Персональные данные. Дайджест за май-октябрь 2024 г.

ПРИНЯТЫЕ АКТЫ

С 1 сентября 2024 г. в единой государственной информационной системе обеспечения транспортной безопасности при перевозках воздушным, автомобильным, железнодорожным, морским и внутренним водным транспортом перевозчикам необходимо передавать в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств также следующие персональные данные пассажиров:

• номер телефона, который указывается пассажиром при оформлении проездного (перевозочного) документа (билета);
• адрес электронной почты, который указывается пассажиром при оформлении проездного (перевозочного) документа (билета);
• данные учетной записи (логины, хранимые в базах данных перевозчиков хеши паролей), используемые пассажиром при оформлении проездного (перевозочного) документа (билета);
• информацию об адресе интернет-протокола (IP-адрес) и номере порта, с которого передавалась информация при оформлении проездного (перевозочного) документа (билета) пассажиром;
• сведения об электронном средстве платежа (полное и (или) сокращенное фирменное наименование банка, иной организации финансового рынка или поставщика банковских услуг, последние четыре цифры номера счета (вклада), используемого пассажиром при оформлении проездного (перевозочного) документа (билета).

В Приказе также установлено, что персональные данные подлежат хранению в автоматизированных централизованных базах персональных данных о пассажирах и персонале (экипаже) в течение 7 лет со дня их получения.

31.05.2024 г. Официальный интернет-портал правовой информации

В Москве решено образовать региональный сегмент единой биометрической системы (далее – ЕБС). Также определены случаи:

• использования сегмента;
• предоставления векторов ЕБС;
• использования ЕБС с применением биометрических персональных данных, размещенных через региональное мобильное приложение системы.

Случаи использования регионального сегмента ЕБС в г. Москве, предоставления векторов ЕБС, а также использования ЕБС с применением биометрических персональных данных, размещенных с использованием регионального мобильного приложения ЕБС, действуют до 1 января 2027 г.

С 1 сентября 2024 г. региональный сегмент ЕБС используется для аутентификации физических лиц при предоставлении государственных услуг исполнительными органами г. Москвы, предоставлении муниципальных услуг, а также при предоставлении иных услуг организациями, если оказание таких услуг регулируется нормативными правовыми актами г. Москвы, в частности,

• при проходе через автоматическое или иное устройство оплаты и (или) подтверждении оплаты физическим лицом перевозки, оплаты проезда или реализации права на бесплатный или льготный проезд;
• при проходе на территории государственных органов (за исключением федеральных органов исполнительной власти) и организаций г. Москвы посредством системы контроля и управления доступом на территориях этих органов и организаций.

28.08.2024 г. Официальный интернет-портал правовой информации

Правительство определило, какие виды биометрических персональных данных подпадают под действие Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

К таким биометрическим персональным данным относятся изображение лица человека, полученное с помощью фотовидеоустройств, и запись голоса человека, полученная с помощью звукозаписывающих устройств. 

Постановление вступило в силу 1 сентября 2024 г. и будет действовать до 1 сентября 2027 г.

05.04.2024 г. Официальный интернет-портал правовой информации

Операторов персональных данных обяжут предоставлять по требованию Минцифры обезличенные сведения. В документе будет список нужной информации и сроки ее передачи. Правительство установит, как проводить обезличивание.

После сбора данных Минцифры сформирует их составы. Отечественным операторам дадут к ним доступ, если соблюден ряд условий:

• сведения о гражданине РФ или юридическом лице внесены в реестр операторов в соответствии со статьей 22 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
• юридическое лицо является российским юридическим лицом;
• в ЕГРЮЛ отсутствует запись о недостоверности сведений о юридическом лице;
• сведения о гражданине РФ или юридическом лице, его единоличном исполнительном органе, членах коллегиального исполнительного органа не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму;
• отсутствие у гражданина РФ или единоличного исполнительного органа юридического лица гражданства иностранного государства;
• отсутствие у гражданина Российской Федерации или единоличного исполнительного органа юридического лица неснятой или непогашенной судимости за совершение преступления;
• гражданин РФ или единоличный исполнительный орган юридического лица не привлекался в течение последних 5 лет к уголовной ответственности в соответствии со статьями 183, 272, 273, 274.1, 283 и 283.1 УК РФ.

Операторы смогут обрабатывать такие составы только в специальной системе министерства. Записывать, извлекать и передавать их третьим лицам нельзя. По общему правилу результаты обработки запретят предоставлять, в частности, иностранцам и зарубежным компаниям.

 

08.08.2024 г. Официальный интернет-портал правовой информации

 

ЗАКОНОПРОЕКТЫ, НОРМОТВОРЧЕСТВО

Согласно ст. 1 Законопроекта субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Такое согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, причем оно должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Продавцам, исполнителям и владельцам агрегаторов запретят ограничивать доступ потребителей к обязательным сведениям о товарах, работах и услугах, даже если граждане отказались предоставить личные данные. Исключение - случаи, когда законодательство РФ обязывает физических лиц раскрыть такую информацию (ст. 2 Законопроекта).

Планируется, что изменения вступят в силу с 1 марта 2025 года (ст. 3 Законопроекта).

24.07.2024 г. СОЗД ГАС «Законотворчество»

Согласно проекту Приказа предлагается внести изменение в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации  ‎от 15 ноября 2021 г. № 1187, с изменениями, внесенными приказами Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 17 августа 2023 г. № 720, от 1 августа 2024 г. № 682, дополнив его пунктом 5 следующего содержания:

«5. Наличие у контролирующего органа информации о двух и более случаях в течение календарного года трансграничной передачи персональных данных при помощи программных средств, владельцем которых является иностранное юридическое лицо или иностранное физическое лицо, функционал которых предполагает передачу персональных данных, со стороны контролируемого лица, которое не уведомляло контролирующий орган о своём намерении осуществлять трансграничную передачу персональных данных».

 

01.10.2024 г. Федеральный портал проектов нормативных правовых актов

СУДЕБНАЯ ПРАКТИКА И АДМИНИСТРАТИВНЫЕ ДЕЛА

Верховный Суд РФ оставил без удовлетворения жалобу АО «Почта России» и признал правомерным наложение на Общество штрафа по ч. 1 ст. 13.11 КоАП РФ в размере 60 000 руб. за нарушение законодательства РФ в области персональных данных.

Как верно было отмечено судами нижестоящих инстанций, в результате проводившейся уполномоченными должностными лицами Управления Роскомнадзора по Центральному федеральному округу внеплановой выездной проверки в отношении АО «Почта России» выявлено, что Общество, являясь оператором, осуществляющим обработку персональных данных, допустило нарушение требований части 1 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» в части предоставления неправомерного доступа к информационным системам персональных данных АО «Почта России», повлекшего за собой распространение персональных данных пользователей сервиса АО «ПОЧТА РОССИИ» неограниченному кругу лиц путем их размещения на сайте в сети «Интернет».

В результате этого, действия (бездействие) Общества, не принявшего, несмотря на имевшуюся возможность, всех зависящих от него мер по соблюдению требований законодательства в сфере персональных данных, не содержащие при этом уголовно наказуемого деяния, были верно квалифицированы по части 1 статьи 13.11 КоАП РФ.

Процессуальных нарушений при проведении внеплановой проверки допущено не было.

12.07.2024 г. Постановление Верховного Суда РФ от 12.07.2024 № 5-АД24-74-К2

НОВОСТИ И СОБЫТИЯ

Власти обсуждают создание института уполномоченных операторов персональных данных

Гос­ду­ма РФ и Рос­ком­над­зор в осен­нюю сес­сию об­су­дят за­коноп­роект о соз­да­нии но­вого ин­сти­тута упол­но­мочен­ных опе­рато­ров пер­со­наль­ных дан­ных. Упол­но­мочен­ные ком­па­нии смо­гут хра­нить персональные данные дру­гих ор­га­низа­ций и индивидуальных предпринимателей, ко­торые не могут обес­пе­чить сох­ран­ность персональных данных. Иг­ро­ки ИТ-рын­ка счи­тают, что та­кие ме­ры мо­гут по­мочь ма­лому и сред­не­му биз­не­су.

«По нашему замыслу должны появиться те юридические лица, те структуры, которые с точки зрения своей профессиональной подготовленности и подтверждения качества их работы уполномоченными органами смогут хранить персональные данные других», – заявил депутат Госдумы РФ, председатель парламентского комитета по информационной политике Александр Хинштейн.

02.08.2024 г. Ведомости

Ожидается принятие закона об оборотных штрафах за утечку персональных данных в 2024 г.

Госдума примет в этом году закон об оборотных штрафах для компаний, которые допустили утечку персональных данных граждан, сообщил председатель парламентского комитета по информационной политике Александр Хинштейн.

«Да, мы рассчитываем эту инициативу принять. Коллеги из Минцифры и других заинтересованных ведомств совместно с нами подготовили редакцию второго чтения - она сейчас находится на проработке в ГПУ (государственно-правовое управление) президента. И наша задача в текущем году эту норму во втором и в третьем чтении принять», - сказал Хинштейн в четверг «Интерфаксу» на полях ПМЭФ-2024.

Госдума в январе этого года  приняла в первом чтении законопроекты об административной и уголовной ответственности за утечки персональных данных. Авторы документа, в частности, предлагают ввести оборотные штрафы за повторные утечки персональных данных: для граждан в размере от 400 тыс. до 600 тыс. руб., для должностных лиц - от 2 млн до 4 млн руб., в отношении юридических лиц предусматривается оборотный штраф - от 0,1% до 3% выручки за календарный год или за часть текущего года, не менее 15 млн рублей и не более 500 млн рублей.

06.06.2024 г. Интерфакс

Обсуждается снижение штрафов за утечки персональных данных, предусмотренных Законопроектом № 502104–8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» и Законопроектом № 502113–8 «О внесении изменений в Уголовный кодекс Российской Федерации»

Минэкономразвития предложило снизить штрафы для юридических лиц относительно тех, что прописаны в законопроекте: вдвое — до 1,5–2 миллионов рублей, если утечка затронула от одной до десяти тысяч пользователей; втрое — до 3–5 миллионов рублей, если пострадали больше ста тысяч субъектов персональных данных. Оборотные штрафы за повторные утечки предложили сохранить в прежнем объеме, от 0,1 до 3 процентов от выручки либо размера капитала кредитной организации на дату инцидента, но максимальный размер выплаты снизить в десять раз — до 50 миллионов.

Предложение будет обсуждаться, но такое смягчение «необоснованно и выхолащивает саму суть инициативы», считает Александр Хинштейн. «Без осознания оператором своей ответственности и понимания того, что ему придется платить рублем за утечки, никаких кардинальных перемен не произойдет», — отметил депутат.

В настоящее время максимальный размер штрафа для юридических лиц составляет до 100 тыс. рублей, а при повторном совершении административного правонарушения - до 300 тыс. рублей.

17.10.2024 г. Парламентская газета

Ответственность за информационные преступления могут ужесточить

Генпрокурор России Игорь Краснов отметил, что в настоящее время по предложению Генеральной прокуратуры в Госдуме рассматривается законопроект о криминализации незаконного оборота баз персональных данных и администрирования теневых площадок для их распространения.

Генпрокурор подчеркнул, что наряду с защитой граждан от негативного воздействия информационной среды под охраной государства находятся и персональные данные, обработка которых требует от операторов цифровых сервисов соблюдения гарантированных Конституцией России прав, в том числе на неприкосновенность частной жизни, личной и семейной тайны. На прокуратуру возложена задача проверять исполнения требований закона о защите персональных данных для исключения их утечки и использования при совершении уголовных посягательств, особенно в финансовой сфере. 

25.07.2024 г.  ТАСС