🔹Постановлением Управления Роспотребнадзора по Пермскому краю от 11.01.2022 АО "_" признано виновным по ч.2 ст.14.8 КоАП РФ и оштрафовано на 10,000 ₽. Одна из причин: пункты 3.16.14, 3.17 Договора противоречат требованиям ч.2, ч.7 ст.5 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" поскольку имеют завышенный, не подтвержденный целями срок обработки персональных данных клиента.
🔹Суды трёх инстанций поддержали позицию Роспотребнадзора и указали, что срок обработки персональных данных Клиента в течение 10 лет с даты прекращения обязательств имеют завышенный, не подтвержденный целями срок обработки персональных данных клиента, что противоречит требованиям ч.2, ч.7 ст.5 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных", ч.1 ст.16 Закона РФ от 07.02.1992 №2300-1 "О защите прав потребителей" и ущемляют права потребителя.
https://kad.arbitr.ru/Card/db6de04e-c767-4fd2-844a-3c6d9f98427c
#практика
🔹Суды трёх инстанций поддержали позицию Роспотребнадзора и указали, что срок обработки персональных данных Клиента в течение 10 лет с даты прекращения обязательств имеют завышенный, не подтвержденный целями срок обработки персональных данных клиента, что противоречит требованиям ч.2, ч.7 ст.5 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных", ч.1 ст.16 Закона РФ от 07.02.1992 №2300-1 "О защите прав потребителей" и ущемляют права потребителя.
https://kad.arbitr.ru/Card/db6de04e-c767-4fd2-844a-3c6d9f98427c
#практика
Приглашаем на очередную очную встречу Privacy Club. Наши встречи посвящены проблемным вопросам правоприменения законодательства о персональных данных. Мероприятие организовано при поддержке экспертов крупной финансовой корпорации и пройдет в башне "Евразия" (Москва-сити).
Темы предстоящей встречи:
- Общее в регулировании трансграничной передачи ПД в Армении, Беларуси и Казахстане, локальные проблемы с передачей в/из Европу и США из данных стран.
- Локальное регулирование локализации баз персональных данных в Армении, Беларуси и Казахстане, инсайты по преодолению.
- Свободный микрофон: data privacy вопросы операторам сотовой связи и банкам. На предварительные вопросы отвечаем в первую очередь, задать можно здесь.
Формат: панельная дискуссия, сессия mastermind, networking.
Участники: ведущие эксперты (инхаус) в сфере privacy; приглашенные DPO.
Место: г. Москва, Пресненская набережная, д. 10, стр. 1 (Башня «Евразия» Москва-Сити).
Дата и время: 23 октября 2024 года, 18.00-21.00 мск.
Модератор: Денис Лукаш, внешний DPO корпораций с миллиардными оборотами, управляющий партнер Lukash & Partners.
Стоимость: бесплатно для приглашенных участников (внутренние специалисты), необходима регистрация и получение подтверждения.
Онлайн трансляции или записи не будет.
Темы предстоящей встречи:
- Общее в регулировании трансграничной передачи ПД в Армении, Беларуси и Казахстане, локальные проблемы с передачей в/из Европу и США из данных стран.
- Локальное регулирование локализации баз персональных данных в Армении, Беларуси и Казахстане, инсайты по преодолению.
- Свободный микрофон: data privacy вопросы операторам сотовой связи и банкам. На предварительные вопросы отвечаем в первую очередь, задать можно здесь.
Формат: панельная дискуссия, сессия mastermind, networking.
Участники: ведущие эксперты (инхаус) в сфере privacy; приглашенные DPO.
Место: г. Москва, Пресненская набережная, д. 10, стр. 1 (Башня «Евразия» Москва-Сити).
Дата и время: 23 октября 2024 года, 18.00-21.00 мск.
Модератор: Денис Лукаш, внешний DPO корпораций с миллиардными оборотами, управляющий партнер Lukash & Partners.
Стоимость: бесплатно для приглашенных участников (внутренние специалисты), необходима регистрация и получение подтверждения.
Онлайн трансляции или записи не будет.
Встреча экспертов Privacy Club будет носить конфиденциальный характер, т.е. запись и трансляция не ведутся.
Обсужденное за пределы не выносим. Это позволяет более открыто обсуждать проблемные вопросы, риски.
В личке много благодарностей за такой формат и экспертный состав участников. Решил опубликовать один самый короткий и емкий от участника одной из прошлых встреч для понимания того, что ждет тех, кто еще не приходил.
Обсужденное за пределы не выносим. Это позволяет более открыто обсуждать проблемные вопросы, риски.
В личке много благодарностей за такой формат и экспертный состав участников. Решил опубликовать один самый короткий и емкий от участника одной из прошлых встреч для понимания того, что ждет тех, кто еще не приходил.
Немного про курсы о персональных данных.
Меня периодически просят порекомендовать DPO для устройства в штат. Как Вы думаете, какой курс нужно закончить, чтобы Вас рассмотрели на вакансию DPO от 400 000 р. в месяц: MDS, Б-152, RPPA, МГЮА, какой-то другой?
Мое мнение следующее: никакой. Я собеседовал в штат потенциальных сотрудников, закончивших разные курсы и только на этом основании претендующих на вакансию DPO. В этом случае только джуниорская позиция, где окончание курса можно принять за доказательство сильной мотивации. Исключения есть, как правило, среди юристов с сильной базой в области права.
Действующим джуниорам, которые уже практикуют, возможно есть наставник, будет полезны курсы для роста до мидла (понимать позиции других экспертов, есть четкое понимание слабых зон и т.п.).
От 300 000 - уровень старшего DPO, нужен практический опыт несколько лет + набор софтскилс и других смежных компетенций. Курсы помогут стать старшим DPO, только если на них преподавать.
Любые курсы будут полезны совместителям. Т.е. у работника есть задачи, где в ПД он погружен не на 100%, что поделать, часто ответственными за организацию обработки назначают "кого смогли". Но в компании, где количество случаев обработки ПД ограничено, принимаются риски вместо комплаенса, работник занимается функцией не на 100%, уровень "совместителя" в ПД никогда не станет выше мидла.
Для того, что бы расти как DPO нужна практика. Ее нужно искать где только можно, быть готовым работать бесплатно или за небольшие деньги в этом треке (в будущем окупится). Лучше все же за какие-то деньги или за утилизацию рабочего времени работодателя, так от постановщика задачи Вы получите какую-то обратную связь.
А что бы набраться первоначальной базы, я предлагаю справедливый путь: мой курс, который в разы дешевле вышеперечисленных. На нем я даю теорию и практику, с которой сам сталкивался и знания, которые важны для практической деятельности, ничего лишнего. У Вас остаются записи и презентации, а дальше практика и только практика.
Кстати, в Lukash Partners есть позиция стажера не на полный день. Так или иначе - это мощная обратная связь по задачам от меня. Смогу рассмотреть кандидата, прошедшего мой курс.
P.S. вышеперечисленное субъективное мнение автора, есть нюансы за пределами поста.
Меня периодически просят порекомендовать DPO для устройства в штат. Как Вы думаете, какой курс нужно закончить, чтобы Вас рассмотрели на вакансию DPO от 400 000 р. в месяц: MDS, Б-152, RPPA, МГЮА, какой-то другой?
Мое мнение следующее: никакой. Я собеседовал в штат потенциальных сотрудников, закончивших разные курсы и только на этом основании претендующих на вакансию DPO. В этом случае только джуниорская позиция, где окончание курса можно принять за доказательство сильной мотивации. Исключения есть, как правило, среди юристов с сильной базой в области права.
Действующим джуниорам, которые уже практикуют, возможно есть наставник, будет полезны курсы для роста до мидла (понимать позиции других экспертов, есть четкое понимание слабых зон и т.п.).
От 300 000 - уровень старшего DPO, нужен практический опыт несколько лет + набор софтскилс и других смежных компетенций. Курсы помогут стать старшим DPO, только если на них преподавать.
Любые курсы будут полезны совместителям. Т.е. у работника есть задачи, где в ПД он погружен не на 100%, что поделать, часто ответственными за организацию обработки назначают "кого смогли". Но в компании, где количество случаев обработки ПД ограничено, принимаются риски вместо комплаенса, работник занимается функцией не на 100%, уровень "совместителя" в ПД никогда не станет выше мидла.
Для того, что бы расти как DPO нужна практика. Ее нужно искать где только можно, быть готовым работать бесплатно или за небольшие деньги в этом треке (в будущем окупится). Лучше все же за какие-то деньги или за утилизацию рабочего времени работодателя, так от постановщика задачи Вы получите какую-то обратную связь.
А что бы набраться первоначальной базы, я предлагаю справедливый путь: мой курс, который в разы дешевле вышеперечисленных. На нем я даю теорию и практику, с которой сам сталкивался и знания, которые важны для практической деятельности, ничего лишнего. У Вас остаются записи и презентации, а дальше практика и только практика.
Кстати, в Lukash Partners есть позиция стажера не на полный день. Так или иначе - это мощная обратная связь по задачам от меня. Смогу рассмотреть кандидата, прошедшего мой курс.
P.S. вышеперечисленное субъективное мнение автора, есть нюансы за пределами поста.
Опубликована запись моего доклада об утечках персональных данных
Vk
VK | Welcome!
VK is the largest European social network with more than 100 million active users. Our goal is to keep old friends, ex-classmates, neighbors and colleagues in touch.
Что общего между культурным наследием и персональными данными?
Когда-то Роскомнадзор назывался Россвязьохранкультурой. Помимо ведения реестра операторов персональных данных и защиты прав субъектов персональных данных занимался охраной культурного наследия. Вот новость от 2008 года: в реестре 408 операторов персональных данных.
Сейчас цифра приближается к миллиону, а уведомлять теперь нужно еще о трансграничной передаче и об "утечках".
Я в то время работал в этой службе. Один из самых запоминающихся случаев, с которым столкнулись бывшие связисты в регионах (не все в регионах успели набрать экспертов в области культурного наследия), это случай с останками шерстистого носорога.
С 2011 охрану культурного наследия передали в Минкульт РФ, больше в РКН не возвращалась.
Когда-то Роскомнадзор назывался Россвязьохранкультурой. Помимо ведения реестра операторов персональных данных и защиты прав субъектов персональных данных занимался охраной культурного наследия. Вот новость от 2008 года: в реестре 408 операторов персональных данных.
Сейчас цифра приближается к миллиону, а уведомлять теперь нужно еще о трансграничной передаче и об "утечках".
Я в то время работал в этой службе. Один из самых запоминающихся случаев, с которым столкнулись бывшие связисты в регионах (не все в регионах успели набрать экспертов в области культурного наследия), это случай с останками шерстистого носорога.
С 2011 охрану культурного наследия передали в Минкульт РФ, больше в РКН не возвращалась.
Роскомнадзор
Россвязьохранкультура приступила к ведению реестра операторов персональных данных
О передаче персональных данных работника без согласия с отсылками за законный интерес
🔹Работник оператора подал жалобу в Роскомнадзор о неправомерной передаче его персональных данных третьим лицам: аутсорсинговому агентству, занимающемуся кадровым администрированием и расчетом заработной платы, и юрисконсультам для подготовки документов от имени оператора.
🔹Роскомнадзор направил запрос Оператору о предоставлении информации по факту обращения работника. В течение ожидания ответа работник был уволен по сокращению штата работников, а его трудовой договор утерян.
🔹После этого Роскомнадзор дал ответ заявителю, что он неправильно указал наименование работодателя в своей жалобе. Кроме того, правовым основанием обработки персональных данных работников организации является ТК РФ, и обработка персональных данных работника при выполнении работодателем возложенных на него трудовым законодательством обязанностей не требует согласия работника.
🔹Суд поддержал доводы Роскомнадзора. Суд отметил, что согласие истца не является обязательным условием обработки его персональных данных указанными третьими лицами. Исходя из того, что отношения между заявителем и оператором возникли на основании трудового договора, указанные третьи лица осуществляли обработку персональных данных заявителя в связи с необходимостью выполнения обязательств, принятых в рамках подписанного с работником трудового договора и принятых работодателем локальных нормативных актов. Отдельные обязанности работодателя возникли и в связи с соблюдением иного отраслевого законодательства: налогового, бухгалтерского и т.д. Соответствующие обязанности возникают у работодателя с момента оформления трудоустройства работника и сохраняются даже после прекращения трудового договора.
🔹Таким образом, обработка персональных данных в данном случае осуществлялась в рамках исполнения трудового договора, закона, и не могла ставиться под условие получения согласия на обработку персональных данных, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона.
🔹Суд указал, что, оператор привлек третье лицо к расчету заработной платы и передал ему для этого персональные данные истца в соответствии сосвоим законным интересом .
🔹Работник оператора подал жалобу в Роскомнадзор о неправомерной передаче его персональных данных третьим лицам: аутсорсинговому агентству, занимающемуся кадровым администрированием и расчетом заработной платы, и юрисконсультам для подготовки документов от имени оператора.
🔹Роскомнадзор направил запрос Оператору о предоставлении информации по факту обращения работника. В течение ожидания ответа работник был уволен по сокращению штата работников, а его трудовой договор утерян.
🔹После этого Роскомнадзор дал ответ заявителю, что он неправильно указал наименование работодателя в своей жалобе. Кроме того, правовым основанием обработки персональных данных работников организации является ТК РФ, и обработка персональных данных работника при выполнении работодателем возложенных на него трудовым законодательством обязанностей не требует согласия работника.
🔹Суд поддержал доводы Роскомнадзора. Суд отметил, что согласие истца не является обязательным условием обработки его персональных данных указанными третьими лицами. Исходя из того, что отношения между заявителем и оператором возникли на основании трудового договора, указанные третьи лица осуществляли обработку персональных данных заявителя в связи с необходимостью выполнения обязательств, принятых в рамках подписанного с работником трудового договора и принятых работодателем локальных нормативных актов. Отдельные обязанности работодателя возникли и в связи с соблюдением иного отраслевого законодательства: налогового, бухгалтерского и т.д. Соответствующие обязанности возникают у работодателя с момента оформления трудоустройства работника и сохраняются даже после прекращения трудового договора.
🔹Таким образом, обработка персональных данных в данном случае осуществлялась в рамках исполнения трудового договора, закона, и не могла ставиться под условие получения согласия на обработку персональных данных, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона.
🔹Суд указал, что, оператор привлек третье лицо к расчету заработной платы и передал ему для этого персональные данные истца в соответствии со
Уже в четверг начнется курс "Обработка персональных данных в организации", организатором выступает "Безопасность360".
Со мной читать лекцию будет также Валерий Комаров (Инфогород), где поделится опытом по применению НПА в области защиты персональных данных со стороны ФСТЭК/ФСБ.
Со мной читать лекцию будет также Валерий Комаров (Инфогород), где поделится опытом по применению НПА в области защиты персональных данных со стороны ФСТЭК/ФСБ.
360sec.ru
Обработка персональных данных в организации | Безопасность 360
Законопроект об охране голоса человека
🔹Совет при президенте РФ по кодификации и совершенствованию гражданского законодательства совместно с комитетом Госдумы по госстроительству и законодательству рассматривают законопроект об использовании сгенерированного искусственным интеллектом голоса человека только с его согласия, так как искусственный интеллект может имитировать голоса без согласия их владельцев, что может приводить к использованию имитаций голоса для финансовых махинаций и мошенничества.
🔹Законопроект предусматривает охрану голоса человека и получения согласия человека на его использование. В случае смерти голос человека может быть использован только с согласия близких родственников. Вместе с тем законопроект позволяет гражданину требовать удаления записи его голоса, нарушающей его права, а также налагать запрет на их дальнейшее использование.
🔹Будет ли являться запись голоса персональными данными? Полагаю, нужно идти по логике, сформировавшейся в практике правоприменения для фотоизображений:
- Фотография отдельно от других данных, без дополнительных характеристик человека не является персональными данными, и охраняется согласно статье 152.1 ГК РФ.
- Если же фотография рассматривается совместно с другими данными о человеке (например, ФИО), то фотография признается персональными данными.
- При использовании же фотографии для целей идентификации человека фотография может стать биометрическими персональными данными (подробней см. ст. 11 152-ФЗ).
#мнение
🔹Совет при президенте РФ по кодификации и совершенствованию гражданского законодательства совместно с комитетом Госдумы по госстроительству и законодательству рассматривают законопроект об использовании сгенерированного искусственным интеллектом голоса человека только с его согласия, так как искусственный интеллект может имитировать голоса без согласия их владельцев, что может приводить к использованию имитаций голоса для финансовых махинаций и мошенничества.
🔹Законопроект предусматривает охрану голоса человека и получения согласия человека на его использование. В случае смерти голос человека может быть использован только с согласия близких родственников. Вместе с тем законопроект позволяет гражданину требовать удаления записи его голоса, нарушающей его права, а также налагать запрет на их дальнейшее использование.
🔹Будет ли являться запись голоса персональными данными? Полагаю, нужно идти по логике, сформировавшейся в практике правоприменения для фотоизображений:
- Фотография отдельно от других данных, без дополнительных характеристик человека не является персональными данными, и охраняется согласно статье 152.1 ГК РФ.
- Если же фотография рассматривается совместно с другими данными о человеке (например, ФИО), то фотография признается персональными данными.
- При использовании же фотографии для целей идентификации человека фотография может стать биометрическими персональными данными (подробней см. ст. 11 152-ФЗ).
#мнение
Обновления по программе встречи экспертов в области информационной приватности Privacy Club.
На встрече также будем обсуждать новые инициативы Роскомнадзора о снижении роли согласий, как оснований обработки персональных данных, в первую очередь в финансовой сфере (с участием DPO финансовых организаций). Если Вы занимаетесь ПД в финансовой сфере, обязательно регистрируйтесь.
Актуальный план встречи:
1. Общее в регулировании трансграничной передачи ПД в Армении, Беларуси и Казахстане, локальные проблемы с передачей в/из Европу и США из данных стран. Локальное регулирование локализации баз персональных данных в Армении, Беларуси и Казахстане, инсайты по преодолению.
2. Возможные законодательные инициативы, которые позволили бы обрабатывать ПД без согласий не нарушая прав субъектов ПД.
3. Свободный микрофон: data privacy вопросы операторам сотовой связи и банкам. На предварительные вопросы отвечаем в первую очередь, задать можно здесь.
4. Легализация обработки ПД в системах антифрод.
5. Практика оформления взаимодействий "обработчика" и привлекаемых им третьих лиц (перепоручение) в рамках поручения от оператора.
Программа плотная, будем стараться успеть.
Ключевое о встрече: запись не ведется, только очно (трансляции не будет), участники говорят от себя лично, а не от работодателей, СМИ не будет, модерация участников (только для инхаус), бесплатно, башня Евразия (Москва-Сити), 23.10.24 с 18.00 до 21.00 мск.
Уже 14-го утром регистрация закроется, списки будут переданы охране владельца площадки.
Еще раз ссылка на регистрацию.
На встрече также будем обсуждать новые инициативы Роскомнадзора о снижении роли согласий, как оснований обработки персональных данных, в первую очередь в финансовой сфере (с участием DPO финансовых организаций). Если Вы занимаетесь ПД в финансовой сфере, обязательно регистрируйтесь.
Актуальный план встречи:
1. Общее в регулировании трансграничной передачи ПД в Армении, Беларуси и Казахстане, локальные проблемы с передачей в/из Европу и США из данных стран. Локальное регулирование локализации баз персональных данных в Армении, Беларуси и Казахстане, инсайты по преодолению.
2. Возможные законодательные инициативы, которые позволили бы обрабатывать ПД без согласий не нарушая прав субъектов ПД.
3. Свободный микрофон: data privacy вопросы операторам сотовой связи и банкам. На предварительные вопросы отвечаем в первую очередь, задать можно здесь.
4. Легализация обработки ПД в системах антифрод.
5. Практика оформления взаимодействий "обработчика" и привлекаемых им третьих лиц (перепоручение) в рамках поручения от оператора.
Программа плотная, будем стараться успеть.
Ключевое о встрече: запись не ведется, только очно (трансляции не будет), участники говорят от себя лично, а не от работодателей, СМИ не будет, модерация участников (только для инхаус), бесплатно, башня Евразия (Москва-Сити), 23.10.24 с 18.00 до 21.00 мск.
Уже 14-го утром регистрация закроется, списки будут переданы охране владельца площадки.
Еще раз ссылка на регистрацию.
Forwarded from CyberYozh
Интервью с бывшим инспектором РКН: о юристах в техносфере, карьере DPO, персонификации тг-каналов и розыске шерстистого носорога | Денис Лукаш х Павел Хавский
🌐 Прямой эфир 19:00 UTM + 3
🙁 Почему в России все банят, и что это за таинственная организация РКН, которая не дает жить спокойно.
🎤 Наш гость - Денис Лукаш, CEO компании «Lukash & Partners» DPO крупных российских организаций, бывший инспектор РКН
В эфире:
🟡 что происходит с РКН последние 2 года
🟡 будет ли у нас чебурнет
🟡 как воровали данные у компаний в 2024 году
🟡 как устроиться работать на должность Data Protection Officer
Видимо, с последними новостями о том, что творит любимый РКН, будем партейку в данж собирать на Госуслугах, там же и общаться под присмотромбольшого брата товарища майора.
Так что есть шанс спросить на эфире, что ожидать в будущем, не пропустите!
🎤 Наш гость - Денис Лукаш, CEO компании «Lukash & Partners» DPO крупных российских организаций, бывший инспектор РКН
В эфире:
Видимо, с последними новостями о том, что творит любимый РКН, будем партейку в данж собирать на Госуслугах, там же и общаться под присмотром
Так что есть шанс спросить на эфире, что ожидать в будущем, не пропустите!
Please open Telegram to view this post
VIEW IN TELEGRAM
На встречу Privacy Club в Москва-Сити зарегистрировалось более 70 инхаус-экспертов по персональным данным. Это помимо группы DPO крупнейшей финансовой корпорации - владельца площадки.
Получается организовали самое массовое экспертное оффлайн событие в России по информационной приватности за последнее время.
Приглашения разосланы. Регистрация закрыта,
Если Вы регистрировались, но не получили письмо-приглашение, пишите мне в лс, выясним причину.
Получается организовали самое массовое экспертное оффлайн событие в России по информационной приватности за последнее время.
Приглашения разосланы. Регистрация закрыта,
Если Вы регистрировались, но не получили письмо-приглашение, пишите мне в лс, выясним причину.
КС РФ поддержал возможность увольнения работника из-за разглашения охраняемой законом тайны, в том числе, персональных данных.
Конституционный Суд Российской Федерации опубликовал определение, согласно которому трудовой договор может быть расторгнут из-за однократного грубого нарушения работником трудовых обязанностей - разглашения охраняемой тайны, в том числе, персональных данных другого работника.
Суд отказал в удовлетворении иска о восстановлении на работе, ссылаясь на разглашение охраняемой тайны и подтвердил, что для увольнения работника за разглашение охраняемой тайны не требуется вступивший в законную силу приговор суда.
Тем не менее, суд отметил:
“Работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения”.
#практика
Конституционный Суд Российской Федерации опубликовал определение, согласно которому трудовой договор может быть расторгнут из-за однократного грубого нарушения работником трудовых обязанностей - разглашения охраняемой тайны, в том числе, персональных данных другого работника.
Суд отказал в удовлетворении иска о восстановлении на работе, ссылаясь на разглашение охраняемой тайны и подтвердил, что для увольнения работника за разглашение охраняемой тайны не требуется вступивший в законную силу приговор суда.
Тем не менее, суд отметил:
“Работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения”.
#практика
Нужно ли уведомлять Роскомнадзор о трансграничной передаче при заключении договора с другим контрагентом в той же юрисдикции, если уведомляли до этого по "старым" контрагентам?
Ч. 5 ст. 12 152-ФЗ предусмотрена оценка трансграничной передачи, в которой упоминается указание иностранного лица - получателя ПД. В свою очередь, информация о дате проведения оценки ТГП должна быть в уведомлении Роскомнадзора (ч. 4. ст. 12 152-ФЗ). Получился вопрос: нужно ли заново уведомлять Роскомнадзор при новом контрагенте в той же стране?
Был ответ Роскомнадзора, который охладил ситуацию: не нужно (смысловая часть на скриншоте).
Но вот на днях вышел информационный ролик от ФГУП "ГРЧЦ" (подвед РКН). На отметке 03.40 сказано, что если меняется лицо, которому осуществляется трансграничная передача, то уведомлять нужно.
Честно говоря, мое понимание ч. 4 и ч. 5 152-ФЗ тоже сводится к тому, что нужно уведомлять при смене контрагента, так как иначе у Роскомнадзора останутся сведения о факте проведения оценки не по тем иностранным лицам. Появляются формальные признаки, по которым можно предъявить претензии оператору ПД.
Риски могли быть приняты с учетом позиции Роскомнадзора, которая сейчас пошатнулась официальной позицией его доверенных лиц.
Надеюсь Роскомнадзор прямо пояснит, менялась ли его позиция.
#мнение
Ч. 5 ст. 12 152-ФЗ предусмотрена оценка трансграничной передачи, в которой упоминается указание иностранного лица - получателя ПД. В свою очередь, информация о дате проведения оценки ТГП должна быть в уведомлении Роскомнадзора (ч. 4. ст. 12 152-ФЗ). Получился вопрос: нужно ли заново уведомлять Роскомнадзор при новом контрагенте в той же стране?
Был ответ Роскомнадзора, который охладил ситуацию: не нужно (смысловая часть на скриншоте).
Но вот на днях вышел информационный ролик от ФГУП "ГРЧЦ" (подвед РКН). На отметке 03.40 сказано, что если меняется лицо, которому осуществляется трансграничная передача, то уведомлять нужно.
Честно говоря, мое понимание ч. 4 и ч. 5 152-ФЗ тоже сводится к тому, что нужно уведомлять при смене контрагента, так как иначе у Роскомнадзора останутся сведения о факте проведения оценки не по тем иностранным лицам. Появляются формальные признаки, по которым можно предъявить претензии оператору ПД.
Риски могли быть приняты с учетом позиции Роскомнадзора, которая сейчас пошатнулась официальной позицией его доверенных лиц.
Надеюсь Роскомнадзор прямо пояснит, менялась ли его позиция.
#мнение
Роскомнадзор образование.docx
45.4 KB
Роскомнадзор содействовал в снятии с публикации письма Рособрнадзора, о котором писал ранее, так же отметил:
"обработка персональных данных несовершеннолетних при проведении итоговой аттестации, завершающей освоение основных образовательных программ основного общего и среднего общего образования, при наличии условий, предусмотренных действующим законодательством Российской Федерации и в объёме, установленном действующим законодательством Российской Федерации, не противоречит требованиям Закона о персональных данных и подпадает под правовое основание, предусмотренное п. 2 ч. 1 ст. 6 Закона о персональных данных, и может осуществляться без согласия указанных лиц и их законных представителей, если иное не установлено вышеуказанными нормативными правовыми актами."
"если данное хранение копий документов, удостоверяющих личность обучающихся, в том числе иностранных граждан, осуществляется в случаях, предусмотренных законодательством Российской Федерации в сфере образования, полагаем, что указанная деятельность не будет противоречить требованиям законодательства Российской Федерации в области персональных данных."
"обработка персональных данных несовершеннолетних при проведении итоговой аттестации, завершающей освоение основных образовательных программ основного общего и среднего общего образования, при наличии условий, предусмотренных действующим законодательством Российской Федерации и в объёме, установленном действующим законодательством Российской Федерации, не противоречит требованиям Закона о персональных данных и подпадает под правовое основание, предусмотренное п. 2 ч. 1 ст. 6 Закона о персональных данных, и может осуществляться без согласия указанных лиц и их законных представителей, если иное не установлено вышеуказанными нормативными правовыми актами."
"если данное хранение копий документов, удостоверяющих личность обучающихся, в том числе иностранных граждан, осуществляется в случаях, предусмотренных законодательством Российской Федерации в сфере образования, полагаем, что указанная деятельность не будет противоречить требованиям законодательства Российской Федерации в области персональных данных."
Роскомнадзо_уведомление_ГИС_МИС.docx
44 KB
Кому-то будет полезен следующий ответ Роскомнадзора (ниже вопрос для понимания контекста):
Операторам необходимо указать в уведомлениях сведения о третьих лицах (физических/ юридических), которые имеют доступ к обработке персональных данных в государственных и муниципальных информационных системах оператора.
Текст вопроса:
В форме уведомления об обработке (о намерении осуществлять обработку) ПДн, в форме об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн есть раздел "Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку ПДн, содержащихся в гос. и мун. инф. системах".
Просим разъяснить, сведения о каких лицах требуется разместить в данном разделе, например:
1) сотрудники оператора ПДн, которые имеют доступ к обработке ПДн в ГИС/ МИС оператора;
2) сотрудники оператора ПДн, которые имеют доступ к обработке ПДн в ГИС/ МИС операторов - третьих лиц;
3) третьи лица (физ./ юр.), которые имеют доступ к обработке ПДн в ГИС/ МИС оператора;
4) другие лица.
P.S. Спасибо, что делитесь ответами
Операторам необходимо указать в уведомлениях сведения о третьих лицах (физических/ юридических), которые имеют доступ к обработке персональных данных в государственных и муниципальных информационных системах оператора.
Текст вопроса:
В форме уведомления об обработке (о намерении осуществлять обработку) ПДн, в форме об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн есть раздел "Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку ПДн, содержащихся в гос. и мун. инф. системах".
Просим разъяснить, сведения о каких лицах требуется разместить в данном разделе, например:
1) сотрудники оператора ПДн, которые имеют доступ к обработке ПДн в ГИС/ МИС оператора;
2) сотрудники оператора ПДн, которые имеют доступ к обработке ПДн в ГИС/ МИС операторов - третьих лиц;
3) третьи лица (физ./ юр.), которые имеют доступ к обработке ПДн в ГИС/ МИС оператора;
4) другие лица.
P.S. Спасибо, что делитесь ответами
В первом чтении принят законопроект, который обязывает оформлять согласия отдельно от иных документов.
Смотрим пояснительную записку, цитата: "зачастую положения о согласии на обработку персональных данных включаются в пользовательские соглашения, а также другие юридические документы, размещаемые на информационных ресурсах".
Согласие, включенное в договор (пользовательское соглашение - это договор), становится договорным условием. Т.е. обработка ПД будет осуществляться на основании п. 5 ч.1 ст. 6 152-ФЗ (а не п. 1 - согласия).
Однако, по тому, как это сформулировано, будущая норма будет распространяется, на случаи обработки ПД на основании согласия. Получается это только фильтр от тех, кто не различает правовые основания "согласие" и "договор с субъектом" и включает в договор согласия (этакий микс).
Если говорим о потребительских договорах, то ст. 16 ЗОЗПП итак во многом работает, рассылки без риска не подсунешь.
Смотрим пояснительную записку, цитата: "зачастую положения о согласии на обработку персональных данных включаются в пользовательские соглашения, а также другие юридические документы, размещаемые на информационных ресурсах".
Согласие, включенное в договор (пользовательское соглашение - это договор), становится договорным условием. Т.е. обработка ПД будет осуществляться на основании п. 5 ч.1 ст. 6 152-ФЗ (а не п. 1 - согласия).
Однако, по тому, как это сформулировано, будущая норма будет распространяется, на случаи обработки ПД на основании согласия. Получается это только фильтр от тех, кто не различает правовые основания "согласие" и "договор с субъектом" и включает в договор согласия (этакий микс).
Если говорим о потребительских договорах, то ст. 16 ЗОЗПП итак во многом работает, рассылки без риска не подсунешь.
sozd.duma.gov.ru
№679980-8 Законопроект :: Система обеспечения законодательной деятельности
Информационный ресурс Государственной Думы. Здесь собрана информация о рассмотрении законопроектов и проектов постановлений Государственной Думы
РКН астрахань фото на пропуске.docx
45.8 KB
УРКН по Астраханской области: фотографическое изображения, содержащиеся в таком документе как пропуск, являются биометрическими персональными данными, на основе которых оператор устанавливает личность человека путем сравнения фото и содержащихся на документе фамилии, имени и отчества лицом предъявителя пропуска.
P.S. Спасибо что делитесь ответами Роскомнадзора
P.S. Спасибо что делитесь ответами Роскомнадзора
РКН email и фото - биометрия.pdf
593.6 KB
УРКН по Саратовской области: как правило, возможность отнесения тех или иных сведений к биометрическим персональным данным регулируется законодательными и иными нормативными правовыми актами (далее приводится отсылка на ГОСТ Р ИСО/МЭК 19794-5-2013 через ПП РФ от 04.03.2010 № 125).
P.S. Спасибо что делитесь ответами Роскомнадзора
P.S. Спасибо что делитесь ответами Роскомнадзора