В прошлом году произошло значительное увеличение количества кибератак на российские компании, что привело к большому количеству утечек персональных данных. В 2022 году данные 75% россиян оказались в открытом доступе в интернете из-за утечек, в сети оказались личные данные примерно 100 миллионов человек.
Благодаря изменениям в 152-ФЗ «О персональных данных», вступивших в силу в Сентябре 2022 года, компании теперь обязаны уведомлять регулятора об утечках. И до конца 2022 года российские компании направили в Роскомнадзор порядка 100 уведомлений об утечках персональных данных.
В этом году уже стало известно об утечках в таких крупных компаниях, как Спортмастер, Ситимобил, Газпромбанк Инвестиции, Здравсити.
Для защиты нравственности, здоровья, прав и законных интересов граждан РФ, правительство и президент предполагают принять ряд мер по усилению ответственности за нарушения в сфере обработки персональных данных, направленных на борьбу с утечками, а также неправомерной трансграничной передачей персональных данных.
Владимир Путин поручил кабинету министров до 1 Июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных. Соответствующий законопроект готовит Минцифры.
Кабинет министров поддержал идею с введением уголовной ответственности за незаконный сбор, хранение и передачу персональных данных.
Опубликовано постановление Правительства РФ об утверждении правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных.
Мораторий на проверки бизнеса не распространяется на утечки персональных данных, и Роскомнадзор проводил и проводит проверки в компаниях, где была допущена утечка.
Повышение ответственности за утечки персональных данных направлено на смещение акцента в выполнении требований законодательства с формальных мер на реальную защиту конфиденциальной информации, к которой относятся персональные данные.
Теги: изменения
6 Июля 2022 года Государственная Дума РФ приняла законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»
Это одни из самых крупных единоразовых изменений в законодательство о персональных данных за все время существования 152-ФЗ. Ниже представлены основные положения этого законопроекта.
Добавляется принцип экстерриториальности, теперь 152-ФЗ распространяется на действия с персональными данными граждан РФ, даже если они осуществляются зарубежными операторами.
Вместе с Федеральным законом от 01.05.2022 № 135-ФЗ и Федеральным законом от 28.05.2022 № 145-ФЗ вводится запрет на необоснованный сбор ПДн потребителей, включение в договоры условий, навязывающие дополнительные товары и услуги, а также административная ответственность за эти действия. Кроме того, добавляется запрет на включение в договор положений, ограничивающих права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних.
Теги: изменения регуляторы
Штрафы за утечку персональных данных могут ввести до конца года. В настоящий момент предлагаемый размер штрафа составляет 1% от годового оборота организации.
Также планируется принять Федеральный закон, согласно которому оператор персональных данных будет обязан уведомлять об утечке, причем штраф за неуведомление может быть больше, чем за саму утечку.
Планы о введении штрафов за утечку персональных данных существуют уже довольно давно, при этом, в настоящий момент ответственность по законодательству о персональных данных предусмотрена только за неисполнение требуемых мер, а не за нарушение безопасности персональных данных.
Недавние кейсы с утечкой персональных данных Яндекс.Еда и Гемотест могут служить примером целесообразности подобной инициативы.
Теги: изменения
На сайте СК «Согласие» гражданка хотела узнать стоимость полиса ОСАГО, но не смогла это сделать без предоставления персональных данных. Для расчета требовалось указать ФИО, дату рождения, пол, данные паспорта и водительского удостоверения. Кроме того, в пользовательском соглашении содержались пункты, касающиеся автоматического согласия на обработку ПДн и их передачу третьим лицам в рекламных целях.
Составить иск гражданке помогли юристы Центра правовой помощи гражданам в цифровой среде. Требованиями иска было признать собираемые персональные данные на сайте страховой компании избыточными для расчета стоимости ОСАГО, а также исключить из пользовательского соглашения условия о том, что использование интернет-сайта посетителями означает дачу согласия на обработку ПДн, в том числе на направление рекламы, а также внести конкретный перечень третьих лиц, которым могут быть переданы персональные данные.
Мещанский районный суд иск не удовлетворил, после чего была подана апелляция в Мосгорсуд, который отменил решение суда первой инстанции и удовлетворил все требования истицы.
Суд отдельно подчеркнул, что информация об условиях договора, в том числе о страховых тарифах, должна предоставляться не только стороне договора, но и лицу, не принявшему окончательного решения о выборе страховой компании.
Этот судебный кейс способен в дальнейшем усовершенствовать практику защиты персональных данных россиян в рамках юридических споров.
Недавно созданный Центр правовой помощи гражданам в цифровой среде показал свою эффективность, что позволяет предполагать дальнейшее увеличение количества исков граждан к операторам ПДн по поводу неправомерной обработки их персональных данных.
Теги: ответственность
Следственный комитет Российской Федерации возбудил уголовное дело по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда». Уголовное дело возбуждено по признакам составов преступлений, предусмотренных частью 1 статьи 137 («Нарушение неприкосновенности частной жизни»), частью 3 статьи 272 («Неправомерный доступ к компьютерной информации») и частью 2 статьи 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса Российской Федерации.
В настоящий момент проводится комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.
Утечка персональных данных пользователей сервиса «Яндекс.Еда» была зафиксирована 1 Марта. В результате утечки в интернете были опубликованы телефоны и адреса покупателей.
21 Апреля Мировой суд Москвы оштрафовал «Яндекс.Еду» на 60 000 руб. в соответствии с частью 1 Статьи 13.11 КоАП РФ. Максимальное наказание по этой статье составляет 100 000 руб.
Ранее 33 пользователя сервиса подали коллективный иск в суд. Каждый из них требовал от компании по 100 000 руб. из-за утечки их персональных данных.
Теги: ответственность
Новый закон устанавливает запрет для продавца работ или услуг, а также исполнителя, агрегатора отказывать в заключении, изменении, расторжении или исполнении договора, если покупатель отказывается предоставить свои персональные данные.
Также закон содержит перечень недопустимых условий договора, ущемляющих права потребителей. Законом предусмотрен запрет на понуждение потребителя под угрозой отказа в совершении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ и не связано с совершением сделки о реализации товаров (работ, услуг).
Закон вступит в силу с 1 Сентября 2022 года. Положения, устанавливающие перечень недопустимых условий договора, ущемляющих права потребителя, распространяются на отношения, возникшие из ранее заключенных договоров.
В пояснительной записке объясняются цели закона, они заключаются в пресечении недобросовестного поведения на потребительском рынке, в том числе выражающегося в принудительном или необоснованном сборе персональных данных потребителей для целей, не связанных с заключением или исполнением договора.
Согласно новому закону, продавец (исполнитель, владелец агрегатора) не вправе отказывать в заключении, исполнении договора, направленного на приобретение одних товаров (работ, услуг), по причине отказа потребителя в приобретении иных товаров (работ, услуг).
По мнению законотворцев закон поможет избежать навязывания дополнительных услуг. К примеру, недопустимы станут ситуации, когда человек приобретает по договору долевого участия помещение одной площади, получает меньше квадратных метров, но требовать возмещение не может, поскольку в договоре этого не предусмотрено.
Помимо этого, продавцы не смогут навязывать, в каком именно суде в случае возникновения спора должна рассматриваться претензия: человек вправе выбрать наиболее удобный для него вариант - по месту проживания, по месту расположения магазина или по месту нахождения продавца. Кроме того, если продавец все же попытается навязать невыгодные условия договора, гражданин вправе потребовать убрать недопустимые условия договора, а продавец обязан будет скорректировать текст договора.
Часто при подписывании договора покупателю не оставляют выбора в части предоставления своих персональных данных, которые потом перепродают для рекламных рассылок. Теперь такая возможность будет ограничена.
6 Апреля 2022 года в Госдуму РФ внесен законопроект о внесении изменений в 152-ФЗ «О персональных данных».
Согласно пояснительной записке к законопроекту, инициатива разработана в целях усиления защиты прав граждан как субъектов персональных данных на неприкосновенность их частной жизни. В этой связи проектом вносятся поправки в закон "О персональных данных", направленные на совершенствование правовой защищенности субъектов персональных данных, а также усиление государственного контроля в этой сфере.
В числе основных планируемых изменений, введение принципа экстерриториальности с тем, чтобы российское законодательство о персональных данных применялось и за пределами страны. Устанавливается возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
Понятие трансграничной передачи персональных данных расширяется и включает в себя больше условий. Кроме того, вводится отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных, устанавливается порядок подачи такого уведомления. При этом трансграничная передача может быть запрещена или ограничена.
Уточняется положение обработчика, лица, осуществляющего обработку персональных данных, а не только оператора.
Не будет требоваться согласие субъекта на передачу его персональных данных другому лицу в рамках поручения на обработку, зато в поручении оператора для лица, осуществляющего обработку персональных данных, нужно будет определять перечень ПДн.
Оператор будет не вправе отказать в заключении договора с субъектом, если он отказывается предоставить биометрические персональные данные или не дает согласие на обработку ПДн.
Политику оператора в отношении обработки персональных данных нужно будет публиковать не просто в сети интернет, а в том числе на страницах принадлежащего оператору сайта, с использованием которого осуществляется сбор ПДн.
Оператор будет обязан обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.
В случае утечки персональных данных необходимо будет уведомить Роскомнадзор в течение 24 часов.
Заложен выход подзаконного акта, устанавливающий порядок уничтожения персональных данных.
Исключается большинство условий, которые позволяли не подавать уведомление о начале обработки персональных данных в Роскомнадзор. Если ранее было сложно не выходить за рамки исключений, теперь это станет практически невозможно, и уведомление нужно будет подавать подавляющему большинству операторов.
Вносятся изменения в порядок подачи уведомления, теперь оно будет содержать больше сведений.
Роскомнадзор становится самостоятельным и наделяется законодательной инициативой.
В дополнение вносятся изменения в Федеральный закон от 13 июля 2015 года № 218-ФЗ «О государственной регистрации недвижимости». Устанавливается, что персональные данные, содержащиеся в Едином государственном реестре недвижимости, могут быть предоставлены третьим лицам только с согласия физического лица - субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, владельца недвижимости.
Теги: изменения
Недавно произошла резонансная утечка персональных данных пользователей сервиса «Яндекс.Еда». В сети появилась интерактивная карта, где по адресу можно было увидеть сколько и каких заказов сделал тот или иной человек за достаточно длительный период времени, номер его телефона. Кроме того, видимо совместив данные из другой базы, злоумышленники добавили к информации такие персональные данные, как ФИО, адреса электронной почты.
Ресурсы с картой были в кратчайшие сроки заблокированы. Представители Яндекс.Еды заявили, что утечка произошла в результате недобросовестных действий одного из сотрудников, компания решила втрое сократить число сотрудников с доступом к конфиденциальным данным пользователей, а также провести дополнительные работы, направленные на усиление защиты информации.
При этом, максимальный штраф за подобное нарушение в соответствии с частью 1 Статьи 13.11 КоАП РФ составляет 100 000,00 рублей для юридического лица.
Вместе с тем, многие из пострадавших субъектов персональных данных подали коллективный иск к сервису, по 100 000,00 рублей каждый. В настоящий момент зарегистрированы иски от 33 пользователей в Москве, не исключены иски от клиентов из других городов. Суммарные претензии к сервису «Яндекс.Еда» уже составляют несколько миллионов рублей и могут возрасти.
Иск был подан в соответствии с частью 2 Статьи 17 ФЗ-152 «О персональных данных»: «субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке».
При этом, суд будет решать, какую именно назначить итоговую компенсацию каждому пострадавшему пользователю с учетом обстоятельств, при которых ему был причинен моральный вред.
Согласно исковому заявлению, после утечки персональных данных пользователям «Яндекс.Еды» начали массово поступать звонки с незнакомых номеров с рекламными предложениями различных услуг, им также стали звонить мошенники. Пользователи сервиса считают, что была нарушена неприкосновенность их частной жизни, они переживают за свою безопасность.
Для повышения ответственности операторов в случае дел, не имеющих столь широкого освещения, необходимо внести изменения в КоАП РФ в части штрафов за нарушение безопасности персональных данных, наподобие тех штрафов, которые были введены за нарушение требования о локализации персональных данных граждан РФ на территории России, и которые составляют до 6 миллионов рублей за первое нарушение и до 18 миллионов рублей за повторное.
Теги: ответственность
В 2021 году по результатам плановой проверки ПАО «Аэрофлот» Роскомнадзор вынес несколько предписаний, с которыми компания не согласилась и подала апелляцию. Суд ее удовлетворил, после чего апелляцию в свою очередь подал уже надзорный орган. 9 Февраля 9 арбитражный апелляционный суд принял решение оставить апелляционную жалобу Роскомнадзора без удовлетворения.
В частности, одним из нарушений, выявленных Роскомнадзором было то, что данные бывших работников хранились в ПАО «Аэрофлот» более 5 лет. Суд указал на то, что не обязательно прекращать обработку ПДн бывших работников в пятилетний срок с момента их увольнения. При этом, хранение документов, в том числе архивное хранение, может осуществляться не только в бумажном, но и в электронном виде. В законодательстве РФ отсутствует такое понятие, как "документ, переведенный в статус архивного", а установленные приказом Росархива от 20.12.2019 № 236 сроки хранения документов применяются в силу самого факта наличия того или иного документа в перечне документов, утвержденных данных приказом, а не в силу признания документа архивным.
То есть, если, к примеру, пришел запрос из Пенсионного фонда о периоде работы работника спустя 5 лет (максимальный срок хранения с точки зрения Роскомнадзора, если нет передачи в архив), его можно обработать в том числе с использованием информационной системы.
Еще одно нарушение, которые выявил надзорный орган, касалось передачи персональных данных работников третьим лицам. В итоге, суд постановил, что согласие работника на передачу его ПДн (Статья 88 ТК РФ) обязательно должно соответствовать требованиям части 4 Статьи 9 152-ФЗ, т.е. требованиям к согласию в письменной форме, только в случае обработки специальных категорий ПДн или биометрических ПДн, а также в случае трансграничной передачи ПДн (в неадекватные страны). При этом работодатель имеет право передавать ПДн работника без получения его согласия в случаях, предусмотренных п.п. 2-11 части 1 Статьи 6 152-ФЗ.
То есть, по решению суда, если есть коллективный договор, предусматривающий передачу ПДн сотрудников оператора третьим лицам, то передача ПДн работника возможна без письменного согласия. Это соответствует букве Трудового Кодекса. В абзаце 1 Главы 88 ТК РФ помимо прочего указано, что согласие на передачу не требуется, если случай передачи предусмотрен ТК РФ. Коллективный договор как раз подпадает под это описание в соответствии со Статьей 40 ТК РФ.
В дальнейшем обработка страховыми компаниями и прочими организациями осуществляется на основании договора с этими компаниями в соответствии с п. 5 части 1 Статьи 6 152-ФЗ, хотя Роскомнадзор считает иначе, что указанная норма применима исключительно к гражданско-правовым договорам, а основания для обработки ПДн в рамках трудовых отношений определены в Главе 14 ТК РФ.
Необходимо отметить, что это решение одного конкретного суда и в других случаях может быть принято противоположное решение.
Ознакомиться с решением апелляционного суда можно по ссылке
Теги: Роскомнадзор ответственность
25 Февраля 2022 года утвержден Приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных».
Проверочный лист содержит 67 вопросов, охватывающих все сферы действия законодательства о персональных данных.
Особенно интересно, что в состав вопросов входит «Соблюдаются ли обязательные требования по принятию необходимых организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий?»
Таким образом, в сферу компетенции Роскомнадзора входит проверка требований в соответствии с ч. 1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Несмотря на то, что Роскомнадзор не имеет права проверять работоспособность средств защиты информации, регулятор внимательно относится к организационным мерам по обеспечению безопасности персональных данных, в том числе к наличию, составу и наполнению проектной документации на построение системы защиты персональных данных.
Приказ расположен по ссылке
Теги: Роскомнадзор