Обзор изменений в сфере персональных данных за 2 квартал 2020 года

06.07.2020
|By maximapublisher

СКАЧАТЬ LEGAL ALERT: ОБЗОР ИЗМЕНЕНИЙ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА 2 КВАРТАЛ 2020 ГОДА >>>

Представляем вашему вниманию обзор новостей в сфере регулирования персональных данных за 2 квартал 2020 года.

Последние законодательные инициативы демонстрируют нам устойчивый тренд на ужесточение ответственности за незаконную обработку персональных данных. Напомним, что еще недавно, в начале этого года, мы увидели первые многомиллионные штрафы операторам персональных данных. Учитывая все эти факторы, мы пока что не видим поводов ждать послаблений для бизнеса, использующего персональные данные – даже несмотря на то, что многие компании сильно пострадали от пандемии COVID-19.

Обзор изменений в сфере персональных данных за 1 квартал 2020 года


МАКСИМ АЛИ  
старший юрист Maxima Legal 

Е     m.ali@maximalegal.ru

 

СОДЕРЖАНИЕ ОБЗОРА

  • Предложены новые составы административных правонарушений
  • Подписан закон о создании единого реестра данных российских граждан
  • В Госдуму внесен законопроект о самостоятельной регистрации гражданами биометрических данных
  • Верховный суд подтвердил право пользователей интернет-сервисов обращаться в суды по месту жительства с требованиями о защите прав субъектов персональных данных

 

ПРЕДЛОЖЕНЫ НОВЫЕ СОСТАВЫ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЙ

Минюст России представил проект нового Кодекса Российской Федерации об  административных правонарушениях. Проект содержит ряд важных изменений, в том числе составы административных правонарушений за невыполнение обязанностей по соблюдению конфиденциальности и обезличиванию персональных данных, а также за «избыточную» обработку персональных данных.

Штрафы за несоблюдение конфиденциальности персональных данных

Напомним, что статьей 7 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» предусмотрена обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Законопроектом предлагается установить следующие штрафы за нарушение обязанности по  соблюдению конфиденциальности персональных данных:

  • для должностных лиц – от 40 тыс. до 100 тыс. рублей;
  • для индивидуальных предпринимателей — от 100 тыс. до 300 тыс. рублей;
  • для юридических лиц — от 300 тыс. до 500 тыс. рублей.

Штрафы за нарушение правил обезличивания персональных данных

Кроме того, законопроектом предложено изменить состав административного правонарушения, связанного с несоблюдением требований об обезличивании персональных данных. На  сегодняшний день за нарушение требования об обезличивании отвечают только должностные лица государственных и муниципальных органов.

Проект закрепляет более широкий субъектный состав по сравнению с существующей редакцией, а именно распространяет ответственность за несоблюдение обязанности по обезличиванию персональных данных. Аналогичным образом, ответственность вводится за несоблюдение установленных требований или методов по обезличиванию персональных данных (установлены приказом Роскомнадзора от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных») на оператора в целом.

Размер административного штрафа для операторов остался прежним: от 3 тыс. до 6 тыс. рублей.

Штрафы за отказ в заключении, изменении, расторжении и (или) исполнении договора с  потребителем в связи с его отказом предоставить персональные данные

Законопроектом также предлагается установить административную ответственность за отказ продавца (исполнителя) заключать, изменять, расторгать или исполнять договор с потребителем ввиду отказа последнего по предоставлению своих персональных данных.

Исключение составят те случаи, когда обязанность потребителя предоставить персональные данные предусмотрена законами или иными правовыми актами РФ, а также связана с  непосредственным исполнением договора с потребителем.

Предложенный состав предусматривает наложение административного штрафа в следующих размерах:

  • на должностных лиц – 30 тыс. до 50 тыс. рублей;
  • на индивидуальных предпринимателей – 50 тыс. до 100 тыс. рублей;
  • на юридических лиц – 100 тыс. до 500 тыс. рублей.

Таким образом, понуждение клиентов к обработке избыточных категорий персональных данных может обернуться серьезными штрафами для компаний.

Как мы писали в прошлом обзоре, сейчас суды взяли курс на взыскание штрафов по числу субъектов персональных данных. Таким образом, реальный «потолок» новых штрафов может оказаться существенно выше, чем указано в проекте закона.

Проект Кодекса Российской Федерации об административных правонарушениях, текст по состоянию на  29  мая 2020 (подготовлен Минюстом России, ID проекта 02/04/05-20/00102447)

 

ПОДПИСАН ЗАКОН О СОЗДАНИИ ЕДИНОГО РЕЕСТРА ДАННЫХ РОССИЙСКИХ ГРАЖДАН

8 июня 2020 года Президент РФ подписал закон, устанавливающий правовые основы формирования и ведения единой цифровой базы данных.

(В обзоре за прошлый квартал мы уже описывали нововведения, предложенные данным законом.)

Документ предлагает создать единую цифровую базу данных, – «федеральный регистр сведений о населении» – в которую планируется вносить, в том числе:

  • фамилию, имя и отчество;
  • дату и место рождения и смерти;
  • пол;
  • реквизиты записей ЗАГС, СНИЛС, ИНН;
  • сведения о семейном положении и родственных связях.

Полный перечень возможных сведений, подлежащих внесению в регистр, установлен в статье 7 принятого закона.

Единая база данных россиян направлена на аккумулирование информации из разрозненных реестров разных государственных структур, в том числе из данных МВД, Минобороны, Минобрнауки и Федеральной налоговой службы. С данными регистра смогут сверяться и другие государственные системы.

Доступ к системе получат государственные органы всех уровней, органы управления внебюджетными фондами (например, фонды обязательного медицинского страхования), избирательные комиссии и многофункциональные центры (МФЦ).

Оператором единой системы признается Федеральная налоговая служба (ФНС).

Согласно тексту законопроекта, граждане и юридические лица смогут бесплатно получать данные о себе, которые содержатся в единой базе.

Как мы уже говорили ранее, единая база граждан помочь в более эффективном сборе доказательств для судебных процессов. Потенциально у сторон процесса будет возможность истребовать сведения из базы, если суд удовлетворит соответствующее ходатайство. Таким образом, база может быть полезна, например, для подтверждения аффилированности или другой подобной взаимосвязи между гражданами.

Закон (за исключением отдельных положений) вступил в силу со дня официального опубликования, то есть с 8 июня 2020 года. При этом переходный период для формирования единого регистра остался неизмененным – до 31 декабря 2025 года.

Федеральный закон от 08 июня 2020 года № 168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации»

 

В ГОСДУМУ ВНЕСЕН ЗАКОНОПРОЕКТ О САМОСТОЯТЕЛЬНОЙ РЕГИСТРАЦИИ ГРАЖДАНАМИ БИОМЕТРИЧЕСКИХ ДАННЫХ

Законопроект внесен в Государственную думу РФ 22 апреля 2020 года, и на данный момент находится на стадии предварительного рассмотрения.

Согласно законопроекту, граждане смогут через телефон, планшет или ПК размещать свои биометрические персональные данные в единой системе.

Законодательство о персональных данных относит к биометрическим персональным данным сведения о физиологических и биологических особенностях человека, на  основании которых можно установить его личность (например, папиллярные узоры, рисунок радужной оболочки глаза и др.).

В тексте законопроекта отмечается, что граждане смогут подписать согласие на обработку персональных данных простой электронной подписью «Госуслуг».

По мнению разработчиков, гражданам может потребоваться актуализировать свои биометрические данные в системе для совершения действий, которые обычно требуют личного присутствия – например,  для оформления кредита.

Упрощение процедуры сбора биометрических данных, сможет сделать доступнее получение услуг в дистанционном порядке, поскольку на сегодняшний день процедура сбора и регистрации биометрических данных требует личного присутствия лица и занимает несколько дней.

Отмечается, что сведения единой биометрической системы смогут быть использованы государственными органами, органами местного самоуправления, индивидуальными предпринимателями, нотариусами и организациями в случаях, установленных Правительством Российской Федерации, а также на основании договора с оператором единой биометрической системы.

Законопроект № 946734-7 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации».

 

ВЕРХОВНЫЙ СУД ПОДТВЕРДИЛ ПРАВО ПОЛЬЗОВАТЕЛЕЙ ИНТЕРНЕТ-СЕРВИСОВ ОБРАЩАТЬСЯ В СУДЫ ПО МЕСТУ ЖИТЕЛЬСТВА С ТРЕБОВАНИЯМИ О ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

9 июня 2020 года Судебная коллегия по гражданским делам Верховного Суда РФ рассмотрела  дело по иску нескольких пользователей к владельцу социальной сети Facebook.

Несколько граждан предъявили требования к сети Facebook в связи с нарушением условий пользовательского соглашения, а также незаконным сбором персональных данных. Истцы требовали, в том числе, запретить ответчику немотивированную блокировку и удаление аккаунтов в Facebook, а также запретить сбор без согласия пользователей их персональных данных.

Судами первой и апелляционной инстанции исковое заявление было возвращено ввиду его неподсудности. Так, судом первой инстанции было указано на отсутствие каких-либо правоотношений между сторонами, ввиду того, что истцы не являются потребителями по отношению к ответчику. Суд апелляционной инстанции также указал, что, поскольку истцы не являются потребителями, исковое заявление должно предъявляться в суд по месту нахождения ответчика в США.

Судебная коллегия по гражданским делам Верховного Суда РФ, оценив имеющиеся материалы, пришла к выводу, что суды неправомерно отказались рассматривать спор с Facebook.

При этом Верховный Суд РФ обосновывал свою позицию следующим:

  • оспариваемые действия ответчика (по незаконному сбору персональных данных, а также распространению рекламы) имели направленность на российских пользователей;
  • спор вытекает из пользовательского соглашения социальной сети, исполнение которого должно осуществляться по месту нахождения пользователя – в России.

Дело было направлено в суд первой инстанции, чтобы он повторно рассмотрел вопрос о принятии искового заявления к производству.

Позиция ВС РФ основана, в том числе, на пункте 10 части 3 статьи 402 ГК РФ. Эта норма позволяет пользователям (субъектам персональных данных) обращаться с требованиями к операторам персональных данных в российские суды. Такие дела рассматриваются по месту жительства истца (часть 6.1 статьи 29 ГПК РФ).

Определение Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 09.06.2020 N 5-КГ20-49, М-10004763/19

 

МАТЕРИАЛ ПОДГОТОВЛЕН СИЛАМИ ПРАКТИКИ IP/IT MAXIMA LEGAL

Настоящее сообщение носит исключительно информационный характер и не является консультацией или иным результатом оказания юридических услуг. Просим вас воздержаться от принятия юридически значимых решений, основанных исключительно на данном сообщении, которое по своему характеру не может учитывать всех фактических обстоятельств ведения вашей деятельности и исчерпывающим образом описывать все относящиеся к вашему случаю правовые нормы. Любые решения, основанные на данном сообщении,  вы принимаете исключительно на собственный страх и риск и соглашаетесь с тем, что Максима Лигал (ООО) не будет возмещать никакие связанные  с этим убытки.

При необходимости получения профессиональной помощи по данному вопросу, пожалуйста, свяжитесь с нами с помощью контактов, указанных в настоящем сообщении

СКАЧАТЬ LEGAL ALERT: ОБЗОР ИЗМЕНЕНИЙ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА 2 КВАРТАЛ 2020 ГОДА >>>