Пример согласия на обработку персональных данных от Роскомнадзора, которое берется не "галочкой", а путем совершения конклюдентного действия, выраженного нажатием на кнопку.
Копии в личном деле.PDF
3.2 MB
Роструд: работодатель вправе хранить копии документов работника в его личном деле при условии получения от работника согласия на обработку ПД.
Об особенностях регулирования деятельности провайдеров хостинга
Опубликованы проекты подзаконных актов, разработанных в соответствии со ст. 10.2-1 №149-ФЗ об особенностях регулирования деятельности провайдеров хостинга. Рассказываем главное👇
1️⃣ Уведомление о начале осуществления должно быть подано не позднее, чем за 10 рабочих дней до начала хостинга через личный кабинет на сайте Роскомнадзора.
Требования к содержанию уведомления прописаны в проекте Правил направления провайдером хостинга уведомления о начале осуществления соответствующей деятельности.
2️⃣ В реестр, согласно Проекту Правил формирования и ведения реестра провайдеров, будут включаться:
▪️ сведения о провайдере хостинга (в том числе информация о самом провайдере, наличии автономной системы, сетевых адресах, местоположении серверов и пр.);
▪️ уникальный номер реестровой записи, дата ее включения в реестр и дата внесения изменений в сведения, содержащиеся в реестровой записи (при наличии).
3️⃣ Проект Требований о защите информации при предоставлении вычислительной мощности обязует провайдера:
▪️ назначать структурное подразделение или должностное лицо , ответственное за защиту информации;
▪️ взаимодействовать с ГосСОПКА (например, отключать информационные ресурсы в течение 12 часов с момента поступления информации об атаке на них);
▪️ собирать и хранить данные о взаимодействии пользователей услуг с пользователями внешних сетевых ресурсов в Интернете в течение 1 года с момента окончания осуществления действий.
Также Требования предусматривают отдельные меры по обнаружению и предотвращению вторжений, по повышению устойчивости к DDOS-атакам и пр.
4️⃣ Проект Постановления Правительства утверждает Правила взаимодействия провайдеров хостинга с ФСБ России. Согласно Правилам, провайдеры должны:
▪️ хранить всю информацию о пользователях своих услуг в течение 3 лет, информацию о взаимодействии пользователей с другими пользователями в Интернете в течение 1 года с момента окончания осуществления действий;
▪️ в течение 45 дней с момента начала хостинга подать заявление в территориальный орган ФСБ заявление о начале взаимодействия с уполномоченными органами;
▪️ не допускать раскрытия организационных и технических приемов проведения оперативно-разыскных мероприятий (ОРМ);
▪️ принимать меры, исключающие возможность несанкционированного доступа посторонних лиц к техническим средствам, находящихся в ведении провайдера;
▪️ обеспечить конфиденциальность проводимых работ по внедрению технических средств.
В свою очередь, ФСБ совместно с провайдером разрабатывает план мероприятий по внедрению технических средств в срок до трех месяцев со дня регистрации заявления.
5️⃣ В целях реализации ч. 3 ст. 10.2-1 №149-ФЗ разработан проект требований к вычислительной мощности, используемой провайдером для обеспечения выполнения установленных действий при проведении ОРМ.
6️⃣ Также вносятся изменения в ряд актов Правительства РФ в связи с закрепленной в ч. 4 ст. 10.2-1 №149-ФЗ обязанностью провайдеров хостинга участвовать в учениях по обеспечению устойчивого, безопасного и целостного функционирования Интернета и сети связи общего пользования.
Все указанные подзаконные акты вступают в силу одновременно со ст. 10.2-1 №149-ФЗ – 1 декабря 2023 года. Оснований ожидать внесения в проекты существенных изменений нет.
📌 Для консультаций по порядку нового регулирования деятельности провайдеров хостинга пишите @linfo
Опубликованы проекты подзаконных актов, разработанных в соответствии со ст. 10.2-1 №149-ФЗ об особенностях регулирования деятельности провайдеров хостинга. Рассказываем главное👇
1️⃣ Уведомление о начале осуществления должно быть подано не позднее, чем за 10 рабочих дней до начала хостинга через личный кабинет на сайте Роскомнадзора.
Требования к содержанию уведомления прописаны в проекте Правил направления провайдером хостинга уведомления о начале осуществления соответствующей деятельности.
2️⃣ В реестр, согласно Проекту Правил формирования и ведения реестра провайдеров, будут включаться:
▪️ сведения о провайдере хостинга (в том числе информация о самом провайдере, наличии автономной системы, сетевых адресах, местоположении серверов и пр.);
▪️ уникальный номер реестровой записи, дата ее включения в реестр и дата внесения изменений в сведения, содержащиеся в реестровой записи (при наличии).
3️⃣ Проект Требований о защите информации при предоставлении вычислительной мощности обязует провайдера:
▪️ назначать структурное подразделение или должностное лицо , ответственное за защиту информации;
▪️ взаимодействовать с ГосСОПКА (например, отключать информационные ресурсы в течение 12 часов с момента поступления информации об атаке на них);
▪️ собирать и хранить данные о взаимодействии пользователей услуг с пользователями внешних сетевых ресурсов в Интернете в течение 1 года с момента окончания осуществления действий.
Также Требования предусматривают отдельные меры по обнаружению и предотвращению вторжений, по повышению устойчивости к DDOS-атакам и пр.
4️⃣ Проект Постановления Правительства утверждает Правила взаимодействия провайдеров хостинга с ФСБ России. Согласно Правилам, провайдеры должны:
▪️ хранить всю информацию о пользователях своих услуг в течение 3 лет, информацию о взаимодействии пользователей с другими пользователями в Интернете в течение 1 года с момента окончания осуществления действий;
▪️ в течение 45 дней с момента начала хостинга подать заявление в территориальный орган ФСБ заявление о начале взаимодействия с уполномоченными органами;
▪️ не допускать раскрытия организационных и технических приемов проведения оперативно-разыскных мероприятий (ОРМ);
▪️ принимать меры, исключающие возможность несанкционированного доступа посторонних лиц к техническим средствам, находящихся в ведении провайдера;
▪️ обеспечить конфиденциальность проводимых работ по внедрению технических средств.
В свою очередь, ФСБ совместно с провайдером разрабатывает план мероприятий по внедрению технических средств в срок до трех месяцев со дня регистрации заявления.
5️⃣ В целях реализации ч. 3 ст. 10.2-1 №149-ФЗ разработан проект требований к вычислительной мощности, используемой провайдером для обеспечения выполнения установленных действий при проведении ОРМ.
6️⃣ Также вносятся изменения в ряд актов Правительства РФ в связи с закрепленной в ч. 4 ст. 10.2-1 №149-ФЗ обязанностью провайдеров хостинга участвовать в учениях по обеспечению устойчивого, безопасного и целостного функционирования Интернета и сети связи общего пользования.
Все указанные подзаконные акты вступают в силу одновременно со ст. 10.2-1 №149-ФЗ – 1 декабря 2023 года. Оснований ожидать внесения в проекты существенных изменений нет.
📌 Для консультаций по порядку нового регулирования деятельности провайдеров хостинга пишите @linfo
О стандарте доказывания в делах по взысканию компенсаций морального вреда за “утечки” ПДн
Мосгорсуд оставил в силе решение первой инстанции, присудившей истцу компенсацию в размере 5.000 рублей за раскрытие ПДн в “утекшей” базе данных клиентов Яндекс.Еды (дело №33-25217/2023). Такой случай в практике судов общей юрисдикции не уникален (см. дело № 33-8490/2023).
Судом, как было отмечено в апелляционном постановлении, при определении размера компенсации учтены “характер нарушения прав истца, объем причиненных истцу нравственных страданий, требования разумности и справедливости”.
Однако отдельного внимания в череде дел против Яндекс.Еды заслуживает проблема доказывания факта нарушения прав субъектов ПДн. В качестве доказательств истцы представляли скриншоты “утекшей” базы данных, содержащие преимущественно их имена и адреса.
По мнению судов, для установления факта распространения ПДн истец должен доказать, что данные:
➡️ позволяют идентифицировать его как конкретное лицо;
➡️ ему принадлежат (дело №33-27368/2023).
В таких делах доказательством указанного факта становились итоги исследования флеш-накопителя с таблицами, которые могли быть получены в результате выгрузки баз данных клиентов сервиса доставки Яндекс.
Вот только Мосгорсуд однозначной позиции в отношении этого доказательства не выработал.
Предоставленный суду отчет с итогами исследования:
➡️ как признавался допустимым доказательством, поскольку не было оснований для противоположных выводов (дело №33-28022/2023);
➡️ так и не принимался вовсе, поскольку истец не доказал принадлежность адреса и номера телефона из этих баз именно ему (дело №33-25217/2023).
Мосгорсуд оставил в силе решение первой инстанции, присудившей истцу компенсацию в размере 5.000 рублей за раскрытие ПДн в “утекшей” базе данных клиентов Яндекс.Еды (дело №33-25217/2023). Такой случай в практике судов общей юрисдикции не уникален (см. дело № 33-8490/2023).
Судом, как было отмечено в апелляционном постановлении, при определении размера компенсации учтены “характер нарушения прав истца, объем причиненных истцу нравственных страданий, требования разумности и справедливости”.
Однако отдельного внимания в череде дел против Яндекс.Еды заслуживает проблема доказывания факта нарушения прав субъектов ПДн. В качестве доказательств истцы представляли скриншоты “утекшей” базы данных, содержащие преимущественно их имена и адреса.
По мнению судов, для установления факта распространения ПДн истец должен доказать, что данные:
➡️ позволяют идентифицировать его как конкретное лицо;
➡️ ему принадлежат (дело №33-27368/2023).
В таких делах доказательством указанного факта становились итоги исследования флеш-накопителя с таблицами, которые могли быть получены в результате выгрузки баз данных клиентов сервиса доставки Яндекс.
Вот только Мосгорсуд однозначной позиции в отношении этого доказательства не выработал.
Предоставленный суду отчет с итогами исследования:
➡️ как признавался допустимым доказательством, поскольку не было оснований для противоположных выводов (дело №33-28022/2023);
➡️ так и не принимался вовсе, поскольку истец не доказал принадлежность адреса и номера телефона из этих баз именно ему (дело №33-25217/2023).
Ответ РКН Телеграм.pdf
182.5 KB
Ответ Роскомнадзора относительно обработки персональных данных в Телеграм.
Немного времени до начала однодневного семинара по персональным данным от бывшего инспектора Роскомнадзора и DPO транснациональной ИТ-компании.
- 06 октября 2023 года
- скидка 10% подписчикам канала по промокоду Privacy360
- цены и описание семинара здесь
Это уже третий поток, отредактировали программу в сторону практики, добавили один академический час.
Уникальная возможность для слушателей курса. Открыли возможность приобрести (дополнительный) час индивидуальной консультации лектора по специальной цене, где лектор ответит на любые вопросы по обработке персональных данных в вашей компании.
Лектор: Денис Лукаш, управляющий партнер Lukash & Partners, DPO Infobip, ранее начальник отдела территориального управления Роскомнадзора, курировавшего защиту прав субъектов персональных данных.
Записаться.
- 06 октября 2023 года
- скидка 10% подписчикам канала по промокоду Privacy360
- цены и описание семинара здесь
Это уже третий поток, отредактировали программу в сторону практики, добавили один академический час.
Уникальная возможность для слушателей курса. Открыли возможность приобрести (дополнительный) час индивидуальной консультации лектора по специальной цене, где лектор ответит на любые вопросы по обработке персональных данных в вашей компании.
Лектор: Денис Лукаш, управляющий партнер Lukash & Partners, DPO Infobip, ранее начальник отдела территориального управления Роскомнадзора, курировавшего защиту прав субъектов персональных данных.
Записаться.
Адвокатские_запросы_и_персональные_данные.pdf
239.7 KB
Представляю вашему вниманию правовую позицию и письмо Роскомнадзора о предоставлении персональных данных по адвокатскому запросу.
Позиция широко касается как ИТ-сферы (регистраторов доменов, провайдеров хостинга, SaaS провайдеров и т.д.), так и организаций других отраслей экономики (строительно-жилищной, финансовой и т.д.).
Основная мысль:
"...необходимо получение согласия лица, не являющегося доверителем адвоката, на предоставление персональных данных по адвокатскому запросу".
Позиция широко касается как ИТ-сферы (регистраторов доменов, провайдеров хостинга, SaaS провайдеров и т.д.), так и организаций других отраслей экономики (строительно-жилищной, финансовой и т.д.).
Основная мысль:
"...необходимо получение согласия лица, не являющегося доверителем адвоката, на предоставление персональных данных по адвокатскому запросу".
КС РФ осуществил проверку конституционности п. 1 ст. 152 ГК РФ. Рассказываем, чем интересно соответствующее постановление👇
Что случилось?
Е. А. Попкова была привлечена к дисциплинарной ответственности в виде замечания. Работодателем было издано распоряжение о необходимости проведения с сотрудниками разъяснительной работы в связи с выявленным нарушением заявительницы.
В дальнейшем приказ о привлечении к дисциплинарной ответственности был признан незаконным и отменен в судебном порядке. Однако суд не признал распространенные сведения не соответствующими действительности, порочащими честь и достоинство.
Заявительница оспаривает конституционность п. 1 ст. 152 ГК РФ. По ее мнению, норма противоречит ч. 1 ст. 17, ч. 1 ст. 21, ч. 1 ст. 23, ч. 1 ст. 46 Конституции РФ, поскольку, “допуская оценку достоверности распространенной информации о наложении дисциплинарного взыскания без учета последующей отмены судом приказа об этом взыскании, нарушает право на защиту чести, достоинства и деловой репутации гражданина”.
Какими доводами мотивировал решение КС РФ?
1️⃣ В целях укрепления дисциплины труда в рабочем коллективе работодатель может информировать других работников, например, о недопустимости такого поведения, о мерах, которые могут быть применены к нарушителям.
2️⃣ Однако он обязан оценивать как минимум степень достоверности информации, вероятность отмены судом акта о привлечении к дисциплинарной ответственности, целесообразность распространения таких сведений и пр.
3️⃣ Публичное размещение такого документа или сведений о нем способно привлечь к этой информации повышенное внимание и в случае последующего признания порочащих сведений недостоверными может причинить больший вред чести, достоинству и деловой репутации работника.
4️⃣ При этом свойство достоверности соответствующая информация утрачивает с момента издания работодателем приказа о привлечении работника к дисциплинарной ответственности, что согласуется и с тем, что отмена приказа работодателя как незаконного подразумевает его незаконность с момента издания.
5️⃣ Не является достаточным для опровержения распространенных сведений одно лишь удаление такого приказа с мест его предшествующего размещения без сообщения причин.
6️⃣ В трудовых правоотношениях работник является слабой стороной, потому обязанность работодателя по принятию мер для восстановления чести, достоинства или деловой репутации возникает независимо от инициативы работника, но при условии предварительного с ним согласования.
7️⃣ Опровержение работодателем указанных сведений не исключает принятия иных мер, направленных на восстановление чести, достоинства и деловой репутации работника.
Какое решение вынес КС РФ?
▪️ П. 1 ст. 152 ГК РФ не противоречит Конституции РФ.
▪️ Судебные решения, которые были вынесены по делу заявительницы на основании этой нормы, подлежат пересмотру.
Что случилось?
Е. А. Попкова была привлечена к дисциплинарной ответственности в виде замечания. Работодателем было издано распоряжение о необходимости проведения с сотрудниками разъяснительной работы в связи с выявленным нарушением заявительницы.
В дальнейшем приказ о привлечении к дисциплинарной ответственности был признан незаконным и отменен в судебном порядке. Однако суд не признал распространенные сведения не соответствующими действительности, порочащими честь и достоинство.
Заявительница оспаривает конституционность п. 1 ст. 152 ГК РФ. По ее мнению, норма противоречит ч. 1 ст. 17, ч. 1 ст. 21, ч. 1 ст. 23, ч. 1 ст. 46 Конституции РФ, поскольку, “допуская оценку достоверности распространенной информации о наложении дисциплинарного взыскания без учета последующей отмены судом приказа об этом взыскании, нарушает право на защиту чести, достоинства и деловой репутации гражданина”.
Какими доводами мотивировал решение КС РФ?
1️⃣ В целях укрепления дисциплины труда в рабочем коллективе работодатель может информировать других работников, например, о недопустимости такого поведения, о мерах, которые могут быть применены к нарушителям.
2️⃣ Однако он обязан оценивать как минимум степень достоверности информации, вероятность отмены судом акта о привлечении к дисциплинарной ответственности, целесообразность распространения таких сведений и пр.
3️⃣ Публичное размещение такого документа или сведений о нем способно привлечь к этой информации повышенное внимание и в случае последующего признания порочащих сведений недостоверными может причинить больший вред чести, достоинству и деловой репутации работника.
4️⃣ При этом свойство достоверности соответствующая информация утрачивает с момента издания работодателем приказа о привлечении работника к дисциплинарной ответственности, что согласуется и с тем, что отмена приказа работодателя как незаконного подразумевает его незаконность с момента издания.
5️⃣ Не является достаточным для опровержения распространенных сведений одно лишь удаление такого приказа с мест его предшествующего размещения без сообщения причин.
6️⃣ В трудовых правоотношениях работник является слабой стороной, потому обязанность работодателя по принятию мер для восстановления чести, достоинства или деловой репутации возникает независимо от инициативы работника, но при условии предварительного с ним согласования.
7️⃣ Опровержение работодателем указанных сведений не исключает принятия иных мер, направленных на восстановление чести, достоинства и деловой репутации работника.
Какое решение вынес КС РФ?
▪️ П. 1 ст. 152 ГК РФ не противоречит Конституции РФ.
▪️ Судебные решения, которые были вынесены по делу заявительницы на основании этой нормы, подлежат пересмотру.
Вправе ли работодатель хранить копии документов работника в личном деле последнего?
Однозначной позиции среди надзорных органов нет:
➡️ Роструд полагает, что хранение возможно при условии получения согласия работника на обработку ПДн. Недавно мы публиковали письмо с соответствующей позицией.
➡️ Роскомнадзор, напротив, считает хранение копий документов работника работодателем избыточным по отношению к заявленным целям обработки ПДн (ч. 5 ст. 5 №152-ФЗ).
Судебная практика в большей степени разделяет второй подход:
➡️ В одном из дел указано, что сбор информации о серии и номере паспорта, месте рождения и пр. является избыточным, поскольку “для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность” (дело №А53-12557/2013).
➡️ Более того, хранение копий документов “нарушает права и свободы гражданина, снижает уровень прав и гарантий работника, противоречит федеральному законодательству” (дело №А53-13327/2013).
Несмотря на позицию Роскомнадзора, ряд экспертов по персональным данным видит возможным хранение копий документов при условии дополнительного обоснования (но и тут есть различные подходы). При этом обработку копий документов нужно учитывать в ЛНА и вовремя удалять в соответствии с актом.
Если Роскомнадзор усмотрит нарушение, работодателя привлекут к ответственности по ч. 1 ст. 13.11 КоАП РФ.
Однозначной позиции среди надзорных органов нет:
➡️ Роструд полагает, что хранение возможно при условии получения согласия работника на обработку ПДн. Недавно мы публиковали письмо с соответствующей позицией.
➡️ Роскомнадзор, напротив, считает хранение копий документов работника работодателем избыточным по отношению к заявленным целям обработки ПДн (ч. 5 ст. 5 №152-ФЗ).
Судебная практика в большей степени разделяет второй подход:
➡️ В одном из дел указано, что сбор информации о серии и номере паспорта, месте рождения и пр. является избыточным, поскольку “для идентификации личности при приеме на работу достаточно фамилии, имени и отчества, при условии предъявления лицом документа, удостоверяющего личность” (дело №А53-12557/2013).
➡️ Более того, хранение копий документов “нарушает права и свободы гражданина, снижает уровень прав и гарантий работника, противоречит федеральному законодательству” (дело №А53-13327/2013).
Несмотря на позицию Роскомнадзора, ряд экспертов по персональным данным видит возможным хранение копий документов при условии дополнительного обоснования (но и тут есть различные подходы). При этом обработку копий документов нужно учитывать в ЛНА и вовремя удалять в соответствии с актом.
Если Роскомнадзор усмотрит нарушение, работодателя привлекут к ответственности по ч. 1 ст. 13.11 КоАП РФ.
Завтра конференция ITSec по персональным данным с участием Роскомнадзора и Минцифры России.
Ю. Контемиров выступит с темой "Актуальные вопросы защиты прав субъектов персональных данных".
В конце панельная дискуссия с участием РКН и Минцифры.
РКН выступает в 13.10, Минцифры в 13.40, панельная дискуссия в 16.10.
P.S. Нужна регистрация.
Ю. Контемиров выступит с темой "Актуальные вопросы защиты прав субъектов персональных данных".
В конце панельная дискуссия с участием РКН и Минцифры.
РКН выступает в 13.10, Минцифры в 13.40, панельная дискуссия в 16.10.
P.S. Нужна регистрация.
www.itsec.ru
Защита персональных данных с учетом новых требований
Контроль и надзор: новые подходы к защите персональных данных в 2023-2024 году. Трансформация задач по защите персональных данных в новых условиях: DLP, DAG\DCAP, SIEM. Как соблюсти все требования 152-ФЗ и не получить штраф?
Где еще в ближайшее время выступит Роскомнадзор?
23 октября 2023 г. с 14.30 до 16.00 на конференции "Защита данных: сохранить всё"
Участники из госорганов:
- Виталий Лютиков, заместитель директора ФСТЭК России
- Иван Стрельцов, заместитель руководителя Главного управления криминалистики Следственного комитета РФ
- Владимир Бенгин, директор Департамента обеспечения кибербезопасности, Минцифры РФ
- Милош Вагнер, заместитель руководителя Роскомнадзора
А до этого в 12.30 приходите на круглый стол под модераторством Евгения Царева где поговорим о юридических аспектах защиты данных.
Участие для производственных компаний бесплатное, для ИТ/ ИБ компаний, консультантов и т.п. - 18 000 р.
23 октября 2023 г. с 14.30 до 16.00 на конференции "Защита данных: сохранить всё"
Участники из госорганов:
- Виталий Лютиков, заместитель директора ФСТЭК России
- Иван Стрельцов, заместитель руководителя Главного управления криминалистики Следственного комитета РФ
- Владимир Бенгин, директор Департамента обеспечения кибербезопасности, Минцифры РФ
- Милош Вагнер, заместитель руководителя Роскомнадзора
А до этого в 12.30 приходите на круглый стол под модераторством Евгения Царева где поговорим о юридических аспектах защиты данных.
Участие для производственных компаний бесплатное, для ИТ/ ИБ компаний, консультантов и т.п. - 18 000 р.
Опубликован проект приказа Минцифры, прекращающего действие приказа Минцифры от 29 июня 2021 №662.
Приказ №662 был издан во исполнение п. 24 ст. 14.1 №149-ФЗ и устанавливал максимальный размер платы, выплачиваемой банкам и иным организациям, осуществившим размещение биометрических ПДн в ЕБС. Эта сумма составляла до 50% использования системы с учетом НДС.
Однако ст. 14.1 №149-ФЗ утратила силу в конце декабря 2022 года в связи со вступлением в силу №572-ФЗ, не предусматривающем подобной нормы.
Проект принимаемого приказа направлен на приведение актов Минцифры в соответствие действующему законодательству.
Представляется, что новый подзаконный акт подобного содержания вместо приказа №622 введен не будет:
➡️Во-первых, в действующем регулировании норма о выплатах операторам ПДн, разместившим биометрию в ЕБС, отсутствует.
➡️Во-вторых, изменилась логика законодателя в отношении сбора биометрии. Теперь обработка биометрии становится все более централизованной и распространяемой на широкий круг субъектов, поэтому методы “поощрения” операторов ПДн за размещение данных в ЕБС становятся неактуальны.
Приказ №662 был издан во исполнение п. 24 ст. 14.1 №149-ФЗ и устанавливал максимальный размер платы, выплачиваемой банкам и иным организациям, осуществившим размещение биометрических ПДн в ЕБС. Эта сумма составляла до 50% использования системы с учетом НДС.
Однако ст. 14.1 №149-ФЗ утратила силу в конце декабря 2022 года в связи со вступлением в силу №572-ФЗ, не предусматривающем подобной нормы.
Проект принимаемого приказа направлен на приведение актов Минцифры в соответствие действующему законодательству.
Представляется, что новый подзаконный акт подобного содержания вместо приказа №622 введен не будет:
➡️Во-первых, в действующем регулировании норма о выплатах операторам ПДн, разместившим биометрию в ЕБС, отсутствует.
➡️Во-вторых, изменилась логика законодателя в отношении сбора биометрии. Теперь обработка биометрии становится все более централизованной и распространяемой на широкий круг субъектов, поэтому методы “поощрения” операторов ПДн за размещение данных в ЕБС становятся неактуальны.
ФАС оштрафовала Совкомбанк на 200 тыс. рублей за нарушение ст. 18 №38-ФЗ.
По данным пресс-службы Санкт-Петербургского УФАС, Совкомбанк оштрафован по ч. 1 ст. 14.3 КоАП РФ за фактическое принуждение клиентов к согласию на получение рекламной рассылки при оформлении банковской карты.
По замечанию ведомства, оформление карты на сайте банка невозможно без проставления "галочки" в графах: “даю согласие на обработку персональных данных” и “даю согласие на получение рекламной рассылки”.
Безальтернативность согласия нарушает положения ст. 18 №38-ФЗ.
Вместе с тем, это нарушает и положения №152-ФЗ:
➡️ Ч. 1 ст. 15 №152-ФЗ запрещает обработку ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи без предварительного согласия субъекта Пдн.
➡️ В силу ч. 1 ст. 9 №152-ФЗ согласие должно быть дано свободно, своей волей и в своем интересе.
В этой ситуации, очевидно, добровольности согласия быть не могло.
Роскомнадзор отмечал, что согласие на получение рекламных рассылок может быть составлено в любой форме. Однако оператору нужно принимать во внимание, что субъект может отозвать это согласие и в таком случае будет необходимо принять меры по прекращению обработки ПДн.
О форме согласия на получения рекламных рассылок мы уже писали в отдельном посте.
По данным пресс-службы Санкт-Петербургского УФАС, Совкомбанк оштрафован по ч. 1 ст. 14.3 КоАП РФ за фактическое принуждение клиентов к согласию на получение рекламной рассылки при оформлении банковской карты.
По замечанию ведомства, оформление карты на сайте банка невозможно без проставления "галочки" в графах: “даю согласие на обработку персональных данных” и “даю согласие на получение рекламной рассылки”.
Безальтернативность согласия нарушает положения ст. 18 №38-ФЗ.
Вместе с тем, это нарушает и положения №152-ФЗ:
➡️ Ч. 1 ст. 15 №152-ФЗ запрещает обработку ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи без предварительного согласия субъекта Пдн.
➡️ В силу ч. 1 ст. 9 №152-ФЗ согласие должно быть дано свободно, своей волей и в своем интересе.
В этой ситуации, очевидно, добровольности согласия быть не могло.
Роскомнадзор отмечал, что согласие на получение рекламных рассылок может быть составлено в любой форме. Однако оператору нужно принимать во внимание, что субъект может отозвать это согласие и в таком случае будет необходимо принять меры по прекращению обработки ПДн.
О форме согласия на получения рекламных рассылок мы уже писали в отдельном посте.