FAQ: ответы на вопросы к вебинару «Ответственность за нарушение 152-ФЗ»
25 декабря 2024
Если оператор не знает, была утечка или нет (например, информация от конкурентов), то в любом случае подавать уведомление в Роскомнадзор?
Согласно пункту 3.1. статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор обязан уведомить Роскомнадзор о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее – инцидент), с момента выявления такого инцидента, как самим оператором, так и Роскомнадзором или иным заинтересованным лицом. Таким образом, оператор обязан уведомить Роскомнадзор об инциденте, даже если информация о нем была получена от третьих лиц. Также оператор обязан инициировать расследование инцидента по предполагаемому факту утечки, а после сообщить в Роскомнадзор о результатах проведения внутреннего расследования, в ходе которого факт происхождения инцидента может быть опровергнут.
Отдел кадров — это оператор персональных данных?
В соответствии с определением, представленным в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных (далее – ПДн), а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Исходя из определения, отдел кадров, функционирующий внутри организации, не является оператором, так как не является самостоятельным юридическим лицом, организующим обработку ПДн.
В случае, если организация передала кадровый процесс на аутсорсинг, тогда кадровая компания, как самостоятельное юридические лицо, будет выполнять обработку ПДн по поручению, оператором при этом будет сама организация, поручившая обработку.
Исходя из определения, отдел кадров, функционирующий внутри организации, не является оператором, так как не является самостоятельным юридическим лицом, организующим обработку ПДн.
В случае, если организация передала кадровый процесс на аутсорсинг, тогда кадровая компания, как самостоятельное юридические лицо, будет выполнять обработку ПДн по поручению, оператором при этом будет сама организация, поручившая обработку.
Фонд оплаты труда (далее – ФОТ) входит в ежегодные расходы на мероприятия по обеспечению информационной безопасности (далее – ИБ), в качестве смягчающих обстоятельств при утечке?
Точного ответа, является ли ФОТ расходом на мероприятия по обеспечению ИБ, нет. Ввиду новизны изменений, практика ещё не сложилась. Необходимо отслеживать позицию Роскомнадзора в данном вопросе, если она будет представлена.
Потенциально ФОТ возможен к учету в расходах в том случае, если возможно документально подтвердить, что ФОТ является именно расходом на мероприятия по обеспечению ИБ, через положение об отделе, должностные инструкции работников отдела.
Потенциально ФОТ возможен к учету в расходах в том случае, если возможно документально подтвердить, что ФОТ является именно расходом на мероприятия по обеспечению ИБ, через положение об отделе, должностные инструкции работников отдела.
Нужно ли брать с работников согласие на обработку его персональных данных, которым выпустили электронную подпись и выгрузили сертификаты на рабочие компьютеры?
Необходимо рассмотреть две ситуации, когда:
Второй случай предполагает, что УЦ принадлежит организации работодателя. В данном случае согласно пункту 5 статьи 88 ТК необходимо осуществлять передачу ПДн в соответствии с локальным нормативным актом (например «Положение о работе с ПДн сотрудников»), с которым работник должен быть ознакомлен под подпись.
- Работодатель выпускает электронную подпись (далее – ЭП) сотруднику через Удостоверяющий центр (далее – УЦ) – отдельную организацию;
- Работодатель выпускает ЭП сотрудники через собственный УЦ.
Второй случай предполагает, что УЦ принадлежит организации работодателя. В данном случае согласно пункту 5 статьи 88 ТК необходимо осуществлять передачу ПДн в соответствии с локальным нормативным актом (например «Положение о работе с ПДн сотрудников»), с которым работник должен быть ознакомлен под подпись.
Кто в организации должен быть назначен на должность ответственного за организацию обработки персональных данных. И в чём отличие функций ответственного за организацию обработки персональных данных и ответственного за защиту персональных данных?
В соответствии со статьей 22.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), лицо, ответственное за организацию обработки персональных данных (далее – ПДн), в частности, обязано:
Лицом, ответственным за организацию обработки ПДн, зачастую назначается специалист отдела кадров, так как в его обязанности входит донесение требований законодательства и внутренних актов по обработке и защите ПДн до сотрудников. На наш взгляд, такой подход не соответствует логике законодательства, так как в части 2 статьи 22.1 152-ФЗ говорится о том, что ответственный работник является лицом, подотчетным исключительно руководителю предприятия. Чтобы избежать нарушений в плане субординации в компании, рекомендуется назначать ответственным за организацию обработки ПДн, сотрудника, являющегося одним из руководителей, а не рядовым работником. На наш взгляд, ответственным за организацию обработки ПДн следует назначить одного из заместителей генерального директора, имеющего право прекратить обработку ПДн в случае обнаружения нарушений (как правило, таких полномочий у обычных руководителей нет).
Частью 14 Постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» установлено требование о назначении должностного лица (работника), ответственного за обеспечение безопасности ПДн в информационной системе. Как видно из требования, необходимость в этом лице возникает при сочетании двух факторов:
На практике, лица, ответственные за организацию обработки персональных данных и за обеспечение безопасности ПДн, отвечают за разные процессы, их фактический функционал различен. В обязанности лица, ответственного за организацию обработки ПДн, входит контроль за соблюдением правил и принципов обработки ПДн согласно законодательству, взаимодействие с субъектами ПДн (физическими лицами) и Роскомнадзором. Ответственный за обеспечение безопасности ПДн – это лицо, отвечающее за организацию и состояние процесса обработки ПДн в информационных системах ПДн.
- осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
- доводить до сведения работников оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
- организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Лицом, ответственным за организацию обработки ПДн, зачастую назначается специалист отдела кадров, так как в его обязанности входит донесение требований законодательства и внутренних актов по обработке и защите ПДн до сотрудников. На наш взгляд, такой подход не соответствует логике законодательства, так как в части 2 статьи 22.1 152-ФЗ говорится о том, что ответственный работник является лицом, подотчетным исключительно руководителю предприятия. Чтобы избежать нарушений в плане субординации в компании, рекомендуется назначать ответственным за организацию обработки ПДн, сотрудника, являющегося одним из руководителей, а не рядовым работником. На наш взгляд, ответственным за организацию обработки ПДн следует назначить одного из заместителей генерального директора, имеющего право прекратить обработку ПДн в случае обнаружения нарушений (как правило, таких полномочий у обычных руководителей нет).
Частью 14 Постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» установлено требование о назначении должностного лица (работника), ответственного за обеспечение безопасности ПДн в информационной системе. Как видно из требования, необходимость в этом лице возникает при сочетании двух факторов:
- обработка ПДн в информационных системах;
- необходимость обеспечения 3-го (и выше) уровня защищенности ПДн при их обработке в информационных системах.
На практике, лица, ответственные за организацию обработки персональных данных и за обеспечение безопасности ПДн, отвечают за разные процессы, их фактический функционал различен. В обязанности лица, ответственного за организацию обработки ПДн, входит контроль за соблюдением правил и принципов обработки ПДн согласно законодательству, взаимодействие с субъектами ПДн (физическими лицами) и Роскомнадзором. Ответственный за обеспечение безопасности ПДн – это лицо, отвечающее за организацию и состояние процесса обработки ПДн в информационных системах ПДн.
Какие процедуры необходимо выполнять компании, предоставляющей сервис по модели «SaaS», если клиенты могут передать персональные данные в составе своих клиентских данных?
Вне зависимости от модели предоставляемых провайдером SaaS услуг, в процессе предоставления сервиса SaaS, провайдеру могут стать доступны персональные данные (далее – ПДн), оператором которых является его клиент. Обработку таких ПДн провайдер не осуществляет, однако на него возлагается обязанность обеспечить конфиденциальность ПДн, согласно статье 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Ответственность за информационную безопасность при использовании SaaS зависит от модели предоставляемых услуг. В общем случае модель SaaS – это предоставление сервиса, услуги или приложения, поэтому обязанности по защите ИТ-инфраструктуры возлагаются как на оператора, так и на провайдера. Защита от физического сервера до конкретного приложения находится в зоне ответственности провайдера. Защита доступа к данным в приложении лежит на операторе.
Для защиты ПДн, хранимых клиентами, SaaS провайдер может предпринимать ряд мер и процедур, таких как:
Конкретные взаимные обязательства SaaS провайдера и его клиента в области обеспечения безопасности должны быть зафиксированы в договоре. Оператор ПДн имеет полное право отказаться от услуг, если SaaS провайдер не готов подписывать договор с требованиями по информационной безопасности в отношении провайдера, а также не готов обеспечивать защищенность данных.
В целях повышения лояльности клиентов к предоставляемому сервису и получения конкурентных преимуществ, провайдер может аттестовать свою инфраструктуру на соответствие требованиям информационной безопасности. Успешное прохождение аттестационных испытаний является подтверждением выполнения заданного уровня защищенности ПДн в информационной системе ПДн.
Ответственность за информационную безопасность при использовании SaaS зависит от модели предоставляемых услуг. В общем случае модель SaaS – это предоставление сервиса, услуги или приложения, поэтому обязанности по защите ИТ-инфраструктуры возлагаются как на оператора, так и на провайдера. Защита от физического сервера до конкретного приложения находится в зоне ответственности провайдера. Защита доступа к данным в приложении лежит на операторе.
Для защиты ПДн, хранимых клиентами, SaaS провайдер может предпринимать ряд мер и процедур, таких как:
- регулярное резервное копирование данных;
- шифрование данных и каналов связи;
- ограниченный доступ к данным (в том числе физический);
- настройка межсетевых экранов, программного обеспечения;
- регулярные аудиты безопасности;
- а также другие меры, предусмотренные Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Конкретные взаимные обязательства SaaS провайдера и его клиента в области обеспечения безопасности должны быть зафиксированы в договоре. Оператор ПДн имеет полное право отказаться от услуг, если SaaS провайдер не готов подписывать договор с требованиями по информационной безопасности в отношении провайдера, а также не готов обеспечивать защищенность данных.
В целях повышения лояльности клиентов к предоставляемому сервису и получения конкурентных преимуществ, провайдер может аттестовать свою инфраструктуру на соответствие требованиям информационной безопасности. Успешное прохождение аттестационных испытаний является подтверждением выполнения заданного уровня защищенности ПДн в информационной системе ПДн.
Правомерна ли передача персональных данных внутри корпоративной сети по электронной почте (через сервер почты Exchange Server)? Или он должен осуществляться по шифрованному каналу связи?
В соответствии с частью1 статьи 19 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» оператор персональных данных (далее – ПДн) при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
В этом случае важно понять, осуществляется ли передача ПДн за пределы контролируемой зоны. В случае, если есть выход линий связи за пределы контролируемой зоны, например, передача осуществляется между несколькими территориально распределенными офисами, оператор ПДн при передаче (подготовке передачи) ПДн по электронной почте обязан реализовать меру безопасности ПДн ЗИС.3 «Обеспечение защиты ПДн от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи» в соответствии с приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Реализация базовой меры ЗИС.3 обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применением сертифицированных ФСБ России средств криптографической защиты информации (далее – СКЗИ), в соответствии с приказом ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
В случае, если передача ПДн осуществляется в пределах определенной в документах организации контролируемой зоны, например, помещения, этажа или здания, мера ЗИС.3 не применяется.
Кроме того, важно отметить, что передача обезличенных ПДн или ПДн, разрешенных субъектом ПДн к распространению, не требует применения СКЗИ в связи с тем, что в первом случае конфиденциальность ПДн обеспечивается обезличиванием, во втором – в связи с наличием согласия субъекта ПДн.
С учетом вышеизложенного, передача (подготовка передачи) необезличенных ПДн и ПДн, не разрешенных субъектом для распространения, по электронной почте за пределы контролируемой зоны без использования сертифицированных ФСБ России СКЗИ не обеспечивает защиту ПДн от раскрытия, модификации и навязывания (ввода ложной информации). Таким образом, такая передача (подготовка к передаче) ПДн по электронной почте без использования сертифицированных ФСБ России СКЗИ, может привести к разглашению ПДн, то есть являться нарушением требований к защите ПДн.
Таким образом, передача (подготовка к передаче) ПДн по электронной почте без использования сертифицированных ФСБ России СКЗИ, может привести к разглашению ПДн, то есть является нарушением требований к защите ПДн.
В этом случае важно понять, осуществляется ли передача ПДн за пределы контролируемой зоны. В случае, если есть выход линий связи за пределы контролируемой зоны, например, передача осуществляется между несколькими территориально распределенными офисами, оператор ПДн при передаче (подготовке передачи) ПДн по электронной почте обязан реализовать меру безопасности ПДн ЗИС.3 «Обеспечение защиты ПДн от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи» в соответствии с приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Реализация базовой меры ЗИС.3 обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применением сертифицированных ФСБ России средств криптографической защиты информации (далее – СКЗИ), в соответствии с приказом ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
В случае, если передача ПДн осуществляется в пределах определенной в документах организации контролируемой зоны, например, помещения, этажа или здания, мера ЗИС.3 не применяется.
Кроме того, важно отметить, что передача обезличенных ПДн или ПДн, разрешенных субъектом ПДн к распространению, не требует применения СКЗИ в связи с тем, что в первом случае конфиденциальность ПДн обеспечивается обезличиванием, во втором – в связи с наличием согласия субъекта ПДн.
С учетом вышеизложенного, передача (подготовка передачи) необезличенных ПДн и ПДн, не разрешенных субъектом для распространения, по электронной почте за пределы контролируемой зоны без использования сертифицированных ФСБ России СКЗИ не обеспечивает защиту ПДн от раскрытия, модификации и навязывания (ввода ложной информации). Таким образом, такая передача (подготовка к передаче) ПДн по электронной почте без использования сертифицированных ФСБ России СКЗИ, может привести к разглашению ПДн, то есть являться нарушением требований к защите ПДн.
Таким образом, передача (подготовка к передаче) ПДн по электронной почте без использования сертифицированных ФСБ России СКЗИ, может привести к разглашению ПДн, то есть является нарушением требований к защите ПДн.
Информационная система персональных данных, состоящая из нескольких программ, основная – самописная. Как можно обосновать актуальность 3 типа угроз?
В соответствии с определениями, представленными в части 6 Постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП № 1119):
Для обоснования необходимо разработать модель угроз безопасности информации, в которой рассмотреть актуальность соответствующих угроз и нарушителей, а также применяемые меры защиты информации, и провести оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В случае выявления, что такие нарушители не представляют для ИС актуальными, а также определения вреда низкой степени, актуальными могут считаться угрозы 3-го типа.
Помимо прямых угроз, содержащихся в системном или прикладном ПО ИС, существуют другие угрозы, такие как вредоносное ПО, уязвимости в ПО и человеческий фактор. Поэтому альтернативой может являться проведение сертификационных испытаний ПО ИС на отсутствие НДВ. Наличие такого сертификата соответствия ПО является подтверждением отсутствия НДВ.
- угрозы 1-го типа актуальны для информационной системы (далее – ИС), если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей (далее – НДВ) в системном программном обеспечении (далее – ПО), используемом в ИС.
- угрозы 2-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием НДВ в прикладном ПО, используемом в ИС.
- угрозы 3-го типа актуальны для ИС, если для нее актуальны угрозы, не связанные с наличием НДВ в системном и прикладном ПО, используемом в ИС.
Для обоснования необходимо разработать модель угроз безопасности информации, в которой рассмотреть актуальность соответствующих угроз и нарушителей, а также применяемые меры защиты информации, и провести оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В случае выявления, что такие нарушители не представляют для ИС актуальными, а также определения вреда низкой степени, актуальными могут считаться угрозы 3-го типа.
Помимо прямых угроз, содержащихся в системном или прикладном ПО ИС, существуют другие угрозы, такие как вредоносное ПО, уязвимости в ПО и человеческий фактор. Поэтому альтернативой может являться проведение сертификационных испытаний ПО ИС на отсутствие НДВ. Наличие такого сертификата соответствия ПО является подтверждением отсутствия НДВ.
Какие инструменты есть на рынке персональных данных и покрывают ли эти инструменты все кейсы взаимодействия с данными?
Ответ на вопрос зависит от желаемого функционала инструментов. На рынке представлены инструменты аналитики данных, которые учитывают требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) и подзаконных актов, а также полностью или частично автоматизированной разработки организационно-распорядительной документации по организации обработки персональных данных. О том, какие требования 152-ФЗ реализуются с помощью конкретного решения, Вы можете уточнить непосредственно у его разработчика.
Является ли отправка клиенту, в соответствии с заключенным договором, его персональных данных на электронную почту с иностранным доменом (например gmail) – трансграничной передачей?
В соответствии с определением из пункта 11 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», трансграничная передача персональных данных (далее – ПДн) - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Ключевым критерием для определения трансграничной передачи ПДн является получатель, а не отправитель. Если ПДн передаются российским юридическим лицом иностранному физическому или юридическому лицу, или органу власти иностранного государства, то это, безусловно, трансграничная передача ПДн. Местонахождение отправителя (российского юридического лица в данном случае) не имеет значения для квалификации передачи как трансграничной. Если же ПДн передаются российским юридическим лицом другому российскому физическому или юридическому лицу, то это не будет являться трансграничной передачей ПДн.
Является ли использование Google Analytics – трансграничной передачей? Есть ли разъяснения Роскомнадзора по этому вопросу.
Официальные разъяснения от Роскомнадзора относительно использования конкретных сервисов, таких как Google Analytics, пока отсутствуют. Однако на вебинаре «Защита персональных данных» 27.07.2023 и в Письме Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 26.06.2024 г. № 08-242780 «О результатах рассмотрения обращения» представители Роскомнадзора разъяснили, что использование метрических иностранных программ, сбор и передача базовых сведений с помощью данных средств будет являться трансграничной передачей персональных данных (далее – ПДн). В Приказе Роструда от 30.06.2016 № 246 «Об утверждении Положения о системе электронных сервисов «Онлайнинспекция.рф» и регламентов эксплуатации сервисов» вводится определение метрической программы – это программа для сбора сведений об использовании сайта, таких как частота посещения сайта пользователями, посещенные страницы и сайты, на которых были пользователи до перехода на данный сайт. Google Analytics– бесплатный сервис, предоставляемый Google для создания детальной статистики посетителей веб-сайтов по умолчанию, собирает следующую информацию:
- число пользователей;
- возраст, пол пользователя;
- статистику сеансов;
- географические параметры (такие как Город, Регион) определяются приблизительно. Для этого используется IP-адрес трафика;
- данные о браузерах и устройствах.
Если организация один раз в месяц передает базу 1С сторонней организации для контроля финансово-хозяйственной деятельности, а в базе содержатся персональные данные сотрудников (иных и специальных категорий). Как лучше организовать такую передачу?
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
(далее – 152-ФЗ) предусматривает два варианта передачи оператором персональных данных (далее – ПДн) другому лицу:
пункту 3 статьи 6 152-ФЗ операторам необходимо разработать или актуализировать поручение на обработку ПДн с указанием следующих сведений:
Если передача осуществляется без поручения, например, по договору для оказания каких-либо услуг оператору, кроме обработки ПДн, ответственность распределяется между оператором и получателем в соответствии с конкретными действиями, произведенными каждой из сторон. Примером такой передачи может быть передача ПДн сотрудников в компанию, занимающуюся организацией командировок.
Иными словами, если передача осуществляется на законных основаниях, и для передачи ПДн от субъекта ПДн получены все необходимые согласия на обработку его ПДн (в том числе на обработку ПДн, разрешенных субъектом ПДн для распространения) ответственность за утечку ПДн после их передачи будет нести получатель.
(далее – 152-ФЗ) предусматривает два варианта передачи оператором персональных данных (далее – ПДн) другому лицу:
- передача ПДн по договору поручения;
- передача ПДн без договора поручения.
пункту 3 статьи 6 152-ФЗ операторам необходимо разработать или актуализировать поручение на обработку ПДн с указанием следующих сведений:
- перечень обрабатываемых ПДн;
- перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн по поручению оператора ПДн;
- цели обработки ПДн;
- требования, предусмотренные статьей 19 152-ФЗ, к защите обрабатываемых ПДн;
- обязанность лица, которому поручается обработка ПДн, соблюдать конфиденциальность информации и требования, предусмотренные частью 5 статьи 18 и статьи 18.1 152-ФЗ, а также предоставлять информацию, подтверждающую выполнение этих требований;
- требование об уведомлении оператора ПДн о неправомерной обработке ПДн.
- в качестве действия с ПДн – передачу;
- реквизитов получателя.
Если передача осуществляется без поручения, например, по договору для оказания каких-либо услуг оператору, кроме обработки ПДн, ответственность распределяется между оператором и получателем в соответствии с конкретными действиями, произведенными каждой из сторон. Примером такой передачи может быть передача ПДн сотрудников в компанию, занимающуюся организацией командировок.
Иными словами, если передача осуществляется на законных основаниях, и для передачи ПДн от субъекта ПДн получены все необходимые согласия на обработку его ПДн (в том числе на обработку ПДн, разрешенных субъектом ПДн для распространения) ответственность за утечку ПДн после их передачи будет нести получатель.
Поясните понятие публичного дампа и чем оно введено
Указанный вопрос был задан в процессе разбора кейса о мероприятиях, осуществляемых после возникновения инцидента (утечки персональных данных). В контексте кейса под «публичным дампом» понималась «утекшая» база данных персональных данных.
Нормативные правовые документы Российской Федерации такого понятия, как «публичный дамп» не содержат.
Нормативные правовые документы Российской Федерации такого понятия, как «публичный дамп» не содержат.
Нужно ли брать отдельное согласие на рассылку рекламных материалов или можем в одном согласии все учесть. Где это зарегулировано?
Для ответа на вопрос необходимо рассмотреть два случая:
При этом, согласно статье 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», согласие должно быть конкретным, предметным и информированным. Исходя из этого тезиса, если в согласие на обработку ПДн внести согласие на рассылку рекламных материалов, то согласие потеряет свойство предметности и конкретики.
Отдельно стоит заметить, что помимо правонарушений в области ПДн, суд может увидеть здесь и нарушение в сфере рекламы, так как субъекту ПДн не предоставляется возможность изначально отказаться от рекламной рассылки, что свидетельствует о ее навязывании .
Пример такого судебной практики наблюдается в решении Арбитражного суда Ростовской области от 11.10.2022 дело № А53-27234/22.
Совсем иная ситуация будет происходить во втором случае, когда цель обработки ПДн – рассылка рекламных материалов. В этом случае в тексте согласия необходимо указать, что цель обработки ПДн – именно получение рекламно-информационной рассылки.
- Цель обработки ПДн никак не связана с рассылкой рекламных материалов;
- Цель обработки ПДн – рассылка рекламных материалов.
При этом, согласно статье 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», согласие должно быть конкретным, предметным и информированным. Исходя из этого тезиса, если в согласие на обработку ПДн внести согласие на рассылку рекламных материалов, то согласие потеряет свойство предметности и конкретики.
Отдельно стоит заметить, что помимо правонарушений в области ПДн, суд может увидеть здесь и нарушение в сфере рекламы, так как субъекту ПДн не предоставляется возможность изначально отказаться от рекламной рассылки, что свидетельствует о ее навязывании .
Пример такого судебной практики наблюдается в решении Арбитражного суда Ростовской области от 11.10.2022 дело № А53-27234/22.
Совсем иная ситуация будет происходить во втором случае, когда цель обработки ПДн – рассылка рекламных материалов. В этом случае в тексте согласия необходимо указать, что цель обработки ПДн – именно получение рекламно-информационной рассылки.
Если по корпоративной почте передаются персональные данные, то является ли электронная почта (корпоративная почта) в таком случае информационной системой персональных данных?
Практика Роскомнадзора на этот счет неоднозначна. Для ответа на вопрос обратимся к определению информационной системы персональных данных (далее – ИСПДн). Согласно ч. 10 ст.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» ИСПДн – это совокупность содержащихся в базах данных персональных данных (далее – ПДн) и обеспечивающих их обработку информационных технологий и технических средств. Почтовый сервис сам по себе не является ИСПДн. При этом часто корпоративная электронная почта связана с доменной учетной записью конкретного сотрудника организации, которая содержит в себе ПДн. Домен в этом случае относится к ИСПДн.
В ситуации, когда по корпоративной почте передаются ПДн, сервер электронной почты является каналом передачи ПДн и может быть частью другой ИСПДн, данные из которой передаются посредством почты.
Таким образом, если в электронной почте содержатся персональные данные как в составе учетных записей пользователей, корпоративную электронную почту можно отнести к ИСПДн.
В ситуации, когда по корпоративной почте передаются ПДн, сервер электронной почты является каналом передачи ПДн и может быть частью другой ИСПДн, данные из которой передаются посредством почты.
Таким образом, если в электронной почте содержатся персональные данные как в составе учетных записей пользователей, корпоративную электронную почту можно отнести к ИСПДн.
Почему повторной утечка считается только в течение года, ведь в 4.6 Кодекса об административных нарушениях написано про «подвергнутым к административному наказанию»?
Действительно, автор прав и мы согласны с позицией. Срок для признания утечки повторной следует из прямой цитаты принятого Федерального закона от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», где указано наложение административного штрафа в проценте от выручки за предыдущий календарный год за совершение административного нарушения «лицом, подвергнутым административному наказанию». Согласно статье 4.6 «Кодекса Российской Федерации об административных нарушениях» от 30.12.2001 № 195-ФЗ сроком, в течение которого лицо считается подвергнутым административному наказанию, является год со дня окончания исполнения постановления о назначении административного наказания.
Таким образом, если повторная утечка произошла в течение года, то лицо еще не считается подвергнутым административному наказанию. В случае, если повторная утечка произошла более чем через год после первой, то лицо уже является подвергнутым административному наказанию.
Таким образом, если повторная утечка произошла в течение года, то лицо еще не считается подвергнутым административному наказанию. В случае, если повторная утечка произошла более чем через год после первой, то лицо уже является подвергнутым административному наказанию.
Если на сайте выложены фото с Фамилией Именем Отчеством наших работников, – какое нужно взять с работников согласие?
Обработка персональных данных (далее – ПДн) должна проводиться с согласия субъекта ПДн с соблюдением требований, предусмотренных частью 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), которая содержит перечень сведений, которые должны быть в таком согласии.
Кроме того, если сайт, на котором выложены фотографии сотрудников, является общедоступным, необходимо получить согласие на обработку ПДн, разрешенных субъектом ПДн для распространения. Требования к такому согласию содержатся в статье 10.1 152-ФЗ.
Кроме того, если сайт, на котором выложены фотографии сотрудников, является общедоступным, необходимо получить согласие на обработку ПДн, разрешенных субъектом ПДн для распространения. Требования к такому согласию содержатся в статье 10.1 152-ФЗ.
Если гражданин пришел в организацию (например, в поликлинику или банк) и перед приемом его просят заполнить согласие на обработку персональных данных. Гражданин отказался подписывать согласие. На этом основании организация может отказать в приёме или нет?
Многое зависит от того, в какую именно организацию и с какой целью обратился гражданин. В общем случае – отказ субъекта от подписания согласия на обработку персональных данных (далее – ПДн) не может стать причиной отказа в оказании услуг.
Однако, если в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» предоставление ПДн или получение оператором согласия на обработку ПДн являются обязательными, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить ему ПДн и подписать согласие на их обработку. В таком случае отказ субъекта ПДн может стать причиной отказа в предоставлении услуги такому субъекту ПДн.
Также стоит отметить положения статьи 16 Федерального закона от 07.02.1992 № 2300‑1 «О защите прав потребителей», в соответствии с которой продавец (тот же оператор) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить ПДн. За исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.
Получается, что субъект ПДн не может отказаться предоставить, к примеру, адрес проживания и номер телефона, заключая договор доставки. Но имеет полное право отказаться от предоставления избыточных ПДн (номера ИНН, фотографии и т.п.), поскольку эти данные не требуются для исполнения такого договора.
Однако, если в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» предоставление ПДн или получение оператором согласия на обработку ПДн являются обязательными, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить ему ПДн и подписать согласие на их обработку. В таком случае отказ субъекта ПДн может стать причиной отказа в предоставлении услуги такому субъекту ПДн.
Также стоит отметить положения статьи 16 Федерального закона от 07.02.1992 № 2300‑1 «О защите прав потребителей», в соответствии с которой продавец (тот же оператор) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить ПДн. За исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.
Получается, что субъект ПДн не может отказаться предоставить, к примеру, адрес проживания и номер телефона, заключая договор доставки. Но имеет полное право отказаться от предоставления избыточных ПДн (номера ИНН, фотографии и т.п.), поскольку эти данные не требуются для исполнения такого договора.
Если сотрудник загружает по собственной воле свою фотографию на корпоративную платформу, данная платформа уже будет являться информационной системой персональных данных, обрабатывающей биометрические персональные данные?
В соответствии с ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Фотография, размещенная сотрудником на корпоративной платформе, не используется оператором для установления личности этого сотрудника. Таким образом, платформа не будет являться информационной системой персональных данных, обрабатывающей биометрические персональные данные.
Если работодатель осуществляет видеофиксацию работ на объекте, требуется ли брать у работников соответствующее согласие на обработку персональных данных?
Работодатель имеет право использовать в целях контроля за безопасностью производства работ приборы, устройства, оборудование и (или) комплексы (системы) приборов, устройств, оборудования, обеспечивающих дистанционную видео-, аудио- или иную фиксацию процессов производства работ, обеспечивать хранение полученной информации (статья 214.2 Трудового кодекса Российской Федерации). Таким образом, установка камер – законное право работодателя. Но чтобы его реализовать нужно соблюсти ряд условий, в том числе заранее предупредить посетителей о возможной видеосъемке (сделать вывеску, что ведется видеонаблюдение), а также уведомить работников об изменении условий трудового договора в связи с изменением условий труда (введение видеонаблюдения) под подпись. Получать согласие работников на обработку персональных данных (далее – ПДн) при этом не требуется. Также важно закрепить цели видеонаблюдения в локальных нормативных актах организации.
Является ли неправомерной передачей персональных данных предоставление информации, включая персональные данные для проведения ежегодного бухгалтерского аудита Аудиторской компании по договору?
Ответ на данный вопрос зависит от того, выполнены ли оператором требования законодательства Российской Федерации, регламентирующего данный вопрос. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) предусматривает два варианта передачи оператором персональных данных (далее – ПДн) другому лицу:
пункту 3 статьи 6 152-ФЗ операторам необходимо разработать или актуализировать поручение на обработку ПДн с указанием следующих сведений:
Таким образом, если передача ПДн осуществляется на законных основаниях, и для передачи ПДн получены все необходимые согласия от субъекта ПДн на обработку (в том числе на обработку ПДн, разрешенных субъектом ПДн для распространения) такая передача ПДн будет являться правомерной.
- передача ПДн по договору поручения;
- передача ПДн без договора поручения.
пункту 3 статьи 6 152-ФЗ операторам необходимо разработать или актуализировать поручение на обработку ПДн с указанием следующих сведений:
- перечень обрабатываемых ПДн;
- перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн по поручению оператора ПДн;
- цели обработки ПДн;
- требования, предусмотренные статьей 19 152-ФЗ, к защите обрабатываемых ПДн;
- обязанность лица, которому поручается обработка ПДн, соблюдать конфиденциальность информации и требования, предусмотренные частью 5 статьи 18 и статьи 18.1 152-ФЗ, а также предоставлять информацию, подтверждающую выполнение этих требований;
- требование об уведомлении оператора ПДн о неправомерной обработке ПДн.
- в качестве действия с ПДн – передачу;
- реквизитов получателя.
Таким образом, если передача ПДн осуществляется на законных основаниях, и для передачи ПДн получены все необходимые согласия от субъекта ПДн на обработку (в том числе на обработку ПДн, разрешенных субъектом ПДн для распространения) такая передача ПДн будет являться правомерной.
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы