Персональные данные. Дайджест за 17–30 июля 2023 г.

ЗАКОНОПРОЕКТЫ, НОРМОТВОРЧЕСТВО

Совет Федерации РФ одобрил расширенный сбор информации о детях, оставшихся без попечения родителей

В рамках оптимизации и совершенствования работы органов опеки и попечительства по осуществлению контрольных мероприятий, а также современных тенденций цифровизации законопроектом вносятся изменения в Федеральный закон от 16 апреля 2001 года №44-ФЗ «О государственном банке данных о детях, оставшихся без попечения родителей» в части автоматизации учета результатов контрольных мероприятий.

Также законопроектом предусматриваются изменения в части:

• исключения дублирования информации, которую вносят органы опеки и попечительства в государственные информационные системы, и уменьшения трудозатрат указанных специалистов органов опеки и попечительства;

• расширения перечня информации, вносимой в государственный банк данных о детях, для обеспечения эффективного информационного взаимодействия с ЕГИССО;

• учета информации об условиях жизни и воспитания несовершеннолетних подопечных, соблюдении опекунами или попечителями прав и законных интересов подопечных, обеспечении сохранности их имущества, выполнении опекунами требований к осуществлению своих прав и исполнению своих обязанностей (далее - информация об условиях жизни несовершеннолетних подопечных);

• исключения дублирования учета сведений о гражданах, желающих принять детей на воспитание в свои семьи (далее - кандидаты в замещающие родители), и осуществления учета сведений о кандидатах в замещающие родители органами опеки и попечительства в государственном банке данных о детях при выдаче заключения о возможности быть усыновителями, опекунами (попечителями).

В государственный банк данных о детях, оставшихся без попечения родителей, будут вносить больше сведений о том, как они живут и воспитываются в приемной семье — в том числе информацию о физическом и эмоциональном здоровье. (Законопроект № 285565-8 «О внесении изменений в Федеральный закон «О государственном банке данных о детях, оставшихся без попечения родителей» (в части информационного взаимодействия государственного банка данных о детях с государственной информационной системой «Единая централизованная цифровая платформа в социальной сфере»)

30.07.2023 г. Коммерсант

В Государственную Думу РФ внесли законопроект о расширении круга лиц, имеющих доступ к данным из Единого государственного реестра недвижимости

Законопроектом предлагается дополнить перечень лиц, которым предоставляется право получения персональных данных гражданина в составе выписка из Единого государственного реестра недвижимости (ЕГРН) предусмотренный пунктом 6 статьи 36.3. Федерального закона «О государственной регистрации недвижимости» от 13.07.2015 № 218-ФЗ, дополнив данный перечень лицами, осуществляющими управление многоквартирным домом, ресурсноснабжающими организациями, региональными операторами по обращению с ТКО. (Законопроект № 412557-8 «О внесении изменения в статью 36.3 Федерального закона «О государственной регистрации недвижимости»)

31.07.2023 г. ТАСС

Предлагаются изменения в сфере электронного обучения

Опубликован проект постановления Правительства РФ «Об утверждении Правил применения организациями, осуществляющими образовательную деятельность, электронного обучения, дистанционных образовательных технологий при реализации образовательных программ».

Данное постановление предлагается принять взамен действующего Приказа Министерства образования и науки Российской Федерации от 23.08.2017 № 816 «Об утверждении Порядка применения организациями, осуществляющими образовательную деятельность, электронного обучения, дистанционных образовательных технологий при реализации образовательных программ».

Предусматривается возможность получения обучающимися по программам высшего образования (с их согласия) доступа к сведениям из студенческого билета и зачетной книжки через портал Госуслуг.

Прохождение промежуточной и итоговой аттестации по определенным образовательным программам допускается с использованием ЕБС, ЕСИА и иных информационных систем, обеспечивающих идентификацию и (или) аутентификацию личности.

Для заявленных целей установлены правила обработки биометрических персональных данных, в том числе несовершеннолетних обучающихся.

Устанавливаются требования к системам идентификации обучающегося в составе сервисов прокторинга, видеоконференцсвязи, мессенджера.

31.07.2023 г. Федеральный портал проектов нормативных правовых актов

Планируются изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении государственного контроля (надзора) за обработкой персональных данных

Опубликован проект приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры), которым предлагается дополнить пунктом перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных:

«3. Установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в соответствии с Федеральным законом «О персональных данных», сведениям, размещенным на принадлежащем такому контролируемому лицу сайте в информационно-телекоммуникационной сети «Интернет». (Проект приказа Минцифры «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021№ 1187»)

28.07.2023 г. Федеральный портал проектов нормативных правовых актов

СУДЕБНАЯ ПРАКТИКА И АДМИНИСТРАТИВНЫЕ ДЕЛА

Проведены мероприятия в целях наблюдения за соблюдением требований законодательства в области обработки персональных данных

С 17 по 19 июля Управление Роскомнадзора по Мурманской области провело плановое мероприятие по контролю без взаимодействия с контролируемыми лицами в отношении финансово-кредитных организаций. Выявлены следующие нарушения на одном из проанализированных сайтов:

• сбор персональных данных на сайте с помощью метрических программ при отсутствии механизма получения согласия на обработку персональных данных;

• несоответствие структуры документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных, требованиям п. 2 ч. 1 с. 18.1 Федерального закона № 152-ФЗ «О персональных данных», а также отсутствие в них информации об обработке персональных данных посетителей сайта с помощью метрических программ;

• признаки обработки персональных данных пользователей сайта с использованием баз данных, находящихся за пределами Российской Федерации.

По итогам проведенной работы в адрес организации, в действиях которой содержатся признаки нарушения законодательства Российской Федерации в области персональных данных, направлено требование о принятии необходимых мер.

25.07.2023 г. Роскомнадзор

Управлением Роскомнадзора по Республике Башкортостан выявлены признаки нарушения требований законодательства о персональных данных

В результате проведенного мероприятия без взаимодействия с контролируемым лицом в отношении ООО «МЕДИЦИНСКИЙ ЦЕНТР «ФОРВАРД» были выявлены признаки нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В частности, установлено, что на сайте организации сбор персональных данных (ФИО, номер телефона) физических лиц осуществляется без их согласия на обработку персональных данных. Помимо этого, выявлено использование интернет-сервисов «Яндекс.Метрика» и «Google-Analytics», посредством которых также осуществляется обработка персональных данных посетителей ресурса, без их согласия.

Управлением Роскомнадзора по Республике Башкортостан в адрес организации направлен запрос о представлении сведений и материалов по фактам выявленных признаков нарушений.

26.07.2023 г. Роскомнадзор

НОВОСТИ И СОБЫТИЯ

Обозначены новые подходы к обезличиванию больших данных

Глава Минцифры доложил Президенту Российской Федерации о совместной работе с комитетом Государственной Думы РФ по информационной политике над законопроектом о регулировании больших данных.

Подготовлены изменения в закон об обезличивании данных:

• в приоритете — вопросы обеспечения защиты прав граждан при обработке больших данных и применении технологий ИИ

• согласованы процедуры обезличивания больших данных и чётко регламентирован порядок формирования необходимых датасетов для машинного обучения, а также условия доступа к ним разработчиков нейросетей

• предусмотрен прямой и однозначный запрет на обработку больших данных в случае, если это может привести к риску причинения вреда жизни, здоровью, безопасности и имуществу граждан

• возможен доступ внешних разработчиков к большим данным только в случае исключения любых сведений, которые позволят идентифицировать конкретного гражданина

• запрещён внешний доступ к сформированным датасетам иностранным лицам и российским юрлицам с преимущественным иностранным участием

Для организации работы с большими данными Минцифры создаёт соответствующую государственную информационную систему. В неё будут загружаться обезличенные датасеты как государственными органами, так и бизнесом, доступ к которым будет предоставляться авторизованным разработчикам.

19.07.2023 г. Минцифры

В Роскомнадзоре опровергли сообщения о лицензировании компаний для обработки персональных данных

Речь идет о повышении уровня защиты данных граждан для операторов, обрабатывающих значительные объемы таких данных. Для таких операторов, которые обрабатывают свыше 1 млн записей, Роскомнадзор считает необходимым установить следующие обязанности:

• оператор должен быть российским юридическим лицом;

• иметь в штате не менее 5 работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора;

• иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн рублей;

• использовать для обработки персональных данных базы данных только на территории РФ;

• подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.

19.07.2023 г. Интерфакс

Предлагается ввести уголовную ответственность за незаконное использование, передачу или сбор персональных данных, полученных неправомерным путем

В уголовное законодательство предлагается ввести штрафы до 300 тыс. руб. или принудительные работы/ лишение свободы на срок до 4 лет за незаконное использование, передачу или сбор персональных данных, полученных неправомерным путем. До 5 лет — если информация содержит специальные категории персональных данных и (или) биометрические персональные данные.

• Наказание до 6 лет лишения свободы со штрафом до 1 млн руб. предлагается ввести за незаконное использование персональных данных из корыстной заинтересованности, повлекшее крупный ущерб, совершенное группой лиц по предварительному сговору или с использованием служебного положения.

• Преступления, связанные с трансграничной передачей персональных данных, предлагается наказывать лишением свободы на срок до 8 лет со штрафом до 2 млн руб., с повышением срока и суммы до 10 лет и 3 млн руб. соответственно, если были тяжкие последствия или преступление совершено организованной группой.

• Создание ресурсов в интернете или компьютерных программ, предназначенных для незаконного хранения, распространения персональных данных, предлагается наказывать принудительными работами / лишением свободы на срок до 5 лет со штрафом в размере до 700 тыс. руб.

24.07.2023 г. Парламентская газета

РЖД, Минцифры и Минтранс планируют в начале 2024 года провести эксперимент с посадкой пассажиров по биометрии

РЖД планирует внедрить биометрическую верификацию пассажиров. Для этого вместе с Минцифры, Минтрансом и Центр биометрических технологий (ЦБТ) компания в 2024 году проведёт эксперимент, который позволит пассажирам поездов дальнего следования подтверждать свою личность при помощи биометрии вместо проверки паспортов.

В ЦБТ подтвердили, что возможность применять единую биометрическую систему для подтверждения личности при посадке на поезд прорабатывается, при этом в ЦБТ подчеркнули, что использование биометрии не является обязательным условием подтверждения личности, а существующие способы оказания услуг должны быть сохранены.

27.07.2023 г. Коммерсант

Роскомнадзор с марта 2023 года получил более 700 уведомлений от российских компаний о намерении передавать персональные данные за границу

С 1 марта в адрес Роскомнадзора поступило 733 уведомления о намерении осуществлять трансграничную передачу персональных данных, по результатам рассмотрения которых Роскомнадзором было принято три решения о запрещении трансграничной передачи, шесть решений об ограничении трансграничной передачи и 21 решение о нерассмотрении уведомления.

27.07.2023 г. ТАСС

В России закончили работу над законопроектом об оборотных штрафах за утечки персональных данных

Итоговая версия законопроекта предусматривает наказание за утечки персональных данных до 3% совокупной выручки компании.

Законопроект оформлен как поправки в Кодекс об административных нарушениях (КоАП РФ). Предполагается, что поправки вступят в силу спустя 30 дней после официального опубликования. Согласно законопроекту, за утечку:

• если она касается от 1 тыс. до 10 тыс. субъектов персональных данных (то есть граждан), штраф для юридических лиц составит от 3 млн до 5 млн руб.;

• за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.;

• более 100 тыс. — от 10 млн до 15 млн руб.

За повторное нарушение при любом объеме дискредитированной информации от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.

За утечки биометрических персональных данных предлагается штрафовать юрлица на сумму от 15 млн до 20 млн руб. Также законопроект предлагает ввести штрафы различного размера за утечки персональных лиц для граждан и должностных лиц.

27.07.2023 г. РБК

В Роскомнадзоре ответили на вопросы о защите персональных данных граждан

27 июля 2023 г. Роскомнадзор провел вебинар на тему защиты прав субъектов персональных данных. Эксперты ответили на поступившие от граждан вопросы. Всего спикеры получили более 300 вопросов, а зрителями вебинара стали более десяти тысяч пользователей.

Заместитель руководителя Роскомнадзора Милош Вагнер напомнил о новых требованиях к работе с персональными данными граждан.

Рассмотрены случаи, когда операторы персональных данных запрашивают избыточные сведения, вопросы трансграничной передачи персональных данных.

Специалисты Роскомнадзора провели подробный анализ документов, которые размещаются операторами персональных данных на своих сайтах. Например, были проанализированы типовые ошибки при подготовке политики в отношении персональных данных, согласия на обработку персональных данных и пользовательского соглашения.

28.07.2023 г. Роскомнадзор

Региональный общественный центр интернет-технологий предлагает ввести обязательное страхование ответственности операторов персональных данных в случае утечки

Региональный общественный центр интернет-технологий (РОЦИТ) предложил ввести обязательное страхование операторов персональных данных на случай утечки. При этом полученные ими средства должны идти на выплату компенсаций пострадавшим гражданам.

По мнению представителей РОЦИТ, страхование не может служить смягчающим обстоятельством при назначении штрафа. Выплата компенсаций пострадавшим должна стать обязанностью операторов вне зависимости от суммы штрафа, считают в организации. Компенсация может покрывать как фактические расходы, на которые придется пойти пострадавшим гражданам (например, заменить SIM-карту), так и моральный ущерб, причем в последнем случае необходимо учесть, что часть негативных последствий может наступить позже.

28.07.2023 г. CISOCLUB