В связи с изданным мэром Москвы на прошлой неделе указом об установлении в Москве специального режима и обязании организаций измерять работникам температуру и контролировать их состояние здоровья Роскомнадзор выпустил разъяснения. Издание данного документа обусловлено тем фактом, что собираемая информация о здоровье работника относится к персональным данным о сотруднике. Трудовым законодательством разрешено собирать сведения о здоровье работника в случаях, когда данная информация позволяет определить возможность выполнения сотрудником своих обязанностей. Поэтому данные о температуре тела работника можно собирать без получения от работника специального разрешения. Предприятиям рекомендуется информировать всех сотрудников и посетителей о производимых манипуляциях для выявления заболевших. Это можно сделать, повесив соответствующее объявление. Посетители, которые не трудятся в организации, также должны проходить процедуру измерения температуры, и их согласие на это презюмируется. Роскомнадзор рекомендовал уничтожать информацию, полученную в результате измерений, на следующие сутки.
«В связи с тем, что информация о здоровье работников может быть собрана только в определенных законом случаях и относится к специальному виду персональных данных, изданные разъяснения поспособствуют соблюдению законодательства в данной сфере», - считает юрист GSL Law & Consulting Ирина Великанова.
Операторы связи должны предоставлять налоговикам необходимую информацию о своих абонентах
В деле "Билайн" об отмене штрафа, полученного от налоговой инспекции за непредоставление расшифровки звонков по абоненту, суд встал на сторону налоговых органов.
Позавчера московский арбитражный суд рассмотрел дело компании "Билайн", которая обратилась с просьбой отменить штраф, полученный от налоговой инспекции за непредоставление расшифровки звонков по абоненту. Оператор объяснил свою позицию тем, что, согласно Конституции, телефонные переговоры являются тайной. И даже если они и обязаны предоставить такую информацию, то только по решению суда, которого у налоговиков не было.
Суд встал на сторону налоговых органов. Мотивировочная часть решения суда пока не опубликована. Аналогичные претензии от налоговиков получили "МТС" и "Мегафон". Операторы ходатайствовали об объединении их дел, но также получили отказ.
Интересно, что ранее налоговые органы уже судились с операторами связи, но суды всегда поддерживали тайну телефонных переговоров. Причем указывалось, что тайной являются не только номера абонентов и суть их переговоров, но и сведения о самих телефонных соединениях: дата, время соединения и время разговора, а значит для получения такой информации необходимо постановление суда.
Google получает данные о состоянии здоровья – и это выглядит полностью законным
Информационно-технологические гиганты могут получить доступ к персональным данным о здоровье согласно законам о защите мед. данных; вопрос в том, для чего еще может быть использована эта информация.
На прошлой неделе, после того как Google выкупила компанию Fitbit – крупнейшего производителя фитнес-трекеров за 2,1 млрд. долларов, шли споры о том, что компания будет делать со всеми этими «браслетными» данными. Alphabet, материнский холдинг компании Google, наряду с другими гигантами, такими как Apple и Facebook, ведут агрессивную охоту за данными о состоянии здоровья. Но, оказывается, есть более дешевый способ получения к ним доступа – объединиться с поставщиками услуг здравоохранения.
Газета The Wall Street Journal сообщила подробности проекта «Соловей» – малоприметного партнерства Google с Ascension – второй по величине национальной системой здравоохранения. Проект, который, якобы, был начат в прошлом году, включает обмен персональными данными о состоянии здоровья десятков миллионов ничего не подозревающих пациентов. Основная масса работы осуществлялась подразделением Google Cloud, которое разрабатывало сервисы с использованием искусственного интеллекта для поставщиков медицинских услуг.
По словам компании Google, она выступала деловым партнером Ascension в рамках сделки, которая может предоставить ей доступ к идентифицируемой информации о состоянии здоровья, но с конкретными юридическими ограничениями. Согласно Закону об ответственности и переносе данных о страховании здоровья граждан (HIPAA) медицинские записи и прочие данные о пациенте могут использоваться «исключительно для помощи организациям, к которым применяется Закон HIPAA, в исполнении их функций по здравоохранению». Главным аспектом работы являлась разработка для системы Ascension платформы здравоохранения, которая может предложить индивидуализированные планы лечения, анализы и прочие процедуры.
Издание The Journal сообщает, что Google проводит свою
работу бесплатно с намерением протестировать платформу, которая может быть
продана другим поставщикам услуг здравоохранения и якобы «наполняться знаниями»
на основе их соответствующих данных. Другими сотрудниками Google, которые,
наряду с командой Cloud, имеют доступ к таким данным, являются участники
проекта Google Brain, ориентированного на применение искусственного интеллекта.
Поставщики услуг здравоохранения видят перспективы в «раскопке
клада данных» для выработки более индивидуализированного подхода к лечению. Идея
состоит в разработке принципов для более эффективного определения состояния
здоровья до того, как симптомы пациента могут представлять угрозу, или
предписания пациенту лечения, которое с максимальной степенью вероятности
поможет ему.
По своему масштабу последние задумки Google, кажется, не имеют аналогов, равно как и по объему информации. Однако это было предсказуемо. Как отметил Эрик Тополь, профессор научно-исследовательского института Scripps Research, уделяющий особое внимание медицине с индивидуальным подходом, «Слияние информационно-технологических компаний, занимающихся разработками в области искусственного интеллекта, с крупными системами здравоохранения было неизбежным».
Законно? Да. Пугает? Да, немного. Удивляет? В наше время, пожалуй, уже не должно.
На своей международной конференции «Защита персональных данных», которая ежегодно проводится в городе Москве, Роскомнадзор выступил с предложениями по усилению ответственности за незаконное использование и распространение персональных данных. В частности, предлагается расширить список нарушений в этой области, за которые предусмотрены штрафы.
На конференцию приглашены представители кадровых и юридических подразделений предприятий различных сфер бизнеса: образовательных учреждений; предприятий нефтегазового, энергетического и промышленного комплексов; транспортных компаний; туристических компаний.
Планируется, что в ходе конференции будут обсуждаться выдвинутые предложения, анализироваться международный опыт и будут приняты новые действенные меры по обеспечению информационной безопасности. К решению этой проблемы могут привлечь не только банки, но и другие кредитно-финансовые структуры.
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). То есть они позволяют идентифицировать физическое лицо.
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», персональные данные - это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). То есть они позволяют идентифицировать физическое лицо.
Защита персональных данных: электронный адрес
К таким данным может относиться и адрес электронной почты, если он полностью не обезличен, а содержит в себе дополнительную информацию.
Так, электронный адрес компании-клиента – info.company@company.ru – не относится к персональным данным, поскольку реквизиты юридического лица, в том числе и электронный адрес, не являются персональными данными.
Что касается электронного адреса сотрудника компании, размещенного на сайте компании – a.petrov@company.ru - в данном случае следует принимать во внимание дополнительную информацию. Если кроме рабочего адреса электронной почты также публикуются какие-либо дополнительные сведения о работнике, например, фотография, ФИО, город проживания и/или другие данные, то для публикации его на сайте компании потребуется надлежащим образом оформленное письменное согласие на обработку. Однако, без дополнительных сведений адрес a.petrov@company.ru не следует относить к персональным данным.
Будет ли нарушением, если компания разместит на своем сайте личный адрес электронной почты сотрудника – petrov@mail.ru? В соответствии со статьей 7 ФЗ « О персональных данных» от 27 июля 2006 года № 152-ФЗ лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных. Адрес электронной почты работника относится к персональным данным, и потребуется обязательное согласие сотрудника на размещение этой информации на сайте. В случае отсутствия согласия, или оформления его ненадлежащим образом, компания будет оштрафована.
В случе, если компанию попросят предоставить адрес электронной почты сотрудника, то к персональным данным будет относиться не только личная электронная почта - petrov@mail.ru, а также и рабочая a.petrov@company.ru, так как она запрашивается по конкретному работнику, «определенному или определяемому физическому лицу (субъекту персональных данных)». А в случае, если передача адреса произойдет без надлежащим образом оформленного согласия, то это также будет являться нарушением.
Так, в частности, установлена административная ответственность за:
обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц - от 5000 рублей до 10000 рублей, на юридических лиц - от 30000 рублей до 50000 рублей);
обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработку персональных данных с нарушением установленных законодательством в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных;
невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных;
невыполнение оператором предусмотренной законодательством в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.
Составление протоколов по административным делам данной категории отнесено к компетенции должностных лиц Роскомнадзора (ранее дела данной категории возбуждались прокурором).
В прежней редакции статьи 13.11 КоАП РФ была установлена ответственность лишь за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), которая предусматривала предупреждение или наложение штрафа на граждан в размере от 300 рублей до 500 рублей, на должностных лиц - от 500 рублей до 1000 рублей, на юридических лиц - от 5000 рублей до 10000 рублей (Федеральный закон N 13-ФЗ от 7 февраля 2017 года).
Персональные данные россиян соберут на едином портале
Портал по контролю за распространением персональных данных создадут в России. Сейчас его создание обсуждается на рабочей группе в администрации президента, которую возглавляет советник президента России Игорь Щеголев. Информацию подтвердил президент Фонда информационной демократии Илья Массух.
— Идея в том, чтобы люди имели возможность посмотреть, кому и для чего они дали разрешения обрабатывать свои личные персональные данные, — рассказал Илья Массух.
Проблема, которую должен решить такой ресурс, заключается в том, что сейчас даже при входе в бизнес-центр охранник или вахтер требуют паспорт у посетителя и вносят его данные в свою внутреннюю документацию.