Хакеры, БД, РКН и ЦБ РФ.

Правообладатель

В результате взлома серверов косметической компании «Oriflame», хакеры выложили 1.5 млн сканов паспортов российских граждан (подробнее в статье по ссылке ниже).

По счастью для «Oriflame», в России нет административной ответственности за утечку персональных данных, Роскомнадзор и затронутые субъекты персональных данных могут оставить это без внимания.

Вместе с этим:

1. Субъекты персональных данных могут требовать через суд (на практике незначительных) компенсаций вреда, убытков (ч. 2 ст. 24 152-ФЗ).

2. Субъекты персональных данных могут направить жалобы в Роскомнадзор. По результатам может быть составлен протокол об АП, если найдется состав по одной из частей ст. 13.11 КоАП РФ. С помощью опытного юриста по ПД этот риск снижается в разы.

3. Роскомнадзор может направить запрос в компанию (ч. 4 ст. 20 152-ФЗ, есть отличие от документарных внеплановых проверок). По результатам ответа может быть составлен протокол об АП, если найдется состав по одной из частей ст. 13.11 КоАП РФ. С помощью опытного юриста по ПД этот риск снижается в разы.

4. Роскомнадзор может поставить «Oriflame» в план проверок на следующий год, так, например, 2 года назад было с "БургерКинг". Однако, с учетом нового риск-ориентированного подхода к планированию проверок со стороны сказать сложно, нужно оценивать много факторов.

Подробнее ➤

Еще раз простыми словами о том, что сказали РКН и ЦБ РФ в совместном письме:

1. Если обработка по договору с субъектом ПД, согласие не нужно.

2. Если обработка выходит за цели договора с субъектом ПД, нужно согласие.

3. Факт получения согласия доказывает оператор ПД.

4. Лучшая практика — отдельное согласие для передачи третьему лицу или на поручение обработки третьему лицу.

5. Общее согласие на передачу или поручение обработки неограниченному кругу лиц недопустимо.

6. Если согласие включено в текст иного документа (заявление на кредит, договор и т. п.), рекомендуется отдельная подпись субъекта ПД под согласием.

7. Согласие на продвижение товаров/работ/услуг рекомендуется отделять от согласия на биометрию.

8. Срок обработки должен отвечать конкретным целям: определенная дата или период времени. Автоматическая пролонгация или бессрочное действие согласия не рекомендуются.

Подробнее ➤

https://t.me/privacyexpert/796