Фз 152 штрафы: 152 ФЗ — штрафы за нарушение закона О персональных данных

iiko Russia — 152-ФЗ — как не попасть под штрафы Вот уже…

152-ФЗ — как не попасть под штрафы

Вот уже два месяца, как штрафы за нарушения при обработке персональных данных существенно возросли, но многие еще не приняли всех необходимых мер, чтобы защититься. Проверьте, все ли хорошо в «вашем королевстве».

САЙТ РЕСТОРАНА

Если на вашем сайте есть формы, в которых гость может оставлять свои персональные данные, то они должны быть оформлены в соответствии с законом. Это может быть форма заказа на доставку, анкета обратной связи, сервис заказа обратного звонка или онлайн-чат. В этих окнах обязательно должно быть предупреждение о том, что заполняя форму, гость дает согласие на обработку своих персональных данных, а также ссылка на соответствующий текст соглашения. Идеально – если это будет пустой чекбокс, в котором ваш гость должен сознательно поставить галочку, давая согласие на обработку своих персональных данных. Текст соглашения можно подсмотреть в интернете, но консультация юриста все же не помешает.

СИСТЕМА ЛОЯЛЬНОСТИ

При сборе персональных данных гостей для вашей системы лояльности не забудьте получить согласие на их обработку. Если вы используете бумажные анкеты, к ним должна прилагаться форма согласия, если регистрация гостей происходит через мобильное приложение или сайт – соответствующий функционал должен быть там. Проверьте все источники таких данных.

E-MAIL РАССЫЛКИ

Если о ваших адресатах вы не знаете ничего, кроме электронного адреса, согласие на обработку данных не нужно – e-mail не является персональными данными, т.к. по нему невозможно идентифицировать человека. Но ссылка для отписки от вашей рассылки должна быть обязательно. Если же, подписываясь на вашу рассылку, клиент оставляет дополнительную информацию о себе, чекбокс и ссылка на согласие обязательны.

ХРАНЕНИЕ ДАННЫХ

По закону, персональные данные ваших гостей, ваших сотрудников и других лиц должны храниться и обрабатываться на серверах, расположенных в РФ. Поэтому если вы используете облачные сервисы, поинтересуйтесь, где располагается хостинг.

Кстати, в стоимость тарифов iikoCloud входит хостинг, соответствующий требованиям 152-ФЗ. Подключайтесь!

Обработка персональных данных (ФЗ-152) для владельцев сайтов. Как не получить штраф и не попасть под блокировку?

Сергей Асанов

23 сентября 2020

Что относится к персональным данным? Чем отличается Политика конфиденциальности от Согласия на обработку персональных данных и от Пользовательского соглашения? Что всё-таки нужно делать с сайтом, чтобы не получить штраф или бан от Роскомнадзора. Обо всём этом простым языком. Разбираемся вместе.

О чём этот закон?

Если коротко, это закон о том, что такое персональные данные, кто имеет право их хранить и обрабатывать, и как это правильно делать. Главная цель закона — защищать персональные данные.

Что относится к персональным данным?

На этот вопрос до сих пор нет однозначного ответа. Поэтому коротко рассказываем о трактовке закона юристами и судами на сегодняшний день, после выхода нового постановления правительства в сентябре 2019 года.

В законе сказано, что персональные данные — это всё что связано с человеком, и по чему можно его опознать. Обычно это совокупность данных. Например, имя с фамилией и телефоном — это точно персональные данные.

Казалось бы, e-mail сам по себе не является персональными данными, если он не состоит из имени и фамилии. Однако, если вы отправляете на этот email рассылку рекламного характера в отсутствие соглашения на обработку персональных данных, то вы тоже нарушаете закон. (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

Примерно так же обстоят дела с ФИО и даже просто именем без фамилии и отчества. Компания все равно должна соблюдать закон о персональных данных и публиковать политику конфиденциальности (Постановление № 4А-288/2016 от 4 октября 2016 г. по делу № 4А-288/2016).

Аналогичная ситуация с куки, Яндекс.Метрикой и Гугл.Аналитикой. Было несколько громких дел, где российские суды признали это персональными данными.

Если ваши пользователи авторизуются для входа в личный кабинет по логину и паролю, то это не является персональными данными. Но в личном кабинете скорее всего есть профиль пользователя, в котором указано имя и email, поскольку почти ни одна регистрация не обходится без подтверждения по email или телефона. А это уже персональные данные.

Даже обезличенный id пользователя в совокупности со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки были признаны персональными данными в деле Ростелекома (Постановление № 13 ААС от 01.07.2016 по делу № А56-6698/2016).

Какой вывод можно сделать?

Персональные данные сотрудников: определение, правила работы

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы. Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как.

Основная информация о персональных данных:

Глава 14 Трудового кодекса РФ

Закон № 152-ФЗ О персональных данных

Положение об особенностях обработки персональных данных без средств автоматизации

Каких работодателей касаются правила о персональных данных

Каждый человек сам решает, что и кому сообщать о себе. Это его частная жизнь, она конфиденциальна. 

Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд. Основание — ст. 3 и 7 Закона № 152-ФЗ.

Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране.

Бизнесу без наёмного персонала в этом плане меньше хлопот. За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо.

Что такое персональные данные работника

Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст. 3 Закона № 152-ФЗ.

Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках.  

Вот список для ориентира:

Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей.

Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны. Так сказано в Письме Роскомнадзора от 07.02.2014 № 08КМ-3681.

Фото работника — например, на пропуск.

Отпечатки пальцев — это биометрические персональные данные. Для них те же правила.

Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Сдавайте отчётность без бухгалтерских знаний

Эльба — бухгалтерия, с которой справится любой. Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность.

Что будет за нарушение закона о персональных данных

За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности.

Административная ответственность: штрафы

Работу с персональными данными контролируют Роскомнадзор и прокуратура. С внеплановой проверкой приходят по жалобе работника, в том числе бывшего. 

Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст. 13.11 КоАП РФ. Размер штрафа — до 75 000 ₽.

Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных. Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018.

Гражданско-правовая ответственность: моральный вред работнику

Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда. 

Дела о моральном вреде рассматривает суд по иску работника. Сумма компенсации зависит от последствий и бывает ощутимой.

Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения. По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут. Работник отсудил 25 000 ₽ — дело № 33-4172/13.

Уголовная ответственность

В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст. 137 УК РФ. 

В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене.

Наказание грозит вплоть до лишения свободы на четыре года. Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов. Посмотрите нашу статью про дисциплинарную и материальную ответственность работников.

Правила работы с персональными данными работника

Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили:

🔐 Персональные данные работника обрабатывают только с его письменного согласия. 

🔐 Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи. Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

🔐 Работодатель берёт от работника только нужные для работы сведения — ст. 86 ТК РФ.  

О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

🔐 Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие.

🔐 Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.  

🔐 Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст. 5 Закона № 152-ФЗ.

🔐 Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ.

🔐 В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона. 

Как настроить работу с персональными данными: инструкция

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд.

1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников. 

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника. Подписи удобно собирать на обратной стороне положения.

Пример положения о защите персональных данных работников

2. Назначьте ответственного за персональные данные. 

Так нужно в силу ст. 22.1 Закона № 152-ФЗ. 

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов. Возьмите с него обязательство о неразглашении данных. Брать трудовые книжки, договоры и копии паспортов сможет только он.

ИП и организации с одним учредителем ответственным назначают себя. 

Пример приказа о назначении ответственного за работу с персональными данными

Пример обязательства о неразглашении

3. Берите с каждого работника письменное согласие на обработку персональных данных.  

Отсутствие согласия — популярный повод для штрафа. Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это.

Пример согласия на обработку персональных данных

Пример согласия на получение персональных данных у третьих лиц

Типовая форма трудового договора для микропредприятия

4. Храните документы с персональными данными в надёжном месте.

Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель. Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения.

Для хранения подойдёт сейф или ящик на замке. К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ.

5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение.

Ненужные резюме, заявления и копии паспортов уничтожают. Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п. 10 Положения. Пользуйтесь шредером или мелко порвите бумаги.

Аналогичное требование к удалению данных с сервера: чтобы не осталось копий.

6. Если нужно, уведомляйте Роскомнадзор.

По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных. 

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ. 

Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных. Надо уведомлять Роскомнадзор.

Электронное уведомление Роскомнадзору

Образцы бумажных уведомлений

А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — Политика конфиденциальности.

Сделали все документы? Пройдите самопроверку на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет.

7. Исполняйте требования закона не только формально. 

Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Требования

ФЗ-152 — Должна ли ваша компания их соблюдать?

После введения в действие Закона о персональных данных в России № 152-ФЗ иностранные компании, работающие на российском рынке, были вынуждены принять меры по соблюдению требований закона, чтобы избежать потенциального риска штрафов. Широкое внедрение облачных сервисов, от программного обеспечения до систем хранения, создало дополнительные проблемы совместимости — поставщики облачных сервисов (CSP) также должны соблюдать требования закона для хранения данных клиентов в облаке.

Мы рекомендуем всем операторам данных, работающим с российскими персональными данными, проверить их соблюдение. В этой статье мы объясняем, почему это важно, особенно для компаний, выходящих на российский рынок.

Какова основная цель закона?

Федеральный закон 152-ФЗ «О персональных данных» укрепляет конфиденциальность граждан. Согласно закону вся информация, получаемая компаниями, банками, социальными сетями, интернет-магазинами и т. Д.от сотрудников и клиентов необходимо бережно хранить. Передача персональных данных третьим лицам влечет административную и уголовную ответственность. При этом должно быть назначено уполномоченное лицо для получения любой частной информации, которое будет ее обрабатывать и обеспечивать безопасность.

Закон определяет персональные данные как любую информацию, прямо или косвенно связанную с идентифицированным или идентифицируемым физическим лицом (субъектом персональных данных).

Операторы данных могут собирать персональные данные только с согласия субъекта ПД.При этом устного разрешения часто бывает недостаточно — лучше подписать короткий договор или (если это сайт) предусмотреть поле с требованием поставить галочку о согласии на обработку передаваемых персональных данных.

Закон также требует, чтобы данные могли использоваться только для той конкретной цели, для которой они были собраны.

Компании должны гарантировать, что они принимают все необходимые меры для защиты данных, а также должны быть прозрачными для граждан в отношении того, как они используют собранные персональные данные.Граждане могут запросить информацию о том, какие данные о них хранятся в организации, а также могут запросить их удаление в любое время.

Почему это важно

Наиболее очевидное влияние 152-ФЗ на иностранные компании — это суверенитет в отношении данных. Правила локализации данных требуют, чтобы все операторы данных, работающие с персональными данными граждан России, вели свои базы данных таких данных в России.

Это нововведение затрагивает международные компании, потому что почти все их внутреннее программное обеспечение (CRM, бухгалтерские системы, кадровые системы и т. Д.)) является глобальным и часто находится за границей. Кроме того, это важно для зарубежных веб-сервисов, у которых нет локализованных систем (например, Twitter и Facebook). Новинка также касается разработчиков веб-сервисов, которые изначально решили локализовать системы в своих странах, хотя и ориентированы на российскую аудиторию.

За несоблюдение требований локализации, а также требований законодательства Российской Федерации в области персональных данных Роскомнадзор может заблокировать веб-сайты или ограничить обработку персональных данных в нелокализованных базах данных. Об этом говорится в пункте 4 статьи 23 Федерального закона «О персональных данных». Регулятор может проверить локализацию сайта путем выездных проверок, установив местонахождение базы данных, содержащей личную информацию о россиянах.

Помимо блокировки веб-сайта оператора данных, обрабатывающего российские персональные данные, существуют финансовые санкции. Административные штрафы за несоблюдение Правил локализации данных оператором данных составляют от 2 до 6 миллионов рублей (в настоящее время примерно от 27 000 до 80 000 долларов США) за первоначальное нарушение, за повторное нарушение штраф может достигать ₽ 18 миллионов (около 240 000 долларов США).

Они также ввели штрафы для топ-менеджеров компаний (генерального директора или генерального директора). За первоначальное нарушение — до 200 000 ₽ (примерно от 1560 до 3 125 долларов США), за повторные нарушения — от 500 000 до 800 000 ₽ (примерно от 7 800 до 12 500 долларов США).

Стоит отметить, что если деятельность иностранной организации направлена ​​на россиян, то к такой организации применяются не только требования локализации. Существуют и другие требования, в том числе уведомление уполномоченного органа об обработке персональных данных, публикация документа, определяющего политику оператора в отношении обработки ПД, назначение лица, ответственного за обработку персональных данных и т. Д.

Рекомендации для иностранных компаний

Чтобы избежать штрафов и рисков блокировки интернет-ресурсов в России, рекомендуется сначала оценить, соответствует ли ваша компания критериям для работы в России. При наличии факторов, указывающих на то, что деятельность нацелена на россиян, вам следует не только локализовать базы данных, содержащие персональные данные граждан России, но и соблюдать другие требования законодательства о персональных данных, а также быть готовым к эффективному сотрудничеству с Роскомнадзором.

Linkedin отказался хранить личные данные российских пользователей в границах России и был заблокирован. История иллюстрирует возможные последствия, которые могут иметь иностранные компании, если они не соблюдают российское законодательство.

Практическое руководство по законам о конфиденциальности данных по странам

В США нет единого всеобъемлющего законодательства о конфиденциальности данных. Вместо этого страна придерживается секторального подхода к конфиденциальности данных, полагаясь на лоскутное одеяло из отраслевых законов и законов штата.

Фактически, США полагаются на «сочетание законодательства, регулирования и саморегулирования», а не только на вмешательство государства. Существует около 20 отраслевых или отраслевых федеральных законов и более 100 законов о конфиденциальности на уровне штата (фактически, только в Калифорнии существует 25 законов о конфиденциальности).

Закон Калифорнии о защите прав потребителей (CCPA) дает жителям Калифорнии четыре права, которые дают им больше власти над своими личными данными: право на уведомление, право на доступ, право выбора (или отказа) и право на равные услуги.Любая организация, которая собирает персональные данные жителей Калифорнии, а не только предприятия, расположенные в штате, должна соблюдать CCPA. Подробнее о соблюдении CCPA читайте здесь .

1 января 2023 года в Вирджинии вступит в силу Закон о защите данных потребителей (CDPA). По закону компании, ведущие бизнес в штате, должны получать разрешение от пользователей на обработку своих данных. Это также дает потребителям право просматривать, получать, удалять и исправлять свои данные.В отличие от CCPA, компании должны разрешить резидентам отказаться от участия только в том случае, если они будут продавать данные для получения финансовой выгоды. Подробнее о CDPA здесь .

Наиболее известные национальные законы включают Закон о конфиденциальности 1974 года, Закон о защите конфиденциальности 1980 года, Закон Грэмма-Лича-Блайли 1999 года, Закон 1996 года о переносимости и подотчетности медицинского страхования, Закон о справедливой кредитной отчетности 2018 года.

Соблюдение нормативных требований — это только одна часть головоломки по защите данных. Загрузите эту шпаргалку, чтобы увидеть 6 других шагов по устранению утечки данных .

У США также есть специальные соглашения о защите конфиденциальности как с ЕС, так и со Швейцарией.

Для доп. Информации:

Персональные данные: планируется ужесточение санкций

% PDF-1.7
%
2 0 obj
>
/ Метаданные 4 0 R
/ Страницы 5 0 R
/ StructTreeRoot 6 0 R
/ Тип / Каталог
/ ViewerPreferences 7 0 R
>>
эндобдж
4 0 объект
>
поток
Microsoft® Word 2016

Microsoft® Word 20162019-09-12T12: 10: 22 + 03: 002019-11-26T10: 49: 46 + 03: 00uuid: BE01A0FB-C12D-44D0-87DC-1BF7AAFBA62Auid: BE01A0FB-C12D-44D0-87DC-1BF7Ae law messenger62

конечный поток
эндобдж
18 0 объект
>
поток
x] [oF ~ G_ @ | vnbAM: N = g. ~ p`c4AX: wdxGI

Fortress Russia — Закон о локализации данных в России

21 июля 2014 г. в России принят Федеральный закон № 242-ФЗ «О внесении изменений в некоторые законодательные акты Российской Федерации по уточнению порядка обработки персональных данных в информационно-телекоммуникационных сетях» («Федеральный закон № 242 -ФЗ »), который вносит ряд изменений в действующее российское законодательство о защите данных. В частности, он вносит изменения в Федеральный закон № 152-ФЗ «О персональных данных», устанавливая требование о локализации обработки персональных данных.

Дата вступления в силу

Важность Федерального закона № 242-ФЗ придает его дате вступления в силу. Изначально планировалось, что он вступит в силу 1 сентября 2016 года. Однако 31 декабря 2014 года был принят Федеральный закон № 526-ФЗ, который изменил дату вступления в силу Закона о локализации данных в России на 1 сентября 2015 года.

Регулируемая деятельность

Согласно новому закону, «операторы персональных данных» обязаны обрабатывать и хранить персональные данные граждан России с использованием баз данных, расположенных в России (т. е., «локализация» данных). Оператор персональных данных — это юридическое или физическое лицо, которое организует или выполняет обработку персональных данных и определяет цели и объем такой обработки. Определение персональных данных в Федеральном законе № 242-ФЗ аналогично определению, принятому в различных европейских законах о защите данных (т.е. любая информация, прямо или косвенно связанная с любым идентифицированным или потенциально идентифицируемым лицом, включая имя, дату и место рождения. , адрес и т. д.).В то время как закон в широком смысле определяет обработку как любое действие или комбинацию действий, выполняемых с персональными данными или с ними, требование локализации наиболее важно относится к записи, систематизации, накоплению, хранению, подтверждению (обновлению, редактированию) и извлечению персональных данных, выполняемых в соответствии с с частью 1 статьи 6 Федерального закона № 152-ФЗ, за исключением обработки, перечисленной в частях 2, 3, 4 и 8 части 1 статьи 6. Закон также требует от операторов данных уведомлять Роскомнадзор, ) расположения серверов, на которых будут обрабатываться российские персональные данные до начала обработки.

Сфера действия Регламента

Параметры требования к новой локализации данных не совсем ясны. Роскомнадзор не дал толкование применимости законодательства к иностранным операторам данных (включая иностранные веб-сайты, обрабатывающие персональные данные граждан России). Традиционно российское законодательство о защите данных применялось только к российским операторам данных и иностранным операторам данных, имеющим юридическое присутствие в России (, например, , которые имеют дочерние компании, представительства и т. Д.).), которые обрабатывают персональные данные в России. Если такое же определение будет принято в отношении этого законодательства, операторы данных, не имеющие законного присутствия в России, будут исключены из требования локализации.

Действующие требования

Неясно, запрещает ли закон обработку персональных данных российских граждан с использованием баз данных, расположенных за пределами России в дополнение к обработке в пределах России (например, в целях резервного копирования или дублированного хранения). Однако преобладает мнение, что даже если иностранная компания не имеет легального присутствия в России, но предоставляет онлайн-услуги, доступные российским гражданам, она все равно может подпадать под действие поправок.

Аналогичный подход присутствует в российском законодательстве о защите прав потребителей. Статья 1212 (1) Гражданского кодекса Российской Федерации предусматривает, что в ситуации, когда компания осуществляет деятельность в стране проживания потребителя или каким-либо образом переносит свою деятельность на территорию этой страны (например,g., предусматривает онлайн-сервисы, доступные для граждан России), обязательные правила страны проживания потребителя будут применяться к контракту между такой компанией и гражданином России независимо от применимого к контракту права. Такая позиция и ее более широкое толкование в целом соответствуют предлагаемым целям поправок, то есть защищать личные данные граждан России во всем мире.

Глава Роскомнадзора обозначил эту позицию в интервью, отметив, что сам факт того, что Роскомнадзор сможет заблокировать доступ к определенному сайту иностранной компании, позволяет сделать вывод о том, что составители поправок не намеревались ограничивать их объем. только иностранным компаниям, обрабатывающим персональные данные граждан России, филиалы и представительства которых находятся в России.Вероятно, что Роскомнадзор дополнительно разъяснит свою позицию, когда опубликует свою политику по обеспечению соблюдения закона, чтобы предоставить операторам данных рекомендации по соблюдению, что ожидается весной 2015 года.

Тем не менее, подразумевается, что операторы персональных данных, в том числе иностранные компании с юридическим присутствием в России, будут обязаны либо создавать в России центры обработки и хранения данных, либо арендовать такие помещения у российских поставщиков. Будет важно начать деятельность по сегрегационной обработке внутри организации или предоставление мощностей по переработке и хранению в России в 2015 году.

Ожидаются дополнительные разъяснения

В настоящее время законодательством не предусмотрены конкретные меры наказания, но будет применяться общая административная ответственность за нарушение российского законодательства о персональных данных. Корпорациям грозит штраф до 10 000 рублей за невыполнение новых требований по локализации. Более того, несоблюдение требований может привести к блокировке или ограничению доступа к веб-сайту или услуге на территории России Роскомнадзором. Никаких официальных комментариев, разъяснений или руководящих публикаций от Роскомнадзора не поступало, но весной ожидается некоторое публичное и, по крайней мере, неофициальное руководство.

СРАВНЕНИЕ ЗАКОНОВ О КОНФИДЕНЦИАЛЬНОСТИ: GDPR V. РОССИЙСКИЙ ЗАКОН O

Введение

Общий регламент по защите данных (Регламент (ЕС) 2016/679) (GDPR) и Федеральный закон от 27 июля 2006 г. № 152-ФЗ о личных данных. Данные («Закон о персональных данных») направлены на обеспечение защиты персональных данных физических лиц и применяются к организациям, которые собирают, используют или делятся такими данными.

В частности, оба закона содержат аналогичные положения, например, в отношении правовой основы для обработки.В соответствии с GDPR и Законом о персональных данных обработка данных является законной только в том случае, если субъект данных дал согласие на обработку, когда обработка необходима для выполнения контракта, а также для соблюдения юридического обязательства, среди прочего. вещи. Кроме того, как GDPR, так и Закон о персональных данных определяют довольно последовательные обязательства по трансграничной передаче данных, при условии, что такая передача осуществляется только в страны, обеспечивающие адекватный уровень защиты. Более того, оба закона достаточно согласованы в отношении назначения сотрудника по защите данных (DPO).

Однако Закон о персональных данных отличается от GDPR в некоторых существенных отношениях, особенно в отношении определений, обязательств контроллера и обработчика, а также территориального охвата. Если GDPR дает определение как контролера данных, так и обработчика, Закон о персональных данных относится только к операторам. GDPR также обеспечивает особую защиту личных данных детей и устанавливает минимальный возраст согласия в отношении услуг информационного общества, а также соответствующие меры для предоставления информации детям.Закон о личных данных не предоставляет специальной защиты личным данным детей и не устанавливает аналогичные конкретные требования к ним.

В отличие от GDPR, Закон о персональных данных не содержит конкретных положений о территориальном охвате. GDPR излагает особые положения об экстерриториальном объеме и применяется к обработке персональных данных субъектов данных, находящихся в ЕС, контроллером или процессором, не зарегистрированным в ЕС, где операции по обработке связаны с предложением товаров или услуг или мониторинг поведения.

GDPR и Закон о персональных данных также сильно различаются с точки зрения штрафных санкций, как финансовых, так и иных. GDPR предусматривает значительно более крупные финансовые санкции, до 20 миллионов евро или 4% мирового оборота, по сравнению с теми, которые предусмотрены Кодексом Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ («Кодекс об административных правонарушениях»). Правонарушения ‘), при котором максимальный размер единовременного административного штрафа за нарушение Закона о персональных данных составляет 18 миллионов рублей (прибл. 260 000 евро). Кроме того, в отличие от GDPR, Закон о персональных данных устанавливает, что DPO могут нести административную ответственность за несоблюдение Закона о персональных данных.

Примечательно, что в декабре 2020 года Парламент России принял Федеральный закон от 30 декабря 2020 года № 519-ФЗ о внесении изменений в Федеральный закон о персональных данных, который вносит поправки в Закон о персональных данных, вводя понятие общедоступных данных. . Эти поправки вступят в силу частично 1 марта 2021 года и частично 1 июня 2021 года.

Это руководство призвано помочь организациям понять и сравнить соответствующие положения GDPR и Закона о персональных данных, чтобы обеспечить соблюдение обоих законодательных норм.

Структура и обзор Руководства

В этом Руководстве проводится сравнение двух законодательных актов по следующим ключевым положениям:

1. Сфера применения
2. Ключевые определения
3. Правовая основа
4. Обязанности контролера и процессора
5. Права физических лиц
6. Обеспечение соблюдения

Каждая тема включает соответствующие статьи и разделы из двух законов, краткое изложение сравнения и подробный анализ сходств и различий между GDPR и Законом о персональных данных.

Ключ для определения степени согласованности

Согласованность: GDPR и Закон о персональных данных имеют высокую степень сходства в обосновании, сути, сфере применения и применении рассматриваемого положения.

Достаточно согласован: GDPR и Закон о персональных данных имеют высокую степень сходства в обосновании, сути и объеме рассматриваемого положения; однако детали, регулирующие его применение, различаются.

Довольно непоследовательно: GDPR и Закон о персональных данных имеют несколько различий в отношении объема и применения рассматриваемого положения, однако его обоснование и суть имеют некоторое сходство.

Несоответствие: GDPR и Закон о персональных данных сильно различаются в отношении обоснования, сути, объема и применения рассматриваемого положения.

Использование руководства

Это руководство носит общий и образовательный характер и не предназначено для использования в качестве источника юридических рекомендаций и на него не следует полагаться.

Информация и материалы, представленные в Руководстве, могут не применяться во всех (или каких-либо) ситуациях, и не следует действовать без специальной юридической консультации, основанной на конкретных обстоятельствах.

Обновления конфиденциальности на 2021 год

Что нового в 2021 году

Если вы думали, что 2020 год будет трудным годом для решений по обеспечению конфиденциальности в условиях пандемии, просто подождите до 2021 года, который, как ожидается, будет наполнен беспорядками и потрясениями. Компании по всему миру должны будут подготовиться к изменениям в действующем законодательстве, а также к новым федеральным законам, вступающим в силу во всем мире. Предстоит немало сражений между защитниками конфиденциальности и национальными требованиями. К 2021 году компании могут ожидать быстрых изменений, сроков соблюдения нормативных требований и штрафов, если они не смогут удовлетворить новые потребности.

Некоторые новые вещи, на которые следует обратить внимание, — это вступление в силу нового законодательства, бэкдоры в зашифрованных сообщениях и новые технологии, ориентированные на конфиденциальность. По словам Хайди Шей, главного аналитика по безопасности и рискам Forrester Research, грядущие изменения не только позволят компаниям избежать штрафных санкций. Новая стратегия будет заключаться в том, чтобы стать более ориентированными на клиентов с помощью политик конфиденциальности. «Потребители могут не обращать внимания, если появятся новости об утечке данных в результате нарушения безопасности.Есть большая готовность прощать такие вещи », — говорит она. «Но если ваша компания делает новости из-за неэтичной практики, или вы используете данные так, как люди не ожидали, тогда они будут беспокоиться о том, как еще вы используете их данные».

Хотя эта статья не может охватить все прогнозы на будущее, цель состоит в том, чтобы пролить свет на некоторые предстоящие изменения или новые политики, которые профессионалы в области конфиденциальности и владельцы бизнеса могут рассмотреть с приближением нового года.

Закон Дэниела

Закон штата Нью-Джерси, который, вероятно, вскоре станет федеральным законом, — это закон Дэниела. Он был назван в честь Даниэля Андерла, 20-летнего сына окружного судьи США Эстер Салас, который был застрелен после того, как кто-то смог узнать ее домашний адрес в Интернете. В Нью-Джерси этот закон был принят 39 голосами против. Законопроект запрещает раскрывать личные данные, такие как домашние адреса и номера телефонов, действующих или вышедших на пенсию федеральных, государственных и муниципальных судебных работников, прокуроров, сотрудников правоохранительных органов, их супругов и их детей через Интернет.

Изменения в CCPA

В январе предприятия будут отмечать первую годовщину принятия Закона Калифорнии о конфиденциальности потребителей (CCPA). Защитники конфиденциальности заставили государство серьезно отнестись к конфиденциальности, когда была высказана угроза поставить ее в бюллетень. Это первый всеобъемлющий закон о защите данных в США. Это попытка обеспечить государственное регулирование личной информации, принадлежащей гражданам, и обеспечить безопасность данных.

Помимо первой годовщины, в закон внесены некоторые последние изменения, которые повлияют на бизнес.Многим потребуются дополнительные инвестиции, чтобы опережать соблюдение требований. Все моратории на ранее засекреченные данные, такие как данные о деловых контактах или личные данные сотрудников, в качестве личной информации, подлежащей соблюдению CCPA, будут прекращены.

Текущий CCPA требует, чтобы компании разрешили потребителям права запрашивать доступ к их данным или их удаление. Для этого также требуется механизм отказа от участия клиентов в сторонних продажах данных. Существуют также новые требования к уведомлениям, которые обеспечивают легкий доступ к актуальной политике конфиденциальности и видимую ссылку «Не продавать мою личную информацию» для доступа клиентов на каждом сайте, который собирает личные данные, которые продаются.

В октябре 2020 года были подписаны поправки к правилам AB 25 и AB 1355, чтобы внести некоторые изменения. Эти новые поправки создают некоторые исключения для некоторых требований CCPA. Некоторые из этих исключений касаются запросов о соблюдении конфиденциальности, личных данных сотрудников и деловых контактов. Исключения были отменены, и исключения для этих типов личной информации больше не будут применяться с 1 января 2021 года. Чтобы соответствовать обновлениям, предприятиям следует сейчас оценивать и отслеживать этот тип данных и применять те же меры контроля. которые они используют для данных о клиентах.

GDPR — самый влиятельный в мире

Общий регламент ЕС по защите данных, или GDPR, твердо стоит на ногах и стремится стать самым влиятельным законодательством о защите данных во всем мире. Некоторые другие страны последовали их примеру, и эти законы либо вступили в силу, либо находятся в стадии разработки. Эти страны решили, что лучше всего иметь законодательство на федеральном уровне, которое конституционно защищает данные людей. Ожидается, что многие другие страны присоединятся к этому движению.Ведет ли это к глобальной политике? Так считают некоторые защитники конфиденциальности. Хотя в каждой стране могут быть разные штрафы или особенности, основы законодательства во всем мире будут одинаковыми.

Согласно исследованиям Gartner, к 2023 году данные 65% населения мира будут защищены в соответствии с современными правилами конфиденциальности, по сравнению с 10% сегодня. Более 60 юрисдикций по всему миру приняли или предложили законы, регулирующие конфиденциальность данных для своих граждан после введения GDPR в 2018 году.Некоторые из этих регионов включают Аргентину, Австралию, Бразилию, Египет, Индию, Индонезию, Японию, Кению, Мексику, Нигерию, Панаму, США, Сингапур и Таиланд.

Следите за новыми изменениями на горизонте в 2021 году и в последующий период, поскольку GDPR подает пример. Принятие единого глобального стандарта поможет предприятиям конкурировать во всем мире и модернизировать свои процессы обработки данных.

Федеральный закон РФ «О персональных данных»

Россия? Да, в России действует федеральный закон о конфиденциальности (№ 152-ФЗ) с июля 2006 года. Основная предпосылка российского закона о конфиденциальности заключается в том, что он требует от операторов данных принимать «все необходимые организационные и технические меры, необходимые для защиты персональных данных от незаконного или случайного доступа».

С января 2021 года закон теперь требует добавления специального российского программного пакета. Федеральный закон № 425-ФЗ был принят в декабре 2019 года. Он должен был вступить в силу в июле 2020 года, но, возможно, из-за пандемии COVID19 было принято решение перенести дату начала на 1 января 2021 года.Компании в России теперь должны будут иметь предустановленный пакет программного обеспечения для отслеживания своих стратегий защиты данных.

Закон Австралии о конфиденциальности

Австралия приняла свой федеральный закон о конфиденциальности в 1988 году. Он несколько раз обновлялся, чтобы идти в ногу с технологиями. Австралия намерена провести капитальный ремонт и внести некоторые изменения в свои законы о конфиденциальности данных на 2021 год. Изменения будут включать в себя упор на согласие, расширение определения личных идентификаторов, таких как файлы cookie и другие технологии отслеживания.Анна Джонстон, директор Salinger Privacy и считающаяся одним из самых уважаемых экспертов в австралийском законодательстве о конфиденциальности, отметила, что она видела сигналы в некоторых выступлениях руководителей конфиденциальности, ставящих под сомнение законность сбора личных данных в торговле для схем лояльности клиентов, отслеживания клиенты, таргетинг на рекламу и профилирование технологий. «Они фактически начали задаваться вопросом, не нарушает ли такой вид отслеживания и профилирования принцип конфиденциальности 3.5 Австралии, который гласит, что собирать только честными средствами.Особенно, если методы непрозрачны, поэтому потребители на самом деле не знают, что происходит ». Похоже, что на горизонте не за горами более строгие правила согласия.

Япония инициирует защиту личной информации

Технически подкованная Япония уже некоторое время имеет защиту личных данных; Однако в июне 2020 года в закон была принята поправка. Он может вступить в силу в последнем квартале 2021 года, хотя дата еще не определена четко. Согласно поправке, данные будут доступны для «субъектов», и предыдущее правило шести месяцев, которое давало исключение для данных, уничтоженных или удаленных по истечении шести месяцев, больше не будет применяться.Новая поправка упростит понимание правил конфиденциальности и доступ к собираемой о них информации.

Южная Корея присоединяется к революции конфиденциальности

Южная Корея внесла некоторые существенные изменения в свои законы о конфиденциальности на 2021 год. Одним из важных изменений является то, что регулирующий орган запретит так называемые «монеты конфиденциальности» или «биткойны». Было решено, что у этого типа валюты высока вероятность злоупотреблений и мошенничества. Департамент финансовых услуг Южной Кореи начнет требовать от бирж подтверждения подлинной личности своих пользователей.Южная Корея отрицательно относится к этому типу валюты, называя их «темными монетами». Закон Южной Кореи о защите личной информации запрещает местным компаниям запрашивать у пользователей определенные данные, такие как номера социального страхования или другие данные, позволяющие установить личность. Это новое изменение требует, чтобы определенные финансовые учреждения получали эту информацию, которую некоторые защитники конфиденциальности заявляют в нарушение предыдущего законодательства. Это недопустимо; Конечно, поправка вступит в силу в марте 2021 года.Южная Корея хочет конфиденциальности, но не желает допускать преступной деятельности.

Последние изменения в регулировании персональных данных в России

Защита персональных данных (ПД) становится главной темой последних дней, поэтому российское законодательство в этой сфере стремительно меняется. В статье представлен обзор обновлений регулирования персональных данных за 3 квартал 2020 года.

ПОПЫТКИ ПРОТИВ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ ПОТРЕБИТЕЛЕЙ

Российское агентство по охране здоровья и защите прав потребителей разработало поправки в Закон от 07. 02.1992 № 2300-1 «О защите прав потребителей», воспрепятствование недобросовестному поведению хозяйствующих субъектов, собирающих ПД клиентов в целях, не связанных с заключением и исполнением договоров.

Законопроект запрещает отказ в заключении, изменении, расторжении или исполнении договора с покупателем, если он (она) отказывается предоставить персональные данные для продавца. Исключение из этого правила применяется в случаях, когда предоставление персональных данных предусмотрено законом или необходимо для совершения сделки.

Кроме того, проект предоставляет потребителям право требовать объяснения, если продавец отказывается завершить сделку из-за своего отказа в предоставлении персональных данных.

Принятие закона может повлиять на практику использования ПДн хозяйствующими субъектами, взаимодействующими с российскими клиентами. В частности, продавец должен точно указать данные, необходимые для контракта, и быть готовым дать мотивированные объяснения покупателям.

Информируем, что упомянутая ранее новая редакция Кодекса об административных правонарушениях дополняет этот законопроект штрафами для хозяйствующих субъектов, которые обрабатывают персональные данные избыточно.Вы можете найти наш обзор здесь.

Законопроект «О внесении изменений в статью 16 Закона Российской Федерации« О защите прав потребителей »(подготовлен Агентством РФ по здравоохранению и правам потребителей, ID проекта 02.04.09-20.00108592)

КОЛИЧЕСТВО СОГЛАСИЙ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ МОЖЕТ БЫТЬ УМЕНЬШЕНО

Госдума рассматривает в первом чтении законопроект, который вводит возможность получения согласия на обработку персональных данных сразу для нескольких целей или несколькими лицами, обрабатывающими данные от имени оператора.

Авторы законопроекта убеждены, что предлагаемые изменения уменьшат количество письменных согласий, предоставляемых отдельными лицами, и могут оптимизировать цифровое взаимодействие в различных областях.

Для каждой цели обработки данных необходимо указать следующую информацию:

• Перечень персональных данных;
• Лицо, которое будет обрабатывать персональные данные от имени оператора;
• Описание методов обработки;
• Срок действия согласия;
• Способ отзыва согласия.

Законопроект также пытается решить проблему анонимности персональных данных. Предлагается поручить Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) определить требования к анонимности и ее способам.

Имеется приказ Роскомнадзора от 05.09.2013 № 996 об обезличивании персональных данных, который распространяется на операторов, являющихся государственными или муниципальными органами. Отметим, что, согласно комментариям официальных лиц Роскомнадзора, частные лица не вправе анонимизировать персональные данные.Практическое значение состоит в том, что оператор обязан уничтожить персональные данные в случаях, когда цель обработки достигнута.

Законопроект № 992331-7 «О внесении изменений в Федеральный закон« О персональных данных »»

ШТРАФЫ ЗА РАСКРЫТИЕ ЧУВСТВИТЕЛЬНОЙ ИНФОРМАЦИИ МОГУТ БЫТЬ УВЕЛИЧЕНЫ В 10 РАЗ

Законопроект, предусматривающий усиление наказания за разглашение информации с ограниченным доступом, находится на стадии первого чтения в Государственной Думе РФ. Информация с ограниченным доступом включает личные данные.

Действующая редакция статьи 13.14 Кодекса Российской Федерации об административных правонарушениях предусматривает штрафы до 1000 рублей (около 13 долларов США) для физических лиц и до 5000 рублей (около 65 долларов США) для должностных лиц, если они получили доступ к информации ограниченного доступа. в связи с исполнением служебных или профессиональных обязанностей. Как отметили разработчики закона, такие штрафы незначительны и не достигают цели предотвращения нарушений безопасности данных.

При этом предложенные резервы значительно увеличили размер штрафов:

• До 10 000 руб. (Ок.129 USD) для физических лиц,
• До 50 000 рублей (примерно 646 долларов США) для должностных лиц.

Следует отметить, что работа над новой редакцией Кодекса об административных правонарушениях продолжается. В законопроекте устанавливаются новые виды нарушений безопасности данных, в том числе нарушение конфиденциальности ПД, нарушение правил анонимности ПД и т. Д. Об этом проекте мы уже писали ранее.

Законопроект № 1023005-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях »

ВЕРХОВНЫЙ СУД РАЗЪЯСНИЛ ЮРИСДИКЦИОННЫЕ ПРАВИЛА В ОТНОШЕНИИ ПРЕТЕНЗИЙ НА ЗАЩИТУ ПД

14 июля 2020 Верховный Суд Российской Федерации рассмотрел дело, возбужденное Роскомнадзором в интересах гражданина России.Компания Whois Privacy Corp. (Багамские острова) разместила на своем сайте персональные данные гражданина России без его согласия.

Суд первой и апелляционной инстанций пришел к выводу, что заявленные иски связаны с регулированием Интернет-ресурса как средства массовой информации и подлежат рассмотрению в административном порядке.

Верховный суд не согласился с таким решением и заявил, что иски о защите персональных данных должны решаться в порядке гражданского судопроизводства с учетом ссылки в Гражданском процессуальном кодексе Российской Федерации.Кроме того, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных) позволяет Роскомнадзору предъявлять иски и представлять интересы физических лиц в суде.

Несмотря на то, что Закон о персональных данных не содержит четких положений, касающихся его территориального охвата, толкование Верховного суда демонстрирует экстерриториальный принцип в отношении сферы действия Закона о персональных данных. Иностранным компаниям следует учитывать вопросы юрисдикции при обработке персональных данных граждан России.

Определение Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 14 июля 2020 г. № 58-КГ20-2

.