Роскомнадзор утвердил порядок и условия взаимодействия при эксплуатации персональных данных в случае инцидента неприкосновенности частной жизни, в частности, когда персональные данные подверглись утечке и находятся в открытом доступе или доступны третьим лицам. Документ вступает в силу с 01. 03. 2025 года.
Федеральный закон от 27. 07. 2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) обязывает операторов персональных данных информировать Роскомнадзор о прецедентных правах субъектов этих данных. В частности, требуется уведомление учреждения (ст. 3.1 ч. 3.1 ст. 21 Закона № 152-ФЗ).
Первоначальное уведомление содержит следующую информацию.
Кроме того, в уведомлении указываются сведения об организации холдинга, направившей его.
Если на момент подачи первоначального уведомления оператор располагает информацией о результатах внутреннего расследования инцидента, он имеет право указать такую информацию в первоначальном уведомлении.
Дополнительное уведомление содержит следующую информацию.
Уведомления могут быть направлены в формате печатного или электронного документа.
После получения ключевого уведомления холдингового органа Роскомнадзор направляет письмо на указанный в уведомлении адрес электронной почты. В нем указывается дата и время направления уведомления, а также его ключ и номер. При отправке дополнительных уведомлений необходимо указывать номер и ключ основного уведомления.
Если Роскомнадзор обнаружит в направленном уведомлении неполную или недостоверную информацию, он в течение трех рабочих дней направит запрос о предоставлении информации или разъяснений из основного уведомления. Информация или разъяснения должны быть предоставлены в течение трех рабочих дней со дня получения запроса от Роскомнадзора.
Если оператор не предоставит дополнительное уведомление в указанный срок, Роскомнадзор оставляет за собой право запросить информацию о результатах внутреннего расследования инцидента. Ответы на такие запросы должны быть предоставлены в течение рабочих дней с момента их получения.
Если Роскомнадзор самостоятельно обнаруживает нарушение базы данных персональных данных и указывает, что оно принадлежит конкретному оператору, этому оператору направляется запрос на предоставление первичного или дополнительного уведомления. Оно должно быть направлено в обычные сроки (24 часа для первичных уведомлений и 72 часа для дополнительных).
Если оператор получит запрос Роскомнадзора и обнаружит, что скомпрометированная база персональных данных ему не принадлежит, он направит Роскомнадзору дополнительное уведомление, к которому будет приложен отчет о внутреннем расследовании, подтверждающий отсутствие факта незаконной передачи или распространения. Персональные данные.
Если оператор обнаружит, что информация о нарушении базы данных ранее была направлена в Роскомнадзор, он направит в учреждение уведомление с указанием даты и номера ранее направленного уведомления.
Ответственность за нарушение персональных данных (обработка без согласия субъекта персональных данных) установлена частью 2 статьи 13.11 КоАП РФ, которая предусматривает штрафы.
Повторные нарушения влекут за собой штрафы (ч. 2.1 ст. 13.11 КоАП РФ).
Решения судов низшей инстанции.
Центральный районный суд Хабаровска, в который был направлен иск, отказался его принять. Они постановили, что требования заявителя носят административный характер и не должны рассматриваться в рамках гражданского судопроизводства. В апелляционной жалобе он согласился с этой позицией и отметил, что требование Роскомнадзора касалось административного регулирования правовой деятельности интернет-ресурсов как средств массовой информации, поэтому выводы суда первой инстанции о рассмотрении спора были таковыми. Административная процедура является правильной.
Позиция Верховного Суда Российской Федерации
Судебная коллегия по гражданским делам Верховного Суда РФ указала на ошибки младших членов.
Комитет напомнил Роскомнадзору, что Роскомнадзор имеет право обратиться в суд с иском в защиту субъекта персональных данных (статья 23, пункт 3 Закона о персональных данных, пункт 5) в память о суде, представляющем их. В то же время, согласно части 6 статьи 26 Гражданского процессуального кодекса РФ, иски о защите прав субъекта персональных данных, в том числе о возмещении неполученного ущерба или компенсации, могут быть предъявлены в суд по месту его происхождения. По месту своего жительства он обратился в Верховный Суд Российской Федерации в определении от 14.07.2020/2019.
Заявление должно было быть рассмотрено в рамках политического процесса, говорится в решении.
Какие сотрудники должны быть уведомлены?
Федеральное законодательство не предусматривает переходных положений для определения того, какие сотрудники должны быть уведомлены.
Раньше работодатели подавали уведомления в Роскомнадзор.
Обратите внимание: уведомление не содержит информации о сотрудниках конкретной компании.
Из этого можно сделать вывод, что нет необходимости разделять сотрудников на «молодых» и «старых», так как работодателю достаточно подать уведомление один раз, не указывая данные о сотруднике.
Как я могу получить компенсацию за разглашение моих персональных данных?
Год назад я приобрел телефон в кредит в одной известной торговой сети. Недавно я изучил условия договора и обнаружил, что в нем фигурирует запрос на кредит от другого покупателя. Там были указаны паспортные данные, регистрация и место жительства, родственники родителей и место работы, а также кодовое слово. Я думаю, что мои конфиденциальные данные могли попасть к кому-то другому.
Как я могу защитить себя? Как привлечь преступника к ответственности? И имею ли я право на компенсацию?
Персональные данные защищены Законом о персональных данных. Конечно, невозможно передать их, даже по ошибке, в заявку на кредит от незнакомого человека. Это серьезное правонарушение. Однако, к сожалению, никто не отменяет человеческий фактор, и не все из нас не застрахованы от того, что наши данные могут попасть к кому-то другому.
В вашем случае даже мы не можем с уверенностью сказать, что информация о вас рассекречена. Давайте рассмотрим, что вы можете сделать, чтобы помочь.
Получите карту в первый месяц с любимым именем носителя, бриллиантовые наклейки и 5% cashback от супермаркетов!
Обратиться в магазин
Во-первых, выясните, что произошло. Тот факт, что вы случайно получили информацию о другом покупателе, не означает, что она стала известна вам. Однако даже если паспортные данные действительно попали к другому человеку, не стоит бояться, что он в ближайшее время что-то предпримет. Сегодня банки редко выдают кредиты по одному паспорту, и, к сожалению, база данных паспортов продается в DarkNet.
Если на распечатке стоит пароль или кодовое слово, попросите продавца сменить его. Вы также можете попросить их показать вам оригинал анкеты для гарантии.
Вы также можете сообщить адрес магазина, что к вам попали личные данные другого клиента. Вы также можете объяснить, что из-за такого уровня обслуживания вам был нанесен моральный ущерб и вы требуете компенсации. Скажите менеджеру, что информация о вас также могла просочиться, и поэтому вам следует написать жалобу в головной офис и обратиться в суд. Возможно, магазины не захотят доводить скандал до суда и предложат скидки или другие бонусы.
Если вы твердо решили наказать виновного, не отдавайте анкету другому клиенту, который ее получил, а отправьте анкету по адресу магазина — вы можете использовать ее в качестве доказательства.
Подать жалобу в Роскомнадзор
Роскомнадзор следит за соблюдением закона о персональных данных. Подать жалобу можно на сайте службы.
Укажите, когда и где вы подписали договор и какие нарушения вы обнаружили. Попросите показать подписанную вами анкету и узнать, не была ли она утеряна. Вы можете загрузить фотографии анкет с личными данными других людей в раздел «Дополнительные документы». Сохраняйте все документы до тех пор, пока длится инспекция. Возможно, служба захочет их изучить.
Если Роскомнадзор обнаружит нарушение, он наложит на компанию штраф до 100 000 рублей. Магазин должен заплатить его государству, а не тому, кто подал жалобу. Вам просто сообщат, что жалоба расследована и виновный передан в суд.
Если будет доказано, что во время проверки была утеряна анкета, вы сможете обратиться в суд с требованием компенсации за невыдачу. Вы можете обосновать свое требование следующим образом: вы обеспокоены тем, что потерянные документы попали не к тем людям и что они используют информацию в своих целях; вы требуете компенсации, поскольку эти опасения негативно сказываются на вашем здоровье. Это означает, что даже если анкета не будет использована для подачи заявки на кредит на ваше имя, вы все равно можете потребовать компенсацию за свои страдания и моральные переживания.
Однако анкеты могут существовать, но сотрудник магазина сделал копию и случайно вшил в нее чужой договор. Инспекторы не могут проверить этот факт. У инспекторов не будет ни времени, ни желания спрашивать каждого покупателя, получил ли он чужие данные. Однако, возможно, после проверки клерк будет более внимательно относиться к документации.