Время работы: пн. - пт. 9.00 - 18.00
пн. - пт. 9.00 - 18.00
Юрист по персональным данным: помощь адвокатов бизнесу
Цены на услуги юриста по персональным данным
Оставьте заявку
Мы свяжемся с Вами в течение 10 минут!
Как проходит работа по защите персональных данных?
1
Первичная консультация юриста, анализ ситуации
Клиент направляет удобным способом (электронная почта, мессенджеры, устное
сообщение) запрос с описанием возникшей ситуации. Например, это может быть
проверка Роскомнадзора или необходимость провести аудит системы обработки персональных данных по запросу головной компании. Юрист связывается с заказчиком, определяет суть проекта и разрабатывает оптимальный подход к оказанию помощи клиенту. Клиенту направляются запросы о дополнительной информации, чтобы наиболее точно определить его потребность в той или иной услуге, предоставляются первичные комментарии по возникшей ситуации и способам минимизации рисков
сообщение) запрос с описанием возникшей ситуации. Например, это может быть
проверка Роскомнадзора или необходимость провести аудит системы обработки персональных данных по запросу головной компании. Юрист связывается с заказчиком, определяет суть проекта и разрабатывает оптимальный подход к оказанию помощи клиенту. Клиенту направляются запросы о дополнительной информации, чтобы наиболее точно определить его потребность в той или иной услуге, предоставляются первичные комментарии по возникшей ситуации и способам минимизации рисков
2
Подготовка необходимых документов и разъяснений
Юрист по защите персональных данных, на основании полученных от клиента сведений, начинает подготовку необходимых документов или ответов на вопросы клиента (в устной или письменной форме). Выполняется подготовка любой документации, которая может потребоваться заказчику: политик обработки персональных данных, текстов уведомлений в Роскомнадзор и ответов на запросы (требования) ведомства, отзывов на исковые заявления и ответов на претензии субъектов персональных данных. При работе специалист руководствуется предшествующим опытом в решении аналогичных задач, поэтому подготовленные материалы будут надежно защищать заказчика
3
Сопровождение после оказания услуги
Зачастую клиентам требуется корректировка ранее составленных документов в связи с изменением схемы работы или профильного законодательства. В этом случае юрист, который уже знаком с проектом клиента, оперативно вносит необходимые правки, и клиент может продолжать обработку персональных данных без существенных рисков. Кроме того, после подготовки ответов на требования или отзывов на исковые заявления, может потребоваться сопровождение заказчика на заседаниях комиссий Роскомнадзора и в суде. Наконец, вопросы обработки персональных данных часто связаны с законодательством о рекламе и интеллектуальной собственности, с которыми также могут помочь наши профильные специалисты
Юрист по персональным данным
По состоянию на январь 2025 г. в реестре операторов персональных данных содержатся сведения о 927 720 операторах персональных данных. Эта цифра значительна даже без учета тех компаний, которые не сообщают в Роскомнадзор об осуществляемой ими обработке персональных данных. В связи с этим вопросы, касающиеся персональных данных, являются очень актуальными как для компаний, так и для физических лиц, являющихся субъектами их обработки
Зачастую сопровождением обработки персональных данных в компании занимаются внутренние корпоративные юристы – это не всегда является верным решением, так как подобные специалисты, как правило, специализируются на сопровождении той отрасли, в которой компания осуществляет свою деятельность, и не так сильны в других сферах
Для обработки персональных данных важно соблюдать определенные условия, предусмотренные законодательством, в том числе – разработать необходимую документацию и продумать меры защиты, чтобы не допустить утечки данных, а также минимизировать ответственность в случае нарушения законодательства
Юрист по персональным данным способен все это сделать в краткие сроки, так как он разбирается в тонкостях обработки с учетом отличного знания нормативной базы и позиций Роскомнадзора в отношении отдельных вопросов
Для обработки персональных данных важно соблюдать определенные условия, предусмотренные законодательством, в том числе – разработать необходимую документацию и продумать меры защиты, чтобы не допустить утечки данных, а также минимизировать ответственность в случае нарушения законодательства
Юрист по персональным данным способен все это сделать в краткие сроки, так как он разбирается в тонкостях обработки с учетом отличного знания нормативной базы и позиций Роскомнадзора в отношении отдельных вопросов
Ключевые навыки юриста
Юрист по персональным данным должен отлично знать ФЗ «О персональных данных» от 27.07.2006 г. № 152-ФЗ, а также подзаконные нормативно-правовые акты Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)
Кроме того, юрист должен иметь практический опыт подготовки документов, необходимых для обработки персональных данных
Еще одним существенным критерием при выборе юриста является наличие у него опыта взаимодействия с Роскомнадзором, в том числе в части подготовки ответов на запросы и требования. У такого специалиста также должен быть опыт оспаривания или защиты в суде от привлечения к административной ответственности за нарушение законодательства о персональных данных, в том числе снижения штрафов, начисленных надзорным органом
Если компания планирует обрабатывать персональные данные не только российских граждан, но также жителей определенных штатов США (например, Калифорнии) или стран Евросоюза, то для разработки документов об обработке таких данных важно знание Общего регламента по защите данных (General Data Protection Regulation, GDPR) или законов определенных штатов США, включая закон Калифорнии о защите персональных данных потребителей (California Consumer Privacy Act, CCPA). С недавнего времени необходимо учитывать и законодательство Индии и Китая, в том числе: закон КНР о защите персональной информации (PIPL) и закон Индии о защите цифровых персональных данных (PDPB)
Когда может понадобиться помощь юриста
К основным вопросам, по которым может понадобиться помощь юриста по персональным данным, можно отнести следующие:
консультация по способам обработки, получении согласия субъектов на обработку, способам получения согласия, а также по иным связанным вопросам
подготовка документов, необходимых в соответствии с 152-ФЗ и регламентирующих обработку персональных данных (политика обработки, согласия на обработку и др.)
оспаривание предписаний, защита в суде от привлечения к административной ответственности за нарушение законодательства о персональных данных
проверка документов на соответствие действующему законодательству по обработке персональных данных
подготовка ответа на запросы субъектов персональных данных
сопровождение при утечке персональных данных из компании
подготовка ответа на запрос или требование Роскомнадзора
включение компании в реестр операторов персональных данных
сопровождение при проверке Роскомнадзора
Отзывы клиентов
Сервис CберЗдоровье
Команда юристов фирмы "Афонин, Божор и партнёры" на постоянной основе сопровождают в юридической части обработку персональных данных и вносят необходимые корректировки. Регулярно обращаемся к специалистам компании и подтверждаем высокий уровень их ответственности и экспертизы
Специалисты компании "Афонин, Божор и партнеры" помогают фирме, среди прочего, в вопросах обработки и защиты конфиденциальной информации и данных. Наши сотрудники часто обращаются к юристам в рамках комплексного обслуживания и рассчитывают на компетентное решение своих вопросов
Halsa | Персональные витамины
Платформа Happy Inc
Юристы компании "Афонин, Божор и партнеры" в рамках абонентского сопровождения сервиса быстро и качественно решают поставленные перед ними задачи, в том числе, в сфере обработки персональных данных пользователей, что минимизирует регуляторные риски и снимает вопросы контрагентов
Запись на консультацию к юристу по персональным данным
Основные аспекты защиты персональных данных
Что такое персональные данные?
Персональные данные (далее также – ПДн) – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
В настоящий момент выделяют следующие виды персональных данных:
Общедоступные
Опубликованы в открытых источниках с согласия владельца (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные данные, сообщаемые субъектом персональных данных)
Биометрические
Характеризуют физиологические и биологические особенности человека (ДНК, группа крови, отпечатки пальцев и др.) Если хранение осуществляется не с целью установления личности, то сведения не относятся к категории биометрических
Специальные
Касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни
Иные
Которые не входят в другие группы. Обычно это дополнительная информация, которая меняется: размер зарплаты, социальный статус, рабочий стаж
Важно: Отнесение ПДн к определенной группе необходимо для правильного установления уровня защищенности ПДн и их дальнейшей обработки
Теперь разберем установленные условия обработки персональных данных
Так, организация вправе обрабатывать ПДн в следующих ситуациях:
Так, организация вправе обрабатывать ПДн в следующих ситуациях:
- Первая и главная - при наличии согласия субъекта на обработку
- Если обработка необходима для целей, предусмотренных законом (например, при сдаче отчетности или для соблюдения трудового законодательства)
- Если обработка происходит в ходе судебного разбирательства
- Если обработка необходима для исполнения полномочий государственных органов
- Если обработка выполняется для исполнения договора, стороной которого является субъект персональных данных, или же который заключен в пользу такого субъекта
- Если обработка необходима для защиты жизни и здоровья человека, а получить согласие невозможно
- Если обработка необходима в рамках мероприятий по возврату кредитов и займов
- Если обработка выполняется в рамках профессиональной деятельности журналиста
- Если обработка выполняется в статистических или исследовательских целях, в том числе, в рамках внедрения ИИ, при этом данные обязательно должна быть обезличены
- Если обрабатываются общедоступные персональные данные (здесь важно отметить, что такие данные должны быть опубликованы или раскрыты в соответствии с законом, речь не идет о данных, просто размещенных на Интернет-ресурсах)
Важно: согласие может дать как сам субъект персональных данных, так и его представитель – либо законный (например, родитель или опекун), либо по доверенности, которая содержит такие полномочия
Еще один важный аспект согласия на обработку персональных данных – возможность его отзыва в любой момент времени. Организация - оператор ПДн при этом может продолжить обработку данных, если есть другие, кроме согласия, основания их обработки
По общем правилу, согласие на обработку может быть получено в любой форме:
На бумажном носителе
Путем согласования текста согласия на веб-странице
Если человек скажет «да» в телефонном разговоре
Если речь о согласии с документом на сайте, то Роскомнадзор настоятельно рекомендует размещать напротив текста такого согласия чекбокс, в котором нужно проставить соответствующую «галочку». Автоматическое предварительное проставление «галочки» не будет расцениваться Роскомнадзором как соблюдение требования о получении согласия
При этом, в некоторых случаях согласие на обработку должно быть строго письменным. Это требуется, например, когда обрабатываются так называемые специальные категории ПДн – сведения о состоянии здоровья, об интимной жизни, о национальной принадлежности или некоторые другие. Такое согласие может быть оформлено или на бумажном носителе или с помощью квалифицированной электронной подписи (электронной подписи, которая существует в виде сертификата, выданного удостоверяющим центром или с помощью Госуслуг). Кроме того, к согласию в письменной форме есть четкие требования по содержанию - там должен быть указан определенный перечень данных о самом субъекте персональных данных, об операторе, о целях и способах обработки
Есть еще интересная категория ПДн - это «персональные данные, разрешенные субъектом персональных данных для распространения». Это значит, что гражданин может дать какой-то конкретной организации свое согласие на распространение его данных среди неограниченного круга лиц. Это согласие должно быть предоставлено в строго определенной форме. В тексте этого документа есть таблица с персональными данными, и сам гражданин выбирает, какие данные он готов раскрывать неограниченному кругу лиц, а какие - нет. Это касается и бумажной, и электронной формы такого согласия. Кроме того, гражданин может, как и в случае с обычным согласием на обработку персональных данных, отозвать такое согласие, и в этом случае распространение данных должно быть немедленно прекращено
При этом, в некоторых случаях согласие на обработку должно быть строго письменным. Это требуется, например, когда обрабатываются так называемые специальные категории ПДн – сведения о состоянии здоровья, об интимной жизни, о национальной принадлежности или некоторые другие. Такое согласие может быть оформлено или на бумажном носителе или с помощью квалифицированной электронной подписи (электронной подписи, которая существует в виде сертификата, выданного удостоверяющим центром или с помощью Госуслуг). Кроме того, к согласию в письменной форме есть четкие требования по содержанию - там должен быть указан определенный перечень данных о самом субъекте персональных данных, об операторе, о целях и способах обработки
Есть еще интересная категория ПДн - это «персональные данные, разрешенные субъектом персональных данных для распространения». Это значит, что гражданин может дать какой-то конкретной организации свое согласие на распространение его данных среди неограниченного круга лиц. Это согласие должно быть предоставлено в строго определенной форме. В тексте этого документа есть таблица с персональными данными, и сам гражданин выбирает, какие данные он готов раскрывать неограниченному кругу лиц, а какие - нет. Это касается и бумажной, и электронной формы такого согласия. Кроме того, гражданин может, как и в случае с обычным согласием на обработку персональных данных, отозвать такое согласие, и в этом случае распространение данных должно быть немедленно прекращено
Обработка персональных данных на других основаниях
Выше описаны ситуации, когда ПДн могут обрабатываться без согласия субъекта персональных данных. Их достаточно много, часть касается государственных органов, часть – чрезвычайных ситуаций. Подробнее рассмотрим те варианты обработки данных без согласия, которые наиболее часто встречаются на практике
Когда обработка производится в целях, предусмотренных законом
Например, частная медицинская организация в процессе своей работы оформляет медицинские карты на пациентов, а после оказания им услуг - также акты оказанных услуг, в которых отражается информация о пациентах. Медицинские карты, по требованиям Минздрава, должны храниться 25 лет. Бухгалтерская документация, включая акты оказанных услуг - 5 лет. Соответственно, даже если пациент отозвал свое согласие на обработку, клиника будет хранить его документы, пока не придет срок их уничтожения
Когда данные обрабатываются для исполнения договора, заключенного с субъектом персональных данных
Данная ситуация несколько сложнее, так как подобная обработка должна быть строго необходимой для заключения или исполнения договора. Например, использование данных, полученных от клиента, для обучения искусственного интеллекта уже будет недопустимым. Как только договор прекращает свое действие, обработка также должна быть прекращена (кроме случаев хранения документов в бухгалтерских целях и для решения споров с клиентом на случай, если они возникнут). Такой договор не может содержать в себе какие-либо условия, которые ограничивают права субъекта персональных данных. Кроме того, на основании договора (без отдельного согласия или иных оснований обработки) нельзя обрабатывать данные несовершеннолетних
Способы обработки персональных данных
Обработка ПДн может выполняться самыми разными способами, и в любом случае будет считаться обработкой
В ст. 3 закона 152-ФЗ есть определение обработки персональных данных. Согласно такому определению, обработка - это любое действие с персональными данными, включая:
- сбор
- запись
- систематизацию
- накопление
- хранение
- уточнение (обновление, изменение)
- извлечение
- использование
- передачу (распространение, предоставление, доступ)
- обезличивание
- блокирование
- удаление
- уничтожение
Именно этот перечень можно увидеть почти в любом согласии на обработку персональных данных или в любой размещенной на сайте политике обработки персональных данных
Сама обработка может осуществляться без использования средства автоматизации (то есть вручную) или с использованием таких средств. При этом, по общему правилу запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, которые порождают юридические последствия для субъекта персональных данных. Такие решения можно принимать на базе автоматически обработанных сведений только если есть согласие субъекта, или если это прямо предусмотрено законом. А сам гражданин в этом случае может возражать против принятия такого решения, и его возражения обязательно должны быть рассмотрены
Почему выбирают нашего юриста по персональным данным
- Полное соответствие законодательству — обеспечиваем выполнение требований ФЗ-152 и других нормативных актов
- Анализ рисков — выявляем потенциальные нарушения и разрабатываем меры их предотвращения
- Разработка политики конфиденциальности — составляем документы, необходимые для защиты данных клиентов и сотрудников
- Сопровождение проверок — помогаем при проверках Роскомнадзора и других контролирующих органов
- Обучение сотрудников — проводим инструктажи по работе с персональными данными в рамках закона
- Регистрация баз данных — оформляем уведомления в Роскомнадзор и контролируем их актуальность
- Удалённое сопровождение — работаем с компаниями по всей России
- Подготовка договоров — включаем положения о персональных данных в соглашения с контрагентами и партнёрами
- Решение споров — защищаем интересы клиента при нарушении прав на защиту данных
- Комплексный подход — от аудита до внедрения систем защиты персональных данных
старший юрист практики цифрового права и руководитель блока взаимодействия с Министерством цифрового развития
Специалист, проверивший статью:
Опубликовано:
12.07.2024
12.07.2024
Трансграничная передача персональных данных
Трансграничная передача - это передача персональных данных за рубеж
Даже кратковременная загрузка ПДн на иностранный сервер будет считаться трансграничной передачей. Прежде всего, если организация планирует такую передачу данных, она обязана уведомить Роскомнадзор по определенной форме
Даже кратковременная загрузка ПДн на иностранный сервер будет считаться трансграничной передачей. Прежде всего, если организация планирует такую передачу данных, она обязана уведомить Роскомнадзор по определенной форме
В уведомлении указывается следующее:
1] Наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором
2] Наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки ПДн, номера контактных телефонов, почтовые адреса и адреса электронной почты
3] Правовое основание и цель трансграничной передачи ПДн и их дальнейшей обработки
4] Категории и перечень передаваемых персональных данных
5] Категории субъектов, персональные данные которых передаются
6] Перечень иностранных государств, на территории которых планируется трансграничная передача
7] Дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача, конфиденциальности ПДН и обеспечения безопасности при их обработке
Роскомнадзор по итогам рассмотрения такого уведомления может или ничего не делать (тогда трансграничная передача будет возможной) или запретить такую передачу организации. Решение Роскомнадзора в этом случае придется обжаловать в суд. Если государство, на территорию которого планируется передавать данные, не обеспечивает адекватный уровень защиты персональных данных (такой перечень утверждает Роскомнадзор), то, скорее всего, подобную передачу не разрешат
Как и в случае с другими способами обработки, для трансграничной их передачи должны быть определенные основания - согласие субъекта персональных данных или какое-то другое из перечня, который рассматривали ранее. Раньше такое согласие обязательно должно было быть письменным, теперь такое требование отменено
1] Наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором
2] Наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки ПДн, номера контактных телефонов, почтовые адреса и адреса электронной почты
3] Правовое основание и цель трансграничной передачи ПДн и их дальнейшей обработки
4] Категории и перечень передаваемых персональных данных
5] Категории субъектов, персональные данные которых передаются
6] Перечень иностранных государств, на территории которых планируется трансграничная передача
7] Дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача, конфиденциальности ПДН и обеспечения безопасности при их обработке
Роскомнадзор по итогам рассмотрения такого уведомления может или ничего не делать (тогда трансграничная передача будет возможной) или запретить такую передачу организации. Решение Роскомнадзора в этом случае придется обжаловать в суд. Если государство, на территорию которого планируется передавать данные, не обеспечивает адекватный уровень защиты персональных данных (такой перечень утверждает Роскомнадзор), то, скорее всего, подобную передачу не разрешат
Как и в случае с другими способами обработки, для трансграничной их передачи должны быть определенные основания - согласие субъекта персональных данных или какое-то другое из перечня, который рассматривали ранее. Раньше такое согласие обязательно должно было быть письменным, теперь такое требование отменено
Право на защиту данных
Для защиты персональных данных установлены законодательные гарантии, которые можно разделить на российские и международные
Российские – ФЗ «О персональных данных» № 152-ФЗ
Для субъекта персональных данных законодательством РФ установлены следующие права:
1) Право на доступ к его персональным данным, которое включает в себя:
- право на получение сведений об обработке его ПДн
- право требовать от оператора уточнения его данных, их блокирования или уничтожения
Важно: право на доступ может быть ограничено в соответствии с законом
2) Право требовать прекращения обработки персональных данных, если их обработка происходит без его согласия в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации
3) Право обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке
Международные и иностранные – GDPR, CCPA
Если компания-оператор планирует обрабатывать персональные данные как российских граждан, так и жителей определенных штатов США или стран Евросоюза, то необходима разработка документов об обработке таких данных с учетом Общего регламента по защите данных (General Data Protection Regulation, GDPR) или законов определенных штатов США, включая закон Калифорнии о защите персональных данных потребителей (California Consumer Privacy Act, CCPA)
Данные акты предусматривают похожие права для субъекта персональных данных:
1) Право на доступ к его ПДн, в том числе на получение сведений об обработке и их уточнении, блокировании, исправления и др
2) Право на подачу жалобы в надзорный орган
3) Право на запрет использования данных без полученного согласия
4) GDPR также предусматривает «право на переносимость данных» - то есть право перенести свои ПДн от одного оператора к другому
Проблемы, связанные с персональными данными
Для физических лиц основными проблемами являются:
Незаконная передача данных третьим лицам
Некоторые ресурсы могут осуществлять сбор ПДн без полученного согласия субъекта, а также в последующем передавать эти данные своим контрагентам для формирования баз или осуществления, например, рекламных кампаний. Обычному гражданину достаточно трудно определить, собираются ли его персональные данные на сайте, а также кто является оператором их обработки
Использование данных для спам-рассылок
Каждый человек сталкивался с получением смс или писем на электронную почту от компаний, о существовании которых он вообще не знал или никогда не соприкасался с ними. Здесь речь идет как раз о незаконном использовании ПДн, согласие на обработку которых не было получено. В таком случае рекомендуется зафиксировать получение рассылки и направить жалобу на соответствующий ресурс в Роскомнадзор
Утечка данных из публичных баз
В последнее время часто появляются новости об утечке данных из крупных баз. Такая утечка персональных данных дает мошенникам огромный массив информации, с помощью которой они могут манипулировать и обманывать граждан. Таким последствиям подвержены не только лица, чьи ПДн были раскрыты, но и их знакомые, так как с помощью полученной информации мошенники могут представляться любыми лицами
Для бизнеса можно выделить следующие проблемы:
Нарушение требований к хранению данных
В случае нарушения компанией требований хранения персональных данных могут произойти утечки обрабатываемых ПДн, которые принесут проблемы не только субъектам, но и самой компании. За утечку данных предусмотрены значительные штрафы, которые навряд ли кто-то хотел бы получить
Ошибки при получении согласия на обработку
Также проблемой будет получение неправильного согласия на обработку. Например, в согласии может быть указан не весь перечень ПДн, которые на самом деле обрабатывает оператор, или оно может быть получено от несовершеннолетнего лица без согласия взрослых
Проверки Роскомнадзора и наложение штрафов
Все ошибки, возникающие при обработке ПДн, могут повлечь проверки надзорных органов, которые могут быть чреваты привлечением к административной ответственности, в том числе с наложением штрафов. Ответственность и размеры штрафов подробнее рассмотрим далее
Ущерб репутации из-за утечки данных
Даже если оплата штрафов для компании не является проблемой, то утечка ПДн может привести и к более серьезным последствиям – потери репутации бренда. Это может привести не только с существенным имущественным потерям, но и к полному закрытию компании
Услуги юриста по персональным данным
Адвокат по персональным данным может оказать следующие услуги в зависимости от запроса клиента:
1
Консультации для физических лиц, в том числе, по вопросам:
- Как защитить свои права в случае утечки персональных данных?
- Как определить оператора персональных данных?
- Что делать, если оператор отказывается удалять ПДн и продолжает их обработку?
- Как составить жалобу в Роскомнадзор?
2
Подготовка жалобы в Роскомнадзор и сопровождение процедуры – адвокат определит оператора персональных данных, подготовит запрос к нему, а в случае неполучения ответа или отказа удаления информации – подготовит жалобу в надзорный орган и проконтролирует ее рассмотрение
3
Консультации для бизнеса по вопросам обработки персональных данных, выявления рисков и их предотвращении
4
Проведение аудита соответствия 152-ФЗ для компании. Для его проведения может быть предоставлен сайт, пользовательское соглашение, политика обработки ПДн, положение об обработке ПДн и др. По структуре заключение по итогам аудита может выглядеть следующим образом:
- перечень предоставленных клиентом документов
- краткое описание сайта и деятельности компании
- рекомендации по содержанию сайта
- рекомендации по содержанию пользовательского соглашения
- рекомендации по содержанию политики обработки персональных данных
- рекомендации по содержанию положения об обработке персональных данных
5
Разработка внутренних регламентов и документов по обработке ПДн, в том числе:
- положения об обработке персональных данных
- политики обработки персональных данных
- пользовательского соглашения
- согласия на обработку персональных данных
- всплывающих уведомлений для сайта
- согласия на получение рекламных рассылок
6
Помощь при проверках Роскомнадзора – подготовка ответов на запросы, внесение корректировок в документы в соответствии с запросами, разработка недостающих документов
7
Сопровождение судебных споров:
- обжалование актов Роскомнадзора, снижение или отмена наложенных штрафов
- представление интересов компании в спорах с субъектами персональных данных (требования об удалении / изменении данных, компенсации морального вреда и др.)
Реальные кейсы защиты персональных данных
Консультирование СберЗдоровье по вопросам обработки персональных данных
СберЗдоровье – администратор крупнейшего в РФ сервиса онлайн-здравоохранения СберЗдоровье (https://sberhealth.ru), основанного в 2012 году под наименованием DocDoc. Наши специалисты обеспечивают комплексное юридическое сопровождение группы компаний СберЗдоровье по направлению обработки персональных данных. В частности, обеспечивается подготовка документов об обработке персональных данных (согласия, внесения изменений в политики обработки персональных данных) для реализации новых проектов, сопровождается внедрение электронного кадрового документооборота в компании, обеспечивается соответствие деятельности правилам экспериментального правового режима, выполняется проверка всех размещаемых материалов на соблюдение законодательства о персональных данных интеллектуальной собственности, взаимодействие с госорганами
Сопровождение Happy Job в части обработки данных в связи с проведением опросов
Happy Job (https://happy-job.ru) – это digital-платформа для оценки и развития вовлечённости и лояльности персонала, использующая методы геймифицированных опросов. И позволяющая проводить анализ предоставленных ответов с использованием технологии машинного обучения. В рамках сопровождения адаптированы проекты согласия на обработку персональных данных, политики обработки персональных данных и поручения об обработке персональных данных с учетом изменений законодательства в 2023-2024 годах. При согласовании договоров с крупными заказчиками, защищены интересы и минимизированы риски клиента как обработчика персональных данных
Юридический анализ системы использования данных для Beorg
Система Beorg (https://beorg.ru), созданная на базе нейронных сетей, позволяет распознавать сложные объекты, включая рукописный текст, аудио и видео, и используется, в том числе, для обработки паспортных данных. Компания является резидентом фонда Сколково и разработчиком первого в РФ цифрового помощника для федерального ведомства. Среди контрагентов - Спортмастер, Х5 Retail Group, ЛЕНТА, Северсталь и другие. По запросу клиента подготовлены legal opinion для предоставления контрагентам о правомерности деятельности сервиса, отчет с оценкой схемы работы, потенциальных рисков и способов их снижения, а также письменные рекомендации о возможных вариантах организации работы сервиса с минимальными регуляторными рисками
Аудит обработки персональных данных сервиса PsyAI
PsyAI (https://psyai.pro) - это первая в мире AI-платформа для психологов, сервис с искусственным интеллектом, созданный для специалистов работающих в различных областях психологии. AI-ассистент анализирует сессию с участием клиента психолога, распознает основные проблемы, подсказывает направления работы и дает рекомендации по ведению клиента. Основной приоритет клиента - защита конфиденциальности и обеспечение безопасного хранения данных клиентов. Адвокатами проведен подробный аудит веб-сайта клиента, предоставлены подробные рекомендации по внесению изменений, разработано пользовательское соглашение и политика обработки персональных с учетом AI-составляющей сервиса и значительного количества пользователей
В Российской Федерации основным источником нормативного регулирования в сфере ПДн является Федеральный закон «О персональных данных» № 152-ФЗ
Данный акт применяется к отношениям, связанным с обработкой персональных данных граждан Российской Федерации, которую осуществляют:
- федеральные органы государственной власти
- органы государственной власти субъектов РФ
- иные государственные органы
- органы местного самоуправления
- иные муниципальные органы
- юридические лица (в том числе, иностранные)
- физические лица (в том числе, иностранные)
152-ФЗ устанавливает основные требования к операторам персональных данных, принципы и условия обработки, права субъектов ПДн, а также надзор за обработкой и ответственность за нарушение требований законодательства
Также ответственность за нарушение требований об обработке персональных данных предусмотрена Кодексом РФ об административных правонарушениях (КоАП РФ) в ст.13.11. и Уголовным кодексом РФ (УК РФ) в ст.272.1. и ст.137
Законодательная база в сфере персональных данных
Международные нормы предусмотрены в Общем регламенте защиты персональных данных (GDPR). Кроме того, конкретные нормы по обработке и защите персональных данных представлены в законодательстве конкретных государств, например, в законе Калифорнии о защите персональных данных потребителей (CCPA), китайском Законе о защите персональной информации (PIPL) и индийском Законе о защите цифровых персональных данных (PDPB). Компаниям, зарегистрированным в РФ, рекомендуется соблюдать такие нормативные акты, если планируется обработка персональных данных как российских граждан, так и жителей определенных штатов США или стран Евросоюза либо граждан Индии или Китая. В таком случае необходима разработка документов об обработке таких данных в соответствии с иностранным законодательством
Ответственность за нарушение законодательства
Специалист, который отвечает за обработку ПДн в организации, должен или сам достаточно хорошо знать закон 152-ФЗ, или же привлечь профильного специалиста. Это важно, так как никто не застрахован от жалоб в Роскомнадзор или публикаций о нарушениях в открытых Телеграм-каналах. В рамках разбирательств по подобным жалобам будут проходить проверки, а штрафы могут быть довольно существенными, вплоть до десятков миллионов рублей
Одно из важных правил при обработке персональных данных - это разместить на сайте компании документ, который определяет порядок и условия обработки персональных данных в организации. Как минимум, такой документ должен касаться пользователей сайта, а желательно - также отражать вопросы обработки ПДн работников организации, представителей контрагентов и других субъектов, персональные данные которых обрабатывает организация. Штраф за нарушение такого требования - до 60 000 рублей
Еще одно правило, которое следует четко соблюдать в свете недавних изменений в законе 152-ФЗ - это собирать письменные согласия на обработку специальных категорий персональных данных, например, сведений о состоянии здоровья. Отсутствие согласия повлечет штраф до 700 000 рублей
На запросы субъектов ПДн по поводу условий и способов обработки их персональных данных следует отвечать в установленный законом срок, если не ответите - штраф до 80 000 рублей. Срок ответа варьируется в зависимости от категории запроса, и составляет от 7 до 14 рабочих дней, раньше было 30 календарных дней
На запросы нужно не только отвечать, но и реагировать. Если выявлены данные, которые обрабатываются с нарушением закона, недостоверные или неполные данные, то ситуацию необходимо исправить. Если организация не предприняла никаких мер и об этом узнал Роскомнадзор, то сумма штрафа составит до 90 000 рублей, а при повторном нарушении - до 500 000 рублей
Если организация при ручном методе обработки данных допустила нарушение конфиденциальности (например, если бухгалтер оставил в лотке принтера зарплатную ведомость, а сотрудник ее нашел и опубликовал), то штраф предусмотрен и за такое нарушение, сумма штрафа - до 100 000 рублей
И самое важное: персональные данные граждан России нужно собирать строго с использованием российских серверов. Если будет выявлено нарушение (например, когда форма обратной связи передает собранные данные на зарубежный сервер), то Роскомнадзор может оштрафовать компанию на сумму до 6 000 000 рублей за первое нарушение и до 18 000 000 рублей - за повторное нарушение
Также субъекты ПДн могут требовать возмещения морального вреда, которое осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков
С 30.05.2025 г. вступают в силу положения о многомиллионных штрафах за нарушение законодательства о ПДн:
- Утечка персональных
данныхПри незаконной передаче информации о людях в количестве от 1 тыс. до 10 тыс. человек ИП и компаниям будет грозить штраф в размере от 3 000 000 до 5 000 000 руб. Если количество «утекших» идентификаторов – от 10 тыс. до 100 тыс., то сумма штрафа составит от 5 000 000 до 10 000 000 руб. Если свыше 100 тыс., то штраф составит от 10 000 000 до 15 000 000 руб. Если распространены персональные данные специальной категории, то штраф составит от 10 000 000 до 15 000 000 руб. - Неуведомление РоскомнадзораЕсли произошла утечка ПДн и о ней не было сообщено Роскомнадзору, то компаниям и ИП будут назначены штрафы от 1 000 000 до 3 000 000 руб. Если организация не направила или несвоевременно направила уведомление о намерении обрабатывать персональные данные, то сумма штрафа составит от 100 000 до 300 000 руб.
- Повторные
утечкиЕсли юридическое лицо уже было подвергнуто административному наказанию и у него вновь произошла утечка ПДн, то это может повлечь наложение штрафа от 1 до 3 % совокупного размера выручки, но не менее 25 000 000 и не более 500 000 000 рублей
Важно: Размер штрафа возможно снизить, например, если отсутствуют отягчающие обстоятельства, а ежегодные расходы на обеспечение информационной безопасности составляют не менее 1 % годовой выручки. Кроме того, с 30.11.2024 г. УК РФ пополнился ст. 272.1, устанавливающей уголовную ответственность за неправомерное использование персональных данных
Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем наказываются в зависимости от части статьи, но минимальные санкции выглядят следующим образом:
- штраф в размере до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период до 1 года; либо
- принудительные работами на срок до 4 лет; либо
- лишение свободы на срок до 4 лет
- совершены в отношении компьютерной информации, содержащей ПДн несовершеннолетних лиц, специальные категории персональных данных и (или) биометрические персональные данные
- совершены из корыстной заинтересованности; с причинением крупного ущерба; группой лиц по предварительному сговору; с использованием своего служебного положения
- сопряжены с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей информации, содержащих персональные данные
- повлекли тяжкие последствия либо совершены организованной группой
Наконец, данная статья предусматривает наказание за создание и (или) обеспечение функционирования информационного ресурса (сайта в Интернете и (или) страницы сайта, информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей ПДн, полученной незаконным путем:
штраф в размере до 700 000 рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового; либо
принудительные работы на срок до 5 лет со штрафом в размере до 700 000 рублей или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового; либо
лишение свободы на срок до 5 лет со штрафом в размере до 700 000 рублей или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового
Как избежать проблем с персональными данными?
Рекомендации для граждан
- Во-первых, необходимо внимательно смотреть документы, которые подписываются в организациях, изучать перечень данных, которые предоставляются для обработки
- Также важно следить за тем, где ставятся галочки, а также иные заполнения чекбоксов на сайтах в Интернете.
- Большинство пользователей даже не читают всплывающие окна, а также документы, расположенные по ссылке в них, тем самым могут давать согласие на сбор и обработку своих ПДн. Это крайне неправильно. Для предотвращения проблем с утечкой персональных данных нужно изучать документы, в частности, согласие на обработку ПДн и политику их обработки
- В случае обнаружения неправомерной обработки Ваших ПДн, в том числе не нужными для целей обработки, необходимо написать в соответствующую организацию запрос по поводу обработки таких данных
- Кроме того, при обнаружении неполных, устаревших или неточных персональных данных субъект вправе требовать от оператора их уточнения, блокирования или уничтожения
- Если организация (оператор персональных данных) не реагирует на запросы и не прекращает обработку, то следует обратиться в Роскомнадзор для защиты своих прав
- Особенно часто неправомерная обработка персональных данных встречается на платформах, которые за плату предоставляют информацию от третьих лицах. Но зачастую у таких сервисов есть функция удаления ПДн при заполнении определенной формы. При обнаружении своих данных в таких сервисах рекомендуется незамедлительно запросить их блокирования
Рекомендации для бизнеса
Не использовать на сайте Google Analytics, так как инспекторы Роскомнадзора считают, что статистические данные о пользователях (хотя они и не привязаны к конкретным людям) тоже относятся к ПДн. И, соответственно, если на сайте стоит такая система аналитики, то собираются персональные данные граждан РФ с помощью зарубежных серверов. А за это, как мы помним, предусмотрен многомиллионный штраф. Как избежать такой ситуации: нужно или отказаться от использования Google Analytics (использовать вместо них иные системы аналитики) либо заранее уведомить Роскомнадзор о трансграничной передаче персональных данных и надеяться на положительное решение
Также следует быть внимательными с учетными данными клиентов от сторонних систем. А в случае утечки данных – немедленно уведомить об этом и о принятых мерах Роскомнадзор, подать заявление в полицию, чтобы избежать наложения огромного штрафа
Желательно заранее прописывать в договорах с контрагентами безопасные способы предоставления доступа к ПДн - злоумышленники не дремлют, а финансовые и репутационные потери могут составить миллионы рублей
Следует помнить, что каждый оператор персональных данных самостоятельно обрабатывает имеющиеся у него персональные данные. Соответственно, если Вы получили от контрагента какие-то данные, обязательно нужно убедиться в том, что у него было право передавать такие данные. Если у него такого права не было, то Роскомнадзор оштрафует и Вас, и Вашего контрагента. И в этом случае для того, чтобы взыскать эти убытки (то есть сумму уплаченного штрафа) с контрагента нужно, чтобы в договоре это было прямо предусмотрено. Если таких условий в договоре не было, то взыскать что-то с контрагента через суд будет очень затруднительно
Наконец, в рамках компании должна действовать понятная система обработки ПДн с назначением конкретного сотрудника, ответственного за их обработку, и разграничением доступа к данным клиентов. Каждый сотрудник должен понимать, к чему именно у него есть доступ, и нести ответственность в случае разглашения или незаконного использования данных. Если такие документы в компании отсутствуют, то, во-первых, любой сотрудник может увести базу данных клиентов, во-вторых, его очень сложно будет за это наказать, а в-третьих, не получится пожаловаться на конкурента, которому Ваш бывший сотрудник передал эту базу данных
Нашим адвокатам доверяют компании
Мы выступаем экспертами в СМИ
Публикации:
- Рынок приложений: как монетизируют мобильные программы
- ФАС заподозрила в картеле поставщиков топлива в Тамбовской области
- Когда ФАС штрафует за нейминг и рекламу
- 2 способа расчетов криптовалютой с иностранцами без блокировок и штрафов
- Что делать, если взломали «Госуслуги». Как это узнать и куда обращаться. Советы, как защитить свою учетную запись
Публикации:
Публикации:
Публикации:
Публикации:
Публикации:
Публикации:
- Согласие на обработку персональных данных, разрешенных для распространения, можно передать через Роскомнадзор: какой будет порядок?
- Споры с самозанятыми будут рассматриваться в арбитражных судах: поправки в АПК РФ уже внесены в Госдуму
- Деятельность маркетплейсов предлагают регулировать специальным законом
- Проблемы ликвидации общества в порядке ст. 57 Закона об ООО: что говорит судебная практика
- О некоторых нюансах установления действительной стоимости чистых активов должника в рамках банкротства
- Борьба с мошенниками и киберпреступлениями: готовятся новые ограничения для бизнеса
- Новый сбор для участников рекламного рынка. С 1 апреля за распространение рекламы в интернете придется заплатить
- Обязанности участников рекламного рынка по маркировке рекламы в интернете будут пересмотрены
Специалисты
Статьи и аналитика
Отзывы
| | Консультация юриста по персональным даннымПодробно разобрать ситуацию и предоставить рекомендации по решению вопроса |