Защита персональных данных в сфере информационных технологий, медиа и телекоммуникаций
Юридические услуги по защите персональных данных в сфере в сфере информационных технологий, медиа и телекоммуникаций
Развитие IT и телекоммуникационных технологий значительно облегчает работу специалистов многих областей и делает более простым решение ряда каждодневных бытовых вопросов. Телекоммуникации, медиа и технологии (ТМТ), а также ИТ на сегодняшний день занимают все большее место в бизнесе и повседневной жизни. Однако при проведении самых простых операций требуются глубокие знания законодательства, регулирующего порядок работы в указанных сферах, а также правил предоставления, получения, обработки и защиты персональных данных.
Нарушение порядка работы с персональными данными, влечет за собой риски привлечения оператора персональных данных к административной, гражданско-правовой и даже к уголовной ответственности. Также лицо, предоставляющее свои персональные данные, обязано точно оценивать возможные правовые последствия такого предоставления во избежание мошеннических действий и существенного ущерба.
Специалисты нашей фирмы имеют опыт в сфере защиты персональных данных, в том числе разработки политик компаний по защите персональных данных, иных документов в целях соблюдения российского законодательства о защите персональных данных, оценки порядка применения Общего регламента по защите персональных данных Европейского союза, консультирования по вопросам, связанным с применением законодательства о защите персональных данных.
Защита персональных данных в сети «Интернет»
Зачастую пользование сетью «Интернет» (в том числе, приобретение товаров/услуг, заполнение анкет и опросников, оформление заказов, простое общение онлайн и др.) сопровождается необходимостью внесения пользователем сведений о себе, которые могут быть отнесены к персональным данным. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) предусмотрено, что к персональным данным относится любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Так к персональным данным относятся фамилия, имя, отчество, пол, дата и место рождения, место жительства, место работы образование, семейное положение, а также фотоизображения субъекта персональных данных и иная информация.
Важно отметить, что как у лица, предоставляющего персональные данные, так и у лица, которому они предоставлены, имеются определенные правовые риски. Так, субъект персональных данных должен удостовериться в добросовестности лица, которому предоставляются сведения. Тогда как лицо, осуществляющее сбор и обработку персональных данных фактически приобретает статус оператора персональных данных, так как в силу закона под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. При этом любая обработка персональных данных осуществляется с согласия субъекта персональных данных.
Неполучение такого согласия влечет за собой наложение административного штрафа на граждан от 3000 до 5000 рублей; на должностных лиц – от 10 000 до 20 000 рублей; на юридических лиц – от 15 000 до 70 000 рублей (ст. 13.11 КоАП РФ).
При этом незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ является составом преступления. За такое нарушение грозит штраф до 200 000 рублей, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до 1 года, либо принудительные работы на срок до 2 лет (с лишением права занимать определенные должности на срок до 3 лет или без такового), либо арест на срок до 4 месяцев, либо лишение свободы на срок до 2 лет (с лишением права занимать определенные должности на срок до 3 лет).
Таким образом, крайне важным является соблюдение всех требований законодательства к порядку защиты и обработки персональных данных.
Разработка политик по обработке персональных данных
В силу ст. 18.1 Закона о персональных данных оператор обязан принимать меры, необходимые для исполнения обязанностей, предусмотренных указанным нормативно-правовым актом. Оператор самостоятельно определяет состав и перечень соответствующих мер.
К одной из эффективных мер относится издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
На практике, в большинстве случаев для юридических лиц, являющихся операторами персональных данных, основным документом становится политика в отношении обработки и защиты персональных данных. В настоящее время на официальном сайте Роскомнадзора содержатся рекомендации относительно разработки политик по обработке персональных данных. В них рекомендуется включать:
- общие положения, содержащие основные термины и цели разработки;
- цели сбора и обработки персональных данных;
- правовые основания обработки персональных данных (например, федеральные законы, устав юридического лица, согласия на обработку персональных данных и др.);
- объем и категории обрабатываемых персональных данных;
- категории субъектов персональных данных;
- порядок и условия их обработки.
Также в указанный документ рекомендуется включить регламенты реагирования на запросы/обращения субъектов персональных данных, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.
Разработка политик по обработке персональных данных дает возможность выработки оператором персональных данных единообразной процедуры по их обработке, а также дает возможность субъекту обработки детально ознакомиться со всеми условиями, на которых им предоставляются персональные данные. В связи с этим особую важность имеет учет в политике по обработке персональных данных всех правовых аспектов, позволяющих защитить интересы оператора персональных данных и субъекта персональных данных.
Общий регламент по защите персональных данных Европейского союза (GDPR)
Общий регламент по защите персональных данных Европейского союза (General Data Protection Regulation, GDPR) от 25 мая 2018 г. разработан для территории Европейского Союза, а также имеет транснациональный характер и фактически под его действие могут подпадать и российские операторы персональных данных.
Регламент применяется в отношении обработки персональных данных субъектов данных, находящихся в ЕС, а также контролером или обрабатывающим данные лицом, не учрежденными в ЕС, если обработка данных касается предоставления товаров и услуг субъектам данных в ЕС вне зависимости от того, требуется ли оплата от указанного субъекта данных, или мониторинга их деятельности при условии, что деятельность осуществляется на территории ЕС.
Таким образом, предложение товаров, работ, услуг на территории ЕС, подразумевающее обработку персональных данных, а также проведение аналитики информации о посетителях сайтов с территории ЕС, фактически подпадают под действие указанного регламента.
Важно отметить, что указанный регламент прямо предусматривает возможность получения согласия на обработку персональных данных путем «проставления галочек» на интернет-сайте оператора с определенными нюансами и условиями.
Еще одной особенностью GDPR является закрепление за субъектами персональных данных права подавать жалобы в надзорные органы. Фактически указанным документом подробно регламентируется процедура обработки персональных данных.
Для точного определения того, подпадает ли юридическое лицо под действие данного регламента, имеющего трансграничное действие, необходим правовой анализ структуры деятельности той или иной организации – оператора персональных данных. При этом за нарушение требований регламента грозит штраф 20 миллионов евро или до 4% мирового годового оборота компании. Именно своевременное и правильное определение прав и обязанностей оператора персональных данных дает возможность избежать проверок и расследований со стороны надзорных органов.
Юридические услуги
- Разработка стратегий обработки персональных данных и мер по их защите в зависимости от структуры и особенностей работы оператора персональных данных
- Правовой анализ и разработка политик по обработке и защите персональных данных
- Защита интересов операторов персональных данных при проверках контрольных и/или надзорных органов
- Правовое консультирование субъектов персональных данных и операторов персональных данных по всем вопросам, связанным с обработкой персональных данных
- Анализ необходимости соблюдения требований Общего регламента по защите персональных данных Европейского союза (General Data Protection Regulation) и выработка рекомендаций по соблюдению соответствующих требований (при необходимости)
- Судебное представительство субъектов и операторов персональных данных