Новости

Теги:
  • 17.02.2023 В 2023 году планируется усиление ответственности за нарушения в сфере обработки персональных данных

    В прошлом году произошло значительное увеличение количества кибератак на российские компании, что привело к большому количеству утечек персональных данных. В 2022 году данные 75% россиян оказались в открытом доступе в интернете из-за утечек, в сети оказались личные данные примерно 100 миллионов человек.

    Благодаря изменениям в 152-ФЗ «О персональных данных», вступивших в силу в Сентябре 2022 года, компании теперь обязаны уведомлять регулятора об утечках. И до конца 2022 года российские компании направили в Роскомнадзор порядка 100 уведомлений об утечках персональных данных.

    В этом году уже стало известно об утечках в таких крупных компаниях, как Спортмастер, Ситимобил, Газпромбанк Инвестиции, Здравсити.

    Для защиты нравственности, здоровья, прав и законных интересов граждан РФ, правительство и президент предполагают принять ряд мер по усилению ответственности за нарушения в сфере обработки персональных данных, направленных на борьбу с утечками, а также неправомерной трансграничной передачей персональных данных.
    Владимир Путин поручил кабинету министров до 1 Июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных. Соответствующий законопроект готовит Минцифры.

    Кабинет министров поддержал идею с введением уголовной ответственности за незаконный сбор, хранение и передачу персональных данных.
    Опубликовано постановление Правительства РФ об утверждении правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных.
    Мораторий на проверки бизнеса не распространяется на утечки персональных данных, и Роскомнадзор проводил и проводит проверки в компаниях, где была допущена утечка.
    Повышение ответственности за утечки персональных данных направлено на смещение акцента в выполнении требований законодательства с формальных мер на реальную защиту конфиденциальной информации, к которой относятся персональные данные.

    Теги: изменения

  • 13.07.2022 Крупнейшая реформа законодательства о персональных данных

    6 Июля 2022 года Государственная Дума РФ приняла законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

    Это одни из самых крупных единоразовых изменений в законодательство о персональных данных за все время существования 152-ФЗ. Ниже представлены основные положения этого законопроекта.
    Добавляется принцип экстерриториальности, теперь 152-ФЗ распространяется на действия с персональными данными граждан РФ, даже если они осуществляются зарубежными операторами.
    Вместе с Федеральным законом от 01.05.2022 № 135-ФЗ и Федеральным законом от 28.05.2022 № 145-ФЗ вводится запрет на необоснованный сбор ПДн потребителей, включение в договоры условий, навязывающие дополнительные товары и услуги, а также административная ответственность за эти действия. Кроме того, добавляется запрет на включение в договор положений, ограничивающих права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних.

    Теги: изменения регуляторы

  • 18.05.2022 До конца года в России могут быть введены оборотные штрафы за утечку персональных данных

    Штрафы за утечку персональных данных могут ввести до конца года. В настоящий момент предлагаемый размер штрафа составляет 1% от годового оборота организации.
    Также планируется принять Федеральный закон, согласно которому оператор персональных данных будет обязан уведомлять об утечке, причем штраф за неуведомление может быть больше, чем за саму утечку.
    Планы о введении штрафов за утечку персональных данных существуют уже довольно давно, при этом, в настоящий момент ответственность по законодательству о персональных данных предусмотрена только за неисполнение требуемых мер, а не за нарушение безопасности персональных данных.
    Недавние кейсы с утечкой персональных данных Яндекс.Еда и Гемотест могут служить примером целесообразности подобной инициативы.

    Теги: изменения

  • 29.04.2022 Московский городской суд удовлетворил иск россиянки к страховой компании о сборе избыточных персональных данных

    На сайте СК «Согласие» гражданка хотела узнать стоимость полиса ОСАГО, но не смогла это сделать без предоставления персональных данных. Для расчета требовалось указать ФИО, дату рождения, пол, данные паспорта и водительского удостоверения. Кроме того, в пользовательском соглашении содержались пункты, касающиеся автоматического согласия на обработку ПДн и их передачу третьим лицам в рекламных целях.
    Составить иск гражданке помогли юристы Центра правовой помощи гражданам в цифровой среде. Требованиями иска было признать собираемые персональные данные на сайте страховой компании избыточными для расчета стоимости ОСАГО, а также исключить из пользовательского соглашения условия о том, что использование интернет-сайта посетителями означает дачу согласия на обработку ПДн, в том числе на направление рекламы, а также внести конкретный перечень третьих лиц, которым могут быть переданы персональные данные.
    Мещанский районный суд иск не удовлетворил, после чего была подана апелляция в Мосгорсуд, который отменил решение суда первой инстанции и удовлетворил все требования истицы.

    Суд отдельно подчеркнул, что информация об условиях договора, в том числе о страховых тарифах, должна предоставляться не только стороне договора, но и лицу, не принявшему окончательного решения о выборе страховой компании.
    Этот судебный кейс способен в дальнейшем усовершенствовать практику защиты персональных данных россиян в рамках юридических споров.
    Недавно созданный Центр правовой помощи гражданам в цифровой среде показал свою эффективность, что позволяет предполагать дальнейшее увеличение количества исков граждан к операторам ПДн по поводу неправомерной обработки их персональных данных.

    Теги: ответственность

  • 27.04.2022 По факту утечки персональных данных пользователей «Яндекс.Еды» возбуждено уголовное дело

    Следственный комитет Российской Федерации возбудил уголовное дело по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда». Уголовное дело возбуждено по признакам составов преступлений, предусмотренных частью 1 статьи 137 («Нарушение неприкосновенности частной жизни»), частью 3 статьи 272 («Неправомерный доступ к компьютерной информации») и частью 2 статьи 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса Российской Федерации.
    В настоящий момент проводится комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.
    Утечка персональных данных пользователей сервиса «Яндекс.Еда» была зафиксирована 1 Марта. В результате утечки в интернете были опубликованы телефоны и адреса покупателей.
    21 Апреля Мировой суд Москвы оштрафовал «Яндекс.Еду» на 60 000 руб. в соответствии с частью 1 Статьи 13.11 КоАП РФ. Максимальное наказание по этой статье составляет 100 000 руб.
    Ранее 33 пользователя сервиса подали коллективный иск в суд. Каждый из них требовал от компании по 100 000 руб. из-за утечки их персональных данных.

    Теги: ответственность

  • 22.04.2022 Госдума 20 Апреля приняла закон о защите покупателей от необоснованного сбора персональных данных

    Новый закон устанавливает запрет для продавца работ или услуг, а также исполнителя, агрегатора отказывать в заключении, изменении, расторжении или исполнении договора, если покупатель отказывается предоставить свои персональные данные.
    Также закон содержит перечень недопустимых условий договора, ущемляющих права потребителей. Законом предусмотрен запрет на понуждение потребителя под угрозой отказа в совершении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ и не связано с совершением сделки о реализации товаров (работ, услуг).
    Закон вступит в силу с 1 Сентября 2022 года. Положения, устанавливающие перечень недопустимых условий договора, ущемляющих права потребителя, распространяются на отношения, возникшие из ранее заключенных договоров.
    В пояснительной записке объясняются цели закона, они заключаются в пресечении недобросовестного поведения на потребительском рынке, в том числе выражающегося в принудительном или необоснованном сборе персональных данных потребителей для целей, не связанных с заключением или исполнением договора.
    Согласно новому закону, продавец (исполнитель, владелец агрегатора) не вправе отказывать в заключении, исполнении договора, направленного на приобретение одних товаров (работ, услуг), по причине отказа потребителя в приобретении иных товаров (работ, услуг).
    По мнению законотворцев закон поможет избежать навязывания дополнительных услуг. К примеру, недопустимы станут ситуации, когда человек приобретает по договору долевого участия помещение одной площади, получает меньше квадратных метров, но требовать возмещение не может, поскольку в договоре этого не предусмотрено.
    Помимо этого, продавцы не смогут навязывать, в каком именно суде в случае возникновения спора должна рассматриваться претензия: человек вправе выбрать наиболее удобный для него вариант - по месту проживания, по месту расположения магазина или по месту нахождения продавца. Кроме того, если продавец все же попытается навязать невыгодные условия договора, гражданин вправе потребовать убрать недопустимые условия договора, а продавец обязан будет скорректировать текст договора.
    Часто при подписывании договора покупателю не оставляют выбора в части предоставления своих персональных данных, которые потом перепродают для рекламных рассылок. Теперь такая возможность будет ограничена.

  • 06.04.2022 В Госдуму РФ внесен законопроект об усилении защиты персональных данных

    6 Апреля 2022 года в Госдуму РФ внесен законопроект о внесении изменений в 152-ФЗ «О персональных данных».
    Согласно пояснительной записке к законопроекту, инициатива разработана в целях усиления защиты прав граждан как субъектов персональных данных на неприкосновенность их частной жизни. В этой связи проектом вносятся поправки в закон "О персональных данных", направленные на совершенствование правовой защищенности субъектов персональных данных, а также усиление государственного контроля в этой сфере.

    В числе основных планируемых изменений, введение принципа экстерриториальности с тем, чтобы российское законодательство о персональных данных применялось и за пределами страны. Устанавливается возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
    Понятие трансграничной передачи персональных данных расширяется и включает в себя больше условий. Кроме того, вводится отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных, устанавливается порядок подачи такого уведомления. При этом трансграничная передача может быть запрещена или ограничена.
    Уточняется положение обработчика, лица, осуществляющего обработку персональных данных, а не только оператора.
    Не будет требоваться согласие субъекта на передачу его персональных данных другому лицу в рамках поручения на обработку, зато в поручении оператора для лица, осуществляющего обработку персональных данных, нужно будет определять перечень ПДн.
    Оператор будет не вправе отказать в заключении договора с субъектом, если он отказывается предоставить биометрические персональные данные или не дает согласие на обработку ПДн.
    Политику оператора в отношении обработки персональных данных нужно будет публиковать не просто в сети интернет, а в том числе на страницах принадлежащего оператору сайта, с использованием которого осуществляется сбор ПДн.
    Оператор будет обязан обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.
    В случае утечки персональных данных необходимо будет уведомить Роскомнадзор в течение 24 часов.
    Заложен выход подзаконного акта, устанавливающий порядок уничтожения персональных данных.
    Исключается большинство условий, которые позволяли не подавать уведомление о начале обработки персональных данных в Роскомнадзор. Если ранее было сложно не выходить за рамки исключений, теперь это станет практически невозможно, и уведомление нужно будет подавать подавляющему большинству операторов.
    Вносятся изменения в порядок подачи уведомления, теперь оно будет содержать больше сведений.
    Роскомнадзор становится самостоятельным и наделяется законодательной инициативой.

    В дополнение вносятся изменения в Федеральный закон от 13 июля 2015 года № 218-ФЗ «О государственной регистрации недвижимости». Устанавливается, что персональные данные, содержащиеся в Едином государственном реестре недвижимости, могут быть предоставлены третьим лицам только с согласия физического лица - субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, владельца недвижимости.

    Теги: изменения

  • 04.04.2022 Сервису «Яндекс.Еда» грозят многомиллионные издержки за утечку персональных данных

    Недавно произошла резонансная утечка персональных данных пользователей сервиса «Яндекс.Еда». В сети появилась интерактивная карта, где по адресу можно было увидеть сколько и каких заказов сделал тот или иной человек за достаточно длительный период времени, номер его телефона. Кроме того, видимо совместив данные из другой базы, злоумышленники добавили к информации такие персональные данные, как ФИО, адреса электронной почты.

    Ресурсы с картой были в кратчайшие сроки заблокированы. Представители Яндекс.Еды заявили, что утечка произошла в результате недобросовестных действий одного из сотрудников, компания решила втрое сократить число сотрудников с доступом к конфиденциальным данным пользователей, а также провести дополнительные работы, направленные на усиление защиты информации.
    При этом, максимальный штраф за подобное нарушение в соответствии с частью 1 Статьи 13.11 КоАП РФ составляет 100 000,00 рублей для юридического лица.
    Вместе с тем, многие из пострадавших субъектов персональных данных подали коллективный иск к сервису, по 100 000,00 рублей каждый. В настоящий момент зарегистрированы иски от 33 пользователей в Москве, не исключены иски от клиентов из других городов. Суммарные претензии к сервису «Яндекс.Еда» уже составляют несколько миллионов рублей и могут возрасти.
    Иск был подан в соответствии с частью 2 Статьи 17 ФЗ-152 «О персональных данных»: «субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке».

    При этом, суд будет решать, какую именно назначить итоговую компенсацию каждому пострадавшему пользователю с учетом обстоятельств, при которых ему был причинен моральный вред.
    Согласно исковому заявлению, после утечки персональных данных пользователям «Яндекс.Еды» начали массово поступать звонки с незнакомых номеров с рекламными предложениями различных услуг, им также стали звонить мошенники. Пользователи сервиса считают, что была нарушена неприкосновенность их частной жизни, они переживают за свою безопасность.
    Для повышения ответственности операторов в случае дел, не имеющих столь широкого освещения, необходимо внести изменения в КоАП РФ в части штрафов за нарушение безопасности персональных данных, наподобие тех штрафов, которые были введены за нарушение требования о локализации персональных данных граждан РФ на территории России, и которые составляют до 6 миллионов рублей за первое нарушение и до 18 миллионов рублей за повторное.

    Теги: ответственность

  • 28.03.2022 Интересное решение суда по результатам проверки в ПАО «Аэрофлот»

    В 2021 году по результатам плановой проверки ПАО «Аэрофлот» Роскомнадзор вынес несколько предписаний, с которыми компания не согласилась и подала апелляцию. Суд ее удовлетворил, после чего апелляцию в свою очередь подал уже надзорный орган. 9 Февраля 9 арбитражный апелляционный суд принял решение оставить апелляционную жалобу Роскомнадзора без удовлетворения.
    В частности, одним из нарушений, выявленных Роскомнадзором было то, что данные бывших работников хранились в ПАО «Аэрофлот» более 5 лет. Суд указал на то, что не обязательно прекращать обработку ПДн бывших работников в пятилетний срок с момента их увольнения. При этом, хранение документов, в том числе архивное хранение, может осуществляться не только в бумажном, но и в электронном виде. В законодательстве РФ отсутствует такое понятие, как "документ, переведенный в статус архивного", а установленные приказом Росархива от 20.12.2019 № 236 сроки хранения документов применяются в силу самого факта наличия того или иного документа в перечне документов, утвержденных данных приказом, а не в силу признания документа архивным.
    То есть, если, к примеру, пришел запрос из Пенсионного фонда о периоде работы работника спустя 5 лет (максимальный срок хранения с точки зрения Роскомнадзора, если нет передачи в архив), его можно обработать в том числе с использованием информационной системы.
    Еще одно нарушение, которые выявил надзорный орган, касалось передачи персональных данных работников третьим лицам. В итоге, суд постановил, что согласие работника на передачу его ПДн (Статья 88 ТК РФ) обязательно должно соответствовать требованиям части 4 Статьи 9 152-ФЗ, т.е. требованиям к согласию в письменной форме, только в случае обработки специальных категорий ПДн или биометрических ПДн, а также в случае трансграничной передачи ПДн (в неадекватные страны). При этом работодатель имеет право передавать ПДн работника без получения его согласия в случаях, предусмотренных п.п. 2-11 части 1 Статьи 6 152-ФЗ.
    То есть, по решению суда, если есть коллективный договор, предусматривающий передачу ПДн сотрудников оператора третьим лицам, то передача ПДн работника возможна без письменного согласия. Это соответствует букве Трудового Кодекса. В абзаце 1 Главы 88 ТК РФ помимо прочего указано, что согласие на передачу не требуется, если случай передачи предусмотрен ТК РФ. Коллективный договор как раз подпадает под это описание в соответствии со Статьей 40 ТК РФ.
    В дальнейшем обработка страховыми компаниями и прочими организациями осуществляется на основании договора с этими компаниями в соответствии с п. 5 части 1 Статьи 6 152-ФЗ, хотя Роскомнадзор считает иначе, что указанная норма применима исключительно к гражданско-правовым договорам, а основания для обработки ПДн в рамках трудовых отношений определены в Главе 14 ТК РФ.
    Необходимо отметить, что это решение одного конкретного суда и в других случаях может быть принято противоположное решение.
    Ознакомиться с решением апелляционного суда можно по ссылке

    Теги: Роскомнадзор ответственность

  • 17.03.2022 Утвержден опросный лист для проверок Роскомнадзора

    25 Февраля 2022 года утвержден Приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных».
    Проверочный лист содержит 67 вопросов, охватывающих все сферы действия законодательства о персональных данных.
    Особенно интересно, что в состав вопросов входит «Соблюдаются ли обязательные требования по принятию необходимых организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий?»
    Таким образом, в сферу компетенции Роскомнадзора входит проверка требований в соответствии с ч. 1 ст. 19 Федерального закона ‎от 27.07.2006 № 152-ФЗ‎ «О персональных данных».
    Несмотря на то, что Роскомнадзор не имеет права проверять работоспособность средств защиты информации, регулятор внимательно относится к организационным мерам по обеспечению безопасности персональных данных, в том числе к наличию, составу и наполнению проектной документации на построение системы защиты персональных данных.
    Приказ расположен по ссылке

    Теги: Роскомнадзор