Как подать заявление в Роскомнадзор о нарушении закона о персональных данных: шаги и советы
Роскомнадзор утвердил порядок и условия взаимодействия с операторами персональных данных при возникновении инцидентов, связанных с конфиденциальностью, в частности, при их утечке и попадании в открытый доступ или к третьим лицам. Документ вступит в силу с 01.03.2023.
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) обязывает операторов персональных данных уведомлять Роскомнадзор о случаях неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов таких данных. В частности, необходимо сообщать в ведомство (ч. 3.1 ст.
21 Закона № 152-ФЗ):
- в течение 24 часов – о произошедшем инциденте (первичное уведомление),
- в течение 72 часов – о результатах внутреннего расследования инцидента (дополнительное уведомление).
В первичном уведомлении указываются сведения:
- о произошедшем инциденте (дата и время его выявления, характеристики персональных данных, которые стали доступны третьим лицам, количество записей в базе данных, которая была скомпрометирована). Дополнительно можно сообщить об актуальности этой базы данных, а также о периоде, в течение которого были собраны персональные данные;
- о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;
- о предполагаемом вреде, нанесенном правам субъектов персональных данных;
- о принятых мерах по устранению последствий инцидента;
- о лице, уполномоченном оператором персональных данных на взаимодействие с Роскомнадзором;
- иные сведения и материалы, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии таких сведений).
Кроме того, в уведомлении приводятся данные направившего его оператора:
- Ф. И. О. гражданина или ИП;
- полное и сокращенное наименование организации;
- ИНН организации, ИП или физического лица;
- адрес регистрации по месту жительства (пребывания) физического лица или ИП;
- адрес организации в пределах его места нахождения;
- адрес электронной почты (при наличии) для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).
Если на момент направления первичного уведомления оператор располагает сведениями о результатах внутреннего расследования выявленного инцидента, он вправе указать такие сведения в первичном уведомлении.
В дополнительном уведомлении указываются сведения:
- о результатах внутреннего расследования выявленного инцидента (о причинах, повлекших нарушение прав субъектов персональных данных и нанесенном им вреде, о дополнительно принятых мерах по устранению последствий инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
- о лицах, действия которых стали причиной инцидента (Ф. И. О. физического лица или ИП, наименование юридического лица, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и устройств, иные сведения).
Уведомления можно направить на бумажном носителе или в форме электронного документа:
- уведомление на бумаге направляется по адресу места нахождения Роскомнадзора;
- уведомление в электронном виде направляется путем заполнения формы на портале персональных данных Роскомнадзора (после прохождения идентификации и аутентификации через ЕСИА) и подписывается электронной подписью.
Получив первичное уведомление оператора, Роскомнадзор направляет на указанный в уведомлении адрес электронной почты информационное письмо, в котором называет дату и время передачи уведомления, а также его ключ и номер. Номер и ключ первичного уведомления нужно указать при подаче дополнительного уведомления.
Если в представленном уведомлении Роскомнадзор обнаружит неполные или некорректные сведения, в течение трех рабочих дней он направит по адресу электронной почты из первичного уведомления запрос о предоставлении недостающих сведений или пояснений. Предоставить такие сведения или пояснения нужно в течение трех рабочих дней со дня получения запроса от Роскомнадзора.
Если оператор не предоставил дополнительное уведомление в установленные сроки, Роскомнадзор вправе потребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ на такое требование нужно представить в течение одного рабочего дня со дня его получения.
В случае если Роскомнадзор самостоятельно выявит факт утечки базы персональных данных, содержание которой указывает на ее принадлежность к конкретному оператору, такому оператору направляется требование о необходимости предоставить первичное или дополнительные уведомления. Предоставить их нужно в обычные сроки (24 часа для первичного уведомления, 72 часа – для дополнительного).
Если оператор, получив требование Роскомнадзора, выяснит, что скомпрометированная база персональных данных ему не принадлежит, он направляет в Роскомнадзор дополнительное уведомление, к которому прикладывает акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения персональных данных.
Если оператор выяснит, что сведения об утечке базы данных ранее уже направлялись в Роскомнадзор, он направляет в ведомство уведомление, в котором указывает дату и номер ранее направленного уведомления.
Ответственность за утечку персональных данных (обработку без согласия субъектов персональных данных) установлена ч. 2 ст. 13.11 КоАП РФ, предусматривающей штраф:
- на граждан – от 6 000 до 10 000 рублей;
- на должностных лиц и ИП – от 20 000 до 40 000 рублей;
- на организации – от 30 000 до 150 000 рублей.
Повторное нарушение влечет наказание в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):
- на граждан – от 10 000 до 20 000 рублей;
- на должностных лиц – от 40 000 до 100 000 рублей;
- на предпринимателей – от 100 000 до 300 000 рублей;
- на организации – от 300 000 до 500 000 рублей.
Решения нижестоящих судов
В Центральном районном суде Хабаровска, куда было направлено исковое заявление, отказались его принять. Там решили, что требования заявителя по своей природе административные и не должны рассматриваться в порядке гражданского судопроизводства. В апелляции согласились с такой позицией и указали, что претензии Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ — а значит выводы первой инстанции о рассмотрении спора в административном порядке верны.
к содержанию ↑Позиция ВС РФ
Судебная коллегия по гражданским делам Верховного Суда указала на ошибку нижестоящих коллег.
Коллегия напомнила, что Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных (в т.ч. неопределенного круга лиц — п.5 ч.3 ст. 23 закона О персональных данных) и представлять их в суде.
При этом по ч. 6 ст. 26 ГПК иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца, указал ВС РФ в Определении от 14.07.2020 № М-1862/2019 по делу № 58-КГ20-2).
Заявление следовало рассмотреть в порядке гражданского судопроизводства, сказано в определении по делу (дело № 58-КГ20-2)
к содержанию ↑На каких сотрудников нужно подавать уведомление?
Федеральным законом не предусмотрены переходные положения, конкретизирующие, на каких сотрудников подавать уведомление.
Работодатель предоставляет в Роскомнадзор уведомление единожды.
Обратите внимание: в уведомление не включаются сведения о конкретных сотрудниках компании.
Из этого можно сделать вывод, что работодатель должен подать уведомление единожды, не указав при этом данные своих сотрудников, а значит и разделять сотрудников на «новых» и «старых» не нужно.
к содержанию ↑Как получить компенсацию за разглашение персональных данных?
Год назад в одной известной сети магазинов купила телефон в кредит. Недавно изучала условия договора и обнаружила, что к нему приложена заявка на кредит другого покупателя. В ней есть паспортные данные, адрес регистрации и проживания, информация о родственниках и месте работы, кодовое слово.
Подозреваю, что и мои конфиденциальные данные могли к кому-то попасть.
Как мне обезопасить себя? Как привлечь виновника к ответственности? И положена ли мне компенсация?
Личная информация защищена законом о персональных данных. Конечно, нельзя передавать постороннему человеку чужие заявки на кредит даже случайно — это грубое нарушение. Но, к сожалению, человеческий фактор никто не отменял, и все мы не застрахованы от того, что наши данные могут к кому-то попасть.
Хотя в вашей ситуации нельзя с уверенностью сказать, что сведения о вас тоже были рассекречены. Давайте разберемся, что вы можете сделать.
ПРОМОЭто надо же! Карта Т—Ж
Получите карту с названием любимого медиа, стикерпак с алмазом и кэшбэк 5% за супермаркеты в первый месяц
ЗаказатьВАРИАНТ 1
к содержанию ↑Связаться с магазином
Для начала постарайтесь разобраться, что случилось. То, что к вам случайно попали сведения о другом покупателе, еще не значит, что информацию о вас тоже разгласили. Но даже если ваши паспортные данные действительно оказались у другого человека, не стоит опасаться, что он сразу пойдет с ними что-то делать: сейчас банки редко выдают кредиты только с одним паспортом, а базы с паспортными данными, к сожалению, и так продаются в даркнете.
Если в вашей анкете есть пароль или кодовое слово, попросите магазин его поменять. Также для успокоения можете попросить показать подлинник вашей анкеты.
Еще можно сказать руководству магазина, что к вам попали персональные данные другого покупателя, объяснить, что такой уровень обслуживания нанес вам моральный вред, и потребовать, чтобы вам выплатили компенсацию. Скажите управляющему, что информация о вас тоже могла утечь и поэтому вам придется писать жалобу в головной офис и обращаться в суд. Возможно, магазин не захочет доводить скандал до суда и предложит вам скидку или какой-то другой бонус.
Если вы настроены наказать виновных, не отдавайте руководству магазина попавшую к вам анкету другого покупателя — ее можно будет использовать как доказательство.
ВАРИАНТ 2
Следующая