#ркн #hotquestions
Публикую ответы РКН на вопросы:
1. Организация, обрабатывающая ПДн по поручению, должна ли подавать уведомление?
Ответ: требования по предоставлению уведомления применяются равнозначно ко всем: и к операторам, и к обработчикам с учетом исключений, определенных в статье 22.
Например: оператор передает ПДн своих работников для последующей обработки третьему лицу по поручению. Такое третье лицо не попадает под исключение, так как осуществляет обработку ПДн для достижения бизнес-выгоды и обязано подать уведомление в РКН.
2. Что отнести к ПДн
Ответ:
- Электронная почта без дополнительной информации является особенным идентификатором пользователя и относится к ПДн.
- номер мобильного телефона, должность и адрес корпоративной электронной почты в совокупности являются ПДн.
- номер мобильного телефона не является ПДн и относится к устройству.
- номер транспортного средства не является ПДн и относится к транспортному средству.
- номер лицевого счета в платежном поручению не является ПДн.
- информация о судимости в формате (да/нет) без дополнительного указания статьи не относится к специальным категориям ПДн.
- сведения об инвалидности с указанием группы к специальным категориям ПДн относятся.
- код болезни к специальным категориям ПДн не относится.
3. Нужно ли указывать всех третьих лиц, которым передаются ПДн в согласии/положении
Ответ: Прописывать привлекаемое к обработке третье лицо или третье лицо, которому передаются ПДн, необходимо в согласии, если это требуется законодательством, к примеру в рамках трудовых отношений. Нужно исходить из категорий субъектов ПДн.
4. Регламентирован ли порядок отзыва согласия на обработку Пдн.
Ответ: Порядок отзыва согласия определяется оператором самостоятельно. Но в рамках цифровой экономики разрабатываются проекты документов по процедуре отзыва, к примеру: согласие должно отзываться только в той форме и каналу, в котором было предоставлено.
5. Доменом владеет одно юридическое лицо, а использует веб-сайт несколько организаций. Как регламентировать обработку ПДн?
Ответ: Если другая организация выполняет функционал, не пересекающийся с функционалом первой организации, то в документах можно прописать информацию о передаче ПДн третьему лицу без уточнения третьего лица.
6. Может ли компания передавать ПДн своим партнерам?
Ответ: В согласии на участие в бонусной программе следует указать партнеров. При этом цели обработки ПДн партнерами не должны отличаться от целей сбора ПДн.
7. Если субъект разместил ПДн в социальных сетях, можно ли такие ПДн использовать свободно?
Ответ: Нет, данные не становятся при этом общедоступными, обрабатываются по пользовательскому соглашегию.
8. Сведение собираемые с использованием метрических программ относятся ли к ПДн?
Ответ: Да
Но в настоящий момент на площадке цифровой экономики идет работа по разработке понятия пользовательских данных.
9. Куки-файлы и результаты хэширования информации - не являются обезличенными ПДн.
10. Являются ли сведения, содержащиеся в сертификате ЭП, общедоступными?
Ответ: нет.
Сведения из реестра сертификатов ЭП относятся к общедоступными, а сведения из самого сертификата общедоступными не являются.
11.Можно ли в одной форме письменного согласия указать много разных целей, напротив которых субъект может оставить свою роспись.
Ответ: подобная форма в контексте действующего законодательства является нежизнеспособной. Разные записи на одном материальном носителе не относятся к разным согласиям.
Но в настоящий момент идет проработка требований к согласиям - в одном согласии можно будет указывать несколько целей.
12.Передача ПДн иностранному посольству, расположенному на территории РФ, относится к трансграничной передаче ПДн.
Передача ПДн в посольство РФ, расположенное за пределами РФ, также относится к трансграничной передаче ПДн.
Планируется изменить понятие трансграничной передачи.
13.
Публикую ответы РКН на вопросы:
1. Организация, обрабатывающая ПДн по поручению, должна ли подавать уведомление?
Ответ: требования по предоставлению уведомления применяются равнозначно ко всем: и к операторам, и к обработчикам с учетом исключений, определенных в статье 22.
Например: оператор передает ПДн своих работников для последующей обработки третьему лицу по поручению. Такое третье лицо не попадает под исключение, так как осуществляет обработку ПДн для достижения бизнес-выгоды и обязано подать уведомление в РКН.
2. Что отнести к ПДн
Ответ:
- Электронная почта без дополнительной информации является особенным идентификатором пользователя и относится к ПДн.
- номер мобильного телефона, должность и адрес корпоративной электронной почты в совокупности являются ПДн.
- номер мобильного телефона не является ПДн и относится к устройству.
- номер транспортного средства не является ПДн и относится к транспортному средству.
- номер лицевого счета в платежном поручению не является ПДн.
- информация о судимости в формате (да/нет) без дополнительного указания статьи не относится к специальным категориям ПДн.
- сведения об инвалидности с указанием группы к специальным категориям ПДн относятся.
- код болезни к специальным категориям ПДн не относится.
3. Нужно ли указывать всех третьих лиц, которым передаются ПДн в согласии/положении
Ответ: Прописывать привлекаемое к обработке третье лицо или третье лицо, которому передаются ПДн, необходимо в согласии, если это требуется законодательством, к примеру в рамках трудовых отношений. Нужно исходить из категорий субъектов ПДн.
4. Регламентирован ли порядок отзыва согласия на обработку Пдн.
Ответ: Порядок отзыва согласия определяется оператором самостоятельно. Но в рамках цифровой экономики разрабатываются проекты документов по процедуре отзыва, к примеру: согласие должно отзываться только в той форме и каналу, в котором было предоставлено.
5. Доменом владеет одно юридическое лицо, а использует веб-сайт несколько организаций. Как регламентировать обработку ПДн?
Ответ: Если другая организация выполняет функционал, не пересекающийся с функционалом первой организации, то в документах можно прописать информацию о передаче ПДн третьему лицу без уточнения третьего лица.
6. Может ли компания передавать ПДн своим партнерам?
Ответ: В согласии на участие в бонусной программе следует указать партнеров. При этом цели обработки ПДн партнерами не должны отличаться от целей сбора ПДн.
7. Если субъект разместил ПДн в социальных сетях, можно ли такие ПДн использовать свободно?
Ответ: Нет, данные не становятся при этом общедоступными, обрабатываются по пользовательскому соглашегию.
8. Сведение собираемые с использованием метрических программ относятся ли к ПДн?
Ответ: Да
Но в настоящий момент на площадке цифровой экономики идет работа по разработке понятия пользовательских данных.
9. Куки-файлы и результаты хэширования информации - не являются обезличенными ПДн.
10. Являются ли сведения, содержащиеся в сертификате ЭП, общедоступными?
Ответ: нет.
Сведения из реестра сертификатов ЭП относятся к общедоступными, а сведения из самого сертификата общедоступными не являются.
11.Можно ли в одной форме письменного согласия указать много разных целей, напротив которых субъект может оставить свою роспись.
Ответ: подобная форма в контексте действующего законодательства является нежизнеспособной. Разные записи на одном материальном носителе не относятся к разным согласиям.
Но в настоящий момент идет проработка требований к согласиям - в одном согласии можно будет указывать несколько целей.
12.Передача ПДн иностранному посольству, расположенному на территории РФ, относится к трансграничной передаче ПДн.
Передача ПДн в посольство РФ, расположенное за пределами РФ, также относится к трансграничной передаче ПДн.
Планируется изменить понятие трансграничной передачи.
13.
#ркн #hotquestions
РКН проверяют операторов, а также обработчиков ПДн и в том числе лиц, отсутствующих в реестре операторов ПДн.
14.Согласие, подписанное простой ЭП, при наличии договора между сторонами на признание простой ЭП аналогом собственноручной подписи, равнозначно письменному согласию.
15.Передача визитки является конклюдентным действием, на обработку ПДн, указанных в визитке, согласие не требуется. При этом передавать эти данные третьим лицам без правовых оснований запрещено.
16.Системы, осуществляющие аутентификацию по отпечатку пальцев, относятся к системам, обрабатывающим биометрические данные.
РКН проверяют операторов, а также обработчиков ПДн и в том числе лиц, отсутствующих в реестре операторов ПДн.
14.Согласие, подписанное простой ЭП, при наличии договора между сторонами на признание простой ЭП аналогом собственноручной подписи, равнозначно письменному согласию.
15.Передача визитки является конклюдентным действием, на обработку ПДн, указанных в визитке, согласие не требуется. При этом передавать эти данные третьим лицам без правовых оснований запрещено.
16.Системы, осуществляющие аутентификацию по отпечатку пальцев, относятся к системам, обрабатывающим биометрические данные.
#DPIA #gdpr #edpb
EDPB утвердил 28 заключений по перечням процессов, для которых надо и не надо проводить DPIA. Сами перечни можете найти на сайтах регуляторов из ЕС по странам, заключения - на сайте EDPB. https://twitter.com/eu_edpb/status/1089866581801345029?s=21
EDPB утвердил 28 заключений по перечням процессов, для которых надо и не надо проводить DPIA. Сами перечни можете найти на сайтах регуляторов из ЕС по странам, заключения - на сайте EDPB. https://twitter.com/eu_edpb/status/1089866581801345029?s=21
Twitter
EDPB
In 2018, the EDPB initiated its largest consistency exercise so far! Since then 28 opinions on DPIA lists have been adopted. These lists will contribute to establishing common criteria for DPIA lists across the EEA. #DataProtectionDay
#news #gdpr
Связной, Моби.Деньги, Евросеть, ВТБ и Мультикарта (если получаете доступ к ПДн по новому процессу), скажите привет GDPR:): услугой могут воспользоваться иностранцы, банки-эмитенты из ЕС, перевод осуществляется по номеру банковской карты и ФИО получателя; при первом обращении клиенту потребуется пройти процедуру идентификации.
http://m.cnews.ru/news/line/2019-01-29_svyaznoj_evroset_i_vtb_zapustili_servis_po
Связной, Моби.Деньги, Евросеть, ВТБ и Мультикарта (если получаете доступ к ПДн по новому процессу), скажите привет GDPR:): услугой могут воспользоваться иностранцы, банки-эмитенты из ЕС, перевод осуществляется по номеру банковской карты и ФИО получателя; при первом обращении клиенту потребуется пройти процедуру идентификации.
http://m.cnews.ru/news/line/2019-01-29_svyaznoj_evroset_i_vtb_zapustili_servis_po
CNews.ru
«Связной | Евросеть» и ВТБ запустили сервис по пополнению карт иностранных банков наличными
Услуга уже доступна во всех торговых точках ритейлера на территории России
#непроprivacy #inspirations
https://vc.ru/story/55539-my-predelno-sfokusirovany-ni-pro-kakie-zapadnye-rynki-ne-dumaem-intervyu-s-olegom-tinkovym
https://vc.ru/story/55539-my-predelno-sfokusirovany-ni-pro-kakie-zapadnye-rynki-ne-dumaem-intervyu-s-olegom-tinkovym
vc.ru
«Мы предельно сфокусированы, ни про какие западные рынки не думаем»: интервью с Олегом Тиньковым
Разговор предпринимателя и vc.ru был записан 25 декабря, в день рождения Олега Тинькова. Ему исполнился 51 год.
#152фз #локализация
Зарубежные компании начали закупать в России облачные услуги для соответствия требованиям 152-ФЗ
https://www.rbc.ru/technology_and_media/30/01/2019/5c5042d69a7947891969615e
Зарубежные компании начали закупать в России облачные услуги для соответствия требованиям 152-ФЗ
https://www.rbc.ru/technology_and_media/30/01/2019/5c5042d69a7947891969615e
#news #edps
Опубликована газета EDPS за январь. Рассмотрены в том числе следующие темы: кейс по joint controllers, взаимодействие с национальными регуляторами, обработка данных в рамках мониторинга социальных сетей, биометрические ID карты
https://edps.europa.eu/press-publications/publications/newsletters/newsletter-66_en
Опубликована газета EDPS за январь. Рассмотрены в том числе следующие темы: кейс по joint controllers, взаимодействие с национальными регуляторами, обработка данных в рамках мониторинга социальных сетей, биометрические ID карты
https://edps.europa.eu/press-publications/publications/newsletters/newsletter-66_en
European Data Protection Supervisor - European Commission
Newsletter - European Data Protection Supervisor - European Commission
#practice #edps
Мониторинг данных, опубликованных в социальных сетях, форумах и блогах, с использованием программного обеспечения.
Кейс: организация (ЦБ ЕС) привлекает подрядчика для сбора отзывов и комментариев в сети о работе организации с целью проведения последующего анализа эффективности работы организации и отношения пользователей к услугам организации.
Примечание: EDPS проверил соответствие организации требованиям Регламента 45/2001, основные положения которого аналогичны гдпр.
Организация указала следующую информацию на своём сайте: «Мы осуществляем мониторинг активности пользователей в сети по темам, связанным с нашими задачами в сети и нашими каналами в сети. Мы можем собирать ПДн пользователей, если пользователи комментируют темы, связанные с нами. Мы собираем только те ПДн, доступ к которым пользователь не ограничил для широкого круга лиц»
Рекомендации EDPS:
- Собираемые данные необходимо удалять после проведения анализа.
- Обеспечить наличие правового основания для обработки ПДн. Подход аналогичен РКН: цель обработки ПДн пользователя социальных сетей третьим лицом может отличаться от первоначальной цели публикации пользователем своих ПДн в сети.
- Организация должна в рамках договора с подрядчиком определить ответственность подрядчика за минимизацию и за точность ПДн, а также за нарушение принципов конфиденциальности (в данном случае собираются данные только публичных персон)
- Заключить с подрядчиком поручение на обработку ПДн (договор с учётом требований к обработчикам)
- Обеспечить права пользователей на доступ и исправление их ПДн
- Организации следует опубликовать положение о конфиденциальности (Privacy Notice), учитывающее указанный процесс обработки ПДн с описанием: роли организации и подрядчика, прав пользователей, периода хранения ПДн
- Организация должна быть уверена в том, что подрядчик внедрил меры защиты данных с учётом рисков
https://edps.europa.eu/sites/edp/files/publication/18-03-21_opinion_2017-1052_social_media_ecb_en.pdf
Мониторинг данных, опубликованных в социальных сетях, форумах и блогах, с использованием программного обеспечения.
Кейс: организация (ЦБ ЕС) привлекает подрядчика для сбора отзывов и комментариев в сети о работе организации с целью проведения последующего анализа эффективности работы организации и отношения пользователей к услугам организации.
Примечание: EDPS проверил соответствие организации требованиям Регламента 45/2001, основные положения которого аналогичны гдпр.
Организация указала следующую информацию на своём сайте: «Мы осуществляем мониторинг активности пользователей в сети по темам, связанным с нашими задачами в сети и нашими каналами в сети. Мы можем собирать ПДн пользователей, если пользователи комментируют темы, связанные с нами. Мы собираем только те ПДн, доступ к которым пользователь не ограничил для широкого круга лиц»
Рекомендации EDPS:
- Собираемые данные необходимо удалять после проведения анализа.
- Обеспечить наличие правового основания для обработки ПДн. Подход аналогичен РКН: цель обработки ПДн пользователя социальных сетей третьим лицом может отличаться от первоначальной цели публикации пользователем своих ПДн в сети.
- Организация должна в рамках договора с подрядчиком определить ответственность подрядчика за минимизацию и за точность ПДн, а также за нарушение принципов конфиденциальности (в данном случае собираются данные только публичных персон)
- Заключить с подрядчиком поручение на обработку ПДн (договор с учётом требований к обработчикам)
- Обеспечить права пользователей на доступ и исправление их ПДн
- Организации следует опубликовать положение о конфиденциальности (Privacy Notice), учитывающее указанный процесс обработки ПДн с описанием: роли организации и подрядчика, прав пользователей, периода хранения ПДн
- Организация должна быть уверена в том, что подрядчик внедрил меры защиты данных с учётом рисков
https://edps.europa.eu/sites/edp/files/publication/18-03-21_opinion_2017-1052_social_media_ecb_en.pdf
#news
Отозваны и восстановлены корпоративные сертификаты у Google https://www.theverge.com/2019/1/31/18205795/apple-google-blocked-internal-ios-apps-developer-certificate и у Facebook за сервис «плачу за ваши данные» https://arstechnica.com/tech-policy/2019/01/apple-facebook-spat-is-over-for-now-ios-certificate-access-restored/
Отозваны и восстановлены корпоративные сертификаты у Google https://www.theverge.com/2019/1/31/18205795/apple-google-blocked-internal-ios-apps-developer-certificate и у Facebook за сервис «плачу за ваши данные» https://arstechnica.com/tech-policy/2019/01/apple-facebook-spat-is-over-for-now-ios-certificate-access-restored/
The Verge
Apple blocks Google from running its internal iOS apps
Google joins Facebook in Apple’s banning spree
#statistics
По данным опроса ВЦИОМ
62% россиян являются пользователями соц сетей, а 82% молодежи (18-24 года) пользуются соц сетями ежедневно
47% пользователей размещают информацию о себе в сети
55% считают, что их информация используется третьими лицами, при этом 52% опрошенных не видят в этом угрозы
https://wciom.ru/index.php?id=236&uid=9401
По данным опроса ВЦИОМ
62% россиян являются пользователями соц сетей, а 82% молодежи (18-24 года) пользуются соц сетями ежедневно
47% пользователей размещают информацию о себе в сети
55% считают, что их информация используется третьими лицами, при этом 52% опрошенных не видят в этом угрозы
https://wciom.ru/index.php?id=236&uid=9401