Сегодня на сайте Ассоциации российских банков (АРБ) опубликован ответ Департамента предпринимательства и инновационного развития города Москвы (ДПиИР Москвы) относительно отчетов по удаленщикам, которые сдают московские работодатели.

Так, ДПиИр Москвы отметил, что:

— сведения о номере мобильного телефона, проездного билета, социальной карты, государственном регистрационном номере транспортного средства не относятся к персональным данным, поскольку предоставляется без информации об их владельце;

— обязанность по предоставлению сведений распространяется не только на организации, но и на их работников. В соответствии со статьей 189 ТК, работники обязаны соблюдать дисциплину труда, в том числе правила поведения, определенные федеральными законами.

В АРБ отмечают, что для московских банков-работодателей открытым остался вопрос о том, в силу каких норм права информация, например, о номере мобильного телефона физлица, его социальной карты и о госномере его авто не является его персональными данными.

Идентификация физлица, как правило, происходит по совокупности данных о нем, и отсутствие ФИО человека не говорит о том, что его невозможно идентифицировать по иным его персональным данным. Рассматриваемые сведения дают совокупность данных о работнике, позволяющую идентифицировать его.

Неразрешенным остался вопрос о правовых основаниях предъявления работодателем требований к работнику о предоставлении его личной информации, поскольку статья 189 ТК, ссылка на которую имеется в ответе ДПиИр Москвы, не возлагает такой обязанности на работников, не регулирует вопросы получения и передачи персональных данных, а говорит лишь о трудовой дисциплине и трудовом распорядке, в т. ч. указывая на обязанность соблюдения правил поведения, установленных федеральными законами (но Указы Мэра таковыми не являются).

Также остается актуальным вопрос о действиях работодателя при отсутствии у работника в пользовании номера мобильного телефона или при неиспользовании мобильного телефона в текущем периоде (например, в силу поломки телефона и невозможности приобретения нового по причине материальных проблем или отсутствия возможности оплаты мобильный связи по причине ухудшения материального положения).

Напомним, накануне мы рассказывали о том, какой ответ на аналогичный вопрос дали банкирам в Государственно-правовом управлении Президента.

Администрация Президента ответила по персональным данным, предоставляемых по сотрудникам на удаленке. По ее мнению, указ № 68-УМ не устанавливает требования по предоставлению персональных данных. А то, что они именно персональные — никого не волнует.

Ранее Ассоциация российских банков направляла запрос помощнику Президента — начальнику Государственно-правового управления Президента Ларисе Брычевой.

Речь идет об отчете по сотрудникам, отправленным на удаленку. АРБ отмечает, что нормы ТК не устанавливают для работника обязанности по предоставлению сведений о номере его мобильного телефона, номере проездного документа и иных требуемых в отчете сведений.

Ассоциация просила проанализировать правомерность вынужденного предъявления московскими банками — работодателями требований к своим сотрудникам по предоставлению ими вышеуказанных персональных данных и согласия на их передачу городу, а также правомерность предоставления банками соответствующих сведений без согласия их работников.

Ответ из Администрации Президента получен. Ассоциация выложила его на своем сайте.

В нем, в частности, говорится:

По вопросу исполнения требований, содержащихся в Указе Мэра Москвы от 8 июня 2020 г.№ 68-УМ, считаем возможным высказать мнение о том, что данный нормативный правовой акт не следует рассматривать как устанавливающий требования об обязательном предоставлении информации, отсутствующей у лиц, на которые эти требования распространяются.

В пункте 11.3 названного Указа Мэра Москвы содержится прямое указание на то, что требующаяся информация не должна содержать персональные данные. В связи с этим рассмотрение вопроса о соответствии названного положения Указа Мэра Москвы требованиям законодательства РФ о персональных данных не представляется возможным.

Попытаемся перевести на русский язык этот шедевр бюрократической отписки. По мнению Администрации Президента, сведения, которые потребовала мэрия Москвы, не являются персональными, ведь в Указе написано, что информация не должна содержать персданные. И потому рассматривать вопрос чиновники не будут. И им без разницы, что по своей сути то, что требует мэрия — именно персональные данные.

Яндекс впервые опубликовал статистику по выдаче данных россиян органам власти: 15 тысяч запросов за шесть месяцев. Такие данные опубликованы на сайте компании.

Яндекс регулярно получает запросы от органов государственной власти, касающиеся пользовательских данных. Компания рассматривает те из них, которые пришли по официальным каналам и соответствуют всем формальным требованиям. В ответ на запрос компания предоставляет ровно столько информации, сколько необходимо для ответа. А если запрос не соответствует требованиям закона, Яндекс его отклоняет. Запросы, пришедшие по неофициальным каналам, например по электронной почте или по телефону, не получают ответа и не учитываются в статистике.

Информацию властям предоставили по 12,9 тысячам запросов, по остальным отказали из-за несоответствия требованиям закона. Органы власти чаще всего запрашивали информацию по пользователям сервисов «Паспорт» и «Почта», далее идут «Такси» и «Драйв».

«Яндекс» уточнил, что в «Паспорте» хранятся основные регистрационные данные пользователя, поэтому часто силовикам нужны данные оттуда. «Это может быть запрос о пользователе, который использовал один из сервисов для мошенничества»», — уточнила компания. В сообщении также сказано, что доступ к содержимому почтового ящика или переписке в мессенджере предоставляется только по судебному решению, ограничивающему право человека на тайну переписки, а не по запросу органов власти.

В Минцифры заявили, что считают законным распоряжение мэра Москвы Сергея Собянина, которое обязует работодателей еженедельно передавать данные своих работников (номера телефонов, автомобилей, транспортных карт) в мэрию.

«Считаем, что запрашиваемая информация может быть отнесена к персональным данным, но вместе с тем на основании п. 4 ч. 1 ст. 6 закона «О персональных данных» с учетом указа президента «Об определении порядка продления действия мер по обеспечению санитарно-эпидемиологического благополучия населения в субъектах Российской Федерации в связи с распространением новой коронавирусной инфекции» и ст. 11 ФЗ-68 от 21 декабря 1994 данная информация может быть обработана без согласия субъекта персональных данных«,— сообщил «Коммерсанту» представитель министерства.

Как ранее сообщал «Ъ», три крупнейшие российские IT-ассоциации (Ассоциация предприятий компьютерных и информационных технологий (АПКИТ), ассоциация разработчиков программных продуктов «Отечественный софт» и «Руссофт») пожаловались главе Минцифры Максуту Шадаеву на решение мэра Москвы Сергея Собянина, обязавшего работодателей предоставлять мэрии номера телефонов и автомобилей сотрудников на удаленке. Ассоциации уверены, что без согласия людей давать такую информацию незаконно.

Как быть работодателям, у которых с одной стороны обязаловка по удаленщикам и космические штрафы, а с другой — персональные данные работников, которые он обязан передать по указу мэра Москвы?

Максим Лагутин, основатель и эксперт по защите персональных данных в Б-152, рассказывает на своей странице в Facebook.

«По Указу мэра Москвы от 6 октября по переводу на удаленку и передаче данных в Правительство Москвы. Какие варианты есть вообще у бизнеса?

  1. Передавать только рабочие данные — рабочий номер мобильного телефона, госномер служебного автотранспорта, номер рабочего проездного или карт тройка/стрелка.
  2. Передавать только те данные, что у нас есть — если у нас в компании собираются номера мобильных телефонов для какой-то другой цели и нет рабочих мобильных, то передавать их.
  3. Уточнять у работников дополнительную информацию и отправлять данные тех, кто предоставил их.
  4. Просить у людей данные без проверки их актуальности и точности.
  5. Ничего не направлять. Но, что интересно, Указ не обязывает компании собирать данные, только предоставлять/передавать».
шварц

Вот что в комментариях на странице пишут:

«Вопрос заключается в том, нужна ли для исполнения трудового договора работодателю информация о номере моб. телефона работника? Если нет, то его у работодателя во-первых и быть не должно, он даже не может нигде хранить эту информацию, а если он хочет иметь у себя номер телефона, то должен с работника получить согласие на обработку, где указаны цели в которых данная информация будет использоваться, все способы обработки, и только после этого работодатель может получить номер работника и обрабатывать. А если работодатель не указал в целях обработки предоставление ПД органам исполнительной власти, то он как оператор вообще должен слать всех кто просит кусок персональных данных сотрудника, т.к. сотрудник не дал на это согласия. Про машину я тут даже говорить не буду, особенно если работник пользуется машиной родственников, они вообще никогда не дадут согласие на обработку своих данных».

О номере телефона, как о персональных данных автор пишет вот что:

«Роскомнадзор, суды и мэрия могут считать номер телефона не персональными данными Но оператор вправе сам определять, что он считает персональными данными, а что нет».

Еще предлагают включить нужные данные в изменения к трудовому договору о переводе на удаленку:

«Есть еще вариант — взять согласие с работников, или если все делается как положено по ТК и будет изменение трудового договора по переводу на дистанционный режим работы, включить эти данные и цель их передачи в это изменение».

А еще к вопросу о формулировке «в наличии»:

«Споры про формулировку „при наличии“ не так давно были по поводу каких-то банковских форм. Там тоже в утверждённой законодательством форме указано кажется „ИНН (при наличии)“, и банки соответственно этот параметр от клиентов не брали. Внезапно то ли ЦБ, то ли финмониторинг заявил, что речь идёт о наличии ИНН у клиента в принципе, то есть банк обязан эти данные истребовать. В общем можно убедиться, что у клиента ИНН вообще есть — на сайте налоговой. Но это в какое количество документов (анкет) надо его внести!».

Еще в одной группе был совет — «не спешите исполнять, вдруг отменят».

335 Uber

«Яндекс.Такси» и Uber нарушают регламент о защите персональных данных. Сервис заказа автомобилей Wheely пожаловался голландскому регулятору на это. 

По мнению Wheely, его конкуренты неправомерно делятся информацией о клиентах со столичным Дептрансом, пишет Forbes.

MLU — совместное предприятие «Яндекса» и Uber, зарегистрированное в Нидерландах, которое образовалось после слияния сервисов в феврале 2018 года. После сделки MLU управляет сервисами «Яндекс.Такси», «Яндекс.Еда» и «Яндекс.Лавка», а также службой заказа такси Uber в России.

По мнению Wheely, сотрудничество конкурентов с московскими властями противоречит регламенту Евросоюза о защите персональных данных (General Data Protection Regulation, GDPR), который действует с мая 2018 года. За нарушение GDPR компания может получить штраф до €20 млн или 4% глобальной выручки нарушителя за предыдущий год. Максимальный штраф непосредственно от DDPA ниже — €1 млн, утверждает Forbes со ссылкой на исследование консультантов Dentons.

В «Яндекс.Такси» отказались комментировать претензии Wheely, в Дептрансе не смогли оперативно ответить на запрос Forbes. Ранее в «Яндекс.Такси» указывали, что передают в ЕРНИС лишь идентификатор водителя в системе, номер автомобиля, статус (свободен или на заказе) и периодически координаты местоположения машины. «Вся эта информация передается только по зашифрованным каналам и не содержит персональных данных пассажиров», — сообщали в компании.

Социальные сети Facebook и Twitter не получили отсрочку на перенос серверов от российских властей. Отсрочку дали только сервисам бронирования авиабилетов.

Это следует из нового Общенационального плана действий, о восстановлении занятости, доходов населения, роста экономики и долгосрочных структурных изменений. В нем указанную отсрочку предлагается ввести только для серверов, на которых хранятся персональные данные граждан страны, и другой инфраструктуры, входящих в комплекс автоматизированной информационной системы обеспечения воздушных перевозок (АИС ОВП), то есть на системы бронирования авиабилетов.

Требование закона «О персональных данных» о хранении данных только на территории России вступило в силу еще 1 сентября 2015 года. Однако указанным социальным сетям давалась отсрочка до начала 2020 года. Впоследствии их оштрафовали за несоблюдение российского законодательства на суммы по 4 млн рублей, блокировать не стали.

По словам гендиректора Института исследований интернета Карена Казаряна, Роскомнадзор может и дальше выписывать штрафы компаниям, нарушившим требование закона «О персональных данных», но, чтобы заблокировать кого-то, как это было с LinkedIn в 2016 году, нужно «политическое решение».

«Вряд ли после истории с Telegram, которая показала, что заблокировать полностью сервис на территории России не получится, кто-то сейчас решится на такое», — указал Казарян.

По материалам «РБК».

331 КоАП

В Госдуму внесли законопроект с поправками в КоАП, согласно которым штрафы за разглашение информации с ограниченным доступом увеличат штрафы десятикратно.

Об этом сообщил глава думского комитета по безопасности и противодействию коррупции Василий Пискарев.

«Законопроектом предлагается увеличить административные штрафы за разглашение такой информации до 10 тыс. рублей для граждан (сейчас от 500 до 1 тыс. рублей) и до 50 тыс. рублей для должностных лиц (сейчас от 4 до 5 тыс. рублей)», — передает пресс-служба депутата.

Согласно законопроекту, изменения предложены в статью 13.14 КоАП о санкциях за разглашение информации, доступ к которой ограничен законодательством, лицом, получившим доступ к таким данным в связи с исполнением служебных или профессиональных обязанностей.

По словам депутата, под понятие «информация ограниченного доступа» подпадает достаточно много различных данных:

  • коммерческая или банковская тайна,
  • тайна усыновления или тайна завещания,
  • адвокатская тайна,
  • тайна связи и другие.
Депутат отметил, что размер действующих штрафов не менялся последние 10 лет и не служит достаточным препятствием «для того, чтобы та или иная личная информация, служебная, профессиональная тайна не стала достоянием общественности, продавалась или распространялась в интернете».

По убеждению главы комитета, десятикратное увеличение штрафов позволит «защитить граждан и их персональные данные, защитить бизнес от посягательств различных мошенников».

По материалам «ТАСС».

Платежные данные россиян, покупающих товары в иностранных интернет-магазинах, предлагают защитить. Для этого их нужно приравнять к персональным данным, и проводить все трансакции только через российские шлюзы.

С таким предложением выступила «Деловая Россия», направившая соответствующее письмо в Правительство.

«При приобретении товаров на зарубежных сайтах покупатель указывает свои данные, ФИО, адрес доставки и номер карты,— отмечает участвовавший разработке рекомендаций глава компании ChronoPay Павел Врублевский.— Эти данные относятся к персональным данным физлиц в понимании профильного закона (152-ФЗ), а также являются персональными платежными данными, хотя в законодательстве нет такого определения».

По 152-ФЗ при сборе персональных данных, в том числе в интернете, оператор обязан обеспечить запись, хранение и пр. с использованием баз на территории РФ. Из-за недочетов законов 152-ФЗ и 161-ФЗ персональные платежные данные не защищены при трансграничных платежах, отмечают эксперты «Деловой России».

«Сейчас данные покупателя вводятся прямо на сайте иностранного продавца и там же аккумулируются,— поясняет Павел Врублевский.— Банк—эмитент карты не несет ответственности за их сохранность вне территории РФ, так как трансграничные операции выходят за рамки 161-ФЗ. При внутрироссийских трансакциях есть еще одно звено, так называемые платежные шлюзы, которые сохраняют первую копию персональной платежной информации».

Стоимость перевода через российский шлюз в среднем составляет 0,2–0,5% и закладывается в общую эквайринговую комиссию.

По материалам «Коммерсантъ».

Эксперты по кибербезопасности обнаружили в открытом доступе данные более 150 млн пользователей социальных сетей Facebook, LinkedIn и Instagram, включая имена и номера телефонов.

«Всего на обнаруженном в открытом доступе сервере Elasticsearch находятся данные более 150 млн пользователей социальных сетей Facebook, LinkedIn и Instagram, включая более 81 млн профилей пользователей Facebook, более 66 млн профилей пользователей LinkedIn и свыше 11 млн профилей Instagram», — сообщил ТАСС основатель сервиса разведки утечек DLBI Ашот Оганесян.

База данных в основном содержит пользовательские имена, ссылки на профиль, электронную почту, страны, информацию о подписчиках, а также места работы и должности (обе графы — для Linkedin), отметил Оганесян. При этом число российских пользователей в «слитой» базе точно не известно, но оно невелико, так как база собиралась китайской компанией «Shenzhen Benniao Social Technology» (socialarks.com) в интересах китайских компаний, работающих на зарубежных рынках.

На прошлой неделе специалисты по информационной безопасности уже обнаружили сервер с данными 200 млн пользователей социальных сетей Twitter и Weibo, чуть позже — сервер с данными 57 млн пользователей LinkedIn, включая данные о нескольких тысячах аккаунтов россиян.

Для обеспечения возможности развития технологий искусственного интеллекта в медицине предлагается предоставить возможность изъятия отдельных требований из Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в РФ» и Федерального закона № 152-ФЗ «О персональных данных».

Соответствующий проект опубликован сегодня на федеральном портале.

В частности, положение части 1 статьи 13 Федерального закона № 323-ФЗ будут применяться только если иное не установлено программой экспериментального правового режима, утвержденной в соответствии с Федеральным законом «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации».

Поясним, часть 1 статьи 13 ФЗ-321 гласит:

Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

В пояснительно записке к проекту отмечается, что разработчикам медицинских изделий с ИИ необходим доступ к данным пациентов.

Действующее же законодательство не предусматривает эффективного способа обработки таких данных ввиду отсутствия возможности получения так называемого бесшовного согласия, которое давалось бы субъектом персональных данных лишь один раз.

В свою очередь, получение множества согласий в условиях необходимости анализа данных тысяч пациентов создает неприемлемые для разработчиков издержки, что тормозит развитие отрасли и не позволяет совершить качественный прорыв в эффективности системы здравоохранения.

Бухгалтеры получают неименные требования из ИФНС, в которых указывается на несоответствие персональных данных сотрудников в форме 2-НДФЛ их фактическим данным.

Такой документ, в частности, получила участница нашей группы «Красный уголок бухгалтера» на Фейсбуке.

1

В документе бухгалтера удивило многое:

Во-первых, требование адресовано руководителю неизвестно какой организации, то есть  по сути – «на деревню дедушке».

Во-вторых, в середине 2020 года налоговики проверяют данные 2-НДФЛ за 2018 год.

В-третьих, налоговики требуют предоставить им копии паспортов работников. Между тем некоторые из них могут быть давно уволены, а хранение копий паспортов не вписывается в нормы закона о защите персональных данных.

Участники обсуждения отмечают, что такое безымянное требование нужно просто игнорировать.

Обычно коллеги получают нечто подобное, но адресованное конкретной компании и с приложением таблицы с несоответствиями.

Как-то на «Клерке» писали, что налоговики якобы сливают персональные данные заявителей на регистрацию компаний банкам. Правда или нет, но люди жалуются.

И вот снова жалоба в «Красном уголке бухгалтера»:

«Подала документы на регистрацию ООО. Прошло 3 дня, налоговая мне ещё не сообщила об открытии, но звонки из банков в количестве 27 штук начались в пятницу вечером! То что я нахожусь во Владивостоке никого не интересовало! Можно и ночью звонить! Дело не в этом, а в том что на меня зарегистрировано три телефона, а звонили только по тому который я указала в заявлении! На мой звонок по единому номеру в ИФНС и вопрос кто слил мои персональные данные, оператор завис и через 5 минут она мне сообщила что у них нет таких данных! Разбираться с этим они не намерены! Телефон звонит всю пятницу, субботу и понедельник! Что делать, не знаю!».

Понятно, что могло быть совпадением, но если человек номер больше нигде не оставлял — на совпадение не похоже.

А вот что пишут в комментариях:

«Они всегда сливают сведения по вновь зарегистрированным ЮЛ и ИП».

Ну, прям так уж категорично, наверное, не стоит. Но слухами земля полнится.,

«Такая же история. И потом этот телефон появился во всех базах Спарка и в интернете. Уже несколько лет так живу. Поставила #whocalls, чтобы видеть, кто из массового обзвона звонит. Когда звоню в Контур, мне говорят что я из фирмы, в которой несколько лет не работаю (телефон, да)».

А вот еще:

«Это известная вещь. Из налоговой сливают номера и первые три дня, как минимум просто ад. Надо быть готовым к этому. Действительно может стоит давать номер, который можете смело отключить на несколько дней».

Кто-то даже провели эксперимент:

«Я пыталась разобраться с налоговой в этом вопросе и не раз, мне отвечали что налоговая ничего не сливает, решила им доказать, новый клиент, регистрирую ООО, указываю номер новый, даже симку приобрела для этого, когда начались звонки встретилась с налоговой, сами предложили написать заявление в уголовку, скорее всего это делает тот кто обслуживает общую базу налоговой и от этого нам никуда не деться, поэтому вежливо „посылаем в лес“».

Вот что советуют:

«Для регистрации надо оформлять новый номер и почту. Когда начинаются звонки, то предлагаете каждому банку прислать персональное пердложение с указанием этого номера. После собираете все это в кучу и пишите в прокуратуру заяву-жалобу на ФНС на нарушение 152-ФЗ, с приложением предложений и заявления о регистрации компании с датой. И том, что фирмы еще нет, и не факт, что будет, а счета уже почти есть. Потом и ФНС с вами по другому общается и банки тоже. Действует, как ушат холодной воды на них».

Правда, вообще не факт, что все это делает кто-то из налоговиков. И вот почему:

«Кроме этого, налоговая при регистрации исполняет функцию „одно окно“. То есть, регистрирует ООО или ИП, и отправляет сразу, и в ПФ, и в ФОМС, и в ФСС, и в Фонд занятости, и в Росстат, данные заявления о регистрации. Где утечка может быть, вариантов много. И не факт, что из налоговой. В не которых из перечисленных служб, нет служб информационной безопасности, от слова — совсем».

Подытожим:

«Все давно знают, что в данной форме (Р11001) не следует указывать свой личный телефон. Для этих целей вполне подойдет иная симка либо номер коммутатора».

Вот и лайфхак — регистрируете фирму или ИП, купите новую симку, и ее номер укажите в форме для регистрации. Чтобы потом не доставали звонками.