Все это — онлайн, с заботой о вас и по отличным ценам.
Нарушаю ли я таким хранением что-то или нет?
Здравствуйте,
Существует информация что за нарушение закона о персональных данных могут и посадить. Вот источник информации: https://biz.cnews.ru/news/top/2024-01-16_rossijskij_biznes_pod_ugrozoj. В статье говорится что «Основная идея нового законопроекта – это очень суровое наказание россиян за незаконные сбор и использование персональных данных». Т.е., как я понимаю, ключевое здесь – незаконный сбор и незаконное использование. Теперь ситуация:
1. Я часто провожу вебинары и семинары в рамках профессиональной деятельности. Прошу людей регистрироваться на вебинар, заполняя поля ФИО, адрес электронной почты, сферу деятельности, название компании в которой работают. Кроме того, в каждой форме регистрации есть пункт «согласны ли вы если мы будем порой рассылать вам новости нашей компании?» Да/Нет. В последствии все кто поставил ДА по последнему пункту попадают в список рассылки и им отправляются письма.
Есть ли тут какое-то «тонкое» с юридической точки зрения место. Могут ли за подобный сбор и обработку данных привлечь к ответственности, а тем более уголовной?
1. Компания, на которую я работаю, является зарубежной. Компания оплачивает сервис проведения вебинаров, не имеющий серверов в РФ. Когда мы проводим вебинар, то все регистрации попадают на зарубежные сервера. Кроме того, если я провожу вебинар, например в телеграме, то регистрирую посетителей через Гугл Формы и все данные хранятся там. Получается я храню персональные данные российских граждан за границей? Нарушаю ли я таким хранением что-то или нет?
Заранее вам благодарен!
Дмитрий, добрый день.
Речь пока идет о законопроекте, который в настоящее время, еще не принят к рассмотрению Государственной Думой РФ
https://sozd.duma.gov.ru/bill/502113-8
Согласно проекта закона предполагается внести в УК РФ ряд изменений, в частности, устанавливающих ответственность за незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения.
Ответственность по ст. 272.1 УК РФ предполагается за
Незаконные использование и(или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем, за исключением деяний, совершенных в отношении компьютерной информации, содержащей персональные данные
Таким образом, ответственность предполагается не за собственно незаконный сбор и незаконное использование, а за указанные деяния если они будут осуществлены посредством получения неправомерного доступа к средствам обработки ПД.
В этой связи следует разграничивать два момента
— незаконный сбор ПД, может быть выражен в их получении без согласия носителя персональных данных, что не предполагает уголовной ответственности
— незаконный сбор путем неправомерного доступа к средствам обработки ПД.
Т.е. ответственность наступает за взлом, копирование, блокирование и иной доступ к компьютерным средствам обработки персональных данных.
На этот счет в пояснительной записке к законопроекту указано
, для целей уголовного законодательства конкретизирован объект преступного посягательства (компьютерная информация), который содержит персональные данные, полученные незаконным путем.
С учетом сказанного
Есть ли тут какое-то «тонкое» с юридической точки зрения место. Могут ли за подобный сбор и обработку данных привлечь к ответственности, а тем более уголовной?
Да, в данном случае есть нюансы, связанные с получением согласия на обработку персональных данных, однако они никак не могут повлечь для Вас риска уголовной ответственности в случае принятия указанного законопроекта.
Основным нюансом в Вашем случае, является отсутствия у Вас данных о том, что лица, которые регистрируются дали свое согласие на обработку персональных данных.
Здравствуйте. Данный законопроект ещё не принят Думой.
https://sozd.duma.gov.ru/bill/502113-8
При этом в записке сказано, что ответственность по сути озникает при неправомерном доступе к таким данным
предусматривающей уголовную ответственность за использование и(или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем, а также за создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения и (или) распространения персональных данных. 3 Подавляющее число утечек — это базы данных, состоящие из записей о конкретных людях (пользователях, клиентах, сотрудниках) — компьютерная информация. Если ранее утечки исчислялись сотнями или тысячами записей, то в последние годы речь идет уже о миллионах записей. В связи с этим законопроектом предусмотрен специальный объект преступного посягательства — компьютерная информация, содержащая персональные данные, полученная путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.
Если у Вас доступ правомерный и люди самостоятельно дают согласие на рассылку данных, то ответственности нет. Плюс объектом должна являться именно компьютерная информация, содержащая такие персональные данные. Что в Вашем случае не усматривается, соответственно состав с точки зрения УК РФ, ст. 272, отсутствует.
В связи с чем у Вас имеет место трансграничная передача персональных данных.
В связи с чем. с Вашей стороны предполагается соблюдение требований ст. 12 ФЗ от 27.07.2006 N 152-ФЗ
«О персональных данных»
https://www.consultant.ru/document/cons_doc_LAW_61801/e4ebbe1780de623c7cf32a59ca82a7bb523a25dd/
Одним из которых является обязанность уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять трансграничную передачу персональных данных.
Оно подается отдельно от уведомления о намерении осуществлять обработку персональных данных (ч. 3 ст. 12 Закона о персональных данных).
https://pd.rkn.gov.ru/docs/primer_zapolnenija_uvedomlenija_TPdn.pdf
https://www.kdelo.ru/art/386461-uvedomlenie-o-transgranichnoy-peredache-personalnyh-dannyh