Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
💥 Пятикратное привлечение DPO к административной ответственности
🔸В 2022 году на сайте www.dom.gosslugi.ru управляющей организацией ООО "СЕРВИСГРАД" были размещены в свободном доступе пять договоров управления многоквартирным домом, содержащие персональные данные, без наличия соответствующего правового основания.
🔸Никулинская межрайонная прокуратура города Москвы вынесла пять постановлений об административном правонарушении по ч.1 ст.13.11 КоАП РФ в отношении заместителя генерального директора вышеуказанной организации, на которого ранее приказом генерального директора этой организации была возложена ответственность «за обеспечение защиты персональных данных в организации».
🔸Заместитель генерального директора полностью признал вину в совершении указанных правонарушений.
🔸Мировой судья судебного участка № 414 Алексеевского района г. Москвы 19.04.2022 признал заместителя генерального директора виновным в совершении административного правонарушении по ч.1 ст.13.11 КоАП РФ по всем пяти эпизодам (дела № 05-0454/414/2022, 05-0473/414/2022 – 05-0476/414/2022) и назначил ему пять административных штрафов.
🔸Аналогичные судебные решения были также вынесены в отношении самой организации (т.е. к административной ответственности были привлечены как сам оператор, так и его должностное лицо).
▪️https://mos-sud.ru/414/cases/docs/content/91afbb08-0efa-4473-b103-257e2b65062a
▪️https://mos-sud.ru/414/cases/docs/content/6f5ce354-d8f1-44b9-8c31-9d0037629935
▪️https://mos-sud.ru/414/cases/docs/content/9971f347-98a8-4761-81a0-2de5773e8714
▪️https://mos-sud.ru/414/cases/docs/content/06efbd24-1d3b-404a-ac74-db95016d0944
▪️https://mos-sud.ru/414/cases/docs/content/730fdd3a-63ca-49d8-a21e-c52e926b238e
🇷🇺👨‍💻⚖️#dpo #суд #штраф #прокуратура
💥Прокурорская проверка обработки персональных данных при поддержке ФСБ и Росгвардии. Итог - привлечение DPO к ответственности
🔸ООО «Савёлкинский проезд, д.4» осуществлял пропускной режим в здание управление бизнес-центром «Зеленоград». 20.01.2022 года прокуратурой Зеленоградского административного округа г. Москвы, в связи с обращением гражданки была проведена проверка исполнения законодательства о персональных данных указанным юридическим лицом. К проведению проверки в качестве специалистов были привлечены сотрудники территориального отдела ФСБ и Отдела лицензионно-разрешительной работы Росгвардии по Зелкноградскому АО.
🔸В ходе проверки был установлен факт хранения с 02.10.2021 года на компьютерах, используемых администраторами ООО «Савёлкинский проезд, д. 4», 170-и фотографий учащихся ООО «***» (Центр Компьютерного Обучения и дополнительного образования) с указанием фамилий, имен и отчеств каждого ребенка (биометрические персональные данные - исходя из Определения ВС РФ от 05.03.2018 № 307-КГ18-101 и письма Минцифры России от 17.07.2020 № ОП-П24-070-19433). Через несколько минут после осмотра компьютеров обнаруженные файлы были удалены из компьютеров кем-то из сотрудников ООО «Савелкинский проезд, д.4».
🔸Должностное лицо - старший администратор ООО «Савёлкинский проезд, д.4» - на основании приказа руководителя организации является лицом, ответственным за обработку персональных данных субъектов при оформлении электронных карт доступа. Таким образом, старший администратор ООО «Савёлкинский проезд, д.4» осуществлял незаконную обработку персональных данных 170-и учащихся ООО «*», то есть совершил административное правонарушение, предусмотренное ч.2 ст.13.11 КоАП РФ, так как письменные согласия родителей на обработку персональных данных их детей в управляющей компании и ООО «*» отсутствовали.
🔸Решением мирового судьи судебного участка №2 района Савёлки г. Москвы 18.04.2022 старшему администратору ООО «Савёлкинский проезд, д.4» был назначен административный штраф в 20,000 ₽ по ч.2 ст.13.11 КоАП РФ. Зеленоградский районный суд Москвы 23.06.2022 оставил указанное решение в силе.
▪️https://mos-sud.ru/2/cases/docs/content/bcc05db1-05cb-4ced-b951-f6f8bf88a0eb
▪️ https://судебныерешения.рф/68670025/extended
🇷🇺👨‍💻⚖️#dpo #суд #штраф #биометрия #прокуратура
💥Прокуратура потерялась в ст.10 152-ФЗ, но попыталась выправить ситуацию в ходе судебного заседания.
🔸По постановлению Никулинского межрайонного прокурора города Москвы от 20.10.2021 генеральный директор ООО ЧОП «Булгак» привлекается к административной ответственности за обработку персональных данных без согласия в письменной форме субъекта персональных данных. В соответствии с приказом ЧОП ответственным лицом за обработку персональных данных в организации является генеральный директор.
🔸Сотрудниками ЧОП, осуществляющими охрану здания, ведется «Журнал учета и регистрации посетителей», в которых указываются дата и время прибытия посетителей здания, фамилия, имя, отчество, время убытия, а также профессия («лифтёр», «лифт», «полиция», «МЧС», «прокуратура»). Защитник пояснил, что сотрудниками ЧОП записывались только фамилии и инициалы посетителей, что не является идентификатором конкретного физического лица, указываемая в журнале профессия не входит в исчерпывающий перечень персональных данных, охраняемых федеральным законом. Указывая в «Журнале учета и регистрации посетителей» инициалы посетителей, сотрудники ЧОП обезличивали их персональные данные, в результате чего идентифицировать по ним конкретное лицо невозможно. При этом даже если допустить возможность идентификации лица по каким-либо указанным прокурором сведениям, именно письменного согласия, как указано в санкции ч.2 ст.13.11 КоАП, для этих данных не требуется, все случаи необходимости получения письменного согласия перечислены в ч.1, 2, ст.10 Закона № 152-ФЗ «О персональных данных».
🔸Копию страницы журнала, содержащая персональные данных ряда лиц, мировой судья признает недопустимым и неотносимым доказательством, так как из формы и структуры представленного на данной фотографии журнала усматривается, что это какой-то иной журнал, при этом в отсутствии обложки журнала, наименования колонок, указания организации, которая ведет журнал, печати организации и иных сведений, невозможно сделать вывод о том, что это за журнал, и кем (какой организацией) он ведется. Защитник ведение обществом данного журнала отрицал, указав, что все журналы были изъяты прокуратурой в ходе проверки и представить какие-либо оригиналы не представляется возможным. Помощники прокурора в судебном заседании также затруднились пояснить, изображение какого журнала представлено на данной фотографии, кем, когда и при каких обстоятельствах оно было сделано. При этом сведения о ведении привлекаемым лицом каких-либо иных журналов не отражены в рапорте помощника прокурора, составленного по результатам проверки, в постановлении о возбуждении дела об административном правонарушении, либо в каких-либо иных материалах дела.
🔸Мировой судья не принял довод прокурора о том, что в случае отсутствия состава, предусмотренного ч.2 ст.13.11 КоАП, генеральный директор может быть привлечен к ответственности по ч.1 ст.13.11 КоАП, так как ведение охранным предприятием журналов регистрации посетителей нельзя признать действиями, не соответствующими целям и смыслу охранной деятельности.
🔸По мнению мирового судьи, указание фамилий посетителей с инициалами без каких-либо паспортных или иных контактных данных позволяющих персонифицировать посетителя, не требуют согласия посетителей на обработку персональных данных в письменной форме. Фамилия и инициалы гражданина относятся к персональным данным субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. Записи вида «дата и время прибытия» - «полиция», «МЧС», «прокуратура» вообще не содержат сведений о конкретном субъекте персональных данных, в связи с чем данные записи нельзя признать содержащими персональные данные. Таким образом, в действиях генерального директора отсутствует состав административного правонарушения.
▪️https://mos-sud.ru/390/cases/docs/content/b97dfe8f-3c6f-422a-8c33-1a48258752c8
🇷🇺👨‍💻⚖️#dpo #суд #чоп #прокуратура
💥Суд постановил, что использование адреса электронной почты для рассылки сообщений подтверждает обработку персональных.
🔸Управлением Роскомнадзора по ЦФО было рассмотрено обращение гражданки по вопросу нарушения её прав в части прекращения обработки персональных данных. В своем обращении гражданка сообщила, что на её электронную почту приходила рассылка от ГКУ ЦЗН. Вместе с тем, ранее гражданкой в адрес ГКУ ЦЗН через МФЦ было подано заявление об отзыве согласия на обработку персональных данных.
🔸Использование адреса электронной почты заявителя для продолжающейся рассылки сообщений подтверждает продолжение обработки персональных данных заявителя. Согласия на осуществление рассылки заявитель не предоставляла. В связи с обращением заявителя была проведена проверка ГКУ ЦЗН, было выявлено нарушение законодательства о персональных данных со стороны ГКУ ЦЗН, так как заявителю поступают сообщения в целях продвижения работ (услуг) после отзыва согласия на обработку персональных данных.
🔸Согласно ч.1 и ч.2 ст.15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
🔸Действия ГКУ ЦЗН мировой судья квалифицировал как административное нарушение по ч.1 ст.13.11 КоАП. ГКУ ЦЗН 30.05.2022 назначен штрафа в размере 60,000 ₽. Впоследствии, это решение было обжаловано, но текст решения районного суда от 14.07.2022 недоступен.
▪️ https://mos-sud.ru/410/cases/docs/content/20e8ae5e-08f8-48c4-a3bc-c686ff994275
▪️ https://mos-gorsud.ru/rs/meshchanskij/services/cases/appeal-admin/details/4e5b63a0-e65a-11ec-8a83-db6dc3ed35fe?uid=77MS0010-01-2022-001427-32
🇷🇺👨‍💻⚖️#реклама #суд #пд #email
💥Получение работодателем данных не от самого работника на основании законного интереса. Семь жалоб работника в Роскомнадзор.
🔸Банком ВТБ (ПАО) во исполнение требований ч. 2 ст. 11 ч. 1 и ч. 2 ст. 13.3 ФЗ «О противодействии коррупции» был разработан и введен в действие ряд локальных нормативных актов, включающих, в том числе, положение об урегулировании конфликтов интересов, с которыми были ознакомлены все работники. Для осуществления контрольных функций, предусмотренных п. 7.3. и 7.4. Положения Банком осуществлена внутренняя проверка (ревизия) о наличии/отсутствии конфликтов интересов в деятельности работников. При осуществлении внутренней проверки членами комиссии были использованы внешние информационные ресурсы: информационная система «СПАРК», официальный сайт ФНС России.
🔸По результатам проверки установлено, что один из работником Банка также является директором и совладельцем (доля в УК 33%) в другой организации. Управление Роскомнадзора по Кемеровской области-Кузбассу семь раз отказало вышеуказанному работнику Банка в проведении проверки банка. Работник оспорил решение ТО РКН в Центральном районном суде г. Кемерово (рассмотренные в сентябре-октябре 2023г. дела 12-532/2022 - 12-535/2022, 12-556/2022, 12-558/2022, 12-561/2022).
🔸Суд решил, что в данном случае обработка персональных данных допускается, в том числе, для осуществления прав и законных интересов оператора (п.7 ч.1 ст.6 152-ФЗ «О персональных данных»), то есть Банка, при условии, что при этом не нарушаются права и свободы субъекта персональных данных. Истребование сведений работодателем о своем работнике из открытого источника, в том числе информационной системы СПАРК, на предмет занимаемой им иной должности, и проверке наличия конфликта интересов не влечет ответственности, установленной ч. 2 ст. 13.11 КоАП РФ.
🔸На основании изложенного, вопреки доводам жалобы работника Банка, выводы начальника отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Роскомнадзора по Кемеровской области - Кузбассу об отсутствии оснований для возбуждения дела об административном правонарушении, являются обоснованными.
🇷🇺💡⚖️ #законный_интерес #суд #тк
Сервис "Туту.ру" оштрафован на 60 тыс. ₽ за утечку данных пользователей, компания не планирует его оспаривать. В июле прошлого года "Туту.ру" подвергся хакерской атаке из-за рубежа. В ограниченном доступе оказалась таблица, содержащая часть данных о заказах на автобусные билеты.
🇷🇺⚖️ #штраф #утечки #инциденты #суд
💥Обработка персональных данных в течение 10 лет после прекращения обязательств по потребительскому договору является незаконной.
🔸Между потребителем и АО "Альфа-Банк" был заключен договор накопительного счета "Альфа-счет" путем присоединения к договору о комплексном банковском обслуживании физических лиц в АО "Альфа-Банк". Пунктом 3.16.14 Договора предусмотрено: "Банк осуществляет обработку персональных данных Клиента в течение всего срока действия соглашений, договоров, включая Договор о комплексном банковском обслуживании физических лиц в АО "Альфа-Банк", заключенных с Банком, а также в течение 10 лет с даты прекращения обязательств сторон по соглашениям". Согласно п. 3.17 Договора: "Персональные данные Клиента подлежат уничтожению по истечении 10 (десяти) лет с даты прекращения обязательств Сторон по Договору".
🔸Постановлением Управления Роспотребнадзора по Пермскому краю от 11.01.2022 АО "Альфа-Банк" признано виновным по ч.2 ст.14.8 КоАП РФ и оштрафовано на 10,000 ₽. Одна из причин: пункты 3.16.14, 3.17 Договора противоречат требованиям ч.2, ч.7 ст.5 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" поскольку имеют завышенный, не подтвержденный целями срок обработки персональных данных клиента.
🔸Суды трёх инстанций поддержали позицию Роспотребнадзора и указал, что срок обработки персональных данных Клиента в течение 10 лет с даты прекращения обязательств имеют завышенный, не подтвержденный целями срок обработки персональных данных клиента, что противоречит требованиям ч.2, ч.7 ст.5 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных", ч.1 ст.16 Закона РФ от 07.02.1992 №2300-1 "О защите прав потребителей" и ущемляют права потребителя.
🇷🇺💡⚖️ #суд #договор #потребители #зозпп
🔸Санкт-Петербургский городской суд зарегистрировал апелляционную жалобу местного жителя Александра Шацкого в отношении ООО «Яндекс.Еда» о защите персональных данных и взыскании компенсации морального вреда.
🔸Ранее Шацкий обратился в Куйбышевский райсуд, где потребовал от компании 50 тысяч рублей за утечку его личной информации. Тогда инстанция отказала истцу и постановила, что в деле необходимо доказать нарушения со стороны конкретных сотрудников фирмы. На заседании отметили, что в феврале 2022 года «Яндекс.Еда» была признана потерпевшей стороной в инциденте со взломом данных.
🇷🇺⚖️ #суд #утечки #инциденты #яндекс #иск
Дело 05-0490_422_2022.doc
68 KB
💥Незаконный сбор ПД из телефонной книги мобильным приложением.
🔸Мобильное приложение «NumBuster» заявлено его оператором (Gilraen ltd) как "социальный рейтинг доверия к номерам телефона и инструмент оперативного обнаружения атак телефонных мошенников, злоумышленников и непрошенной рекламы".
🔸По мнению Роскомнадзора, в мобильном приложении осуществлялась неправомерная обработка персональных данных (фамилия, имя, отчество, дата рождения, номер телефона) третьих лиц, не являющихся пользователями этого приложения. Указанные данные были незаконно получены оператором приложения из телефонной книги пользователя приложения.
🔸Согласно позиции Gilraen ltd, информация, содержащаяся в записных книжках на мобильных устройствах связи пользователей, в отзывах (комментариях) зарегистрированных пользователей, является субъективной, в связи с чем не может быть признана персональными данными.
🔸Суд поддержал позицию Роскомнадзора и назначил оператору приложения штраф по ч.1 ст.13.11 КоАП РФ.
🇷🇺📱⚖️ #суд #mobile #пд #штраф
💥Не пойман – не вор: обнаружение документов с ПД на свалке, само по себе, не является доказательством утечки
🔸28.07.2021 членами экологической ассоциации «Чистый Регион» в городе Пятигорск на свалке отходов были обнаружены документы, содержащие персональные данные (заявления застрахованных лиц о переходе из одного негосударственного пенсионного фонда в другой негосударственный пенсионный фонд, заявления застрахованного лица о переходе в Пенсионный фонд РФ из негосударственного пенсионного фонда, поручения застрахованных лиц, коп паспортов, копии СНИЛС, подписанные согласия на обработку персональных данных граждан, договоры об обязательном пенсионном страховании между негосударственным пенсионным фондом и застрахованным лицом). Из текста обнаруженных документов следует, что оператором указанных выше персональных данных является НПФ «Русский стандарт».
🔸Экологическая ассоциация «Чистый регион» обратилась в Роскомнадзор, который посчитал НПФ «Будущее», как правопреемника НПФ «Русский Стандарт», виновным в нарушении требований п.15 постановления Правительства РФ от 15.09.2008 № 687 и подлежащим наказанию согласно ч.6 ст.13.11 КоАП РФ.
🔸НПФ «Будущее» заявило, что не является оператором по обработке персональных данных представленных физических лиц. Бланки договоров об обязательном пенсионном страховании размещены в свободном доступе на сайтах негосударственных пенсионных фондах. В представленных в материалы дела образцах договоров об обязательном пенсионном страховании и согласий на обработку персональных данных отсутствует подпись и печать фонда заполнены только со стороны физических лиц. Само по себе заполнение с одной стороны договора не повлекло возникновение правоотношений между сторонами фондом и физическим лицом. Документы, свидетельствующие о заключении договоров между НПФ и указанными физическими лицами, не представлены Роскомнадзором.
🔸Суд пришел к выводу о том, что отсутствуют безусловные доказательства, позволяющие установить вину АО «НПФ «Будущее», материалы дела не содержат. Обнаружение персональных данных неустановленных физических лиц, само по себе не подпадает под состав административного правонарушения.
🇷🇺📄⚖️ #суд #нпф #пп687 #инциденты #утечки