Юристы по защите персональных данных

В статье приведены краткие ответы на вопросы о том, кто такие юристы по персональным данным, какие услуги оказывают такие специалисты и какие основные ошибки допускают предприниматели, не обращаясь к юристам по персональным данным.

Юристами по персональным данным принято называть специалистов, работающих в сфере применения ФЗ «О персональных данных», а также подзаконных нормативно-правовых актов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций

В связи с тем, что основным контролирующим органом в сфере персональных данных выступает Роскомнадзор, юристов по персональным данным напрямую ассоциируют с услугами по защите от Роскомнадзора

К компетенции юристов по защите персональных данных относится в первую очередь консультирование по вопросам обработки персональных данных. Наиболее распространенные вопросы касаются:

• Случаев, в которых требуется получения от субъекта персональных данных согласия на обработку полученных данных, а также способов получения такого согласия
• Ситуаций, когда возможна обработка персональных данных без согласия субъекта персональных данных;
• Способов, которыми могут обрабатываться персональные данные
• Вопросов трансграничной передачи персональных данных
• Соблюдения требований действующего законодательства в части обработки персональных данных: требования о локализации, о хранении и др.

Юристы по персональным данным разрабатывают документы, требуемые в рамках 152-ФЗ и регламентирующие обработку таких данных. К таким документам относится политика обработки персональных данных, согласие на обработку персональных данных, договор поручения на обработку персональных данных и иные

Дополнительно юристы по персональным данным помогают ответить на запросы субъектов персональных данных, а также Роскомнадзора

Также юристы по защите персональных данных оказывают услуги по включению компаний в реестр операторов персональных данных

К последнему блоку задач, выполняемых юристом по персональным данным, следует отнести сопровождение при проверках Роскомнадзора, оспаривание предписаний либо защита в суде от привлечения к административной ответственности за нарушение соответствующего законодательства

Самыми распространенными ошибками, которые выявляются у предпринимателей при обращении к юристам по персональным данным:

1. Отсутствие как такового согласия на обработку персональных данных (далее по тексту - «согласие»)
2. Отсутствие в согласии перечня обрабатываемых сведений, целей, способов и срока обработки данных
3. Несоответствие перечня обрабатываемых сведений, способов и срока обработки заявленным целям
4. Включение в согласие условий о рекламной рассылке
5. Неподача уведомления об обработке персональных данных
6. Отсутствие условий, возлагающих на контрагентов обязанность по сохранению конфиденциальности передаваемых персональных данных в договорах с третьими лицами
7. Отсутствие у оператора мест хранения персональных данных на территории РФ
8. Непринятие достаточных организационных мер для соблюдения конфиденциальности, в частности, перечня лиц, осуществляющих обработку, отсутствие их обучения и др.

В случае если Ваш сайт или мобильное приложение ориентированы на зарубежных пользователей (версия сайта на другом языке, возможность совершать оплату в иностранной валюте и т.д.), то Вам необходимо соблюдать требования законодательства по обработке персональных данных соответствующих государств

Наши юристы по персональным данным имеют опыт составления документов, соответствующих требованиям Конвенции о защите физических лиц при автоматизированной обработке персональных данных, Общего регламента по защите данных ЕС (General Data Protection Regulation, GDPR), Калифорнийского закона о приватности потребителей (CCPA) и других иностранных нормативных документов

Разрешая вопрос о необходимости привлечения юристов по персональным данным необходимо, помимо прочего, обратить внимание на потенциальную ответственность в случае нарушения. Так, для юридических лиц в ст. 13.11 КоАП РФ предусмотрены следующие размеры штрафов:

• Обработка персональных данных без согласия в письменной форме - от 300  000 до 700  000 руб.
• Отсутствие размещенной политики обработки персональных данных - от 30  000 до 60  000 руб.
• Непредоставление информации субъекту персональных данных - от 40  000 до 80  000 руб.
• Невыполнение требований субъекта персональных данных о блокировании, уничтожении, уточнении данных - от 50  000 до 90  000 руб.
• Невыполнение обязанности по обеспечению сохранности данных на материальном носителе - от 50  000 до 100  000 руб.
• Невыполнение обязанности по локализации персональных данных на территории РФ - от 1  000  000 до 6 000 000 руб.