20-22 октября 2021 года проходит масштабное онлайн мероприятие по персональным данным.

Вчера прошел первый день мероприятия. Более 20 интересных спикеров, 100 слушателей онлайн, более 1000 просмотров за день.

Евразийский конгресс по защите данных (edpc.network)

В рамках конгресса освящались разные темы. В начале мероприятия эксперты проговорили основные нововведения 152-ФЗ, а именно, распространение персональных данных по новым правилам, и дали рекомендации, как разработать новую форму согласия и работать с ней.

ИСО стандарт 27701 был вынесен в отдельную тему неслучайно, так как персональные данные сейчас еще более уязвимы и находятся под прицелом киберпреступников. В этой связи применение новых технологий для защиты выходят на передний план.

Другой немаловажной темой стала трансграничная передача данных. Несколько спикеров рассказали о правилах передачи персональных данных из Европы в Россию. А также отдельно обсуждались правила защиты персональных данных в Великобритании.

Бурную дискуссию вызвала тема локализации персональных данных, а также ответственности за несоблюдение данного требования. Подробно обсуждались кейсы таких компаний, как Google и Facebook, которые вынуждены заплатить недавние штрафы Роскомнадзору.

Как Вы знаете, 1 марта 2021 года вступили в силу изменения ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных". Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные".

В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Прежде оператор персональных данных мог обрабатывать и распространять персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персональных данных. Теперь этого недостаточно. Если оператор хочет распространять данные, ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных. Подробнее смотрите в новой статье 10.1 закона о персональных данных № 152-ФЗ.

Получение рекомендаций Роскомнадзора по форме согласия на обработку ПД, разрешенных для распространения (rkn.gov.ru)

В период пандемии роль интернета вышла на совершенно новый уровень. В связи с дистанционным форматом работы огромные массивы информации были переведены в облачные и серверные системы. Возникает вопрос, находятся ли персональные данные и ключевые сведения о контрагентах компаний под надежной защитой.

GDPR ввел новые принципы обработки и защиты персональных данных: «запланированная защищенность» и «защищенность по умолчанию». Эти принципы требуют от компаний пересмотреть свои подходы к выбору технологий обработки данных, процессам их внедрения и управлению изменениями.

Для обеспечения надежной защиты данных рекомендую ознакомиться с ИСО стандартом 27701 Методы и средства обеспечения безопасности.

ИСО - Опубликован первый международный стандарт по решению вопросов управления конфиденциальной информацией (iso.org)

Трансграничная передача данных всегда была одной из самых сложных тем, потому что остается много недосказанности. Прежде всего, важно понять для каких компаний это важно. Приведем несколько примеров:

· Российская компания предоставляет интернет-сервис пользователям в Европе

· Российская компания получает данные от клиента юридического лица в Европе

· Европейская дочка российской компании передает данные материнской компании в Россию

· К российской компании применяется GDPR, и она передает данные другой российской компании

В этой связи рекомендую компания ознакомиться с требованиями GDPR и его текстом на русском и английском языках.

Regulation (EU) 2016/679 (ogdpr.eu)

Текст GDPR на русском с комментариями и ссылками | GDPR-Text.com

GDPR документы и материалы, на русском языке (ogdpr.eu)

Во всем мире на протяжении последних нескольких лет работе с персональными данными уделяется особое внимание. Ключевые изменения в России произошли в 2017 году, когда были внесены поправки в ст. 13.11 КоАП.

В статье был расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных и увеличены штрафы.

КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных / КонсультантПлюс (consultant.ru)

Впервые требование о локализации персональных данных вступило в силу в 2015. Затем последовал закон «Яровой» и штрафы за нарушение требований по локализации персональных данных.

1 июля 2021 года вступил в силу закон о «приземлении» иностранных IT-компаний с целью «деятельности иностранных лиц в информационно-телекоммуникационной сети „Интернет" на территории Российской Федерации».

Если иностранная компания является владельцем Интернет-сайта, информационной системы или программного обеспечения с более чем 500 000 российских интернет пользователей, при соблюдении одного из следующих условий:

· На интернет-ресурсе распространяется информация на русском языке

· На интернет-ресурсе распространяется реклама, таргетирующая российских пользователей

· Иностранная компания осуществляет обработку сведений о российских пользователях

· Иностранная компания получает денежные средства от юр. и физ. российских лиц

Принят закон о «приземлении» IT-гигантов (duma.gov.ru)

Все больше иностранные компании подвергаются штрафам со стороны Роскомнадзора за нарушение работы с персональными данными.

Примерами недавних штрафов могут служить кейсы Google, Facebook, Twitter и WhatsApp.

Решением суда WhatsApp был назначен штраф в размере 4 млн рублей по ч. 8 ст. 13.11 КоАП РФ.

Facebook — 15 млн рублей, Twitter – 17 млн рублей за повторные нарушения требований о локализации ПД по ч. 9 ст. 13.11 КоАП РФ.

За нарушение закона в части локализации предусмотрено наказание в виде штрафа для юридических лиц в размере до 6 млн рублей (ч. 8 ст. 13.11 КоАП РФ), в случае повторного нарушения – до 18 млн рублей (ч. 9 ст. 13.11 КоАП РФ).

Роскомнадзор - Суд оштрафовал Facebook, Twitter и WhatsApp на 36 млн рублей за нелокализацию баз данных российских пользователей на территории РФ (rkn.gov.ru)

Роскомнадзор составил административный протокол в отношении Google LLC по ч. 8 ст. 13.11 КоАП РФ. Руководство американской компании не смогло подтвердить факт локализации баз данных российских пользователей на территории России.

Отсутствие подтверждения факта локализации баз данных российских граждан на территории РФ влечет наложение административного штрафа на граждан в размере от 30 тыс. до 50 тыс. рублей; на должностных лиц - от 100 тыс. до 200 тыс. рублей; на юридических лиц - от 1 млн до 6 млн рублей (ч. 8 ст. 13.11 КоАП РФ).

Роскомнадзор - Компания Google не локализовала данные российских граждан на территории России (rkn.gov.ru)

На 20 октября 2021 в отношении компании Google составлено 15 протоколов. Каждый раз протокол Роскомнадзора был основан на отказе Google LLC удалять запрещенный контент. В среднем Google из поисковой выдачи не удаляет до 30% «опасного» контента.

В связи с этим было возбуждено административное производство по ч. 2.1 ст.13.40 КоАП РФ – повторное совершение административного правонарушения, предусмотренного ч. 1 и ч. 2 статьи «Неисполнение обязанностей оператором поисковой системы».

Статья 13.40 КоАП предусматривает применение штрафов с оборота выручки компании за повторные нарушения, что может быть весьма существенно для компаний.

КоАП РФ Статья 13.40. Неисполнение обязанностей оператором поисковой системы / КонсультантПлюс (consultant.ru)

КоАП РФ Статья 13.41. Нарушение порядка ограничения доступа к информации, информационным ресурсам, доступ к которым подлежит ограничению в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите / КонсультантПлюс (consultant.ru)