🇪🇺💡🏛⚖️ #gdpr #ес #аналитика
Обновлена презентация Механизмы и специфика GDPR (+85 слайдов, всего 1142 слайда, 50 МБ):
🔸Обзор контекста принятия и механизмов GDPR
🔸Персональные данные, принципы обработки и права субъектов
🔸Accountability и демонстрация соответствия
🔸Records of processing activities и сроки хранения данных
🔸Прозрачность обработки данных и повышение осведомленности
🔸Processing grounds and Legitimate Interests Assessment
🔸Data Protection (Privacy) by Design and by Default
🔸Data Protection Impact Assessment
🔸Data Breach Management
🔸Data Protection Officer
🔸Роли в обработке персональных данных
🔸Соглашения об обработке и защите персональных данных
🔸Интернет-ресурсы, профилирование и прямой маркетинг (реклама)
🔸Обработка данных персонала и соискателей
🔸Биометрические данные и видеонаблюдение
🔸Обработка данных несовершеннолетних лиц
🔸Большие данные, искусственный интеллект, машинное обучение и блокчейн
🔸Автоматизация Privacy и Data Protection
🔸Технические и организационные меры защиты персональных данных
🔸Псевдонимизация и анонимизация
🔸Территориальная сфера действия GDPR
🔸Трансграничная обработка данных и Transfer Impact Assessment
🔸EU-US Data Privacy Framework
🔸Рекомендации, руководства и практические пособия
🔸Международные стандарты
🔸Правоприменительная практика
🔸Штрафы – базы дел и аналитика
🔸Штрафы – интересные кейсы
🔸Иные санкции и меры принуждения
🔸Судебная практика – базы решений и интересные ситуации
🔸Влияние GDPR на бизнес
🔸Итоги применения GDPR в 2018-2023гг. и дальнейшие перспективы
🔸Законодательные инициативы о персональных данных в ЕС и США
🔸Эра пост-GDPR в Великобритании
🔸Подборка ресурсов по GDPR
🔸Модернизация Конвенции 108 и влияние GDPR на РФ
Обновлена презентация Механизмы и специфика GDPR (+85 слайдов, всего 1142 слайда, 50 МБ):
🔸Обзор контекста принятия и механизмов GDPR
🔸Персональные данные, принципы обработки и права субъектов
🔸Accountability и демонстрация соответствия
🔸Records of processing activities и сроки хранения данных
🔸Прозрачность обработки данных и повышение осведомленности
🔸Processing grounds and Legitimate Interests Assessment
🔸Data Protection (Privacy) by Design and by Default
🔸Data Protection Impact Assessment
🔸Data Breach Management
🔸Data Protection Officer
🔸Роли в обработке персональных данных
🔸Соглашения об обработке и защите персональных данных
🔸Интернет-ресурсы, профилирование и прямой маркетинг (реклама)
🔸Обработка данных персонала и соискателей
🔸Биометрические данные и видеонаблюдение
🔸Обработка данных несовершеннолетних лиц
🔸Большие данные, искусственный интеллект, машинное обучение и блокчейн
🔸Автоматизация Privacy и Data Protection
🔸Технические и организационные меры защиты персональных данных
🔸Псевдонимизация и анонимизация
🔸Территориальная сфера действия GDPR
🔸Трансграничная обработка данных и Transfer Impact Assessment
🔸EU-US Data Privacy Framework
🔸Рекомендации, руководства и практические пособия
🔸Международные стандарты
🔸Правоприменительная практика
🔸Штрафы – базы дел и аналитика
🔸Штрафы – интересные кейсы
🔸Иные санкции и меры принуждения
🔸Судебная практика – базы решений и интересные ситуации
🔸Влияние GDPR на бизнес
🔸Итоги применения GDPR в 2018-2023гг. и дальнейшие перспективы
🔸Законодательные инициативы о персональных данных в ЕС и США
🔸Эра пост-GDPR в Великобритании
🔸Подборка ресурсов по GDPR
🔸Модернизация Конвенции 108 и влияние GDPR на РФ
🏛️ Роскомнадзор поддерживает проект об обезличивании данных, заявил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
🔸"В Роскомнадзоре уверены, что персональные данные, которые получены в результате обезличивания, остаются персональными. И формально, и юридически, потому что все еще характеризуют человека. А с дополнительной информацией и прямо на него указывают", - сказал он журналистам.
🔸Немкин отметил, что обезличивание снижает риски того, что данные будут использованы против гражданина, так как требуется время, ресурс и знания для того, чтобы восстановить эти данные.
🔸"В Роскомнадзоре уверены, что персональные данные, которые получены в результате обезличивания, остаются персональными. И формально, и юридически, потому что все еще характеризуют человека. А с дополнительной информацией и прямо на него указывают", - сказал он журналистам.
🔸Немкин отметил, что обезличивание снижает риски того, что данные будут использованы против гражданина, так как требуется время, ресурс и знания для того, чтобы восстановить эти данные.
💻 Публикация Михаила Ратушного, DPO Ozon: Файлы cookie и персональные данные.
🔸Что такое файлы cookie
🔸Правовое основание для обработки персональных данных, содержащихся в файлах cookie
🔸Допустимость формата browse-wrap при акцепте технических файлов cookie
🔸«Законный интерес» как основание для обработки
🔸Особенности согласий на обработку персональных данных, содержащихся в файлах cookie
🔸Чек-лист требований к владельцу интернет-ресурса, использующего файлы cookie
🔸Что такое файлы cookie
🔸Правовое основание для обработки персональных данных, содержащихся в файлах cookie
🔸Допустимость формата browse-wrap при акцепте технических файлов cookie
🔸«Законный интерес» как основание для обработки
🔸Особенности согласий на обработку персональных данных, содержащихся в файлах cookie
🔸Чек-лист требований к владельцу интернет-ресурса, использующего файлы cookie
🏛️ Управление Роскомнадзора по Тюменской области, Ханты-Мансийскому автономному округу – Югре и Ямало-Ненецкому автономному округу провело контрольные мероприятия в отношении сайтов операторов категории «Фитнес - центры» и выявили ряд нарушений:
🔸при заполнении пользователем форм обратной связи, предполагающих внесение персональных данных, у посетителей сайтов отсутствует возможность дать согласие на обработку персональных данных;
🔸запись об организации отсутствует в Реестре операторов, осуществляющих обработку персональных данных;
🔸не опубликован документ, определяющий политику оператора в отношении обработки персональных данных, сведения о реализуемых, требованиях к защите персональных данных;
🔸использование метрической программы Google-Analytics, что может указывать на осуществление трансграничной передачи персональных данных пользователей сайта.
🔸при заполнении пользователем форм обратной связи, предполагающих внесение персональных данных, у посетителей сайтов отсутствует возможность дать согласие на обработку персональных данных;
🔸запись об организации отсутствует в Реестре операторов, осуществляющих обработку персональных данных;
🔸не опубликован документ, определяющий политику оператора в отношении обработки персональных данных, сведения о реализуемых, требованиях к защите персональных данных;
🔸использование метрической программы Google-Analytics, что может указывать на осуществление трансграничной передачи персональных данных пользователей сайта.
Авторы канала и лично @KZyubanov поздравляют всех подписчиков с наступающим 2024 годом и желают им в новом году всех законных privacy-благ!
🎄🎉🍾🎁✨
🎄🎉🍾🎁✨
🏛️В Минцифры сообщили, что наборы данных станут доступны ученым, которые занимаются ИИ, и разработчикам из коммерческого сектора в этой сфере, что позволит стимулировать разработку и исследования в области искусственного интеллекта.
🔸Как отметили в пресс-службе Минцифры, будут использоваться данные организаций государственного сектора, при этом не будет использоваться информация ограниченного доступа, такие как персональные данные и медицинские документы. Сам состав наборов будет определяться исходя из потребностей компаний, научных и образовательных организаций, а также их наличия у органов и организаций государственного сектора.
🔸В Минцифры также сообщили, что действующее регулирование не предполагает создания наборов из государственных данных, которые можно использовать для научных разработок и программных продуктов на основании ИИ, а также не существует механизма доступа негосударственных разработчиков и исследователей ИИ к государственным данным.
🔸Как отметили в пресс-службе Минцифры, будут использоваться данные организаций государственного сектора, при этом не будет использоваться информация ограниченного доступа, такие как персональные данные и медицинские документы. Сам состав наборов будет определяться исходя из потребностей компаний, научных и образовательных организаций, а также их наличия у органов и организаций государственного сектора.
🔸В Минцифры также сообщили, что действующее регулирование не предполагает создания наборов из государственных данных, которые можно использовать для научных разработок и программных продуктов на основании ИИ, а также не существует механизма доступа негосударственных разработчиков и исследователей ИИ к государственным данным.
⚖️ВС РФ обязал госорганы предоставлять арбитражным управляющим копии документов. Экономколлегия дала значимое разъяснение о необходимости толковать любое сомнение в обоснованности запроса арбитражного управляющего в пользу раскрытия информации, а не наоборот.
🔸Финансовый управляющий запросил в МВД сведения о наличии у должника зарегистрированных и снятых с учета транспортных средств. МВД сообщило о том, что должник владеет автомобилем Chery, а, кроме того, на его имя ранее был зарегистрирован и затем снят с учета автомобиль Skoda. При этом МВД отказалось предоставить ФУ копии документов, на основании которых были совершены регистрационные действия, сославшись на наличие в них персональных данных иных лиц.
🔸По заявлению финуправляющего суд первой инстанции, с которым согласилась апелляция, признал отказ МВД предоставить копии документов незаконным. Однако окружной суд отменил акты нижестоящих судов и отклонил требование управляющего. ФУ обратился в Верховный суд, который отменил постановление окружного суда и оставил в силе акты судов первой и апелляционной инстанций.
🔸По мнению ВС РФ, из Закона о персональных данных следует, что обработка персональных данных без согласия субъекта персональных данных допускается в случае, если она необходима для достижения целей, предусмотренных законом, осуществления правосудия, исполнения судебного акта (пункты 2, 3 части 1 статьи 6 Закона о персональных данных). В данном случае такими целями являются цели, предусмотренные Законом о банкротстве.
🔸Финансовый управляющий запросил в МВД сведения о наличии у должника зарегистрированных и снятых с учета транспортных средств. МВД сообщило о том, что должник владеет автомобилем Chery, а, кроме того, на его имя ранее был зарегистрирован и затем снят с учета автомобиль Skoda. При этом МВД отказалось предоставить ФУ копии документов, на основании которых были совершены регистрационные действия, сославшись на наличие в них персональных данных иных лиц.
🔸По заявлению финуправляющего суд первой инстанции, с которым согласилась апелляция, признал отказ МВД предоставить копии документов незаконным. Однако окружной суд отменил акты нижестоящих судов и отклонил требование управляющего. ФУ обратился в Верховный суд, который отменил постановление окружного суда и оставил в силе акты судов первой и апелляционной инстанций.
🔸По мнению ВС РФ, из Закона о персональных данных следует, что обработка персональных данных без согласия субъекта персональных данных допускается в случае, если она необходима для достижения целей, предусмотренных законом, осуществления правосудия, исполнения судебного акта (пункты 2, 3 части 1 статьи 6 Закона о персональных данных). В данном случае такими целями являются цели, предусмотренные Законом о банкротстве.
🇺🇸 Google заключила мировое по коллективному иску на $5 млрд о сборе данных (по $5000 на каждого заявителя). Коллективные истцы требовали от корпорации такую сумму за незаконный сбор информации о пользователях Chrome, которые использовали режим «инкогнито».
🔸Стороны достигли соглашения и согласовали его существенные условия в рамках медиации. По словам адвокатов, документ представят федеральному суду в Окленде не позднее 24 февраля 2024-го. Условия соглашения пока не раскрываются.
🔸Стороны достигли соглашения и согласовали его существенные условия в рамках медиации. По словам адвокатов, документ представят федеральному суду в Окленде не позднее 24 февраля 2024-го. Условия соглашения пока не раскрываются.
⚡Часть клиентов турфирм категорически против того, чтобы их персональные данные вместе с суммами, перечисленными за тур, передавались в систему «Электронная путевка». Даже после заверений в том, что Налоговая служба не получит доступа к этим сведениям, они настаивают на своем праве не сообщать эту информацию третьим лицам. В первую очередь это касается дорогих туров, а также клиентов из числа публичных лиц или сотрудников госорганов.
🔸«Создается безвыходная ситуация. Клиент запрещает нам передавать свои персональные данные в систему. Мы объясняем, что таковы новые правила, иначе мы не можем по закону продать ему тур. И никто из наших коллег по рынку тоже не сможет. Тогда клиент просит нас „найти способ“ отправить его на отдых, не передавая сведения в ЭП. Ну, то есть предлагает нам „дробить“ тур. Его не убеждают наши объяснения, что та же налоговая не имеет доступа к системе. Он говорит: „Я не знаю, кто получит к ней доступ завтра и какие данные и за какой срок сможет запросить“. И нам нечего на это ответить. Потому что мы тоже не знаем. И не можем дать гарантию, что этого не случится. То есть, по сути, новые правила толкают нас к нарушению закона», — рассказал один из представителей турбизнеса.
🔸«Создается безвыходная ситуация. Клиент запрещает нам передавать свои персональные данные в систему. Мы объясняем, что таковы новые правила, иначе мы не можем по закону продать ему тур. И никто из наших коллег по рынку тоже не сможет. Тогда клиент просит нас „найти способ“ отправить его на отдых, не передавая сведения в ЭП. Ну, то есть предлагает нам „дробить“ тур. Его не убеждают наши объяснения, что та же налоговая не имеет доступа к системе. Он говорит: „Я не знаю, кто получит к ней доступ завтра и какие данные и за какой срок сможет запросить“. И нам нечего на это ответить. Потому что мы тоже не знаем. И не можем дать гарантию, что этого не случится. То есть, по сути, новые правила толкают нас к нарушению закона», — рассказал один из представителей турбизнеса.
⚖️🔥 Верховый суд РФ 29.12.2023 отказал УФАС по Смоленской области в передаче кассационной жалобы для рассмотрения в судебном заседании Судебной коллегии по экономическим спорам ВС РФ решения АС Центрального округа (кассация), Двадцатого арбитражного апелляционного суда и АС Смоленской области по спору между ФАС РФ и 2gis.ru. Ранее судами было подтверждено следующее:
🔸принадлежность адреса электронной почты к персональным данным подтверждается и законодательством в сфере персональных данных, а также принятыми в соответствии с ним подзаконными актами, разъяснениями уполномоченных органов (п.1 ст.3 152-ФЗ "О персональных данных", постановление Правительства РФ от 13.09.2019 № 1197, письмо Минцифры от 17.03.2022 № П25-5623);
🔸все действия, совершенные под учетной записью пользователя на сайте, считаются произведенными самим пользователем, за исключением случаев, когда пользователь уведомил о несанкционированном доступе с использованием учетной записи пользователя и/или о любом нарушении конфиденциальности своих средств доступа к учетной записи;
🔸владельцы сайтов, по общему правилу, не обязаны и не имеют технической возможности подтверждать принадлежность адреса электронной почты своих пользователей конкретному физическому лицу (законодательством определен ограниченный перечень лиц, которым рекомендовано или в чьи обязанности входит в целях идентификации подтверждать принадлежность адреса электронной почты или абонентского номера телефона конкретному физическому лицу);
🔸не требуется получения в обязательной письменной форме согласия для отправки сообщения рекламного характера на адрес электронной почты получателя рекламного сообщения.
💡По поводу вывода о признании адреса электронной почты как ПД
🔸В деле РКН v Арсеналъ суды пришли к иному вводу: адрес электронной почты не является ПД лица его зарегистрировавшего: (1) без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит; (2) адрес электронной почты фактически не обладает свойством «абсолютной неизменности».
🔸ЦА РКН (Ю.Е. Контемиров) в июле 2023г. на вебинаре заявил следующее: "Если речь идет о своего рода «общем» электронном адресе, которым пользуется компания, неопределенное количество сотрудников и т.д., то этот адрес не является персональными данными. Но если мы говорим о личном корпоративном электронном адресе, который закреплен за конкретным сотрудником компании, привязан к конкретному сотруднику, то в этом случае мы это рассматриваем как персональные данные."
🔸принадлежность адреса электронной почты к персональным данным подтверждается и законодательством в сфере персональных данных, а также принятыми в соответствии с ним подзаконными актами, разъяснениями уполномоченных органов (п.1 ст.3 152-ФЗ "О персональных данных", постановление Правительства РФ от 13.09.2019 № 1197, письмо Минцифры от 17.03.2022 № П25-5623);
🔸все действия, совершенные под учетной записью пользователя на сайте, считаются произведенными самим пользователем, за исключением случаев, когда пользователь уведомил о несанкционированном доступе с использованием учетной записи пользователя и/или о любом нарушении конфиденциальности своих средств доступа к учетной записи;
🔸владельцы сайтов, по общему правилу, не обязаны и не имеют технической возможности подтверждать принадлежность адреса электронной почты своих пользователей конкретному физическому лицу (законодательством определен ограниченный перечень лиц, которым рекомендовано или в чьи обязанности входит в целях идентификации подтверждать принадлежность адреса электронной почты или абонентского номера телефона конкретному физическому лицу);
🔸не требуется получения в обязательной письменной форме согласия для отправки сообщения рекламного характера на адрес электронной почты получателя рекламного сообщения.
💡По поводу вывода о признании адреса электронной почты как ПД
🔸В деле РКН v Арсеналъ суды пришли к иному вводу: адрес электронной почты не является ПД лица его зарегистрировавшего: (1) без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит; (2) адрес электронной почты фактически не обладает свойством «абсолютной неизменности».
🔸ЦА РКН (Ю.Е. Контемиров) в июле 2023г. на вебинаре заявил следующее: "Если речь идет о своего рода «общем» электронном адресе, которым пользуется компания, неопределенное количество сотрудников и т.д., то этот адрес не является персональными данными. Но если мы говорим о личном корпоративном электронном адресе, который закреплен за конкретным сотрудником компании, привязан к конкретному сотруднику, то в этом случае мы это рассматриваем как персональные данные."
⚡Россияне с 1 января 2024 года смогут полностью контролировать свои биометрические профили, которые размещены в Единой биометрической системе (ЕБС).
🔸в личном кабинете на портале "Госуслуги" и в мобильном приложении "Госуслуги биометрия" будут отображаться все согласия на обработку биометрических данных, которые пользователь когда-либо давал частным организациям. Эти согласия можно будет отозвать, если пользователь больше не хочет получать услуги конкретной организации по биометрии.
🔸в личном кабинете на портале "Госуслуги" и в мобильном приложении "Госуслуги биометрия" будут отображаться все согласия на обработку биометрических данных, которые пользователь когда-либо давал частным организациям. Эти согласия можно будет отозвать, если пользователь больше не хочет получать услуги конкретной организации по биометрии.
🏛️Внутренние паспорта гражданина РФ нового образца могут быть оснащены электронным носителем с биометрическими данными. Это следует из постановления правительства РФ, которым утверждается новое положение о паспорте.
🔸"В паспорте, оформленном в виде документа, содержащего электронный носитель информации, определяемого нормативным правовым актом президента РФ, указываются биометрические персональные данные, содержащиеся на электронном носителей информации (цифровое фотографическое изображение лица владельца паспорта)", - указано в документе.
🔸"В паспорте, оформленном в виде документа, содержащего электронный носитель информации, определяемого нормативным правовым актом президента РФ, указываются биометрические персональные данные, содержащиеся на электронном носителей информации (цифровое фотографическое изображение лица владельца паспорта)", - указано в документе.
🏛️В России с 1 января 2024 года введены штрафы за незаконное распространение сведений из Единого государственного реестра недвижимости (ЕГРН).
🔸Теперь штрафы (см. ч.5 и ч.7 ст.14.35 КоАП) назначаются за незаконное распространение данных из ЕГРН должностными лицами госорганов или гражданами, за создание сайтов и приложений, с помощью которых можно получить сведения. Для граждан - от 10 до 25 тыс. ₽, для должностных лиц - от 40 до 50 тыс. ₽, для лиц, осуществляющих предпринимательскую деятельность без образования юрлица, - от 80 до 100 тыс. ₽, а для юрлиц - от 350 до 400 тыс. ₽.
🔸Теперь штрафы (см. ч.5 и ч.7 ст.14.35 КоАП) назначаются за незаконное распространение данных из ЕГРН должностными лицами госорганов или гражданами, за создание сайтов и приложений, с помощью которых можно получить сведения. Для граждан - от 10 до 25 тыс. ₽, для должностных лиц - от 40 до 50 тыс. ₽, для лиц, осуществляющих предпринимательскую деятельность без образования юрлица, - от 80 до 100 тыс. ₽, а для юрлиц - от 350 до 400 тыс. ₽.
💡👁 Недавно один из участников команды Privacy Advocates прослушал любопытный курс How To Cyberlaw от редакции канала Законы Мура. Курс был выбран из-за акцента на сфере цифровых продуктов и на ключевых трендах регуляторной повестки. Также курс отличает большое количество hands-on вебинаров с демонстрацией технологий и разбором бизнес-кейсов с правовой оценкой (маркетплейсы; AI; Web3; privacy и работа с данными).
🔸Из минусов: авторы курса постарались охватить большое количество тем, что сделало некоторые из них очень базовыми и простыми.
🔸Команда How To Cyberlaw планирует запуск нового потока обновлённой версии курса ближайший месяц.
🔸Из минусов: авторы курса постарались охватить большое количество тем, что сделало некоторые из них очень базовыми и простыми.
🔸Команда How To Cyberlaw планирует запуск нового потока обновлённой версии курса ближайший месяц.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇮🇸 Исландский пользователь Facebook в 2021г. опубликовал фотографии и полицейские отчеты, являвшиеся частью материалов расследования уголовного дела, включая конфиденциальные данные о субъекте данных, в посте на своей странице в Facebook, в котором он высказал свое мнение по этому делу.
🔸Субъект данных, который был жертвой или свидетелем по уголовному делу, подал жалобу в исландский надзорный орган (Persónuvernd). В ответ пользователь Facebook указал, что он не обрабатывал персональные данные субъекта данных, поскольку просто выразил свое мнение по делу, что подпадает под фундаментальную свободу выражения мнения.
🔸Надзорный орган посчитал, что не обладает компетенцией принимать решения по делам, связанным со свободой выражения мнения, но признал применимость GDPR, поскольку пост был доступен всем пользователям Facebook и не являлся обработкой в личных целях. Persónuvernd квалифицировал автора поста как контролера данных в соответствии со ст.4(7) GDPR. Поскольку контролер не был участником уголовного расследования и не должен был получать доступ к полицейским файлам, надзорный орган признал такую обработку данных незаконной в соответствии со ст.6(1)(f) GDPR и предписал автору удалить пост со свое станицы в течение месяца.
🔸Субъект данных, который был жертвой или свидетелем по уголовному делу, подал жалобу в исландский надзорный орган (Persónuvernd). В ответ пользователь Facebook указал, что он не обрабатывал персональные данные субъекта данных, поскольку просто выразил свое мнение по делу, что подпадает под фундаментальную свободу выражения мнения.
🔸Надзорный орган посчитал, что не обладает компетенцией принимать решения по делам, связанным со свободой выражения мнения, но признал применимость GDPR, поскольку пост был доступен всем пользователям Facebook и не являлся обработкой в личных целях. Persónuvernd квалифицировал автора поста как контролера данных в соответствии со ст.4(7) GDPR. Поскольку контролер не был участником уголовного расследования и не должен был получать доступ к полицейским файлам, надзорный орган признал такую обработку данных незаконной в соответствии со ст.6(1)(f) GDPR и предписал автору удалить пост со свое станицы в течение месяца.
🇦🇹⚖️ Австрийский суд: автоматическая блокировка учетной записи электронной почты из-за подозрительной активности не может считаться автоматизированным решением
🔸Субъект данных в Австрии установил на входной двери своего дома камеру, предоставленную поставщиком телекоммуникационных услуг (контролером данных). Заметив, что больше не получает уведомлений по электронной почте от камеры на входной двери, он обратился к контроллеру и в разных случаях получил различную и противоречивую информацию о причинах сбоев в работе системы. Позже субъект данных узнал, что его учетная запись была автоматически заблокирована, а контролер ответил, что это произошло из-за ненадлежащего использования учетной записи.
🔸Субъект данных жалобу в австрийский надзорный орган (DSB), а позднее – иск в Федеральный административный суд Австрии (Bundesverwaltungsgericht - BVwG), в связи с предполагаемой утечкой своих данных и незаконным автоматизированным принятием решения контролером.
🔸BVwG постановил, что блокировка учетной записи электронной почты заявителя была установлена алгоритмом в связи с необычно высокой активностью в качестве меры по борьбе со спамом. Так, контролер заявил, что заметил большое количество электронных писем, отправленных с учетной записи субъекта данных в течение короткого периода времени, и заподозрил неправомерное использование его учетной записи.
🔸BVwG решил, что блокировка учетной записи электронной почты алгоритмом не может считаться автоматизированным решением, оказывающим юридическое или аналогичное значительное воздействие на субъекта данных в соответствии со ст.22(1) GDPR. По мнению BVwG, это техническая и организационная мера по обеспечению безопасности данных и целостности сети, принятая контролером, и, следовательно, разрешенная в соответствии со статьей 22(2)(a) GDPR, как необходимая для исполнения договора между ними.
🔸Субъект данных в Австрии установил на входной двери своего дома камеру, предоставленную поставщиком телекоммуникационных услуг (контролером данных). Заметив, что больше не получает уведомлений по электронной почте от камеры на входной двери, он обратился к контроллеру и в разных случаях получил различную и противоречивую информацию о причинах сбоев в работе системы. Позже субъект данных узнал, что его учетная запись была автоматически заблокирована, а контролер ответил, что это произошло из-за ненадлежащего использования учетной записи.
🔸Субъект данных жалобу в австрийский надзорный орган (DSB), а позднее – иск в Федеральный административный суд Австрии (Bundesverwaltungsgericht - BVwG), в связи с предполагаемой утечкой своих данных и незаконным автоматизированным принятием решения контролером.
🔸BVwG постановил, что блокировка учетной записи электронной почты заявителя была установлена алгоритмом в связи с необычно высокой активностью в качестве меры по борьбе со спамом. Так, контролер заявил, что заметил большое количество электронных писем, отправленных с учетной записи субъекта данных в течение короткого периода времени, и заподозрил неправомерное использование его учетной записи.
🔸BVwG решил, что блокировка учетной записи электронной почты алгоритмом не может считаться автоматизированным решением, оказывающим юридическое или аналогичное значительное воздействие на субъекта данных в соответствии со ст.22(1) GDPR. По мнению BVwG, это техническая и организационная мера по обеспечению безопасности данных и целостности сети, принятая контролером, и, следовательно, разрешенная в соответствии со статьей 22(2)(a) GDPR, как необходимая для исполнения договора между ними.
💡Вопрос: может ли работодатель передавать персональные данные работника, а также членов его семьи, указанных в личной карточке, третьим лицам (нанятым юристам) без получения согласия на обработку персональных данных?
🏛 Роструд: организация-работодатель вправе предоставить стороннему юристу информацию, касающуюся конкретного работника данной организации даже при отсутствии согласия работника на обработку и передачу персональных данных в случае, если у юриста имеется подтверждение соответствующих полномочий (доверенность).
🔸В соответствии с требованиями п. п. 2 и 3 ч. 1 ст. 6 Закона о персональных данных предусмотрено, что обработка персональных данных допускается в случаях, когда:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Рф или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
🏛 Роструд: организация-работодатель вправе предоставить стороннему юристу информацию, касающуюся конкретного работника данной организации даже при отсутствии согласия работника на обработку и передачу персональных данных в случае, если у юриста имеется подтверждение соответствующих полномочий (доверенность).
🔸В соответствии с требованиями п. п. 2 и 3 ч. 1 ст. 6 Закона о персональных данных предусмотрено, что обработка персональных данных допускается в случаях, когда:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Рф или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
🎄В новогодние праздники делюсь папкой с полезной HR практикой.
Забирайте себе в работу на 2024 год.
В ней эйчары, рекрутеры, кадровики, специалисты по охране труда и трудовой миграции, внутрикомы, аналитики делятся
✔ лайфхаками
✔ случаями из практики на основе собственного опыта
✔ инструментамми для решения разноплановых HR-задач
✔обзором актуальных тенденций в HR
✔ анонсами полезных мероприятий
Можно редактировать папку под себя.
Присоединяйтесь к HR практике!
Забирайте себе в работу на 2024 год.
В ней эйчары, рекрутеры, кадровики, специалисты по охране труда и трудовой миграции, внутрикомы, аналитики делятся
✔ лайфхаками
✔ случаями из практики на основе собственного опыта
✔ инструментамми для решения разноплановых HR-задач
✔обзором актуальных тенденций в HR
✔ анонсами полезных мероприятий
Можно редактировать папку под себя.
Присоединяйтесь к HR практике!
🫣 В Москве на пешеходном переходе Бережковской набережной протестировали светофор с биометрической камерой распознавания лиц. Об этом сообщил начальник московской Госавтоинспекции Александр Быков в статье для журнала «Безопасность дорожного движения».
🔸«Фотофиксация предусматривает отображение трека перемещения пешехода и сигнала светофора. При нарушении пешеходом ПДД РФ его изображение (без идентификации) транслируется на электронное табло отображения информации, расположенное рядом с местом нарушения»,— говорится в материале.
🔸Александр Быков отметил, что для эффективной работы системы привлечения пешеходов к ответственности правоохранители должны получить биометрические данные всех граждан. Однако для этого, по его словам, предоставление биометрии должно стать обязанностью, а не правом. Для получения биометрических данных он предложил изменить КоАП и законодательство о персональных данных.
🔸«Фотофиксация предусматривает отображение трека перемещения пешехода и сигнала светофора. При нарушении пешеходом ПДД РФ его изображение (без идентификации) транслируется на электронное табло отображения информации, расположенное рядом с местом нарушения»,— говорится в материале.
🔸Александр Быков отметил, что для эффективной работы системы привлечения пешеходов к ответственности правоохранители должны получить биометрические данные всех граждан. Однако для этого, по его словам, предоставление биометрии должно стать обязанностью, а не правом. Для получения биометрических данных он предложил изменить КоАП и законодательство о персональных данных.
💡Вопрос: Является ли нарушением законодательства о персональных данных издание приказа о переводе нескольких работников? Учитывая, что все работники ознакамливаются под роспись с приказом и видят часовые тарифные ставки друг друга.
🏛 Роструд: Оформление перевода нескольких работников одним приказом будет нарушать конфиденциальность персональных данных, т.к. в приказ включается информация о заработной плате каждого работника. Такие сведения относятся к персональным данным и не подлежат разглашению третьим лицам.
💡Вопрос: Не будет ли нарушением закона о защите персональных данных, хранение копии трудовой книжки уволенного работника? (например, если уволенный работник обратится для оформления дубликата трудовой книжки, или для подтверждения надбавки за выслугу лет)
🏛 Роструд: С согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.
💡Вопрос: После реорганизации путем преобразования необходимо ли брать у работников согласие на обработку персональных данных повторно, либо в данном случае действуют положения о правопреемстве?
🏛 Роструд: В данном случае брать согласие на обработку персональных данных не требуется, поскольку права и обязанности переходят к правопреемнику.
🏛 Роструд: Оформление перевода нескольких работников одним приказом будет нарушать конфиденциальность персональных данных, т.к. в приказ включается информация о заработной плате каждого работника. Такие сведения относятся к персональным данным и не подлежат разглашению третьим лицам.
💡Вопрос: Не будет ли нарушением закона о защите персональных данных, хранение копии трудовой книжки уволенного работника? (например, если уволенный работник обратится для оформления дубликата трудовой книжки, или для подтверждения надбавки за выслугу лет)
🏛 Роструд: С согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.
💡Вопрос: После реорганизации путем преобразования необходимо ли брать у работников согласие на обработку персональных данных повторно, либо в данном случае действуют положения о правопреемстве?
🏛 Роструд: В данном случае брать согласие на обработку персональных данных не требуется, поскольку права и обязанности переходят к правопреемнику.