Telegram Group & Telegram Channel
Telegram Group » United States » DPO отвечает » Telegram Webview » Post 11
DPO отвечает
✏️ Кейс: удалить не значит уничтожить

Сегодня разбираем достаточно свежее решение суда (декабрь 2023 года), которое напоминает нам о последствиях поручения обработки третьему лицу, сроках реагирования на запросы субъектов, а также о том, как важно понимать различия между уничтожением и удалением.

Обстоятельства дела:

Собственница земельного участка в СНТ «Барсуки» обратилась к председателю СНТ с требованием уничтожить её персональные данные. Она указала, что её ФИО, номер участка и домашний адрес были переданы в ООО «СНТклуб» для бухгалтерского обслуживания без её письменного согласия.

СНТ уведомило ООО о том, что данные собственницы необходимо уничтожить, и ООО подтвердило, что выполнило это. Однако позднее собственница получила на свою электронную почту квитанцию от бухгалтера ООО об оплате за очередной месяц со своими персональными данными.

После этого собственница обратилась с жалобой в Управление Роскомнадзора указав, что несмотря на ее требование, ее персональные данные не были уничтожены. При рассмотрении жалобы Управление запросило у ООО пояснения о том, почему данные не были уничтожены. ООО пояснило, что данные были ошибочно восстановлены из резервной копии базы данных 1С, что привело к их повторному использованию.

Что решил суд:

Суд привлек СНТ к административной ответственности по ч. 5 ст. 13.11 КоАП РФ за несвоевременное выполнение требования субъекта об уничтожении персональных данных. Поскольку СНТ поручило обработку персональных данных ООО, именно СНТ несет ответственность перед собственницей за действия ООО (с учетом ч. 5 ст. 6 Закона о персональных данных).

Суд назначил СНТ наказание в виде предупреждения, поскольку учёл смягчающие обстоятельства (совершение правонарушения впервые, отсутствие вреда и имущественное положение СНТ как некоммерческой организации, которая существует только за счёт членских взносов).

О каких нюансах регулирования нам напоминает это решение:

⚫️Необходимо отличать уничтожение и удаление персональных данных. В судебном решении эти слова используются практически как синонимы, но такой подход некорректен. Напомним, что легальное определение уничтожения предполагает невозможность восстановить персональные данные. Соответственно, при уничтожении персональных данных, их необходимо уничтожать как в основной базе данных, так и в ее резервных копиях.

⚫️Оператор несёт ответственность за обработчика, в том числе в части обеспечения сроков и полноты уничтожения персональных данных. Поэтому при поручении обработки персональных данных важно уделять особое внимание процедуре контроля за прекращением обработки персональных данных обработчиком.

⚫️Для поручения обработки персональных данных третьему лицу оператор должен иметь надлежащее правовое основание. Суд не прокомментировал этот момент прямо, но представитель Роскомнадзора выразил позицию о том, что основанием передачи данных для обработки по поручению могут быть только согласие или прямое указание закона, которых в данном случае не было (между тем, по вопросу о допустимых основаниях поручения обработки есть и другая позиция).
Please open Telegram to view this post
VIEW IN TELEGRAM
www.group-telegram.com/us/privacy_tech.com/11
1.1K views



group-telegram.com/privacy_tech/11
Create:
Last Update:

✏️ Кейс: удалить не значит уничтожить

Сегодня разбираем достаточно свежее решение суда (декабрь 2023 года), которое напоминает нам о последствиях поручения обработки третьему лицу, сроках реагирования на запросы субъектов, а также о том, как важно понимать различия между уничтожением и удалением.

Обстоятельства дела:

Собственница земельного участка в СНТ «Барсуки» обратилась к председателю СНТ с требованием уничтожить её персональные данные. Она указала, что её ФИО, номер участка и домашний адрес были переданы в ООО «СНТклуб» для бухгалтерского обслуживания без её письменного согласия.

СНТ уведомило ООО о том, что данные собственницы необходимо уничтожить, и ООО подтвердило, что выполнило это. Однако позднее собственница получила на свою электронную почту квитанцию от бухгалтера ООО об оплате за очередной месяц со своими персональными данными.

После этого собственница обратилась с жалобой в Управление Роскомнадзора указав, что несмотря на ее требование, ее персональные данные не были уничтожены. При рассмотрении жалобы Управление запросило у ООО пояснения о том, почему данные не были уничтожены. ООО пояснило, что данные были ошибочно восстановлены из резервной копии базы данных 1С, что привело к их повторному использованию.

Что решил суд:

Суд привлек СНТ к административной ответственности по ч. 5 ст. 13.11 КоАП РФ за несвоевременное выполнение требования субъекта об уничтожении персональных данных. Поскольку СНТ поручило обработку персональных данных ООО, именно СНТ несет ответственность перед собственницей за действия ООО (с учетом ч. 5 ст. 6 Закона о персональных данных).

Суд назначил СНТ наказание в виде предупреждения, поскольку учёл смягчающие обстоятельства (совершение правонарушения впервые, отсутствие вреда и имущественное положение СНТ как некоммерческой организации, которая существует только за счёт членских взносов).

О каких нюансах регулирования нам напоминает это решение:

⚫️Необходимо отличать уничтожение и удаление персональных данных. В судебном решении эти слова используются практически как синонимы, но такой подход некорректен. Напомним, что легальное определение уничтожения предполагает невозможность восстановить персональные данные. Соответственно, при уничтожении персональных данных, их необходимо уничтожать как в основной базе данных, так и в ее резервных копиях.

⚫️Оператор несёт ответственность за обработчика, в том числе в части обеспечения сроков и полноты уничтожения персональных данных. Поэтому при поручении обработки персональных данных важно уделять особое внимание процедуре контроля за прекращением обработки персональных данных обработчиком.

⚫️Для поручения обработки персональных данных третьему лицу оператор должен иметь надлежащее правовое основание. Суд не прокомментировал этот момент прямо, но представитель Роскомнадзора выразил позицию о том, что основанием передачи данных для обработки по поручению могут быть только согласие или прямое указание закона, которых в данном случае не было (между тем, по вопросу о допустимых основаниях поручения обработки есть и другая позиция).

BY DPO отвечает


Warning: Undefined variable $i in /var/www/group-telegram/post.php on line 260

Share with your friend now:
group-telegram.com/privacy_tech/11

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

Although some channels have been removed, the curation process is considered opaque and insufficient by analysts. But the Ukraine Crisis Media Center's Tsekhanovska points out that communications are often down in zones most affected by the war, making this sort of cross-referencing a luxury many cannot afford. "Someone posing as a Ukrainian citizen just joins the chat and starts spreading misinformation, or gathers data, like the location of shelters," Tsekhanovska said, noting how false messages have urged Ukrainians to turn off their phones at a specific time of night, citing cybersafety. Such instructions could actually endanger people — citizens receive air strike warnings via smartphone alerts. The last couple days have exemplified that uncertainty. On Thursday, news emerged that talks in Turkey between the Russia and Ukraine yielded no positive result. But on Friday, Reuters reported that Russian President Vladimir Putin said there had been some “positive shifts” in talks between the two sides.
from us


✏️ Кейс: удалить не значит уничтожить

 DPO отвечает TG
Webview: 11
DPO отвечает.Telegram Webview
DPO отвечает Telegram TG Channel
Telegram Updated:
Telegram DPO отвечает
FROM American