3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

Жалоба на использование персональных данных

Спокойствие и благополучие моей семьи были нарушены мошенничеством первого коллекторского агентства.

Выясним куда следует обращаться за защитой персональных данных

Персональные (индивидуальные) данные всегда играли важную роль. В этой части спектра важность защиты персональных данных возрастает с каждым размером компании. Без него никто не сможет совершать электронные покупки, никто не сможет пользоваться банковскими услугами или получать ответы на правительственные запросы.

Многим людям наверняка знакома эта ситуация, поскольку они знают, что данные, которые они имеют о своих персональных данных, являются не только самыми важными, но и самыми главными. Как только данные где-то появляются, через некоторое время почта наводняется спамом, а телефон — непрерывными рекламными звонками и угрозами. Все это произошло из-за неправомерной утечки персональных данных. В этой статье говорится о том, как защитить себя от подобных случаев и куда можно пожаловаться в Интернете на разглашение персональных данных.

Законодательство

  1. Основным регулирующим фактором является Федеральный закон «О персональных данных». 152 от 27.07.2006 г. Положения документа разъяснены.
  • Используемая концепция (ст. 3).
  • Принципы, особенности обработки определенной информации (раздел 5-13).
  • Права субъекта данных, т.е. лица, предоставляющего информацию (Статьи 14-17). Статья 17 предусматривает, что граждане могут требовать компенсации и восстановления морального вреда.
  • Обязательства оператора, т.е. организации или лица, обрабатывающего информацию (Статьи 18-22.1).

Важно: Существует более 50 актов с различными принципами обработки данных. Каждое агентство имеет свои особенности.

3 злободневных вопроса об обработке персональных данных: ищем ответы в свежих разъяснениях регулятора и судебных делах

Даже опытным специалистам трудно разобраться в оттенках обработки персональных данных. Это связано с тем, что положения Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — «Закон 152-ФЗ») содержат общие положения, которые могут быть истолкованы по-разному. Позиция судов по тому же вопросу, что и у Роскомнадзора, может отличаться, и, более того, были судебные дела с противоположными решениями. При разработке процедур обработки персональных данных директора компаний не понимают, на чем им необходимо сосредоточиться, чтобы предотвратить нарушение закона. 152-ФЗ.

В то же время вопрос защиты персональных данных с каждым годом становится все более актуальным. За последние два года в Кодекс об управленческих нарушениях Российской Федерации были внесены изменения, направленные на увеличение штрафов за нарушения требований закона №. 152-ФЗ.Кроме того, подготовлен законопроект об увеличении штрафов за упущения в персональных данных. Ежегодно Роскомнадзор регистрирует более 50 000 жалоб от физических лиц и налагает административные штрафы на организации на сумму более 1 млн рублей. Возможные последствия для компаний не ограничиваются штрафами. Регулятор может заблокировать сайт организации. Это неотъемлемая часть бизнеса для всех, кто предоставляет онлайн-услуги или развивает онлайн-продажи.

В этой колонке мы сравним законодательные положения и рассмотрим три ключевых вопроса, которые мы регулярно задаем бизнесменам. 152-ФЗ и позиция Роскомнадзора. В ней также рассказывается о личном опыте участия в служебных проверках.

  1. Получена ли фотография из биометрической системы контроля персональных данных?

Использование фотографий в системах контроля доступа (СКД) является обычной практикой для компаний. Многие задаются вопросом, являются ли фотографии для контроля доступа биометрическими данными, учитывая их персональный характер. Кроме того, в этом случае учреждение должно получить письменное согласие субъекта персональных данных, как определено в статье 9 закона №. 152-ФЗ.

Что говорит закон?

Закон № 152-ФЗ дает слишком общее определение биометрических персональных данных, которое не дает четкого ответа на вопрос, относится ли к ним фотография. Например, статья 11 Закона № 152-ФЗ гласит, что биометрические персональные данные относятся к информации, описывающей физиологические и биологические характеристики человека и используемой оператором для идентификации субъекта данных.

Что говорит Роскомнадзор?

На сайте службы опубликовано пояснение1 , что морская фотография используется для проверки личности субъекта персональных данных и поэтому является биометрической характеристикой, учитывающей личность человека.

В день публикации в январе этого года представители регулятора объяснили, при каких условиях фотографии характеризуются как биометрические. Так что если они:.

Полученные в соответствии с требованиями к изображениям ГОСТ Р ИСО/МЭК 19794-5-2013 (освещение, положение головы, размещение камеры, анализ изображения и т.д.)

Они классифицируются как биометрические данные нормативным законодательством (например, для обработки в единой биометрической системе).

Это разъяснение регулятора позволяет сделать вывод, что обработка фотографий в системе ACS не характеризуется как биометрические персональные данные. Более того, во время недавней проверки Роскомнадзора с нашим участием компании не высказали замечаний по поводу того, что фотографии АСУ характеризуют биометрический персонал. Однако мы видели примеры противоположных решений регулирующих органов.

Что говорит судебная практика?

Владелец тренажерного зала в Казани пытался оспорить решение Роскомнадзора и штраф в размере 10 000 (решение Собецкого районного суда Казани от 26 сентября 2019 года, 12-1526/2019). Спортивный клуб использовал систему ACS для идентификации посетителей на основе фотографий Peristyle без их письменного согласия. Суд сослался на объяснение службы, что фотографии, используемые для идентификации людей, являются биометрическими по своей природе, и отклонил апелляцию.

Заключение.

Роскомнадзор не опроверг описание на своем сайте, но на публичном мероприятии его представители сообщили о критериях, по которым фотографии АСУ не считаются биометрическими сотрудниками. Аналогичные подходы все чаще наблюдаются при проведении инспекций регулирующих органов. В то же время, согласно вышеупомянутому постановлению суда, суд недавно занял другую позицию, ссылаясь на разъяснения Роскомнадзора. Таким образом, сегодня существует риск наложения штрафов и санкций при отсутствии письменного согласия на обработку биометрических данных при использовании фотографий в системах АСУ. Поэтому целесообразно получить согласие субъекта данных. Согласие должно осуществляться в соответствии с требованием статьи 9 закона №. 152-ФЗ. Другой вариант минимизации риска — разъяснить во внутренних нормативных документах (например, в регламентах доступа и внутрифирменного регулирования), что обработка фотографий в СКУД осуществляется не в целях идентификации личности, а для организаций контроля доступа. Однако такой подход несет в себе риск выдачи предписания в случае контроля со стороны Роскомнадзора.

  1. Являются ли телефонные номера персональными данными?

Часто компании запрашивают номер телефона без ссылки на имя или другую информацию о пользователе и спрашивают, нужно ли в этом случае получать согласие владельца персональных данных.

Что говорит закон?

Напомним, что в соответствии со статьей 3 закона № 152-ФЗ, персональные данные — это информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Что говорит Роскомнадзор?

В день публикации представитель службы пояснил, что персональные данные содержат информацию, характеризующую человека. Телефонные номера не являются персональными, поскольку они не являются характеристикой человека, а являются характеристикой материала.

В моей практике участия в проверках Роскомнадзора представители службы не обязаны соглашаться на обработку телефонных номеров без привязки к другим данным.

Что говорит судебная практика?

Житель Белгорода обратился в суд по жалобе ООО «Яндекс Газета» на размещение его номера телефона (решение Апелляционного суда от 12 сентября 2019 года). Роскомнадзор не нашел нарушений, так как номер телефона был опубликован без указания владельца. Суд согласился с регулятором в том, что номер телефона не является персональным данным, поскольку его нельзя использовать для идентификации лица.

Тем временем московский суд, рассматривающий аналогичный вопрос, вынес другое решение (Решение 12-973_2019 Шермашкинского районного суда г. Москвы от 18 июня 2019 года). Одному гражданину позвонили из коллекторской компании без его согласия. В то же время у коллектора не было никакой другой информации об этом человеке, кроме номера его телефона. Суд установил, что обработка коллекторской компанией персональных данных, т.е. номера телефона, нарушает закон. 152-ФЗ.

Заключение.

Роскомнадзор поддерживает позицию, что номер телефона не является персональными данными без связи с другими данными, и поэтому согласие владельца на обработку данных получать не нужно. Однако правоприменительная практика говорит о том, что стоит получить согласие субъекта данных на такую обработку данных. Это может быть в виде квитанции (например, в поле выбора на сайте), которую можно проверить.

  1. Требуется ли согласие субъекта персональных данных, если персональные данные субъекта обрабатываются в контексте исполнения контракта?

Компании спрашивают, нужно ли им получать индивидуальное согласие, если персональные данные обрабатываются для выполнения договорных обязательств, или же юридическим основанием для обработки является сам договор.

Что говорит закон?

Статья 6 § 152-ФЗ Закона № 152-ФЗ гласит, что обработка персональных данных разрешается

для исполнения договора, стороной, бенефициаром или гарантом которого является субъект персональных данных; и

для расторжения договора, касающегося инициативы персональных данных или предмета договора, бенефициаром или гарантом которого является субъект.

Что говорит Роскомнадзор?

На официальном сайте Роскомнадзора 2 говорится, что согласие не требуется, если договор требует обработки персональных данных.

Согласно моему опыту участия в проверках со стороны регулятора, отсутствие консенсуса может быть нарушением, если

Персональные данные обрабатываются в целях, которые являются чрезмерными по отношению к цели обработки или не указаны в договоре. В качестве примера можно привести обработку копии паспорта, которая не является необходимой для исполнения договора или для отправки клиенту рекламных SMS-сообщений.

Перечень организаций, которым направляются персональные данные, не уточняется.

Обработка персональных данных требует письменного согласия (например, особые категории данных, биометрические данные, взаимная передача персональных данных).

Что говорит судебная практика?

Давайте рассмотрим два примера противоположных судебных решений.

В Пятом апелляционном суде Владивостока расследовалось дело об обработке персональных данных одним из поставщиков ресурсов. Судебные органы решили, что согласие субъекта не является необходимым для обработки данных, поскольку оно необходимо для обработки договора, если таковой имеется (решение Первого апелляционного суда № 05AP-367/19 от 3 апреля 2019 года, A51-19080/2018).

В другом деле Воронежский апелляционный суд постановил, что подписание договора не может считаться согласием владельца объекта обработки персональных данных (постановление 19-го апелляционного суда № 19АП-8727/18 от 27 декабря 2018 года) . Согласие должно быть выражено в соответствии с положениями статьи 9 закона №. 152-ФЗ обязательная ссылка на условия обработки персональных данных.

Заключение.

Судебная практика приводит примеры, когда наличие согласия не является консенсусом. Роскомнадзор также контролирует соблюдение вышеуказанных условий, хотя согласие не требуется, если персональные данные обрабатываются для исполнения договора.

Субъект обработки персональных данных всегда вызывает споры из-за неоднозначной формулировки закона. 152-ФЗ, и все специалисты по персональным данным по-своему трактуют точность требований. Решения по обслуживанию могут быть поставлены под сомнение. Кроме того, в этом же номере изложены возражения против судебных решений. Подход Роскомнадзора со временем менялся: появлялись новые разъяснения на сайте службы, публичные мероприятия, а также судебные решения. При создании процесса обработки персональных данных рекомендуется оценить все факторы и выбрать решение, которое минимизирует риск принятия обеспечительных мер и штрафов. Кроме того, следует уделить внимание разработке организационно-распорядительной документации. Это должно соответствовать выбранной позиции по спорным вопросам и отражать текущие изменения в процедурах обработки персональных данных компании.

Одно из разъяснений можно найти на официальном сайте: pd.rkn.gov.ru/press-service/subject1/news2729/.

2Информация доступна на официальном сайте: rkn.gov.ru/treatments/p459/p468/.

ВС РФ разъяснил правила рассмотрения споров о защите персональных данных

Очень важное разъяснение дал Верховный суд Российской Федерации, когда рассматривал последствия различий в попытках граждан защитить свои персональные данные. Обычно они назначались компанией на базе отдаленных тропических островов.

ИСТОК.

Это дело стало наглядной демонстрацией того, как следует поступать в подобных случаях. В конце концов, даже наши судьи не всегда сами понимают процесс подачи жалобы.

Количество таких различий в защите персональных данных в последние годы значительно увеличилось, и не только сами граждане, но и правоохранительные органы, юристы и законодатели вынуждены принимать во внимание этот вопрос.

Сегодня наши личные данные нужны кому угодно — от воров и мошенников всех мастей до бизнесменов, рассылающих рекламу своих товаров и услуг.

Это включает имя, адрес и паспортные данные. На душу населения с каждым днем становится все дороже и дороже. Это привело к появлению нелегального рынка, на котором персональные данные могут быть приобретены без ведома владельца.

Сегодня, чтобы гражданин мог через суд требовать возмещения ущерба, причиненного нарушением персональных данных, он должен иметь крепкие нервы и хорошее здоровье.

С другой стороны, чтобы сегодня гражданин мог в судебном порядке требовать возмещения ущерба, причиненного утечкой персональных данных, у него должны быть крепкие нервы и здоровье. Они должны доказать не только факт нарушения данных, но и размер причиненного ущерба, а также причинно-следственную связь между нарушением и ущербом. Штраф, налагаемый Роскомнадзором за нарушение прав субъекта персональных данных, составляет всего 75 000 рублей.

Однако в последние годы даже такие суммы не предоставляются.

Наши суды ограничили свои решения 10 000-20 000 рублей в качестве компенсации. Однако в Европе ожидаются штрафы в размере до 4% от оборота компании. Это требует от компаний очень серьезного отношения к защите персональных данных.

В России сегодня, отмечают эксперты, судебная практика по таким спорам только начинает формироваться. Следует сразу подчеркнуть, что основная роль в спорах по защите данных принадлежит Роскомнадзору. Он несет основную ответственность за обеспечение соблюдения закона.

Наша история началась на Дальнем Востоке. Там гражданин написал заявление в региональное отделение в Роскомнадзор. В заявлении говорилось, что его личные данные были распространены в Интернете без его разрешения конкретной багамской компанией.

Роскомнадзор поступил так, как и должен был поступить, направив дело в суд от имени заявителя. Он потребовал защитить права гражданина как субъекта персональных данных и ограничить доступ к информации о нем.

Однако Центральный районный суд Хабаровска не принял иск к рассмотрению. По логике суда, требования заявителя носят административный характер. Если да, то они не должны рассматриваться в гражданском процессе. Увольнение было обжаловано, но апеллянт поддержала свою коллегу. Вывод районного суда, рассматривавшего спор в рамках административного производства, был правильным, поскольку он указал, что требования Роскомнадзора, касающиеся административного регулирования правовой деятельности интернет-ресурсов как СМИ, являются верными.

В результате всех споров дело дошло до Гражданского отдела Верховного суда. И здесь Дальневосточный суд не согласился.

Верховный суд начал с напоминания Роскомнадзору о том, что он имеет право обратиться в суд для защиты субъекта персональных данных. Это включает в себя неограниченный круг людей. Об этом говорится в Законе о персональных данных. Организации также имеют право представлять интересы жертв в суде.

Верховный суд также сослался на статью 26 Гражданского процессуального кодекса. В нем говорится, что иски о защите прав субъекта персональных данных, включая возмещение ущерба или морального вреда, могут быть поданы в суд по месту жительства истца. Поэтому ходатайство о защите жителя Дальнего Востока должно рассматриваться в контексте гражданского иска.

В принципе, истцами в Суде по защите персональных данных, по его мнению, обычно являются граждане, чьи персональные данные были незаконно обработаны. Сам Роскомнадзор реже обращается в суд, чем широкая общественность. Обычно ответчиком в таких спорах выступает оператор персональных данных или лицо, имевшее доступ к персональным данным гражданина.

Весной этого года стало известно, что Государственная Дума и Роскомнадзор предложили законодательно ужесточить ответственность за нарушение персональных данных. Если предложение будет принято, граждане смогут требовать от компаний и государственных учреждений компенсацию в размере от 500 000 до 5 млн рублей за каждый доказанный случай утечки данных. С такой инициативой выступил Союз юристов России. Они подготовили предложение по изменению закона «О персональных данных». РАЛ хочет обязать операторов персональных данных, включая все государственные органы, компании и физических лиц, обрабатывающих такие данные, выплачивать компенсацию в размере от 500 000 до 5 миллионов рублей по требованию граждан, если такие данные будут скомпрометированы по решению суда. Операторы освобождаются от ответственности, если утечка данных произошла по неосторожности пользователя.

Теоретически, можно взыскать компенсацию с компании в случае утечки, но, согласно ALR, сделать это очень сложно.

В качестве примера можно привести один из таких случаев, когда заявитель попросил администратора домена удалить профиль заявителя, включая его личные данные и комментарии пользователей, с сайта. Однако ему было отказано. Затем окружной суд принял дело к рассмотрению по просьбе гражданина. Как правило, иски подаются в суд по месту жительства ответчика. Иски против организации подаются в суд по ее адресу.

Однако иски о защите прав владельцев персональных данных, такие как иски о возмещении убытков или морального вреда, могут быть поданы и в суд по месту жительства истца.

В случае утечки персональных данных пострадавшая сторона также может защитить себя с помощью закона о защите прав потребителей. В таких случаях истец может выбрать подачу иска в суд по месту нахождения компании-ответчика. А если ответчиком является частное предприятие, то по месту его жительства, месту жительства или месту жительства истца, либо по месту заключения или исполнения договора. Об этом говорится в статье 29 Гражданского процессуального кодекса и статье 17 Закона о защите прав потребителей.

Иски, связанные с нарушением права на обработку персональных данных, рассматриваются в рамках гражданского судопроизводства в соответствии с нормами Гражданского процессуального кодекса. Это означает, что суд обязан оценить, является ли определенная информация персональными данными и подлежит ли она защите.

В нашем случае Верховный суд отменил решение об отказе наших коллег на Дальнем Востоке и обязал суд рассмотреть гражданский запрос.

Образец отказа от предоставления персональных данных

Образцы заявлений работодателей в связи с трудоустройством включают в себя

А это образец заявления об отзыве ранее данного согласия на обработку персональных данных при прекращении трудовых отношений.

Согласие на обработку персональных данных

Согласно статье 9 закона «О личности» от 27 июля 2006 года № 152-ФЗ, субъект персональных данных вправе самостоятельно определять право третьих лиц на обработку и использование этой информации. Это согласие должно быть дано в письменном виде (или в электронном, если данные обрабатываются через интернет).

Необходимость в предоставлении персональных данных возникает всегда: во время консультации в медицинском центре, при устройстве на работу, даже при заказе в интернет-магазине.

Сторона, получающая персональные данные, должна

  • получить согласие владельца на его обработку и использование, путем
  • Обеспечить конфиденциальность, и
  • сохранять документы, подтверждающие, что владелец уполномочил вас сотрудничать с ним.

Важно: Работник может в любое время отозвать свое согласие на обработку своих персональных данных (статья 9 § 2 Закона о персональных данных). В этом случае продолжение обработки персональных данных без согласия работника возможно по причинам, перечисленным в статьях 6 § 6(1) § 10 и 11(2) Закона. 10 (2) и 11 (2) Закона о персональных данных.

Нарушение этих требований налагает меру ответственности на обработчика персональных данных.

Что делать при незаконном разглашении персональных данных?

Существуют различные способы защиты. Жалобы на незаконное использование персональных данных могут быть поданы непосредственно в правоохранительные органы в суд.

В зависимости от выбранного метода, существуют различные последствия утечки данных. Подача жалобы в правоохранительный орган привела к возмещению административной или уголовной ответственности нарушителю. Жалобы в полицию особенно важны в тех случаях, когда нет информации о преступнике. Другими словами, информации о преступнике недостаточно для признания его обвиняемым в суде. В этом случае задача государственных органов состоит в том, чтобы установить, кто санкционировал незаконное распространение персональных данных.

Целью судебного заявления, в отличие от запроса в полицию, является поиск финансовой компенсации со стороны ответчика за незаконное распространение персональных данных. Однако данное заявление должно соответствовать требованиям Закона о гражданском судопроизводстве.

Решая, куда жаловаться на раскрытие персональных данных, следует отметить, что два рассмотренных способа не противоречат друг другу и могут применяться одновременно. Напротив, применение всевозможных процедур для защиты нарушенных прав имеет наибольший положительный эффект. По сути, жалобы в правоохранительные органы и обращение в суд дополняют друг друга. Документально подтвержденные факты, полученные от полиции, служат дополнительными доказательствами в суде и упрощают гражданское судопроизводство.

Жалоба на использование персональных данных

Незаконное использование персональных данных становится все более частым явлением. Это повышает необходимость защиты или удаления персональных данных. Жалобы на использование персональных данных можно подать в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, известную как Роскомнадзор.

Мы готовы писать такие жалобы. Стоимость составляет 7 500 рублей. Срок: два рабочих дня.

‘Как удалить личные данные из Интернета?’ →.

Персональные данные не ограничиваются именем, фамилией или отчеством человека. В него также могут быть включены семейные тайны, адреса, профессии и даты рождения, поскольку списки открываются. Номера мобильных телефонов или адреса электронной почты также могут быть персональными данными, поскольку они косвенно идентифицируют человека. Если такая информация находится в Интернете, а вы не давали согласия на обработку, распространение и использование ваших персональных данных, возникает вопрос — как можно удалить эту информацию из Интернета?

Во-первых, вам необходимо доказать, что информация является личной. Если личные данные появляются на каком-либо сайте, вы должны обратиться к администратору сайта с письменным заявлением об удалении личных данных. В дополнение к письму вы должны предоставить подтверждение личных данных (например, снимок вашего паспорта).

Нередко можно встретить оскорбительные или неточные отзывы о себе. Удалить негативные саморецензии можно, написав письмо администратору блога или сайта, на котором была размещена информация. Однако владелец сайта может отклонить ваш запрос.

Для защиты своих прав вы можете подать жалобу на использование ваших персональных данных в вышеупомянутый орган — Роскомнадзор.

Основания для подачи жалобы включают. -Сбор и обработка персональных данных без согласия заинтересованной стороны -Распространение персональных данных -Другие нарушения

ВАЖНО: Существуют ситуации, в которых отсутствие согласия физического лица не является нарушением, как указано в Законе о персональных данных. (например, при участии в гражданском, уголовном или административном судопроизводстве).

Порядок подачи жалобы в Роскомнадзор (компетентный орган, занимающийся вопросами нарушения персональных данных): 1) Важной частью жалобы является имя и адрес заявителя. 1) Важной частью жалобы является имя и адрес заявителя. 2) Название органа, в который должна быть подана жалоба. В нашем случае это Роскомнадзор. 3) Дата подачи жалобы. 4) Описание правонарушения. 5) Запрос заявителя — об удалении персональных данных с конкретного веб-сайта, веб-страницы, блога и т.д. 6) Персональные данные и приложения, подтверждающие нарушение Подав такую жалобу, Роскомнадзор обязан явиться в суд, если сотрудник ведомства убежден, что речь идет в первую очередь о персональных данных. Поэтому, если у вас возникли вопросы о том, как удалить информацию о себе из интернета или как собрать доказательства и подтверждающие документы персональных данных, вам следует обратиться в вышеупомянутые органы. Что еще важно знать при подаче жалобы? Прежде чем подавать жалобу, вам следует сначала связаться с владельцем сайта или организации, на которую вы жалуетесь. Если ваш запрос отклонен, например, на удаление негативного отзыва или удаление ваших персональных данных, вы должны приложить этот отказ при подаче жалобы в Роскомнадзор.

Два способа подачи жалобы: — онлайн через сайт Роскомнадзора — дубликат письменного письма, поданного в офис Роскомнадзора — заказ непосредственно в самой службе

Существуют различные варианты доказательства нарушения при подаче жалобы на использование персональных данных: — копии скриншотов сайта, фотографии, видео, вырезки и т.д. Такие доказательства необходимы для получения ответа в вашу пользу, отсутствие которых может затянуть процесс рассмотрения жалобы и повысить вероятность отказа.

Мы подавали подобные жалобы в прошлом. Мы подробно определим все найденные негативные отзывы — это важная часть жалобы, и подробно раскроем и объясним утверждения заявителя.

График рассмотрения жалобы очень верный. Как правило, жалоба регистрируется через три дня, и жалоба рассматривается Роскомнадзором до 30 дней (максимум). Также определена ответственность за нарушения в области незаконного использования персональных данных — административные штрафы и, в редких случаях, уголовная ответственность.

Помимо подачи жалобы в Роскомнадзор, ответом на частый вопрос о том, как удалить информацию о себе из интернета, является использование права на забвение. Концепция права на забвение существует уже давно, но ее значение появилось относительно недавно. Это право позволяет вам потребовать удаления неточной или неактуальной личной информации. Эта информация может быть размещена раньше, чем человек, который ее разместил, или другие лица, которые ее собирают, обрабатывают или хранят. Этим правом можно воспользоваться с помощью поисковых систем (Яндекс, Google и т.д.), если возникнет необходимость удалить информацию. Была объявлена процедура, и заявление о праве на забвение должно быть подано оператору поисковой системы.

Заявление о праве на забвение, другими словами, заявление об удалении справочной информации, должно содержать обоснование просьбы заявителя. Заявитель должен указать саму ссылку, которая обеспечивает доступ к спорной информации. Закон о лжи» содержит полный перечень деталей по подготовке заявления: 1) типичное имя, паспорт и контактные данные- 2) ссылка на сайт, где была размещена недостоверная информация- 3) характеристики и доказательства информации, подлежащей удалению- 4) согласие заявителя на обработку персональных данных.

Важно: Информация, подлежащая удалению, должна быть неточной, незаконно распространенной или устаревшей. Информация, содержащая сведения о криминальной или незаявленной истории преступлений заявителя, не может быть удалена, поскольку это противоречит общественным интересам.

Примеры предписанных заявлений о прекращении публикации информации, поданных в известные поисковые системы Яндекс и Google.

Согласно заявлению о праве на забвение, менеджеры поисковых систем обязаны прекратить предоставление информации, удалив ссылку на информацию, предоставленную заявителем, если это будет доказано заявителем. Если в заявлении обнаружены неточности или упущения, у заявителя есть 10 дней, чтобы исправить эти ошибки или предоставить дополнительные документы. Нынешний «закон о лжи» отстаивает право на неприкосновенность частной жизни и защиту персональных данных против права на свободный доступ к информации.

Что касается реализации права на забвение и того, как оно работает на практике, следует отметить, что разные поисковые системы по-разному удовлетворяют просьбу заявителя об удалении его персональных данных. Однако процент положительных ответов на апелляции невелик, и в случае отрицательного ответа заявителю приходится обращаться в суд по аналогичному спору.

Поэтому для того, чтобы апелляция была рассмотрена и в лучшем случае удовлетворена, вам следует как минимум обратиться к юристу за консультацией и помощью в сборе доказательств неточности, двусмысленности и незаконности информации. Помимо Роскомнадзора, например, негативные комментарии можно удалять — прямо в суде.

Однако преимуществом обращения в офис Роскомнадзора является относительно низкая стоимость. Жалобы на использование персональных данных могут помочь решить вопрос, но не менее важны подготовка и надлежащий выход на пенсию. В противном случае такие жалобы просто не будут приняты, информация будет удалена, а личные данные отклонены.

Адвокат в этом случае будет содействовать дальнейшей помощи в отношении пенсии, представления доказательств и отзыва жалобы, информации и обратной связи.

Гонорар адвоката включает в себя подготовку самой жалобы и первоначальную отправку владельцу сайта или менеджеру поисковой системы и компании Roscommon Nuddles. При необходимости мы также окажем помощь на любой стадии судебного процесса.

Руководство по заполнению уведомления оператора персональных данных

В одной из наших предыдущих статей, посвященных подготовке проверок Роскомнадзора в соответствии с требованиями закона «О персональных данных», мы обсуждали важность правильного заполнения уведомления, когда уведомление должно быть заполнено. Мы обещали более подробно остановиться на способах заполнения различных уведомлений.

Названия многих полей, похоже, требуют интуитивной ясности в отношении того, что в них писать. Однако, как показала практика, у многих операторов персональных данных возникает множество вопросов, а некоторые спотыкаются при попытке заполнить все поля.

Мы решили написать здесь подробную инструкцию. Таким образом, мы решили сделать так, чтобы эти инструкции всегда были доступны, без необходимости повторять клиенту одно и то же снова и снова. Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора. Теперь посмотрите на каждое поле.

В первую очередь не должно быть никаких проблем. Выберите территориальную службу Роскомнадзора, в которую необходимо отправить уведомление. Затем выберите тип оператора. Перечислите полное и краткое наименование органа в соответствии с учредительным документом. Сообщите фактический юридический адрес организации и адрес регистрации. Выберите область (или области), в которой действует организация. Заполните элементы тела (только НДС и PSRN являются обязательными, остальное остается пустым). Если у тела есть ответвления, добавьте информацию о них.

Здесь все выглядит просто и понятно, но у вас могут возникнуть вопросы в следующих областях.

В рамках «Правовой основы обработки персональных данных» вы можете перечислить все нормативные акты и внутренние документы, которые могут иметь то или иное отношение к обработке персональных данных. Обычно они начинают со 152-ФЗ и Трудового кодекса РФ, а затем продолжают законами, относящимися к отрасли деятельности организации (например, если это медицинская организация, добавьте 323-ФЗ для основ. «Об охране здоровья граждан в Российской Федерации» и другие нормативно-правовые акты, как федеральные, так и региональные, касающиеся охраны здоровья.

Колонка «Цель обработки персональных данных» является одной из самых сложных колонок. Завершая эту структуру, следует помнить, что статья 5 § 5 Федерального закона о персональных данных гласит, что обработка персональных данных должна быть ограничена достижением конкретной, предписанной законом цели. Не допускается использование персональных данных, не соответствующих цели, для которой эти данные собираются.

Вот несколько примеров того, как не следует этого делать

Некоторые работодатели, вызывая кандидата на вакантную должность на собеседование, просят его заполнить анкету, в которой просят указать паспортные данные. Однако с точки зрения 152-ФЗ это не законно. Рассмотрим разумные причины, по которым могут потребоваться паспортные данные, поскольку целью обработки персональных данных является подбор кандидата на вакантную должность. Трудовая книжка; Да. История образования; Да. Год; Это немного более тонко, но мы не намерены использовать детский труд. Для трудоустройства нам не нужны паспортные данные.

Нет, мы не настолько наивны. Мы понимаем, что паспортные данные часто требуются работодателям для «проверки» кандидата, например, на причастность к долгам или другим неприятным историям. Но, опять же, с юридической точки зрения это запрещено.

Вернемся к заполнению поля «Цели обработки персональных данных». Здесь эти цели должны быть правильно и достаточно четко сформулированы. И достаточно для чего? Это подходит для списка категорий персональных данных, который будет заполнен следующим. В конце концов, вы же не хотите, чтобы у RCN были основания для вынесения судебного запрета до проведения аудита. Здесь нарисован порочный круг. Вы обрабатываете паспортные данные заявителя, получаете наказание за нарушение закона о персональных данных, заявляете, что «паспортные данные» неправильно включены в уведомление, и пишете в административном протоколе. Неполная/некорректная информация в уведомлении оператора персональных данных».

Как вы уже знаете, раздел «Цель обработки персональных данных» может варьироваться от организации к организации, но для большинства коммерческих организаций это «Предоставление кадровых и бухгалтерских услуг, подбор вакантного персонала, услуги каталог услуг».

Следующий раздел является одним из самых сложных и запутанных. Роскомнадзор хотел бы, чтобы она объяснила, какие меры были приняты в соответствии со статьями 18.1 и 19 закона «О персональных данных». Но на самом деле этот раздел является одним из самых простых, в нем принимаются положения этих законодательных актов и пишется, что все они выполнены. Правильно, да?

Пример записи в разделе «Пояснение мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных».

Назначен ответственный за организацию обработки персональных данных. Утверждены документы, определяющие политику учреждения в отношении обработки персональных данных, устанавливающие процедуры, направленные на предотвращение и выявление нарушений закона. В частности, эти документы включают: проект по обеспечению безопасности персональных данных в ИСН «Бухгалтерия и кадры» — перечень персональных данных — предмет защиты информационных систем персональных данных — регламент истребования доступа истребования персональных данных — обработка персональных данных и защита персональных данных Приказ об утверждении списка лиц, уполномоченных на обработку данных Положение — Политика обработки персональных данных — Положение об обработке персональных данных без использования автоматизированных средств обработки информации — Правила обработки персональных данных без использования автоматизированных средств обработки информации. Исключение последствий нарушения законодательства Российской Федерации осуществляется в соответствии с действующим законодательством Российской Федерации, а также в соответствии с Положением об обработке и защите персональных данных. Менеджеры по безопасности персональных данных и процесс создания резервных копий и восстановления аппаратного и программного обеспечения, баз данных, в соответствии с мерами информационной безопасности. Внутренний контроль соблюдения обработки персональных данных российским законодательством в этой области осуществляется в соответствии с планом внутреннего контроля, инструкциями руководителя службы безопасности и в соответствии с положением об обработке и защите персональных данных. Для информационных систем персональных данных была разработана модель угроз безопасности персональных данных, которая оценивает риск угроз для определения ущерба, который может быть нанесен персональным данным в случае нарушения закона. www.example.ruに投稿された個人データ処理ポリシー. Для информационных систем персональных данных разработаны командные условия для создания систем защиты информации и для концептуального планирования систем защиты информации, которые обеспечивают реализацию мер, предусмотренных законом о третьем уровне защиты и мер. А также меры, направленные на нейтрализацию угроз, определенных как соответствующие модели угроз безопасности. План полностью выполнен и показывает реализацию мер, определенных устранением существующих угроз безопасности информационных систем персональных данных. Была проведена оценка эффективности мер, принятых для обеспечения безопасности персональных данных. Календарь ведется на корпусе данных машины. Несанкционированный доступ к персональным данным выявляется и измеряется в соответствии с инструкциями руководителя службы безопасности. Правила доступа к персональным данным утверждены в соответствующих нормативных актах и реализованы технически с помощью мер информационной безопасности. Сотрудники, уполномоченные обрабатывать персональные данные, проходят курс обновления информационной безопасности, подписывают соглашение о неразглашении персональных данных и знакомятся с документацией по защите персональных данных под роспись.

Информация о безопасности персональных данных включает перечень средств защиты информации, используемых в ИСПДн. К счастью, эта информация не является общедоступной, в отличие от других областей, поэтому можно определить все СИЗ, используемые на практике.

Дата начала обработки данных обычно совпадает с датой создания (регистрации) компании. В следующем разделе обычно выбирается «Условие окончания обработки персональных данных» и устанавливается на «Конец организации».

В разделе «Категории персональных данных» сначала отметьте категории, подлежащие обработке, а затем укажите в поле «Другие категории персональных данных, не указанные в этом списке» любые персональные данные, не включенные в список. Например, «Другие категории персональных данных работников: список персональных данных работников. Другие категории персональных данных клиентов: Список персональных данных клиентов» и т.д. Рекомендуется делать это отдельно для каждой категории субъектов. .

В разделе «Категории субъектов, чьи персональные данные обрабатываются» укажите список категорий лиц, чьи данные подлежат хранению или обработке. Например, «Сотрудники, соискатели, подрядчики, клиенты». Обратите внимание, что к названиям полей добавлена легенда. В этом случае необходимо указать информацию.

В поле «Перечень действий с персональными данными» проще всего перечислить определение обработки персональных данных из Федерального закона № 152: «Сбор, запись, систематизация, хранение, накопление, уточнение (обновление, изменение), экспорт, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование и Удалить, уничтожить». Конечно, действия, которые не относятся к вашей организации (например, отмежевание), должны быть исключены из этого списка. И не забудьте про кейс.

Далее укажите, как будут обрабатываться персональные данные. Обычно они «смешанные, передаются через корпоративную интрасеть, вперемешку с передачей через интернет».

Далее, они хотят знать, передаем ли мы персональные данные за границу. Если нет, то мы не декларируем трансграничные переводы. В этом случае нам также необходимо определить все страны, в которые передаются данные.

И последний пункт в этом блоке — использование шифрования. Если не используется, продолжайте. Если ответ «да», вас попросят записать названия этих мер защиты и их категории. Все эти данные можно найти в документации к зашифрованному носителю. Здесь мы лишь скажем, что шифровальные средства категорий KB и KA обычно используются для государственной тайны, но поскольку государственная тайна не регулируется 152-ФЗ, обычно приходится выбирать между тремя вариантами, используемыми в ИСПДн. Шифрование означает KS1, KS2 или KS3. Если используются средства шифрования разных классов, форма позволяет указать всю необходимую информацию.

Следующая часть формы видна с 1 сентября 2015 года. Если вы заполнили уведомление давно, вам нужно будет внести в него изменения и заполнить информацию о DPC. Да, не удивляйтесь: по данным Роскомнадзора, локальная бухгалтерская база 1С, развернутая на компьютере главного бухгалтера, тоже является центром обработки данных…

Выберите страну, в которой находится «центр обработки данных», и укажите его адрес. Кроме того, необходимо указать, принадлежит ли «центр обработки данных» нам, и если нет, то указать данные владельца сайта. Если имеется несколько центров обработки данных, данные «центра обработки данных» должны быть указаны отдельно для каждого из них. Даже если речь идет об одной серверной комнате.

Далее введите данные лица, назначенного компанией в качестве ответственного за организацию обработки персональных данных. Важно: Имя контролера, номер контактного телефона и адрес электронной почты доступны всем зарегистрированным в реестре контролеров данных. Помните об этом, и, конечно, лучше всего сообщить об этом человеку, которого вы назначаете.

Наконец, введите данные исполнителя. Исполнитель — это лицо, которое заполняет уведомление. Они могут быть не тем человеком, который несет ответственность, но они совершенно другие люди. Однако, как вы видите, эти поля также являются необязательными, поэтому если вы не укажете душеприказчика, им автоматически станет ответственное лицо.

Затем отметьте галочкой пункт «Я согласен со всем», введите капчу и нажмите большую кнопку с надписью «Отправить уведомление по электронной почте и подготовить форму к печати». Затем необходимо распечатать бланк, подписать его, поставить печать (если есть) и отправить в офис Роскомнадзора по аналоговой почте. Через некоторое время ваша информация будет добавлена в реестр.

Трудности с точки зрения эксперта

Ксения Созина, юрист компании S&K Vertical FederalRating, говорит, что в алгоритме подачи исков о защите частной жизни есть свои особенности. Группа по банкротству (включая судебные процессы) (средний рынок) Арбитражная группа (крупные судебные процессы — высокий рынок) Группа по общим судебным спорам Группа по семейному и наследственному праву Группа по частным инвестициям 3-е место по доходу на одного юриста (более 30 юристов) 10-е место по количеству юристов x Истцами в спорах о защите персональных данных обычно являются граждане, которые считают, что их персональные данные были обработаны незаконно. В некоторых случаях Роскомнадзор может подать иск о защите прав гражданина, являющегося субъектом персональных данных, как это произошло в деле, рассмотренном Верховным судом.

Ответчиками по данной категории исков являются контролеры персональных данных или другие лица, имеющие доступ к персональным данным истца. ‘Встречные иски в этом классе споров обычно не подаются. Кроме того, споры в этой категории не подлежат обязательному досудебному разбирательству. Однако во многих случаях истец направляет ответчику просьбу о прекращении процесса до обращения в суд. Если персональные данные удалены, а ответа на такой запрос нет, человек обращается в суд для защиты своих прав», — говорит Сожина.

Таким образом, не существует дела 2-2794 / 18 истец попросил администратора домена удалить профиль истца, включая его личные данные и комментарии пользователей, с сайта, но его просьба была отклонена, после чего последовал судебный иск. Такие дела рассматриваются районным судом в качестве суда первой инстанции (статья 24 Гражданского процессуального кодекса), объясняет адвокат.

Как правило, дело рассматривается в суде по месту жительства ответчика — дело против компании рассматривается в суде по ее адресу (статья 28 Гражданского процессуального кодекса).

В то же время иски о защите прав субъекта персональных данных, включая иски о возмещении и/или компенсации морального вреда, также могут быть поданы в суд по месту жительства истца (статья 29). 6.1, ч. 6.1 Гражданского процессуального кодекса).

Если истец документально подтвердит свою жалобу в соответствии с Законом о защите прав потребителей, то иск может быть подан в суд по месту нахождения ответчика. А если ответчиком является индивидуальное предприятие — по месту жительства, месту пребывания или месту жительства истца или месту заключения договора или месту исполнения договора (статья 29 § 7 Гражданского кодекса, или процедура, статья 17, пункт 2 Закона о защите прав потребителей).

Иски о нарушении права на обработку персональных данных рассматриваются в рамках гражданского судопроизводства в соответствии с нормами Гражданского процессуального кодекса (например, Апелляционный суд г. Москвы, Определение Московского суда № 33-35187// от 02.08.2019).

Административные разбирательства, пожалуй, являются исключением.

‘Несмотря на довольно специфический предмет иска и зачастую сложное построение конструкции в исках о защите персональных данных, эксперты назначаются судом в исключительных случаях. Это означает, что суд самостоятельно оценивает, носит ли информация характер данных, является и не является персональной. подлежат защите в контексте этого процесса. Это означает, что речь идет о подходе к защите персональных данных с учетом судебного усмотрения», — указывают на эту важную деталь юристы S&K Vertical.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий