стороной вопрос цели использования непосредственно фотоизображения для целей установления личности. Ранее ВС РФ подтверждал, что если фото используется для целей установления личности - это биометрические персональные данные.
👍9
Планируется законопроект, согласно которому об "утечке" нужно будет уведомить Роскомнадзор в течение 24 часов.
Forwarded from Дума ТВ
Media is too big
VIEW IN TELEGRAM
Компании будут обязаны реагировать на утечки персональных данных в течение 24 часов — Горелкин
@dumatv
@dumatv
😁1
Роскомнадзор составил протоколы АП за не локализацию баз персональных данных
- по ч. 8 ст. 13.11 КоАП РФ на Airbnb, Pinterest, Likeme, Twitch, Apple, United Parcel Service
- по ч. 9 ст. 13.11 КоАП РФ на Google
- по ч. 8 ст. 13.11 КоАП РФ на Airbnb, Pinterest, Likeme, Twitch, Apple, United Parcel Service
- по ч. 9 ст. 13.11 КоАП РФ на Google
С точки зрения благоприятной privacy-юрисдикции для международных проектов недооценено Государство Израиль.
1. Израиль является страной, обеспечивающей адекватный уровень защиты прав субъектов персональных данных для РФ и для ЕС. Правовые вопросы международного обмена персональными данными могут решаться проще.
2. В Израиле присутствует институт регистрации баз данных. В большинстве случаев для коммерческой компании нужно регистрировать при численности записей более 10 000 строк (персон). Если услуги оказывает группа компаний с одной из юрисдикций в Израиле, вопрос достижения 10 000 записей конкретно под Израильской юрисдикцией может быть спорным при “умелом” подходе.
3. В момент регистрации нужно направить сведения о Специалисте по ИБ (Security supervisor или ISO) вместо DPO, что проще, так как у Security supervisor меньше акцента на локальную юриспруденцию. Аналогично c Data security risk assessment (вместо Data protection impact assessment) и некоторыми другими вещами.
Если строки выше показались интересными для ваших компаний/клиентов, добро пожаловать на сайт Управления по защите приватности Израиля с материалами на английском языке для более глубокого погружения.
1. Израиль является страной, обеспечивающей адекватный уровень защиты прав субъектов персональных данных для РФ и для ЕС. Правовые вопросы международного обмена персональными данными могут решаться проще.
2. В Израиле присутствует институт регистрации баз данных. В большинстве случаев для коммерческой компании нужно регистрировать при численности записей более 10 000 строк (персон). Если услуги оказывает группа компаний с одной из юрисдикций в Израиле, вопрос достижения 10 000 записей конкретно под Израильской юрисдикцией может быть спорным при “умелом” подходе.
3. В момент регистрации нужно направить сведения о Специалисте по ИБ (Security supervisor или ISO) вместо DPO, что проще, так как у Security supervisor меньше акцента на локальную юриспруденцию. Аналогично c Data security risk assessment (вместо Data protection impact assessment) и некоторыми другими вещами.
Если строки выше показались интересными для ваших компаний/клиентов, добро пожаловать на сайт Управления по защите приватности Израиля с материалами на английском языке для более глубокого погружения.
👍10❤1
Запись круглого стола «Информационная безопасность: глобальные вызовы», прошедшего недавно в Совете Федерации.
https://rutube.ru/video/4f3bdf57d0884e2049c89584872b4dee/
https://rutube.ru/video/4f3bdf57d0884e2049c89584872b4dee/
Некоторые цитаты с круглого стола.
- "Защита персональных данных граждан - это отдельный блок задач"
- "По оценкам экспертов, в базах данных всего содержится более 13 миллиардов записей о гражданах РФ."
- "По сути неограниченная трансграничная передача ПД создает угрозу внешнеполитической ситуации".
- "По данным РКН более 2500 операторов ПД осуществляют трансграничную передачу в недружественные страны, где не обеспечивается их должная защита".
- "Направленный в ГД РФ законопроект направлен на решение этих проблем".
В качестве мнения.
1. Цифра в 2500 операторов ПД очень оптимистична. Вероятно информация из уведомлений РКН по ст. 22 152-ФЗ. Институт уведомлений давно требует модернизации.
2. О существующем перечне стран, обеспечивающих адекватную защиту прав субъектов персональных данных (ст. 12 152-ФЗ) и уже существующей мере по уведомлению о трансграничной передаче (п. 10 и п. 10.1, ч. 3 ст. 22 152-ФЗ), с которыми можно поработать, снизив регулирующее воздействие на бизнес, ничего не сказали.
- "Защита персональных данных граждан - это отдельный блок задач"
- "По оценкам экспертов, в базах данных всего содержится более 13 миллиардов записей о гражданах РФ."
- "По сути неограниченная трансграничная передача ПД создает угрозу внешнеполитической ситуации".
- "По данным РКН более 2500 операторов ПД осуществляют трансграничную передачу в недружественные страны, где не обеспечивается их должная защита".
- "Направленный в ГД РФ законопроект направлен на решение этих проблем".
В качестве мнения.
1. Цифра в 2500 операторов ПД очень оптимистична. Вероятно информация из уведомлений РКН по ст. 22 152-ФЗ. Институт уведомлений давно требует модернизации.
2. О существующем перечне стран, обеспечивающих адекватную защиту прав субъектов персональных данных (ст. 12 152-ФЗ) и уже существующей мере по уведомлению о трансграничной передаче (п. 10 и п. 10.1, ч. 3 ст. 22 152-ФЗ), с которыми можно поработать, снизив регулирующее воздействие на бизнес, ничего не сказали.
Вопрос в Роструд РФ:
При оформлении на новое место работы в трудовой договор было включено положение о том, что работник не имеет права разглашать сведения о своей заработной плате, и предусмотрена дисциплинарная ответственность за их разглашение. Работодатель объяснил наличие данного условия тем, что сведения о заработной плате работника являются информацией, содержащей персональные данные. Вправе ли работодатель включать такое положение в трудовой договор?
Ответ - письмо Роструда РФ от 24 мая 2022 г. № ПГ/11476-6-1
По сути письма:
- обязать работника скрывать размер собственной зарплаты работодатель не вправе,
- даже если условие будет включено в трудовой договор, не будет подлежать применению,
- сведения о зарплате являются персональными данными
P.S. Спасибо Александру Партину за ссылку
При оформлении на новое место работы в трудовой договор было включено положение о том, что работник не имеет права разглашать сведения о своей заработной плате, и предусмотрена дисциплинарная ответственность за их разглашение. Работодатель объяснил наличие данного условия тем, что сведения о заработной плате работника являются информацией, содержащей персональные данные. Вправе ли работодатель включать такое положение в трудовой договор?
Ответ - письмо Роструда РФ от 24 мая 2022 г. № ПГ/11476-6-1
По сути письма:
- обязать работника скрывать размер собственной зарплаты работодатель не вправе,
- даже если условие будет включено в трудовой договор, не будет подлежать применению,
- сведения о зарплате являются персональными данными
P.S. Спасибо Александру Партину за ссылку
👍16
Сводная минимизированная информация (минимум "воды") по законодательствам различный стран от Baker McKenzie, есть оценка риска (по версии автора), указаны основные ошибки, которые допускают операторы ПД. Можно пользоваться, когда нужно быстро предварительно понять картину рисков для стратегии международной легализации обработки ПД.
https://resourcehub.bakermckenzie.com/en/resources/data-privacy-security
https://resourcehub.bakermckenzie.com/en/resources/data-privacy-security
👍15