ЦБ 03.10
$55.30
52.74
return; 1
Telega_Mob

Как защитить персональные данные

Всем известна шуточная фраза «личное — не публичное». Но что считается «личным» с точки зрения законодателя? Формулировка закона расплывчата — «любая информация о физическом лице». Практика разъясняет, что это понятие включает в себя частную жизнь, личную и семейную тайну, тайну переписки, переговоров, сообщений, фамилию, имя, отчество, дату и место рождения, место жительства, данные паспорта, гражданства.
Блог

Защита данных – Фото: joffi / Pixabay - Источник

Персональные данные сегодня — настоящее «поле боя» между всеми вовлеченными сторонами (предпринимателями, пользователями, мошенниками).

Как защищать личные персональные данные

Не секрет, что каждый из нас регулярно оставляет в сети Интернет личную информацию — при покупке билетов, техники и продуктов, заказе еды, использовании банковских приложений и телемедицины. Онлайн-консультации, в том числе юридические, — тоже сфера персональных данных.

Легкомысленное отношение к персональным данным и их «утечка» — «бич» нашего времени. Это чревато тем, что персональные данные могут быть использованы злоумышленниками, вследствие чего можно стать не только должником в банках и микрофинансовых организациях, но и фигурантом административных и уголовных дел. Кроме того, это может повлиять на кредитование в банке.

В 2022 году в России произошло несколько громких утечек персональных данных пользователей: СДЭК, Туту.ру, Озон, сервис «Яндекс.Еда».

В нашей практике встречались неприятные случаи, когда к захвату аккаунтов в банках и на «Госуслугах», изменению мобильного номера, и даже получению нового паспорта на стороннее лицо привела кража мобильного телефона клиента. Потеря телефона сегодня — это большой риск потерять все аккаунты в приложениях, так называемую «цифровую личность».

В бизнесе «утечка» и разглашение личной информации может привести не только к репутационным рискам, но и к срыву контрактов. Например, когда информация о разводе или корпоративном конфликте может отсрочить или вовсе сорвать сделку по продаже бизнеса или недвижимого имущества.

Основные рекомендации в части защиты персональных данных:

  • работайте с защищённым соединением или используйте программы для шифрования трафика;
  • используйте менеджеры паролей и сложные для взлома комбинации;
  • не пренебрегайте знаниями того, как компании используют ваши личные данные.

Что делать, если произошла «утечка» данных?

На бизнесе, как операторе данных, лежит обязанность защиты персональных данных. Если компания — оператор персональных данных, то при «утечке» она должна сделать следующее:

  1. В течение 24 часов с момента, когда об этом стало известно, уведомить Роскомнадзор;
  2. В течение 72 часов — провести внутреннее расследование произошедшего для передачи результатов Роскомнадзору;
  3. В случае обнаружении хакерских атак — уведомить об этом Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  4. В случае утечки персональных данных 20 000 и более физических лиц, необходимо уведомить их о произошедшем инциденте.

«Предупрежден-вооружен»: самые важные изменения в Федеральный Закон «О персональных данных»

Споры по персональным данным набирают обороты — это и хищения денежных средств и имущества, а также «кража личности», и привлечение бизнеса к ответственности за утечки, и дискуссии о том, является ли та или иная информация персональными данными, а также как, кто и в каком объеме вправе получать к ней доступ. Процедуры проверок контрагентов, банкротства физического лица или привлечения к субсидиарной ответственности тесно сопряжены с режимом защиты персональных данных.

Проблема защиты персональных данных актуальна не только в России: в США в 2020 году жертвой «кражи личности» стали 47% американцев. Таким образом, было похищено более 700 млрд., причем наибольшее количество компрометаций произошло через сектор здравоохранения.

Поэтому сегодня в России принимается во внимание правовой опыт по защите данных не только США и европейских стран, но и восточных партнеров — Китая, Японии и других. А значит, российские законы и практика будут все больше развиваться и совершенствоваться. Так, многочисленные изменения в специальный закон вступили в силу уже 1 сентября этого года.

Положения ФЗ «О персональных данных» теперь будут распространяться, в том числе, на иностранные компании и физические лица, в случае использования ими данных российских физических лиц. В случае передачи компанией данных иностранной организации для обработки, ответственность перед физическим лицом несут обе организации.

Требования к согласию на обработку персональных данных расширены. Теперь согласие должно быть не только конкретным, информированным, сознательным, но и предметным, однозначным. Компании, в свою очередь, должны разъяснять лицу не только последствия отказа в предоставлении данных, но и последствия отказа на их обработку.

Важно, что теперь компаниям нужно будет уведомлять о намерении начать обрабатывать персональные данные в отношении своих работников, клиентов (в том случае, если данные нужны для заключения и исполнения договора), физических лиц (только в части Ф.И.О.; для однократного пропуска на территорию или в схожих целях; которые разрешили распространять данные), еще и Роскомнадзор. Необходимо указать правовое основание обработки, категорию данных и их субъектов, перечень действий с данными и способы их обработки. Более того, если у физических или юридических лиц имеется доступ к персональным данным в государственных (муниципальных) информационных системах или они обрабатывают данные из этих систем по договору, Ф.И.О. таких физ. лиц/наименование юр. лиц нужно также отразить в уведомлении.

Кроме того, ранее срок предоставления необходимой информации в уполномоченный орган по защите прав субъектов персональных данных (по запросу этого органа) составлял 30 дней с даты получения такого запроса. Теперь же срок сокращен с 30 до 10 дней, с дальнейшей возможностью его продления, но не более чем на 5 рабочих дней, и только при условии направления мотивированного уведомления с указанием причин.

П. 2 ст. 18.1 ФЗ «О персональных данных» в новой редакции конкретизирует требование о том, что локальные акты должны содержать категории и перечни обрабатываемых данных, категории субъектов данных, способы, сроки обработки и хранения данных, а также порядок их уничтожения. Кроме того, согласно принятым изменениям, договор не может содержать положения, которые ограничивают права и свободы физ. лица, устанавливают случаи обработки данных несовершеннолетних (в том случае, если иное не предусмотрено законом), а также те положения, которые позволяют заключать договор при бездействии физического лица.

К информации, которую организация обязана предоставить физ. лицу перед обработкой его данных (ст. 14 ФЗ «О персональных данных»), добавлена передача информации о способах исполнения оператором обязанностей, установленных статьей 18.1 ФЗ «О персональных данных». Если от физ. лица поступает требование о прекращении обработки его персональных данных, у компании есть 10 рабочих дней для ее прекращения (срок также может быть продлен до 5 рабочих дней при наличии мотивированного уведомления).

Изменения коснулись, в том числе, и Закона о защите прав потребителей. Как известно, продавец не может отказать потребителю в заключении, исполнении, изменении или расторжении договора из-за отказа потребителя предоставить персональные данные. Однако у любого правила есть свои исключения. В данном случае их два: предоставить данные требует закон, или же данные нужны для исполнения договора. За нарушение запрета предусмотрен штраф: для должностных лиц – на сумму от 5000 рублей, для юридических лиц – от 30000 до 50000 рублей.

Поделиться

Популярные посты автора

Усиление санкционного давления - одна из причин, по которой компании или собственники решаются на ускоренную продажу бизнеса, забывая, что скорость сделки…
Минимизация рисков неисполнения контрактных обязательств перед ПАО Газпром и прочими нефтегазовыми компаниями при банкротстве подрядчика, выполняющего…
Каждый день мы слышим тревожные новости о санкциях и проблемах для бизнеса, которые они вызывают. Но почти все мы уверены, что санкции применяются против…
Внезапным ночным звонком нашего постоянного клиента (петербургского бизнесмена) ночь приобрела яркие краски нового интересного дела.
948