С 2024 года персональные данные становятся главным объектом внимания бизнеса. Совет Федерации одобрил законы, которые ужесточают ответственность за нарушения в этой сфере. Компании столкнутся с серьезными штрафами, вплоть до 500 миллионов рублей, а также уголовными преследованиями.
Эти изменения требуют пересмотра процессов обработки данных, контроля за обменом информации с клиентами, поставщиками и партнёрами. Особое внимание нужно уделить информационной безопасности — именно инвестиции в неё помогут минимизировать штрафы за утечку данных и защитить репутацию компании.
Почему это важно для бизнеса?
Угрозы для бизнеса:
Широкое толкование нарушений: новая статья УК РФ (272.1) охватывает не только преднамеренные действия, но и ошибки в работе с данными.
Серьёзные последствия за утечки: особенно строгие меры предусмотрены для биометрических и специальных категорий данных — штрафы достигают 3 миллионов рублей, а срок лишения свободы — 10 лет.
Финансовые риски:
Штрафы за утечку персональных данных для юридических лиц теперь достигают 500 миллионов рублей.
Повторные нарушения приведут к оборотным штрафам в размере до 3% от совокупной выручки компании.
Как снизить риски:
Инвестировать в информационную безопасность — не менее 0,1% годового дохода за последние три года.
Обеспечить наличие лицензий на шифрование данных и техническую защиту.
Соблюдать требования законодательства и документировать выполнение всех мер.
Теги: изменения
Обращение в УФАС и выявленные нарушения
Заявитель направил жалобу в Управление Федеральной антимонопольной службы (УФАС) по Саратовской области, ссылаясь на нарушение банком законодательства о рекламе. Поводом для жалобы послужило получение заявителем рекламного SMS-сообщения на его мобильный номер, содержащее информацию о кредитных продуктах банка. В ходе проверки УФАС установило, что банк не запросил предварительного согласия на получение рекламы у заявителя. Более того, рекламное сообщение не содержало всех обязательных сведений, что является нарушением законодательства.
Позиция банка и судебные разбирательства
Банк не согласился с выводами УФАС и оспорил решение в суде, утверждая, что направленная реклама была законной. Однако суд поддержал позицию антимонопольного органа. В ходе судебного разбирательства было установлено, что при заключении договора банковского счета банк включал в текст договора условие о согласии абонента на получение рекламы. Это происходило автоматически, без отдельного и осознанного согласия клиента на рекламную рассылку, что нарушает положения части 1 статьи 15 Федерального закона № 152-ФЗ «О персональных данных».
Решение Верховного суда
Верховный суд Российской Федерации, рассмотрев дело, согласился с выводами нижестоящих судов. В Определении от 23 марта 2022 года № 306-ЭС22-2085 суд подчеркнул недопустимость совмещения в одном согласии целей получения банковских услуг и согласия на обработку персональных данных для распространения рекламы. Суд указал, что такие действия банка лишают гражданина возможности самостоятельно выбрать, хочет ли он получать рекламную информацию, что является нарушением его прав.
Значение решения
Данное дело подчеркивает важность соблюдения банками и другими организациями законодательства о персональных данных и рекламе. Включение согласия на получение рекламы в текст договора без явного и отдельного согласия клиента является нарушением прав потребителя. Это решение устанавливает прецедент, подтверждающий необходимость четкого разделения согласия на обработку данных для оказания основной услуги и на получение рекламной информации.
Теги: Нарушения
Обращение заявителя и выявленные нарушения
Заявитель оформил sim-карту у оператора связи и, заключая договор на оказание услуг, неожиданно обнаружил, что одновременно с этим подписал соглашения с аффилированными организациями — банком и страховой компанией. Более того, оказалось, что он также дал согласие на обработку своих персональных данных и предоставление своего кредитного отчета этим организациям, о чем он не был уведомлен.
Поняв, что его персональные данные могли быть использованы незаконно, заявитель направил жалобу в Роскомнадзор. В ходе проверки регулятор выявил, что обработка данных в целях предложения сторонних продуктов противоречит законодательству. Кроме того, на сайте оператора связи отсутствовала возможность отказаться от получения рекламных рассылок или изменить условия договора. В результате Роскомнадзор потребовал от оператора привести деятельность в соответствие с требованиями закона, включая уточнение целей обработки данных, обеспечение функции отказа от рассылок и корректировку сроков уничтожения неправомерно обработанных данных.
Реакция оператора связи
Несмотря на предписания Роскомнадзора, оператор связи не предпринял необходимых действий по блокированию и уничтожению неправомерно собранных данных. В свою защиту оператор заявил, что договор на оказание услуг связи фактически не был заключен, а значит, обработка персональных данных заявителя не осуществлялась. Кроме того, оператор указал, что требования Роскомнадзора касались исключительно приведения сроков обработки данных в соответствие с законодательством, а не обязательства блокировать или уничтожать персональные данные.
Судебное разбирательство
Роскомнадзор, не согласившись с позицией оператора, составил протокол об административном правонарушении по части 5 статьи 13.11 КоАП РФ и передал дело в суд. Суд встал на сторону Роскомнадзора, подчеркнув, что даже при отсутствии прямого указания в предписаниях регулятора на необходимость блокирования и уничтожения неправомерно собранных данных, оператор обязан выполнить эти действия самостоятельно, если выявлена незаконная обработка данных. Суд также отверг доводы оператора о том, что данные заявителя не обрабатывались, указав, что факт ввода данных на сайте оператора для оформления заявки подтверждает их сбор.
Итоги и значимость решения
Это судебное дело подчеркивает обязательность строгого соблюдения операторами связи требований законодательства о персональных данных, особенно в случаях выявления неправомерной обработки данных. Операторы должны не только обеспечить возможность отказа от ненужных рассылок и корректно устанавливать цели обработки данных, но и принимать активные меры по блокированию и уничтожению информации, собранной без законных оснований.
Теги: Нарушения
Вопрос о том, обязаны ли индивидуальные предприниматели (ИП) издавать Политику обработки персональных данных (ПД), на первый взгляд кажется очевидным. В пункте 2 части 1 статьи 18.1 Федерального закона № 152-ФЗ "О персональных данных" явно указано, что данное требование касается юридических лиц: "являющимся юридическим лицом". Это могло бы привести к выводу, что ИП не обязаны разрабатывать и публиковать такую Политику.
Однако на практике всё оказалось не так просто.
Минцифры и Роскомнадзор: позиция ведомств
Минцифры РФ в своих разъяснениях указали, что ИП должны издавать Политику обработки персональных данных. В своём ответе ведомство процитировало статью 18.1, но не стало комментировать исключение, которое, казалось бы, распространяется только на юридические лица. В итоге, по мнению Минцифры, ИП обязаны не только разработать, но и опубликовать такую Политику.
Роскомнадзор, в свою очередь, также подтвердил, что требование о публикации Политики относится ко всем операторам ПД, включая индивидуальных предпринимателей. Хотя в своих разъяснениях ведомство не сослалось на пункт 2 части 1 статьи 18.1 и не комментировало выделение юридических лиц, его позиция однозначна: ИП обязаны издать и опубликовать Политику обработки персональных данных.
Правовые тонкости и практические последствия
Возникает вопрос: почему законодатель выделяет юридических лиц, если на практике это требование распространяется и на индивидуальных предпринимателей? Возможно, такая формулировка закона связана с тем, что исторически многие требования в сфере защиты данных ориентированы на компании, но в современных реалиях с ростом числа ИП, оказывающих услуги и обрабатывающих персональные данные, возникает необходимость в унификации правил.
На практике это означает, что любой индивидуальный предприниматель, который обрабатывает персональные данные, должен позаботиться о разработке и публикации Политики. Это требование касается даже тех ИП, чья деятельность может показаться малозначительной с точки зрения обработки данных.
Итог
Исходя из позиции Минцифры и Роскомнадзора, можно заключить, что индивидуальные предприниматели, являясь операторами персональных данных, должны издавать и публиковать Политику обработки ПД, несмотря на формулировки закона. Это подтверждает, что в вопросах защиты данных органы власти стремятся к единому стандарту для всех участников рынка, независимо от их организационно-правовой формы.
Теги: Разъяснения
Президент России Владимир Путин подписал Федеральный закон от 22.06.2024 № 158-ФЗ, который обязывает всех операторов поисковых систем обеспечивать "право на забвение" в интернете.
"Право на забвение" позволяет пользователям требовать удаления своих персональных данных из общего доступа. Это касается недостоверной, неактуальной или утратившей значение информации, а также данных, распространяемых с нарушением законодательства РФ. Исключение составляют сведения об уголовно наказуемых деяниях и преступлениях, по которым не снята или не погашена судимость.
Ранее данное требование распространялось только на операторов, распространяющих рекламу, ориентированную на российских потребителей. Теперь оно будет действовать для всех операторов поисковых систем, независимо от их рекламной деятельности в России.
Теги: изменения
Судебная коллегия по гражданским делам Верховного суда РФ в деле №44-КГ23-23-К7 постановила, что банк не может отказать в заключении договора на основании отсутствия копии паспорта выгодоприобретателя.
В своем решении суд отметил следующее:
Банки обязаны идентифицировать выгодоприобретателя до начала обслуживания, установив конкретные сведения о физических лицах, включая реквизиты документа, удостоверяющего личность (п. 1 ч. 1 ст. 7 №115-ФЗ).
Основанием для открытия счета является заключение договора счета и проведение идентификации в соответствии с №115-ФЗ (п. 1.2 Инструкции Банка России №204-И).
Для идентификации выгодоприобретателей - физических лиц требуется получение реквизитов документа, удостоверяющего личность (п. 1.4 Приложения №1 к Положению Банка России №499-П).
Также было указано на необходимость различать процедуры идентификации и установления личности:
▫️ Идентификация подтверждает, что лицо, обратившееся за услугой, является именно тем, кто имеет право на ее получение.
▫️ Установление личности, осуществляемое субъектами с властными полномочиями, подтверждает, что лицо действует под своим именем.
ВС РФ заключил, что непредоставление копии паспорта выгодоприобретателя при обращении в банк для открытия вклада или иных операций не означает невозможности банка идентифицировать клиента в будущем.
Нет, нельзя.
Субъект персональных данных должен давать согласие на их обработку свободно, по своей воле и в своем интересе (ч. 1 ст. 9 №152-ФЗ). Роскомнадзор считает, что условие подписания согласия на обработку персональных данных как неотъемлемой части договора нарушает принцип добровольности.
Суды признают такие договорные условия нарушающими ст. 16 Закона о защите прав потребителей:
В деле №2-12745/2023 суд указал, что субъект подписал стандартный договор с условиями, в которых не было возможности отказаться от согласия на обработку данных. Финансовые услуги банка были обусловлены предоставлением такого согласия, что было вынужденным для клиента.
В деле №А40-65677/2022 суд отметил, что условие договора, включающее согласие на обработку данных, не отражает самостоятельную волю и интерес потребителя, так как текст был напечатан типографским способом.
Таким образом, включение согласия на обработку персональных данных в текст договора нарушает №152-ФЗ и Закон о защите прав потребителей. Операторам рекомендуется использовать другое основание для обработки данных или собирать согласие отдельно от договора.
В решении Кировского районного суда г. Уфы республики Башкортостан установлено несколько ключевых позиций:
Согласие субъекта персональных данных должно включать наименование или ФИО лица и адрес лица, осуществляющего обработку данных по поручению оператора. Указание обработчиков оператора через отсылку к внешнему списку недопустимо (п. 6 ч. 4 ст. 9 № 152-ФЗ).
Нельзя подменять согласие на обработку персональных данных условиями договора в заранее подготовленной Банком типовой форме договора. Это нарушает принцип добровольного согласия субъекта персональных данных и регулирует сферу публичного частно-правовыми средствами, что является недопустимым.
Получение аудиозаписи голоса не для установления личности может рассматриваться как создание нематериального актива гражданского оборота (фонетического слепка речи), на который распространяются правила о неприкосновенности нематериальных благ. Для использования аудиозаписи голоса клиента необходимо получить его согласие с четким указанием на использование данного актива исключительно для оказания услуг банком (п. 1 ст. 150 ГК РФ).
Недопустимо обрабатывать персональные данные клиентов для рекламной рассылки без отдельного согласия. В случае отсутствия такого согласия, банк будет нести ответственность как оператор персональных данных и рекламораспространитель (ч. 1 ст. 9 № 152-ФЗ и ч. 1 ст. 18 № 38-ФЗ).
Также указано, что при заключении договора вклада отсутствуют правовые предписания, обязывающие клиентов банков использовать исключительно номер телефона, оформленный на их имя оператором связи.
Роскомнадзор направил рекомендации по оценке рисков работы ботов зарубежных компаний, таких как Google, OpenAI и Apple. Специалисты Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), подведомственного Роскомнадзору, разработали и направили провайдерам хостинга рекомендации по анализу рисков, связанных с деятельностью зарубежных поисковых ботов.
Основные риски включают:
Сбор информации об уязвимостях информационных ресурсов, включая критическую информационную инфраструктуру (КИИ).
Индексирование персональных данных российских пользователей.
Использование собранной информации в зарубежных моделях машинного обучения.
Эти рекомендации помогут владельцам ресурсов своевременно обнаруживать ботов. Решение о блокировке принимает сам владелец сайта.
Теги: Разъяснения
Единую биометрическую систему (ЕБС) нельзя использовать для розыска людей, это запрещено законом, заявила пресс-служба Минцифры. Система предназначена для повышения доступности сервисов, использование которых добровольно и закреплено законом №572 о биометрии. ЕБС не связана с городскими системами видеонаблюдения и не может применяться в оперативно-розыскной деятельности.
Минцифры также подчеркнуло, что никто не может принуждать граждан использовать ЕБС или отказывать в услугах при отказе от регистрации в системе.
Теги: Разъяснения