Денис Лукаш | Privacy Expert

Напоминаю, что у нас (совместно с юридическими каналами) проводится конкурс, в котором можно выиграть:

◽️5 практичных ноутбуков
◽️5 удобных планшетов
◽️10 функциональных смарт-часов

▪️Принять участие в розыгрыше и испытать свою удачу можно здесь.

Есть что почитать на праздники.

Журнал "Информационная Безопасность" значительную часть декабрьского номера посвятил теме защиты персональных данных.

Материал от экспертов рынка, в том числе:

- "круглый стол", где наряду с коллегами высказался и я по заранее направленным вопросам (стр. 53),
- статья юриста lukash & Partners Алексея Майорова, "Персональные данные на корпоративных мероприятиях: что скрывается за кадром" (стр. 60).

Всех с наступающим новым годом!

❗️Новые возможности для юристов в 2025 году: разыгрываем гаджеты, которые помогут вам работать лучше и быстрее

Юристу нужны не только знания, но и современные технологии.

🚀 Поэтому мы решили разыграть среди наших читателей полезную технику:

◽️5 практичных ноутбуков Digma (за 1-5 место).
◽️5 удобных планшетов Teclast с клавиатурой и чехлом (за 6-10 место). 
◽️10 функциональных смарт-часов Xiaomi (за 11-20 место).

Итого у нас будет 20 победителей!

📝 Как принять участие в конкурсе?

Правила предельно простые.

1️⃣ Необходимо добавить себе папку с юридическими каналами 📚Право2025, кликнув по этой ссылке.

В папке собраны уникальные каналы по разным отраслям права, которые  будут крайне полезны юристу в 2025 году.

2️⃣ Нажать кнопку "Участвовать", которая расположена ниже.

3️⃣ Читать полезные каналы и ждать дату розыгрыша, когда бот случайным образом выберет победителей среди подписчиков каналов из папки 📚Право2025.

📌 Результаты будут оглашены 08 января 2025 года в 18:00 в этом посте и боте розыгрыша. Присоединяйтесь!

Участников: 3039
Призовых мест: 20
Дата розыгрыша: 18:00, 08.01.2025 MSK (34 минуты)

Роскомнадзор раньше часто применял статью 29.13. КоАП РФ "Представление об устранении причин и условий, способствовавших совершению административного правонарушения". Такая "опция" у Роскомнадзора есть и сейчас, нужно иметь ввиду.

ФСБ ее применяет на данный момент. Штраф по ч. 6 ст. 13.12 относительно не большой для должностного (1000 - 2000 руб), но процессы менять придется.

P.S. скан передан подписчиком, спасибо большое.

Решил показать, как у нас выглядит распечатанный отчет об аудите процессов обработки ПДн с планом реализации для не самой большой организации. Многие подписчики не занимаются глубоко аудитами ПДн, думаю будет интересно для наглядности.

Вопросы обработки персональных данных требуют погружения в бизнес-процессы и продукты, выводы с подтверждающими мотивировками, понятные и согласуемые планы внедрения изменений.

P.S. Это без конкретных ЛНА по защите ПД.

Возможно кому-то для экономии времени будет полезна справка по 11 позициям с сайта Онлайнинспекция.рф по обработке персональных данных работника (портал курируется Рострудом).

Зачем нужны позиции с какого-то сайта, если это не официальное комментирование закона?
Ответ на подобный вопрос (только относительно РКН) уже писал в комментариях.

Вчера было 134 года со дня публикации статьи The right to privacy.

Луис Брандейс и Сэмюэль Уоррен сформулировали понятие privacy в контексте права остаться наедине с собой.

Подробнее о статье, если о ней не слышали.

Использование согласий на обработку персональных данных в кадровых процессах вызывает много вопросов.

➡️С одной стороны нельзя уволить работника за отказ подписать (добровольное) согласие,

⬅️с другой стороны недопустимо, что бы работник (не давая согласие) принимал решение какой процесс компании необходим и у кого процесс будет на аутсорсе.

Среди экспертов существуют разные подходы к решению данного вопроса, например, вытягивают обработку персональных данных работников через внутренние документы. Кто-то идет напролом, полагаясь на позицию и редкие судебные отсылки к законному интересу. Встречаются и другие подходы.

Но все становится сложнее когда это группа компаний, есть трансграничная передача ПД работников и соискателей, ПД нужно делиться для развития корпоративной культуры, есть проверки службы безопасности, экспертов компании нужно публиковать на сайте и т.д.

Я с Василием Шавиным, адвокатом и экспертом по трудовому праву, решили объединится для организации совместной консультации и помочь компаниям расставить точки над i.

Предложение о консультации для руководителей кадровых служб во вложении.

Ключевым элементом комплаенса по персональным данным является лицо, ответственное за организацию обработки персональных данных. В больших компаниях это превращается в организацию целой функции DPO.

Это может быть сложным процессом, но мы рядом и предлагаем начать со стратегической консультации по построению функции DPO в компании. Презентация прилагается.

У нас в Lukash & Partners появляется все больше задач, объявил вакансию помощника юриста. По сути это начальная позиция (но уже не стажер), для которого у нас много посильной работы по data privacy. Уже через год специалист может существенно вырасти по зарплате и по уровню решаемых задач. Собственно в нашем рабочем потоке и большом количестве обратной связи от меня у кандидата нет выбора кроме роста.

Если Вы хотите войти в команду и Вы оцениваете себя как Junior+/ Middle, готов обсудить индивидуально условия труда. Но все равно откликнитесь на эту вакансию через HH, можно через официальную почту. Отвечать кандидатам в личке нет возможности.

В HH за несколько дней больше 200 откликов, что бы Вас отличить, как пришедшего из канала, добавьте в сопроводительное privacy expert, рассмотрим отклик внимательнее.

РКН: Корпоративные порталы или корпоративные адресные книги могут быть общедоступными источниками ПД.

Если заводите их как общедоступные источники, то согласие в письменной форме по пунктам ч. 4 ст. 9 152-ФЗ.

P.S. Спасибо, что делитесь ответами

Опубликована запись вебинара от 03.12.2024 "Новые штрафы и уголовные меры в области персональных данных".

Rutube

VKvideo

На видео доносят смыслы о новых штрафах и уголовных мерах:

Денис Лукаш — юрист, внешний DPO корпораций, управляющий партнер юридической компании «Лукаш и Партнеры»,

Юлия Белякова — адвокат, кандидат экономических наук, дипломированный аудитор, член АССА, Председатель президиума МКА "Покровская застава",

Илья Дубовцев - член команды DPO ПАО "МТС", IAPP Member, CIPP/E, CIPM,

Алёна Геращенко - член команды DPO крупной финансовой компании.

Напоминаю, что сегодня в 12.00 вебинар по усилению ответственности в области персональных данных. К нам с Юлией Беляковой также присоединятся Илья Дубовцев и Алена Геращенко, работают в службах DPO крупных компаний, поделятся своими наблюдениями.

Зарегистрировавшимся через Timepad придет напоминание и ссылка на почту, если по каким-то причинам не регистрировались, можно воспользоваться этой ссылкой на трансляцию.

29-го ноября выступил с докладом на конференции Безопасность 360 для сотрудников служб безопасности "Соблюдение требований законодательства о персональных данных при кадровых проверках персонала".

Поговорили о законности проверок кандидатов и работников, конечно же, в контексте новых штрафов и мер уголовной ответственности. Было много вопросов и кулуарных обсуждений.

Ситуация не утешительная, но понятно, что проверки СБ - это востребованная услуга, снижающая бизнес-риски и будет далее востребована у "белых" компаний. Что сейчас службы СБ начинают делать, это пересматривать риски, искать приемлемые варианты работы в новых условиях.

Мы в Lukash & Partners готовы помочь службам СБ с анализом имеющихся процессов и информацией для принятия управленческих решений.

В дополнение к справке по изменениям в КоАП РФ справка по новой ответственности в УК РФ в области персональных данных.
Подсвечены изменения по сравнению с редакцией в 1 чтении (если знакомы, быстрее погрузитесь).

Сегодня опубликованы законы, усиливающие ответственность за нарушения в области персональных данных.

Изменения в КоАП РФ
http://publication.pravo.gov.ru/document/0001202411300011

Изменения в УК РФ
http://publication.pravo.gov.ru/document/0001202411300012

В чатах поделились позицией РКН одного из регионов. Несостыковка по целям обработки ПД при уведомлении по ст.22 152-ФЗ. При privacy-комплаенсе устав юрлица тоже нужно принимать во внимание.

Роскомнадзор открыл раздел Административная практика. Пока в нем небольшое количество Постановлений о привлечении к административной ответственности по ч. 15 и ч. 16 статьи 14.3 КоАП РФ (если проще, "рекламные" нарушения по линии РКН).

С одной стороны хороший подход, особенно если он распространится и на другие контролируемые им сферы, например, персональные данные. С другой стороны вряд ли РКН сможет себе позволить выкладывать отмененные судом постановления с соответствующими мотивировками или ссылками на судебные акты.

Не только РКН. Поделились вырезкой из представления прокуратуры: email + номер = ПДн.

P.S. Спасибо что делитесь позициями органов власти

В системе обеспечения законодательной деятельности еще не обновили информацию, но по результатам голосования с сайта СФ РФ, одобрено.
Превращение законопроектов по усилению ответственности за нарушения в области ПД в законы идет стремительными темпами.

P.S. Против: о чел.

3 декабря с 12 до 13 мск. приглашаю на вебинар по законопроекту о новых штрафах и законопроекту об уголовной ответственности за незаконную обработку персональных данных.

Я и Юлия Белякова поделимся своими наблюдениями.

Программа:

- Изменения в КоАП РФ и новые штрафы за нарушения в области персональных данных.
- Изменения в УК РФ, связанные с неправомерной обработкой персональных данных.
- Практические рекомендации для бизнеса, мысли в слух, ответы на вопросы.

Юлия адвокат, кандидат экономических наук, дипломированный аудитор, член АССА, Председатель президиума МКА "Покровская застава".

Зарегистрируйтесь, что бы не пропустить, Вам придет напоминание и ссылка на почту.

Если Вы консультант или инхас-эксперт и хотите тоже высказаться, пишите в лс, предусмотрим время, если нужно отметим в программе.

ГД РФ во 2-м и 3-м чтении приняла законопроект об увеличении штрафов и новых составах административных правонарушений в области персональных данных.

Прилагаю справку по предстоящим изменениям. Есть сравнение с редакцией в 1 чтении (если знакомы, быстрее погрузитесь).

Кто лучший эксперт по персональным данным?
Это кот DPO!

Несколько ссылок на документы ФАС в которых делаются выводы по вопросам обработки персональных данных.

🔹Несогласие Заявителя с регламентом электронной площадки, в том числе и с установленной формой согласия на обработку персональных данных, следует квалифицировать как гражданско-правовой спор, поскольку указанные действиях выходят за пределы процедуры торгов и заключения договоров и связаны с внутренним порядком функционирования хозяйствующих субъектов. Ссылка

🔹Согласие абонента может быть выражено в любой форме, достаточной для его идентификации и подтверждения волеизъявления на получение рекламы от конкретного рекламораспространителя. Ссылка

🔹Согласие адресата должно быть получено на распространение именно рекламы, обязанность доказывать наличие такого согласия возложена на рекламораспространителя. При этом в целях защиты прав и законных интересов абонента как более слабой стороны в рассматриваемых правоотношениях, при получении такого согласия абоненту должна быть предоставлена возможность изначально отказаться от получения рекламных рассылок, а сама форма согласия должна быть прямой и недвусмысленно выражающей соответствующее согласие (абонент прямо выражает согласие на получение рекламы), а не посредством предоставления согласия на обработку персональных данных. Ссылка

🔹Участник Закупки может направить подтверждающие документы как с персональными данными (в случае наличия соответствующего согласия субъекта персональных данных), так и с обезличенными персональными данными, на которых видны необходимые сведения, предусмотренные содержанием указанного показателя, подписи и печати.Ссылка

🔹Если Заказчик в повседневной деятельности использует персональные данные граждан, то он обязан применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных. Ссылка

#практика

Указом Президента Российской Федерации от 10 октября 2024 г. № 870 «О некоторых вопросах представления сведений при поступлении на государственную службу Российской Федерации и муниципальную службу в Российской Федерации и их актуализации» введена новая форма анкеты для поступления на государственную службу Российской Федерации.

В анкете в том числе уточнен перечень членов семьи и близких родственников, чьи персональные данные подлежат заполнению.

Согласно позиции Роскомнадзора не требуется получать согласие на обработку персональных данных на передачу работодателю сведений о близких родственников кандидата или работника, если объем собираемых данных не превышает установленный карточкой Т-2 или типовой анкетой при поступлении на госслужбу.

Для наглядности собрали для Вас в таблице сведения о родственниках, которые вправе собирать работодатель на основании закона с учетом позиции Роскомнадзора (п. 2 ч. 1 ст. 6 152-ФЗ).

Подробнее о случаях, когда требуется или не требуется согласие на обработку персональных данных, можно ознакомиться тут.

УРКН по Саратовской области: как правило, возможность отнесения тех или иных сведений к биометрическим персональным данным регулируется законодательными и иными нормативными правовыми актами (далее приводится отсылка на ГОСТ Р ИСО/МЭК 19794-5-2013 через ПП РФ от 04.03.2010 № 125).

P.S. Спасибо что делитесь ответами Роскомнадзора

УРКН по Астраханской области: фотографическое изображения, содержащиеся в таком документе как пропуск, являются биометрическими персональными данными, на основе которых оператор устанавливает личность человека путем сравнения фото и содержащихся на документе фамилии, имени и отчества лицом предъявителя пропуска.

P.S. Спасибо что делитесь ответами Роскомнадзора

В первом чтении принят законопроект, который обязывает оформлять согласия отдельно от иных документов.

Смотрим пояснительную записку, цитата: "зачастую положения о согласии на обработку персональных данных включаются в пользовательские соглашения, а также другие юридические документы, размещаемые на информационных ресурсах".

Согласие, включенное в договор (пользовательское соглашение - это договор), становится договорным условием. Т.е. обработка ПД будет осуществляться на основании п. 5 ч.1 ст. 6 152-ФЗ (а не п. 1 - согласия).

Однако, по тому, как это сформулировано, будущая норма будет распространяется, на случаи обработки ПД на основании согласия. Получается это только фильтр от тех, кто не различает правовые основания "согласие" и "договор с субъектом" и включает в договор согласия (этакий микс).

Если говорим о потребительских договорах, то ст. 16 ЗОЗПП итак во многом работает, рассылки без риска не подсунешь.

#мнение

Кому-то будет полезен следующий ответ Роскомнадзора (ниже вопрос для понимания контекста):

Операторам необходимо указать в уведомлениях сведения о третьих лицах (физических/ юридических), которые имеют доступ к обработке персональных данных в государственных и муниципальных информационных системах оператора.

Текст вопроса:
В форме уведомления об обработке (о намерении осуществлять обработку) ПДн, в форме об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн есть раздел "Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку ПДн, содержащихся в гос. и мун. инф. системах".
Просим разъяснить, сведения о каких лицах требуется разместить в данном разделе, например:
1) сотрудники оператора ПДн, которые имеют доступ к обработке ПДн в ГИС/ МИС оператора;
2) сотрудники оператора ПДн, которые имеют доступ к обработке ПДн в ГИС/ МИС операторов - третьих лиц;
3) третьи лица (физ./ юр.), которые имеют доступ к обработке ПДн в ГИС/ МИС оператора;
4) другие лица.

P.S. Спасибо, что делитесь ответами

Роскомнадзор содействовал в снятии с публикации письма Рособрнадзора, о котором писал ранее, так же отметил:

"обработка персональных данных несовершеннолетних при проведении итоговой аттестации, завершающей освоение основных образовательных программ основного общего и среднего общего образования, при наличии условий, предусмотренных действующим законодательством Российской Федерации и в объёме, установленном действующим законодательством Российской Федерации, не противоречит требованиям Закона о персональных данных и подпадает под правовое основание, предусмотренное п. 2 ч. 1 ст. 6 Закона о персональных данных, и может осуществляться без согласия указанных лиц и их законных представителей, если иное не установлено вышеуказанными нормативными правовыми актами."

"если данное хранение копий документов, удостоверяющих личность обучающихся, в том числе иностранных граждан, осуществляется в случаях, предусмотренных законодательством Российской Федерации в сфере образования, полагаем, что указанная деятельность не будет противоречить требованиям законодательства Российской Федерации в области персональных данных."

Нужно ли уведомлять Роскомнадзор о трансграничной передаче при заключении договора с другим контрагентом в той же юрисдикции, если уведомляли до этого по "старым" контрагентам?

Ч. 5 ст. 12 152-ФЗ предусмотрена оценка трансграничной передачи, в которой упоминается указание иностранного лица - получателя ПД. В свою очередь, информация о дате проведения оценки ТГП должна быть в уведомлении Роскомнадзора (ч. 4. ст. 12 152-ФЗ). Получился вопрос: нужно ли заново уведомлять Роскомнадзор при новом контрагенте в той же стране?

Был ответ Роскомнадзора, который охладил ситуацию: не нужно (смысловая часть на скриншоте).

Но вот на днях вышел информационный ролик от ФГУП "ГРЧЦ" (подвед РКН). На отметке 03.40 сказано, что если меняется лицо, которому осуществляется трансграничная передача, то уведомлять нужно.

Честно говоря, мое понимание ч. 4 и ч. 5 152-ФЗ тоже сводится к тому, что нужно уведомлять при смене контрагента, так как иначе у Роскомнадзора останутся сведения о факте проведения оценки не по тем иностранным лицам. Появляются формальные признаки, по которым можно предъявить претензии оператору ПД.

Риски могли быть приняты с учетом позиции Роскомнадзора, которая сейчас пошатнулась официальной позицией его доверенных лиц.

Надеюсь Роскомнадзор прямо пояснит, менялась ли его позиция.

#мнение

КС РФ поддержал возможность увольнения работника из-за разглашения охраняемой законом тайны, в том числе, персональных данных.

Конституционный Суд Российской Федерации опубликовал определение, согласно которому трудовой договор может быть расторгнут из-за однократного грубого нарушения работником трудовых обязанностей - разглашения охраняемой тайны, в том числе, персональных данных другого работника.

Суд отказал в удовлетворении иска о восстановлении на работе, ссылаясь на разглашение охраняемой тайны и подтвердил, что для увольнения работника за разглашение охраняемой тайны не требуется вступивший в законную силу приговор суда.  

Тем не менее, суд отметил:

“Работодатель обязан представить доказательства, свидетельствующие о том, что сведения, которые работник разгласил, в соответствии с действующим законодательством относятся к государственной, служебной, коммерческой или иной охраняемой законом тайне либо к персональным данным другого работника, эти сведения стали известны работнику в связи с исполнением им трудовых обязанностей и он обязывался не разглашать такие сведения”.

#практика

На встречу Privacy Club в Москва-Сити зарегистрировалось более 70 инхаус-экспертов по персональным данным. Это помимо группы DPO крупнейшей финансовой корпорации - владельца площадки.

Получается организовали самое массовое экспертное оффлайн событие в России по информационной приватности за последнее время.

Приглашения разосланы. Регистрация закрыта,

Если Вы регистрировались, но не получили письмо-приглашение, пишите мне в лс, выясним причину.

Интервью с бывшим инспектором РКН: о юристах в техносфере, карьере DPO, персонификации тг-каналов и розыске шерстистого носорога | Денис Лукаш х Павел Хавский

🌐 Прямой эфир 19:00 UTM + 3

🙁 Почему в России все банят, и что это за таинственная организация РКН, которая не дает жить спокойно.

🎤 Наш гость - Денис Лукаш, CEO компании «Lukash & Partners»  DPO крупных российских организаций, бывший инспектор РКН

В эфире:

🟡 что происходит с РКН последние 2 года
🟡 будет ли у нас чебурнет
🟡 как воровали данные у компаний в 2024 году
🟡 как устроиться работать на должность Data Protection Officer

Видимо, с последними новостями о том, что творит любимый РКН, будем партейку в данж собирать на Госуслугах, там же и общаться под присмотром большого брата товарища майора.

Так что есть шанс спросить на эфире, что ожидать в будущем, не пропустите!

Обновления по программе встречи экспертов в области информационной приватности Privacy Club.

На встрече также будем обсуждать новые инициативы Роскомнадзора о снижении роли согласий, как оснований обработки персональных данных, в первую очередь в финансовой сфере (с участием DPO финансовых организаций). Если Вы занимаетесь ПД в финансовой сфере, обязательно регистрируйтесь.

Актуальный план встречи:

1. Общее в регулировании трансграничной передачи ПД в Армении, Беларуси и Казахстане, локальные проблемы с передачей в/из Европу и США из данных стран. Локальное регулирование локализации баз персональных данных в Армении, Беларуси и Казахстане, инсайты по преодолению.
2. Возможные законодательные инициативы, которые позволили бы обрабатывать ПД без согласий не нарушая прав субъектов ПД.
3. Свободный микрофон: data privacy вопросы операторам сотовой связи и банкам. На предварительные вопросы отвечаем в первую очередь, задать можно здесь.
4. Легализация обработки ПД в системах антифрод.
5. Практика оформления взаимодействий "обработчика" и привлекаемых им третьих лиц (перепоручение) в рамках поручения от оператора.

Программа плотная, будем стараться успеть.

Ключевое о встрече: запись не ведется, только очно (трансляции не будет), участники говорят от себя лично, а не от работодателей, СМИ не будет, модерация участников (только для инхаус), бесплатно, башня Евразия (Москва-Сити), 23.10.24 с 18.00 до 21.00 мск.

Уже 14-го утром регистрация закроется, списки будут переданы охране владельца площадки.
Еще раз ссылка на регистрацию.

Законопроект об охране голоса человека

🔹Совет при президенте РФ по кодификации и совершенствованию гражданского законодательства совместно с комитетом Госдумы по госстроительству и законодательству рассматривают законопроект об использовании сгенерированного искусственным интеллектом голоса человека только с его согласия, так как искусственный интеллект может имитировать голоса без согласия их владельцев, что может приводить к использованию имитаций голоса для финансовых махинаций и мошенничества.

🔹Законопроект предусматривает охрану голоса человека и получения согласия человека на его использование. В случае смерти голос человека может быть использован только с согласия близких родственников. Вместе с тем законопроект позволяет гражданину требовать удаления записи его голоса, нарушающей его права, а также налагать запрет на их дальнейшее использование.

🔹Будет ли являться запись голоса персональными данными? Полагаю, нужно идти по логике, сформировавшейся в практике правоприменения для фотоизображений:

- Фотография отдельно от других данных, без дополнительных характеристик человека не является персональными данными, и охраняется согласно статье 152.1 ГК РФ.
- Если же фотография рассматривается совместно с другими данными о человеке (например, ФИО), то фотография признается персональными данными.
- При использовании же фотографии для целей идентификации человека фотография может стать биометрическими персональными данными (подробней см. ст. 11 152-ФЗ).

#мнение

Уже в четверг начнется курс "Обработка персональных данных в организации", организатором выступает "Безопасность360".
Со мной читать лекцию будет также Валерий Комаров (Инфогород), где поделится опытом по применению НПА в области защиты персональных данных со стороны ФСТЭК/ФСБ.

О передаче персональных данных работника без согласия с отсылками за законный интерес

🔹Работник оператора подал жалобу в Роскомнадзор о неправомерной передаче его персональных данных третьим лицам: аутсорсинговому агентству, занимающемуся кадровым администрированием и расчетом заработной платы, и юрисконсультам для подготовки документов от имени оператора.

🔹Роскомнадзор направил запрос Оператору о предоставлении информации по факту обращения работника. В течение ожидания ответа работник был уволен по сокращению штата работников, а его трудовой договор утерян.

🔹После этого Роскомнадзор дал ответ заявителю, что он неправильно указал наименование работодателя в своей жалобе. Кроме того, правовым основанием обработки персональных данных работников организации является ТК РФ, и обработка персональных данных работника при выполнении работодателем возложенных на него трудовым законодательством обязанностей не требует согласия работника.

🔹Суд поддержал доводы Роскомнадзора. Суд отметил, что согласие истца не является обязательным условием обработки его персональных данных указанными третьими лицами. Исходя из того, что отношения между заявителем и оператором возникли на основании трудового договора, указанные третьи лица осуществляли обработку персональных данных заявителя в связи с необходимостью выполнения обязательств, принятых в рамках подписанного с работником трудового договора и принятых работодателем локальных нормативных актов. Отдельные обязанности работодателя возникли и в связи с соблюдением иного отраслевого законодательства: налогового, бухгалтерского и т.д. Соответствующие обязанности возникают у работодателя с момента оформления трудоустройства работника и сохраняются даже после прекращения трудового договора.

🔹Таким образом, обработка персональных данных в данном случае осуществлялась в рамках исполнения трудового договора, закона, и не могла ставиться под условие получения согласия на обработку персональных данных, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона.

🔹Суд указал, что, оператор привлек третье лицо к расчету заработной платы и передал ему для этого персональные данные истца в соответствии со своим законным интересом.

Что общего между культурным наследием и персональными данными?

Когда-то Роскомнадзор назывался Россвязьохранкультурой. Помимо ведения реестра операторов персональных данных и защиты прав субъектов персональных данных занимался охраной культурного наследия. Вот новость от 2008 года: в реестре 408 операторов персональных данных.

Сейчас цифра приближается к миллиону, а уведомлять теперь нужно еще о трансграничной передаче и об "утечках".

Я в то время работал в этой службе. Один из самых запоминающихся случаев, с которым столкнулись бывшие связисты в регионах (не все в регионах успели набрать экспертов в области культурного наследия), это случай с останками шерстистого носорога.

С 2011 охрану культурного наследия передали в Минкульт РФ, больше в РКН не возвращалась.

УРКН по ЦФО: TelegramID без дополнительной информации невозможно отнести к субъекту персональных данных.

P.S. Спасибо, что делитесь ответами Роскомнадзора

Опубликована запись моего доклада об утечках персональных данных

Немного про курсы о персональных данных.

Меня периодически просят порекомендовать DPO для устройства в штат. Как Вы думаете, какой курс нужно закончить, чтобы Вас рассмотрели на вакансию DPO от 400 000 р. в месяц: MDS, Б-152, RPPA, МГЮА, какой-то другой?

Мое мнение следующее: никакой. Я собеседовал в штат потенциальных сотрудников, закончивших разные курсы и только на этом основании претендующих на вакансию DPO. В этом случае только джуниорская позиция, где окончание курса можно принять за доказательство сильной мотивации. Исключения есть, как правило, среди юристов с сильной базой в области права.

Действующим джуниорам, которые уже практикуют, возможно есть наставник, будет полезны курсы для роста до мидла (понимать позиции других экспертов, есть четкое понимание слабых зон и т.п.).

От 300 000 - уровень старшего DPO, нужен практический опыт несколько лет + набор софтскилс и других смежных компетенций. Курсы помогут стать старшим DPO, только если на них преподавать.

Любые курсы будут полезны совместителям. Т.е. у работника есть задачи, где в ПД он погружен не на 100%, что поделать, часто ответственными за организацию обработки назначают "кого смогли". Но в компании, где количество случаев обработки ПД ограничено, принимаются риски вместо комплаенса, работник занимается функцией не на 100%, уровень "совместителя" в ПД никогда не станет выше мидла.

Для того, что бы расти как DPO нужна практика. Ее нужно искать где только можно, быть готовым работать бесплатно или за небольшие деньги в этом треке (в будущем окупится). Лучше все же за какие-то деньги или за утилизацию рабочего времени работодателя, так от постановщика задачи Вы получите какую-то обратную связь.

А что бы набраться первоначальной базы, я предлагаю справедливый путь: мой курс, который в разы дешевле вышеперечисленных. На нем я даю теорию и практику, с которой сам сталкивался и знания, которые важны для практической деятельности, ничего лишнего. У Вас остаются записи и презентации, а дальше практика и только практика.

Кстати, в Lukash Partners есть позиция стажера не на полный день. Так или иначе - это мощная обратная связь по задачам от меня. Смогу рассмотреть кандидата, прошедшего мой курс.

P.S. вышеперечисленное субъективное мнение автора, есть нюансы за пределами поста.

Встреча экспертов Privacy Club будет носить конфиденциальный характер, т.е. запись и трансляция не ведутся.

Обсужденное за пределы не выносим. Это позволяет более открыто обсуждать проблемные вопросы, риски.

В личке много благодарностей за такой формат и экспертный состав участников. Решил опубликовать один самый короткий и емкий от участника одной из прошлых встреч для понимания того, что ждет тех, кто еще не приходил.

Приглашаем на очередную очную встречу Privacy Club. Наши встречи посвящены проблемным вопросам правоприменения законодательства о персональных данных. Мероприятие организовано при поддержке экспертов крупной финансовой корпорации и пройдет в башне "Евразия" (Москва-сити).

Темы предстоящей встречи:

- Общее в регулировании трансграничной передачи ПД в Армении, Беларуси и Казахстане, локальные проблемы с передачей в/из Европу и США из данных стран.
- Локальное регулирование локализации баз персональных данных в Армении, Беларуси и Казахстане, инсайты по преодолению.
- Свободный микрофон: data privacy вопросы операторам сотовой связи и банкам. На предварительные вопросы отвечаем в первую очередь, задать можно здесь.

Формат: панельная дискуссия, сессия mastermind, networking.

Участники: ведущие эксперты (инхаус) в сфере privacy; приглашенные DPO.

Место: г. Москва, Пресненская набережная, д. 10, стр. 1 (Башня «Евразия» Москва-Сити).

Дата и время: 23 октября 2024 года, 18.00-21.00 мск.

Модератор: Денис Лукаш, внешний DPO корпораций с миллиардными оборотами, управляющий партнер Lukash & Partners.

Стоимость: бесплатно для приглашенных участников (внутренние специалисты), необходима регистрация и получение подтверждения.

Онлайн трансляции или записи не будет.

🔹Постановлением Управления Роспотребнадзора по Пермскому краю от 11.01.2022 АО "_" признано виновным по ч.2 ст.14.8 КоАП РФ и оштрафовано на 10,000 ₽. Одна из причин: пункты 3.16.14, 3.17 Договора противоречат требованиям ч.2, ч.7 ст.5 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" поскольку имеют завышенный, не подтвержденный целями срок обработки персональных данных клиента.

🔹Суды трёх инстанций поддержали позицию Роспотребнадзора и указали, что срок обработки персональных данных Клиента в течение 10 лет с даты прекращения обязательств имеют завышенный, не подтвержденный целями срок обработки персональных данных клиента, что противоречит требованиям ч.2, ч.7 ст.5 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных", ч.1 ст.16 Закона РФ от 07.02.1992 №2300-1 "О защите прав потребителей" и ущемляют права потребителя.

https://kad.arbitr.ru/Card/db6de04e-c767-4fd2-844a-3c6d9f98427c

#практика

При подготовке к корпоративному семинару (периодически провожу такие для крупных компаний) наткнулся на свою презентацию с кейсом по 10-и летнему хранению ПД банком. Дело не новое, но в контексте обсуждения "борьбы" с избыточностью показательное. Хранение выше необходимых сроков (тоже форма избыточной обработки) за которое наказал Роспотребнадзор. Ниже отдельным постом.

Т.е. концептуальные законы и штрафы есть. Но целесообразность (она же и не избыточность) обработки понятие растяжимое и в большинстве случаев хорошо обыгрывается бизнесом. Роскомнадзор мало что здесь может.

Отсюда тренд на борьбу с избыточностью на законодательном уровне. Ранее уже были обсуждения:
- полного отказа от согласий и предпосылками зарегулировать все сферы минимальными перечнями ПД,
- регулирования безвозмездных сделок с субъектами ПД (в том числе, пользовательских соглашений),
- упрощение отзыва согласий.

К слову так и есть. Применяя методы юридической техники согласиями и безвозмездными сделками пользуются, государство это понимает (решения пока нет).

#мнение

24 сентября пройдет 2-я онлайн-конференция «IT. Право. Безопасность». Конференция посвящена защите данных и личной безопасности.

На конференции будет затронута тема утечек персональных данных.
С коллегами обсудим:
📌Реформу законодательства о ПДн: первые итоги и снятие моратория
📌Правовые последствия утечек ПДн
📌Ответственность работника при утечке ПДн: ТОП-5 советов для работодателя.

👉Регистрируйтесь! Участие Бесплатно!
24 сентября, 10:00 (МСК)

https://ria.ru/20240911/shtrafy-1971960419.html

Про избыточный сбор в ст. 5 152-ФЗ написано (она же целесообразность), относительно недавно были изменения в статью 16 ЗоЗПП по ПД в договорах. Ответственность за это уже предусмотрена частью 1 и 1.1. ст. 13.11 КоАП РФ (штрафы тоже не так давно поднимались) + "потребительские" штрафы. Но что-то не работает. В ГД считают, что если штрафы поднять по избыточности, то точно заработает.

#мнение

Без проведения проверки суд не признал данные биометрическими

🔹Заявитель посетил банк для совершения платежа. Для осуществления операции работник банка потребовала от заявителя совершить фотографирование лица для целей идентификации заявителя. Заявитель не получил обоснования потребности фотографирования для оказания услуги и был вынужден пройти эту процедуру. Письменного согласия на фотографирование заявитель не предоставлял.

🔹Заявитель направил в банк обращение с требованием прекратить обработку его персональных данных и с запросом о предоставлении информации, касающейся их обработки. Банк направил разъяснения по указанным вопросам, а также информацию об уничтожении фотоизображения.

🔹Заявитель обратился в Роскомнадзор, но регулятор отказал в возбуждении дела об административном правонарушении согласно ч.2 ст.13.11 КоАП РФ, заявитель обратился в суд.

🔹Суд отметил, что в соответствии с п. 6 Перечня персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию н10 № 125, цветное цифровое фотографическое изображение лица владельца документа является биометрическими персональными данными владельца документа.

🔹Требования к формату изображения лица, установлены Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013, утвержденным приказом Федерального агентства по техническому регулированию и метрологии Российской Федерации от 06.09.2013 № 987-ст.

🔹Обработка фотографических изображений, которые законодательным актом Российской Федерации отнесены к биометрическим персональным данным, должна осуществляться с согласия в письменной форме, с соблюдением требований предусмотренных ч. 4 ст. 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». В иных же случаях обработка фотографических изображений может осуществляться в случаях, установленных ст. 6 152-ФЗ.

🔹Однако в итоге суд отметил, что достоверно установить, соответствует ли фотография установленным Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013 без проведения контрольно-надзорных мероприятий, не представляется возможным. Соответственно это не БПД и достаточно согласия на фотографирование.

#практика

Если Вы получили фейковое уведомление об утечке персональных данных, не поддавайтесь манипуляции.

Такой фейк может приходить вашим сотрудникам. Предупредите, что это шляпа полная.

Сегодня утром пришло одному программисту в нашу компанию ООО "НОТИССИМУС". Например, ИНН написан с маленькой буквы... Ну короче людей пугают, а потом пытаются выудить какие-то доступы. Кто шлет? Плохие парни :)

Русский ИТ бизнес

В одном из чатов завязалась дискуссия, должен ли DPO помогать бизнесу или только указывать на риски. Приведу свое мнение по эффективной функции DPO в бизнесе.

Если DPO работает внутри организации, то эффективный DPO предлагает варианты privacy-решений бизнесу в контексте предпринимательских рисков. В идеале DPO должен прорабатывать свой вопрос так, что бы ЕИО, как предприниматель, быстро выбрал один вариант из нескольких или сказал "ок" на очевидном решении.

Когда понимаем что нужно для принятия таких решений, спускаемся к пониманию качеств, компетенций, полномочий, места в компании, "политическому" весу и прочему. Окажется, что даже "на перспективу" такого специалиста найти не просто и не дешево.

В бизнесе собственник инвестирует в людей. DPO отрабатывает инвестиции в себя, как часть инвестиции в бизнес. Чем лучше отрабатывает, тем больше могут инвестировать.

Поскольку описанное выше - идеальный DPO в идеальной бизнесовой компании, то будут поправки на реальность.

DPO могут не допускать до бизнес-рекомендаций по разным причинам (не доверяют, мало опыта у DPO, конкуренция работников, бизнес с госучастием и еще много причин), тогда остается, например, указывать на риски с позиции закона. Кстати, и это не просто, здесь тоже лучше ориентироваться на уровень выше условного middle DPO. В некоторых компаниях для DPO отводят роль "согласователя" договоров и согласий, здесь и мидла достаточно.

Можно еще поговорить о Privacy-консалтинге. Тут нужно затронуть тему бизнес-консалтинга, это слишком много для одного поста, но направление мысли понятно. Только отмечу, если Вы рассчитывали на бизнес-результат по privacy-проекту, а ваш проект отдали на откуп DPO с небольшим опытом, то что-то пошло не так.

Не согласны, пишите в комментариях, обсудим.

P.S. А как же права субъектов ПД? Права и риски субъектов ПД - это только один из инструментов работы DPO в бизнесе, хотя государство видит в этом цель его работы и даже прописаны "инструменты".

#мнение