1. Защита персональных данных в период пандемии Управляющий партнер, глава практики интеллектуальной собственности , медиа и технологий Hogan Lovells CIS Наталья Гуляева
20. All icons used in this presentation were taken from www.t henounproject.co m "Hogan Lovells" or the "firm" is an international legal practice that includes Hogan Lovells International LLP, Hogan Lovells US LLP and their affiliated businesses. The word “partner” is used to describe a partner or member of Hogan Lovells International LLP, Hogan Lovells US LLP or any of their affiliated entities or any employee or consultant with equivalent standing.. Certain individuals, who are designated as partners, but who are not members of Hogan Lovells International LLP, do not hold qualifications equivalent to members. For more information about Hogan Lovells, the partners and their qualifications, see www.hoganlovells.com. Where case studies are included, results achieved do not guarantee similar outcomes for other clients. Attorney advertising. Images of people may feature current or former lawyers and employees at Hogan Lovells or models not connected with the firm. © Hogan Lovells 20 20 . All rights reserved www.hoganlovells.com
2. Hogan Lovells | 2 П ерсональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Что такое персональные данные ? П ерсональные данные о состоянии здоровья относятся к специальным категориям персональных данных , к обработке которых предъявляются дополнительные требования .
10. | 10 Hogan Lovells Меры по обеспечению безопасности персональных данных Оператор при обработке персональных данных обязан принимать необходимые : 1 2 3 п равовые меры организационные меры т ехнические меры
14. | 14 Hogan Lovells Персональные данные: технические меры 1 2 3 Определение угроз безопасности персональных данных Определение необходимого уровня защищенности персональных данных 4 Обеспечение необходимого уровня защищенности персональных данных Классификация ИСПДн
4. | 4 Hogan Lovells Основания обработки персональных данных Статья 6 Федерального закона от 27 июля 2006 года No 152 - ФЗ "О персональных данных" : с огласие субъекта персональных данных достижение целей, предусмотренных международным договором или законом участие лица в судопроизводстве 1 2 3 и сполнение судебного акта или акта другого органа или должностного лица, подлежащего исполнению 4 и сполнение полномочий органов государственной власти и местного самоуправления 5 осуществление прав и законных интересов оператора или третьих лиц 6 Наиболее универсальное и безопасное основание
8. | 8 Hogan Lovells Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью . Письменное согласие: подпись Простая электронная подпись Усиленная электронная подпись 1 2 Квалифицированная Неквалифицированная Условия использования: 1 2 Соглашение между участниками Правила применения ключа электронной подписи
5. | 5 Hogan Lovells Форма согласия должна позволять Оператору подтвердить факт его получения Согласие должно быть предоставлено Субъектом ПДн свободно, своей волей и в своем интересе Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным Требования к ф орме согласия : Согласие на обработку персональных данных 1 2 3
3. | 3 Hogan Lovells Категории персональных данных Специальные категории персональных данных 1 2 3 Биометрические персональные данные Данные о судимости Ограниченный перечень оснований обработки Обработка возможна только в случаях установленных законом Согласно текущей позиции Роскомнадзора, указание " да/нет " относительно вопроса о наличии судимости в анкете не подпадает под ограничения связанные с обработкой данных о судимости ! 4 Дактилоскопические данные 5 Данные работников Для передачи третьим лицам необходимо письменное согласие
9. | 9 Hogan Lovells На сегодняшний день законодательство не позволяет коммерческим организациям осуществлять обезличивание персональных данных (за исключением обработки персональных данных в статистических целях) . Требования к обработке персональных данных распространяются на обезличенные данные . Роскомнадзор Обезличивание Минкомсвязи уже разработан законопроект, который предлагает распространить существующие подходы к обезличиванию на деятельность коммерческих организаций .
19. | 19 Hogan Lovells COVID - 19: Продвижение Обработка персональных данных с целью продвижения своих товаров и услуг клиентам : допускается, только если получено предварительное согласие на такую обработку от соответствующих субъектов персональных данных . Согласно существующей правоприменительной практике, для целей продвижения своих товаров и услуг напрямую клиентам должно быть получено отдельное согласие на обработку данных .
13. | 13 Hogan Lovells Персональные данные: организационные меры 1 2 3 Назначение ответственных лиц • Ответственный за организацию обработки персональных данных, • Ответственный за обеспечение безопасности персональных данных Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Обеспечение локализации персональных данных 4 Ознакомление работников с порядком обработки персональных данных 5 Хранение материальных носителей в сейфах 6 Осуществление внутреннего контроля 7 Ограничение доступа к ИСПДн
11. | 11 Hogan Lovells Персональные данные: правовые меры 1 2 3 Принятие необходимых локальных актов, регулирующих процесс обработки персональных данных : • Положение об обработке персональных данных, • Политика обработки персональных данных, • Положение о защите персональных данных и т . д . Обеспечение неограниченного доступа к политике по обработке персональных данных Разработка типовых форм документов, касающихся обработки персональных данных ( согласия, анкеты и т . д . ) 4 Заключение договоров, регулирующих передачу персональных данных
12. | 12 Hogan Lovells Использование работниками переносных устройств компании и устройств работника (смартфоны, планшеты, ноутбуки) увеличивает риски утечки информации Регулирование использования работником и компанией таких устройств необходимо для минимизации данных рисков : Для защиты информации и анализа действий с информацией компании на устройстве компании необходим доступ к устройству, используемому работником в работе Работник должен быть проинформирован, как устройство может быть использовано и как устройство использовать нельзя Дополнительно: Использование устройств компании и BYOD политика
17. | 17 Hogan Lovells COVID - 19: Л ичные у стройства работников Поскольку многие компании в связи с карантином перешли на удаленную работу, значительная часть работников стала использовать личные устройства в рабочих целях . Игнорирование вопросов защиты персональных данных, связанных с использованием личных технических средств несет следующие риски : Отсутствие возможности привлечь работника к ответственности в случае утечки конфиденциальной информации или несанкционированном доступа к устройству работника третьих лиц ; Отсутствие возможности доступа к бизнес - информации, хранящейся на личных устройствах работников ; Невозможность передачи данных, хранящихся на личных технических средствах работников, третьим лицам без согласия собственников таких средств. 1 2 3
15. | 15 Hogan Lovells IT политика – " технический документ " . Используемые технические меры защиты информации компании могут быть не формализованы в рамках IT политики Международные компании, как правило, стремятся к унификации и прозрачности в имплементации технических мер защиты информации, поэтому утверждают внутригрупповые IT политики Информирование рядовых работников о существовании и содержании IT политики не всегда необходимо . Сохранение такой политики в режиме конфиденциальности может быть необходимо в том числе и для целей защиты компании от киберрисков Дополнительно: Политика информационных технологий
18. | 18 Hogan Lovells COVID - 19 : Л ичные устройства работников Шаги, которые необходимо предпринять для снижения рисков ;: Разработка политики, регулирующей использование личных устройств (BYOD политики ) : • Политика должна устанавливать надлежащий порядок использования работником своего устройства за пределами офиса, включая необходимые защитные меры; • Политика должна быть принята генеральным директором оператора данных; • Все работники должны быть ознакомлены с политикой под собственноручную подпись. Согласие работников на обработку персональных данных: • Необходимо получить согласие работников на обработку их персональных данных, содержащихся на личных устройствах ( для использования в целях обработки информации, относящейся к деятельности работодателя ) ; • Если доступ к персональным данным, находящимся на личных устройствах работников , может потребоваться по третьим лицам , например , головному офису , согласие работников должно быть предоставлено в письменной форме . 1 3 Проведение тренингов по кибербезопасности для работников 2
6. | 6 Hogan Lovells Согласие потребителя на передачу ПДн третьим лицам, не охвачено самостоятельной волей и интересом потребителя, поскольку согласие потребителя, в данном случае, определено наличием поставленного символа "X" в заявлении - анкете типографским способом, а не собственноручно . Дополнительная строка для подписи под условием об обработке ПДн , помимо строки подписи под основными условиями заявления - анкеты отсутствует . Тем самым, ставя подпись в одном месте под заявлением - анкетой, потребитель подтверждает согласие со всеми условиями на данной странице заявления - анкеты, и соответственно при желании отказаться от какого - либо предложенного условия не может исключить эти условия из текста . Примеры несоответствий : Согласие на обработку персональных данных 1 2 Дело No А40 - 172341/2018
16. | 16 Hogan Lovells COVID - 19: Д анные о здоровье работников Температура тела относится к специальным категориям персональных данных . Следовательно, по общему правилу, для ее обработки требуется письменное согласие лица, чья температура и змеряется . В то же время, российское законодательство разрешает обработку данных о температуре тела без согласия субъекта персональных данных в следующих случаях : 1 2 Данная информация требуется для принятия решения о том , может ли работник выполнять свои должностные обязанности; Сбор информации осуществляется без идентификации лиц, осуществляющих обследование. Роскомнадзор рекомендовал рекомендовал ограничить срок обработки данных о температуре одним днем . • Применимо ли данное разъяснение в более широком контексте и может ли применяться к иным ситуациям обработки данных в публичных интересах? • Вправе ли работодатель принимать решения в отношении работников на основании данных, полученных при медицинском обследовании работников ?
7. | 7 Hogan Lovells • фамилию, имя, отчество, адрес субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе ; • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных) ; • наименование или фамилию, имя, отчество и адрес оператора персональных данных ; • цель обработки персональных данных ; • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных ; • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу ; • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных ; • c рок действия согласия, а также способ его отзыва, если иное не установлено федеральным законом ; • подпись субъекта персональных данных . Согласие в письменной форме должно включать в себя : Письменное согласие
