ЦБ 28.01
$69.34
75.41
ММВБ 28.01
$69,46
<75,49
BRENT 28.01
$86.33
5986
RTS 28.01
992.37
Telega_Mob

Как защитить персональные данные

Всем известна шуточная фраза «личное — не публичное». Но что считается «личным» с точки зрения законодателя? Формулировка закона расплывчата — «любая информация о физическом лице». Практика разъясняет, что это понятие включает в себя частную жизнь, личную и семейную тайну, тайну переписки, переговоров, сообщений, фамилию, имя, отчество, дату и место рождения, место жительства, данные паспорта, гражданства.
Блог

Защита данных – Фото: joffi / Pixabay - Источник

Персональные данные сегодня — настоящее «поле боя» между всеми вовлеченными сторонами (предпринимателями, пользователями, мошенниками).

Как защищать личные персональные данные

Не секрет, что каждый из нас регулярно оставляет в сети Интернет личную информацию — при покупке билетов, техники и продуктов, заказе еды, использовании банковских приложений и телемедицины. Онлайн-консультации, в том числе юридические, — тоже сфера персональных данных.

Легкомысленное отношение к персональным данным и их «утечка» — «бич» нашего времени. Это чревато тем, что персональные данные могут быть использованы злоумышленниками, вследствие чего можно стать не только должником в банках и микрофинансовых организациях, но и фигурантом административных и уголовных дел. Кроме того, это может повлиять на кредитование в банке.

В 2022 году в России произошло несколько громких утечек персональных данных пользователей: СДЭК, Туту.ру, Озон, сервис «Яндекс.Еда».

В нашей практике встречались неприятные случаи, когда к захвату аккаунтов в банках и на «Госуслугах», изменению мобильного номера, и даже получению нового паспорта на стороннее лицо привела кража мобильного телефона клиента. Потеря телефона сегодня — это большой риск потерять все аккаунты в приложениях, так называемую «цифровую личность».

В бизнесе «утечка» и разглашение личной информации может привести не только к репутационным рискам, но и к срыву контрактов. Например, когда информация о разводе или корпоративном конфликте может отсрочить или вовсе сорвать сделку по продаже бизнеса или недвижимого имущества.

Основные рекомендации в части защиты персональных данных:

  • работайте с защищённым соединением или используйте программы для шифрования трафика;
  • используйте менеджеры паролей и сложные для взлома комбинации;
  • не пренебрегайте знаниями того, как компании используют ваши личные данные.

Что делать, если произошла «утечка» данных?

На бизнесе, как операторе данных, лежит обязанность защиты персональных данных. Если компания — оператор персональных данных, то при «утечке» она должна сделать следующее:

  1. В течение 24 часов с момента, когда об этом стало известно, уведомить Роскомнадзор;
  2. В течение 72 часов — провести внутреннее расследование произошедшего для передачи результатов Роскомнадзору;
  3. В случае обнаружении хакерских атак — уведомить об этом Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  4. В случае утечки персональных данных 20 000 и более физических лиц, необходимо уведомить их о произошедшем инциденте.

«Предупрежден-вооружен»: самые важные изменения в Федеральный Закон «О персональных данных»

Споры по персональным данным набирают обороты — это и хищения денежных средств и имущества, а также «кража личности», и привлечение бизнеса к ответственности за утечки, и дискуссии о том, является ли та или иная информация персональными данными, а также как, кто и в каком объеме вправе получать к ней доступ. Процедуры проверок контрагентов, банкротства физического лица или привлечения к субсидиарной ответственности тесно сопряжены с режимом защиты персональных данных.

Проблема защиты персональных данных актуальна не только в России: в США в 2020 году жертвой «кражи личности» стали 47% американцев. Таким образом, было похищено более 700 млрд., причем наибольшее количество компрометаций произошло через сектор здравоохранения.

Поэтому сегодня в России принимается во внимание правовой опыт по защите данных не только США и европейских стран, но и восточных партнеров — Китая, Японии и других. А значит, российские законы и практика будут все больше развиваться и совершенствоваться. Так, многочисленные изменения в специальный закон вступили в силу уже 1 сентября этого года.

Положения ФЗ «О персональных данных» теперь будут распространяться, в том числе, на иностранные компании и физические лица, в случае использования ими данных российских физических лиц. В случае передачи компанией данных иностранной организации для обработки, ответственность перед физическим лицом несут обе организации.

Требования к согласию на обработку персональных данных расширены. Теперь согласие должно быть не только конкретным, информированным, сознательным, но и предметным, однозначным. Компании, в свою очередь, должны разъяснять лицу не только последствия отказа в предоставлении данных, но и последствия отказа на их обработку.

Важно, что теперь компаниям нужно будет уведомлять о намерении начать обрабатывать персональные данные в отношении своих работников, клиентов (в том случае, если данные нужны для заключения и исполнения договора), физических лиц (только в части Ф.И.О.; для однократного пропуска на территорию или в схожих целях; которые разрешили распространять данные), еще и Роскомнадзор. Необходимо указать правовое основание обработки, категорию данных и их субъектов, перечень действий с данными и способы их обработки. Более того, если у физических или юридических лиц имеется доступ к персональным данным в государственных (муниципальных) информационных системах или они обрабатывают данные из этих систем по договору, Ф.И.О. таких физ. лиц/наименование юр. лиц нужно также отразить в уведомлении.

Кроме того, ранее срок предоставления необходимой информации в уполномоченный орган по защите прав субъектов персональных данных (по запросу этого органа) составлял 30 дней с даты получения такого запроса. Теперь же срок сокращен с 30 до 10 дней, с дальнейшей возможностью его продления, но не более чем на 5 рабочих дней, и только при условии направления мотивированного уведомления с указанием причин.

П. 2 ст. 18.1 ФЗ «О персональных данных» в новой редакции конкретизирует требование о том, что локальные акты должны содержать категории и перечни обрабатываемых данных, категории субъектов данных, способы, сроки обработки и хранения данных, а также порядок их уничтожения. Кроме того, согласно принятым изменениям, договор не может содержать положения, которые ограничивают права и свободы физ. лица, устанавливают случаи обработки данных несовершеннолетних (в том случае, если иное не предусмотрено законом), а также те положения, которые позволяют заключать договор при бездействии физического лица.

К информации, которую организация обязана предоставить физ. лицу перед обработкой его данных (ст. 14 ФЗ «О персональных данных»), добавлена передача информации о способах исполнения оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных». Если от физ. лица поступает требование о прекращении обработки его персональных данных, у компании есть 10 рабочих дней для ее прекращения (срок также может быть продлен до 5 рабочих дней при наличии мотивированного уведомления).

Изменения коснулись, в том числе, и Закона о защите прав потребителей. Как известно, продавец не может отказать потребителю в заключении, исполнении, изменении или расторжении договора из-за отказа потребителя предоставить персональные данные. Однако у любого правила есть свои исключения. В данном случае их два: предоставить данные требует закон, или же данные нужны для исполнения договора. За нарушение запрета предусмотрен штраф: для должностных лиц – на сумму от 5000 рублей, для юридических лиц – от 30000 до 50000 рублей.

Поделиться

Популярные посты автора

За период с конца февраля этого года Европейский союз, США и ряд других стран ввели санкции против России. Россия, в свою очередь, также приняла ответные…
Усиление санкционного давления - одна из причин, по которой компании или собственники решаются на ускоренную продажу бизнеса, забывая, что скорость сделки…
Минимизация рисков неисполнения контрактных обязательств перед ПАО Газпром и прочими нефтегазовыми компаниями при банкротстве подрядчика, выполняющего…
Внезапным ночным звонком нашего постоянного клиента (петербургского бизнесмена) ночь приобрела яркие краски нового интересного дела.
4305