За что Роскомнадзор штрафует компании на 75 тыс руб.

Обратим внимание на первый пункт в изложенном списке претензий Роскомнадзора. В нем идет речь о том, что человек может дать согласие на обработку его персональных данных только посредством подписания электонного документа электронной подписью.

Это крайне спорный вывод, поскольку уже давно устоялось, что следующие формы предоставления такого согласия в сети Интернет приравниваются к электронной подписи.

1. Регистрация пользователя на сайте, подтвержденная логином и паролем.

Такая регистрация означает согласие субъекта на обработку его персональных данных. Об этом сказано в комментарии к Закону о персданных под редакцией замруководителя Роскомнадзора («Федеральный закон «О персональных данных»: Научно-практический комментарий». Постатейный. Выпуск 11. Под ред. Приезжевой А.А. «Редакция «Российской газеты», 2015).

2. Подтверждение регистрации через электронную почту.

В Постановлении Президиума ВАС РФ от 12.11.2013 № 18002/12 указано, что «получение или отправка сообщения с использованием адреса электронной почты, известного как почта самого лица или служебная почта его компетентного сотрудника, свидетельствует о совершении этих действий самим лицом, пока им не доказано обратное».

3. Ввод кода из СМС-сообщения.

В Определении Приморского краевого суда от 07.04.2015 № 33-2865 указано, что «Согласно оферте СМС-код используется в качестве электронной подписи клиента, для формирования им каждого электронного документа. В случае идентичности СМС-кода, направленного банком, и СМС-кода, введенного в форме электронного документа для подтверждения передачи клиентом соответствующего распоряжении (заявления) через интернет-банк, такая электронная подпись считается подлинной и предоставленной клиентом».

Организация собирала персональные данные банковских клиентов-физлиц, содержащиеся в таких социальных сетях, как «ВКонтакте», «Одноклассники», «МойМир», Instragram, Twitter, а также на интернет-порталах «Авито» и «Авто.ру».

По мнению компании, она вправе обрабатывать эти данные без согласия физлиц, поскольку они содержатся в открытых источниках, а значит, являются общедоступными.

Роскомнадзор решил, что компания ошибается. И суд с ним согласился.

В соответствии с ч. 1 ст. 8 Закона № 152-ФЗ в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В такие источники с письменного согласия субъекта персданных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные личные данные, сообщаемые их носителем.

Исходя из этих положений закона, размещение персональных данных в социальных сетях автоматически не делает их общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта.

Таким образом, в нарушение п. 1 ч. 1 ст. 6 и ч. 3 ст. 22 Закона № 152 компания обрабатывала персданные, не получив у граждан согласия на эти действия.

Определение Верховного Суда РФ от 29.01.2018 № 305-КГ17-21291.

Роскомнадзор может выдвигать ничем не обоснованные обвинения

Компания подала в Роскомнадзор уведомление об обработке персональных данных.

Ведомоство усмотрело в нем два нарушения.

1. Уведомление содержит недостоверные сведения.

Роскомнадзор потребовал от компании представить информационное письмо с указанием:

 цели обработки персданных;  категории таких данных;  категории субъектов этих данных;  трансграничной передачи персданных;  информационных систем обработки.

Однако суды указали, что в представленном компанией уведомлении вся указанная информация присутствует (п. 3 ст. 22 Закона № 152-ФЗ). В чем именно, в какой части Роскомнадзор усмотрел нарушение требований названной нормы и чем подтверждается факт представления компанией неполной и недостоверной информации, из содержания предписания установить невозможно.

В этой связи содержащееся в предписании требование к заявителю суд оценил как не обладающее юридической и фактической определенностью и, соответственно, как неисполнимое.

2. Компания собирала и обрабатывала персданные с зарубежного сайта, находящегося в Австрии.

Из части 5 ст. 18 Закона № 152-ФЗ следует, что по общему правилу оператор обязан накапливать и обрабатывать персданные только с использованием баз данных, находящихся на территории России.

Управление, выдав предписание, исходило из того, что компания нарушила данную норму.

Однако никакие доказательства, подтверждающие, что фирма собирала персданные с зарубежного сайта, владельцем которого является иностранное юрлицо, чиновники в деле не представили.

Поэтому предписание в этой части также является незаконным, необоснованным, неопределенным и неисполнимым.

Постановление Арбитражного суда Волго-Вятского округа от 23.05.2018 № Ф01-1701/2018

Хранить и использовать фото клиентов и работников довольно рискованно

Роскомнадзор выписал компании предписание с требованием прекратить использование на пропусках клиентов их фотографий. Дело в том, что это биометрические персональные данные, для использования которых требуется отдельное согласие людей (ст. 11 Закона № 152-ФЗ). Суд подтвердил правоту ведомства.

Компания заручилась лишь общим согласием клиентов на использование их персданных, как предписывает ч. 4 ст. 9 Закона № 152-ФЗ. Но для использования фотографий этого недостаточно, так как они относятся не к обычным персданным, а к биометрическим. Поэтому предписание законно.

Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101

Примечание редакции

Аналогичная позиция у Роскомнадзора (Разъяснения «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» от 02.09.2013).

Важно, что данная позиция касается не только клиентов офирмы, но и ее работников. Ведь статья 11 Закона о персданных – это специальная норма, которая не охватывается действием общих положений данного закона. Поэтому право работодателя не брать у сотрудников согласия на использование их персданных на фото не распространяется. Более того, суды полагают, что фото работника, равно как и ксерокопию первой страницы его паспорта компания-работодатель в приниципе не имеет право хранить у себя в кадровых делах. По мнению судей, это избыточная биометрическая информация о человеке, превышающая установленный п. 2 ст. 86 ТК РФ объем обрабатываемых персональных данных работников. Предъявлять паспорт при трудоустройстве гражданин обязан, а вот хнанить его ксерокопию ТК РФ права работодателю не дает.

Организации пытались доказать, что фотографии, прикрепленные скрепками к личным карточкам работников (форма № Т-2), используются сотрудниками отдела кадров для идентификации сотрудников. Однако суды заявляют, что это лишнее, поскольку такая идентификация должна производиться по документам, удостоверяющим личность (постановления ФАС Северо-Кавказского округа от 11.03.2014 № А53-10287/2013, Пятнадцатого ААС от 14.03.2014 № 15АП-22502/2013).

Использовать же фото сторонних людей на сайте компании – вовсе рискованное занятие. Изображенный на нем гражданин, не дававший на это своего согласия, вправе подать в суд на компанию и потребовать возмещения морального вреда. Например, один потребовал с организации за это 200 тыс. рублей, суд присудил в его пользу 50 тыс. рублей (Апелляционное определение Санкт-Петербургского городского суда от 15.11.2016 № 33-22976/2016).

Штраф за незаконное распространение персональных данных хотят снизить

Статью 13.11 предлагется дополнить еще двумя частями: 8-й и 9-й.

По части 8 будут наказывать за сбор и хранение персональных данных российских граждан в базах данных, находящихся за пределами территории России.

Штрафы:

 на граждан – от 3 до 5 тыс. рублей;  на должностных лиц – от 10 до 20 тыс. рублей;  на юридических лиц – от 15 до 75 тыс. рублей.

По части 8 будут наказывать за несоблюдение конфиденциальности персональных данных, то есть раскрытие их третьим лицам и распространение без согласия гражданина.

Это повлечет предупреждение или штраф:

 на граждан – от 1 до 2 тыс. рублей;  на должностных лиц – от 4 до 6 тыс. рублей;  на юридических лиц – от 20 до 40 тыс. рублей.

Проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части уточнения административной ответственности за нарушение требований Федерального закона «О персональных данных»

Примечание редакции

В настоящее время в ст. 13.11 нет штрафа за использование иностранных баз данных. За раскрытие персданных третьим лицам сейчас наказывают по ч. 1 данной статьи: она предусматривает предупреждение или штраф на юрлиц от 30 до 50 тыс. рублей.

Источник