Новости

Теги:
  • 21.09.2021 Минцифры опубликовало требования к деловой репутации компаний, обрабатывающих биометрические персональные данные

    Приказ вступает в силу 1 Марта 2022 года и действует шесть лет.
    Компания, владеющая информационной системой персональных данных, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных, или оказывающая услуги в этом направлении, должна соответствовать следующим критериям.
    - у высших менеджеров компании на момент подачи документов для аккредитации организации не должно быть неснятой или непогашенной судимости;
    - должен отсутствовать факт расторжения трудового договора с сотрудником по инициативе работодателя по основаниям, предусмотренным подпунктом «в» пункта 6 или пунктом 7.1 части первой Статьи 81 Трудового кодекса РФ, если на день, предшествующий дню подачи документов для аккредитации организации, не истек трехлетний срок со дня расторжения такого трудового договора;
    Подпункт «в» пункта 6 части 1 Статьи 81 ТК РФ вводит основание для расторжения трудового договора в связи с разглашением охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.

    Согласно пункта 7.1 части 1 Статьи 81 ТК РФ основанием для расторжения трудового договора является, в том числе, непредставление сведений о доходах, наличии имущества своего или родственников за границей.
    - отсутствие факта совершения лицом в течение одного года, предшествующего дню подачи документов на аккредитацию организации, в качестве должностного лица административных нарушений в области предпринимательской деятельности, предусмотренных частями 2-4 Статьи 14.1 КоАП РФ (осуществление предпринимательской деятельности без специального разрешения (лицензии), если оно обязательно, осуществление предпринимательской деятельности с простым и грубым нарушением условий, предусмотренных лицензией);
    - отсутствие факта совершения лицом в течение одного года, предшествующего дню подачи документов на аккредитацию организации, в качестве должностного лица административных нарушений в области предпринимательской деятельности, предусмотренных статьей 13.13 КоАП РФ (незаконная деятельность в области защиты информации), установленного вступившим в законную силу постановлением;
    - отсутствие факта неоднократного (два и более раз) совершения лицом в течение трех лет, предшествующих дню подачи документов на аккредитацию организации, административного нарушения в области персональных данных, предусмотренного статьей 13.11 КоАП РФ, установленного вступившим в законную силу постановлением;
    - отсутствие факта неоднократного (два и более раз) совершения лицом административного правонарушения за неправомерные действия при банкротстве юридического лица, преднамеренное и (или) фиктивное банкротство юридического лица (за исключением случаев, когда такое административное правонарушение повлекло наказание в виде предупреждения), предусмотренного статьями 14.12 и 14.13 КоАП РФ, установленного в законную силу постановлением.

    Данный приказ продолжает курс на усиление требований в области персональных данных. Нормативная база, связанная с законодательством о персональных данных, расширяется, требования к операторам ужесточаются.

    Теги: регуляторы

  • 13.09.2021 Тенденции законодательства о персональных данных

    В середине августа в Общественной палате РФ обсудили меры по обеспечению безопасности персональных данных граждан России.
    Эксперты высказали несколько интересных замечаний, которые в скором будущем могут быть воплощены в жизнь.

    Было озвучено мнение, что помимо социальных сетей пристальное внимание также нужно обратить и на облачные сервисы иностранных разработчиков.
    Согласно исследованиям более половины россиян считают, что не могут самостоятельно защитить свои данные в интернете, поэтому обеспечивать безопасность персональных данных граждан РФ в сети должны владельцы веб-ресурсов, провайдеры сервисов и государство.

    В России планируется создать единый ресурс, интегрированный с порталом Госуслуг, на котором граждане могли бы ознакомиться с перечнем организаций, использующих их персональные данные.
    Самыми масштабными операторами персональных данных являются крупные онлайн-площадки, но далеко не все из них выполняют требования законодательства. При этом российские законы сегодня не учитывают размер компании-нарушителя. Глобальные транснациональные ИТ-компании не замечают штрафов, а для небольшого бизнеса они могут стать критическими.

    Было предложено рассмотреть возможность дифференциации наказаний для недобросовестных сервисов в зависимости от их величины.
    Также эксперты сошлись во мнении что нужно вводить дифференцированные штрафы для компаний, которые не уведомляют Роскомндзор о том, что являются операторами персональных данных.
    В вопросе дифференциации штрафов участники обсуждения опирались на опыт ответственности, предусмотренной по европейскому GDPR.
    Было предложено ввести инструмент фиксированных компенсаций для граждан, чьи цифровые права были нарушены. Для этого потребуется актуализировать 152-ФЗ «О персональных данных». Сумма предлагаемой компенсации может составить от 10 тысяч до одного миллиона рублей.

    В настоящий момент предусмотрена ответственность оператора только перед государством, а не перед субъектами персональных данных. Компенсация морального вреда и процедура доказывания также лежит на пользователе. Поэтому создание инструмента компенсаций является одним из перспективных направлений развития законодательства.

  • 30.08.2021 Роскомнадзор опубликовал техническое задание на новую систему мониторинга

    Система будет отслеживать нарушения прав субъектов персональных данных в интернете путем поиска и оценки сайтов, на которых осуществляется сбор и распространение ПДн, на соблюдение требований законодательства.
    Также планируется, что с помощью системы будут проверяться веб-ресурсы, на которые были поданы жалобы, а также ресурсы, находящиеся в плане мероприятий систематического наблюдения регулятора. Предусмотрена интеграция с формой обращений граждан, расположенной на сайте Роскомнадзора.
    Система мониторинга должна будет выявлять следующие нарушения (приведены в порядке убывания веса нарушения):
    - отсутствие согласия на обработку ПДн;
    - отсутствие Политики в отношении обработки ПДн;
    - несоответствие объема ПДн, собираемого формой обратной связи, Политике ПДн;
    - присутствие ссылок на внешние формы сбора ПДн;
    - сбор ПДн граждан Российской Федерации в случае, если хостинг провайдер находится за пределами РФ;
    - отсутствие упоминания трансграничной передачи в Политике ПДн при наличии трансграничной передачи;
    - отсутствие указания о сборе метрической информации в Политике ПДн при наличии таковой;
    - отсутствие или некорректное указание сроков или условий прекращения обработки ПДн в Политике ПДн.

    Теги: Роскомнадзор регуляторы

  • 26.08.2021 Иностранные интернет-гиганты оштрафованы за невыполнение требования о локализации баз данных россиян на территории РФ

    Facebook, Twitter и WhatsApp оштрафованы на сумму в общей сложности 36 миллионов рублей.

    26 августа 2021 года Таганский районный суд города Москвы рассмотрел административные протоколы, составленные Роскомнадзором в отношении крупнейших американских интернет-компаний, которые несмотря на неоднократные запросы регулятора, не обеспечили локализацию баз данных с персональными данными граждан Российской Федерации на территории нашей страны.

    Согласно части 8 статьи 13.11 КоАП РФ WhatsApp был выписан штраф в размере 4 миллионов рублей, за повторные нарушения согласно части 9 статьи 13.11 КоАП РФ Facebook выписан штраф 15 миллионов рублей, Twitter – 17 миллионов рублей.

    В 2020 году Facebook и Twitter уже привлекались к ответственности по части 8 статьи 13.11 КоАП РФ, обе компании были оштрафованы на 4 миллиона рублей, Facebook оплатил штраф, Twitter не оплатил.

    В соответствии с частью 5 статьи 18 152-ФЗ «О персональных данных», при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Это требование позволяет обеспечить необходимый уровень целостности и доступности персональных данных граждан России.

    Данное требование действует с 2015 года, при этом ответственность за него была введена только в 2019 году. В настоящий момент локализацию баз данных с персональными данными российских пользователей обеспечили порядка 600 представительств иностранных компаний в Российской Федерации, среди которых Microsoft, Apple, Samsung, LG, Booking, PayPal и другие.

    За нарушение требования о локализации в соответствии с частью 8 статьи 13.11 КоАП РФ предусмотрен штраф в размере до 6 миллионов рублей, за повторное нарушение, согласно части 9 статьи 13.11 КоАП РФ, до 18 миллионов рублей.

    Теги: Роскомнадзор ответственность

  • 17.08.2021 В Минюсте РФ зарегистрирован приказ Роскомнадзора о порядке использования информационной системы регулятора для получения согласия субъекта персональных

    Роскомнадзор установил порядок использования своей информационной системы для обеспечения получения оператором согласия на обработку персональных данных, разрешенных субъектом к распространению.
    Предоставление и отзыв согласия осуществляется субъектом на информационном ресурсе оператора. Согласие формируется с использованием данных, указанных при регистрации в Единой системе идентификации и аутентификации (ЕСИА), подпись согласия осуществляется посредством электронной подписи.

    Обезличенная информация о предоставленных и отозванных согласиях поступает в информационную систему Роскомнадзора из подсистемы управления согласиями ЕСИА. В случае поступления в Роскомнадзор обращения о нарушении прав субъекта персональных данных, регулятор получает из подсистемы сведения о субъекте, предоставившем согласие. Таким образом регулятор проверяет наличие согласия на обработку персональных данных, разрешенных к распространению.

    В перечень обезличенной информации, получаемой с помощью информационной системы Роскомнадзора входят цели обработки персональных данных, перечень устанавливаемых в отношении персональных данных условий и запретов, данные об информационных ресурсах оператора, обеспечивающих доступ к персональным данным субъекта неограниченному кругу лиц.

    Само согласие, а также содержащиеся в нем персональные данные, не передаются оператору или в информационную систему Роскомнадзора, а также иным третьим лицам.

    Приказ вступает в силу 1 марта 2022 года и действует до 1 марта 2028 года.

    Теги: Роскомнадзор регуляторы

  • 09.08.2021 Новые правила работы с биометрическими персональными данными граждан РФ

    Минцифры внесло проект поправок к закону об организации предоставления госуслуг, согласно которому биометрические персональные данные россиян смогут использовать только те компании, в уставном капитале которых не более 49% иностранного участия. При этом такая компания должна обладать лицензией и приобрести криптографические средства защиты. Для создания собственных банков биометрических данных собственный капитал организации должен превышать 500 млн. руб. Данные требования должны вступить в силу с 1 Января 2022 года.

    Теги: изменения

  • 21.07.2021 Роскомнадзор будет вести реестр иностранных ИТ-гигантов, не имеющих филиалов в России

    Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации опубликовало на портале государственных нормативных актов проект постановления, который дополняет закон, обязывающий крупные зарубежные ИТ-компании открывать представительства в РФ.

    В соответствии с Федеральным законом от 1 июля 2021 г. № 236-ФЗ "О деятельности иностранных лиц в информационно-телекоммуникационной сети "Интернет" на территории Российской Федерации, который должен вступить в силу с 1 января 2022 года, тем компаниям, которые не откроют филиалы в нашей стране, грозит ограничение платежей и переводов денежных средств.

    Роскомнадзор будет вести сразу два черных списка компаний, не выполняющих требования нового закона. В первый войдут сами иностранные ИТ-компании без филиалов в РФ, банки будут обязаны перекрывать им все платежи денежных средств. Во второй список войдут иностранные поставщики платежных услуг, принимающие платежи компаний из первого списка. Если поставщики не устранят нарушения в течение 30 дней им будет грозить блокировка.

    Оба реестра будут общедоступными, в случае выполнения требований закона или по решению суда Роскомнадзор будет должен в течение 3 дней исключить компанию из реестра нарушителей.

    Законопроект Минцифры проходит общественное обсуждение до 18 августа.

    Федеральный закон № 236-ФЗ обязывает все крупные зарубежные ИТ-компании с ежедневной аудиторией в России от 500 тысяч пользователей открывать в стране свои филиалы. Под его требования подпадают такие гиганты, как Facebook, Telegram, Twitter, Instagram.

    Роскомнадзор уже оштрафовал Facebook и Twitter за неисполнение требования по локализации баз данных, содержащих персональные данные граждан России, на территории РФ. Также регулятор замедлял работу Twitter, а ранее заблокировал социальную сеть профессиональных контактов Linkedin.


    Теги: Роскомнадзор изменения

  • 14.07.2021 Президент РФ подписал закон о десятикратном увеличении штрафов за разглашение персональных данных

    Теперь в соответствии с Федеральным законом от 11 июня 2021 г. N 206-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» по статье 13.14 КоАП РФ штрафы для граждан за разглашение «информации ограниченного доступа» увеличиваются до 10 тысяч рублей, ранее они составляли от 500 до 1 тысячи рублей. Для должностных лиц штраф составит до 50 тысяч рублей, ранее от 4 до 5 тысяч рублей.

    В соответствии со статьей 13.14.1. получение информации любым незаконным способом, доступ к которой ограничен федеральным законом, влечет наложение административного штрафа на граждан в размере от 5 до 10 тысяч рублей; на должностных лиц - от 40 до 50 тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от 100 до 200 тысяч рублей.

    Под информацию ограниченного доступа подпадают также различные тайны, включая коммерческую или банковскую, адвокатская тайна, тайна связи, а также персональные данные россиян.

    Штрафы не менялись уже десять лет, сравнительно небольшая ответственность приводила к тому, что подобная информация появлялась в общем доступе, становилась объектом торговли или распространения в интернете. Десятикратное увеличение штрафов по мнению законотворцев должно защитить граждан России и их персональные данные, а также бизнес от посягательств мошенников.

    Теги: ответственность изменения

  • 13.07.2021 С 1 Июля 2021 года вступил в силу Федеральный закон от 31 июля 2020 г. № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»

    Вместе с Постановлением Правительства РФ от 29.06.2021 N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" данный закон устанавливает правила проведения проверок Роскомнадзора.
    Основным новшеством стало то, что теперь Роскомнадзор при проведении проверок будет использовать риск-ориентированный подход. Все поднадзорные объекты будут занесены в единую информационную систему, и каждый из них будет отнесен к одной из категорий риска причинения вреда (ущерба). Категорий риска будет пять

    Теги: изменения регуляторы

  • 13.07.2021 Роскомнадзор вызвал представителей американских интернет-сервисов Facebook, WhatsApp и Twitter для составления административных протоколов

    Ранее регулятор потребовал от ряда иностранных компаний предоставить документы, подтверждающие выполнение требования о локализации баз данных российских пользователей на территории РФ. Сервисы Facebook, WhatsApp и Twitter не смогли подтвердить, что первичная обработка и хранение персональных данных россиян осуществляется на территории РФ.

    Теги: Роскомнадзор ответственность