#PrivacyNews

ЧАСТЬ 1

Неделя прошла - новостей принесла, check-up!

🔵Законодательное:

🔼Распоряжение Правительства РФ №1906р от 17.07.2023 - разработка системы обмена информацией (СОИ) со странами Центральной и Юго-Восточной Азии, Ближнего Востока, Африки и Латинской Америки для противодействия легализации незаконно полученных доходов;

🔼Совет Федерации одобрил пакет законов о внедрении цифрового рубля и проведении расчетов с ним на платформе Центробанка;

🔼Комитет Госдумы рекомендовал к принятию поправки к КоАП РФ, резко ужесточающие ответственность граждан за нарушения обязанностей воинского учета;

🔼Комитет Госдумы рекомендовал увеличить штрафы за незаконную обработку персональных данных (законопроект о штрафах за нарушения при использовании биометрических данных граждан);

🔼Приказ Минцифры России № 625 10 июля 2023: вывод из эксплуатации отдельных сервисов «Госуслуг», спроектированных без использования визуального конструктора услуг – low-code-инструмента.

🔵Нет времени объяснять! Смени пароль!

🔵Сервис проверки сведений об утерянных и недействительных паспортах, размещенный на сайте МВД России, удален из перечня источников информации кредитных и некредитных финансовых организаций по указанию Банка России.

🔵"Лилу Даллас… Мультипаспорт" - ГКУ «Инфогород» разработало приложение «Мой ID», в котором отображаются сведения из: российского и заграничного паспортов, СНИЛС, ИНН, полиса ОМС, водительского удостоверения и даже информация о домашнем животном.

🔵Инициативы:

🔽Внесены поправки к законам о порядке выезда и въезда в РФ и закон о гос тайне: что-то знаешь - отдыхаешь на курортах России. А еще доступ к гос тайне ужесточили;

🔽Новый нацпроект: объединение хайтек-проектов, выстраивание единого механизма создания и внедрения разработок;

🔽Минцифры готовит, ГИБДД одобряет, водитель заряжает телефон, чтобы пользоваться приложением «Госуслуги.Авто»;

🔽Минцифры хочет собирать обезличенные данные в своей информационной системе;

🔽Роскомнадзор предлагает ввести в готовящийся законопроект об оборотных штрафах за утечки персональных данных требование для компаний получать лицензию на обработку таких данных. Опровержение тоже есть;

🔽Заместитель председателя правительства России поручил Минэконмразвития организовать оперативный штаб по ИИ;

🔽Минцифры предлагает стимулировать внедрение ИИ госкомпаниями за счет включения таких проектов в стратегии цифровой трансформации;

🔽РКН поддерживает принятие законопроекта, направленного на правовое регулирование в сфере использования рекомендательных алгоритмов предоставления информации в интернете;

🔽Депутат Госдумы из фракции «Единая Россия» предлагает запретить рекламирование "обходных путей" в Интернете.

🔵А что там у "них"?!

🔼В Перу испытывают систему идентификации с помощью распознавания радужной оболочки глаза;

🔼Норвежские власти временно запретили Facebook и Instagram (запрещены в РФ; принадлежат корпорации Meta, которая признана в РФ экстремистской) отслеживать личные данные пользователей с целью настройки таргетированной рекламы;

🔼Ошибочка вышла: как письма армии США направляются правительству Мали из-за опечатки в доменном суффиксе;

🔼Правительство США запускает программу по маркировке смарт-техники. По задумке: потребители будут знать о мерах кибербезопасности;

🔼Правительство США подало в суд на нью-йоркскую компанию Fluent за то, что она использовала вводящую в заблуждение рекламу и веб-сайты, чтобы заставить людей предоставить личную информацию и дать согласие на получение телемаркетинговых звонков;

🔼Японская PPC выдала автомобилестроительной корпорации Toyota руководство по обработке персональных данных;

🔼Японское национальное полицейское агентство приняло решение о внедрении камер видеонаблюдения, оснащенных ИИ, для усиления мер безопасности в отношении VIP-персон;

🔼Apple предполагает закрытие FaceTime и iMessage в Великобритании в виду изменения законодательства.

📍Автор: Карина, @Ka_Rina7

#PrivacyNews

ЧАСТЬ 2

🔵Преступления и наказания:

🔽В Челябинске директор школы заплатит штраф за отправку письма с персональными данными ученика;

🔽В Самарской области врач-патологоанатом признан виновным по ст. 290 УК РФ (получение взятки) - передавал ПДн умерших в компании по организации ритуальных услуг;

🔽Начался суд над подростком из Lapsus$, который хакнул Revolut и Uber в сентябре 2022 года;

🔽Мэрия Оренбурга опубликовала в газете «Вечерний Оренбург» личные данные участников публичных слушаний генплана;

🔽ВС РФ принял решение по спору между Роскомнадзором и СК "Арсеналъ": адрес электронной почты - НЕ ПД хотя мы аж дважды ошиблись, готовя пост, согласие на распространение - частный случай согласия на обработку.

🔵Следствие вели с РКН (и не только):

🔼Немецкие СМИ сообщают о появлении файла с данными 5600 клиентов платформы VirusTotal, среди которых были сотрудники АНБ США, немецких разведывательных служб и крупных немецких компаний;

🔼РКН проверит информацию об утечке образовательной платформы «Российская электронная школа»;

🔼РКН проводит проверку в связи с информацией о возможной утечке
персональных данных клиентов лабораторной службы "Хеликс", компания уверяет, что утечки не было;

🔼Результаты проведенных во 2 квартале 2023 года мероприятий без взаимодействия с контролируемыми лицами Управлением РКН по Калининградской области;

🔼Результаты проведенного мероприятия без взаимодействия с контролируемым лицом в отношении ООО Управляющая компания «№1» Управлением РКН по Республике Башкортостан (спойлер: нарушения есть).

🔵Немного статистики - грустной и не очень:

🔽Опрос компании "РТК-Солар" показал: малое количество организаций волнуется по поводу угрозы штрафов от регуляторов;

🔽За шесть месяцев 2023 года произошло 60 крупных утечек данных, содержащих 188,7 млн клиентских записей (содержащих уникальные клиентские e-mail или телефоны);

🔽По данным аналитического исследования InfoWatch: в других странах существенно большая часть краж данных уходит от внимания общественности.

🔵Почитать:

🔽Риелторы стали всё чаще запрашивать у продавцов квартир их кредитную историю;

🔽А техника все наступает: эксперты предупреждают о тайном сборе и передаче данных от офисной техники. Домашние роутеры не отстают;

🔽Глава MI6 рассказал, как и для чего Китай собирает личные данные
граждан других стран.


📍Автор: @Ka_Rina7

#materials #iapp

PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности.

Часть 3: Privacy risk management

👁Фокус внимания: Только в 57% организационных повестках дня поднимаются вопросы по рискам приватности.

🔵Когда респондентов спросили о внедрении стандартизированных методологий для поддержки системы оценки рисков приватности, около 14% респондентов отметили, что они их не используют, в то время как еще 14% использует их только изредка.

🔧Способы решения: использование стандартизированных систем и
методологий.

1) ISO 31000: Risk management — Guidelines, предоставляет структуру и соответствующий набор принципов для управления рисками.

🔵В связи с возможными проблемами интеграции системы контроля рисков в сфере приватности в общую систему управления рисками, представленную стандартом, указанная раннее система ISO также может использоваться вместе с ISO/IEC 27557: Application of ISO 31000:2018.

🔵Стандарт ISO/IEC 27557 был разработан в качестве дополнительного руководства, призванного помочь интегрировать связанные с этим риски приватности в программу управления рисками организации.

2) The National Institute of Standards and Technology также разработал фреймворки, которые предлагают основанный на оценке рисков подход к разработке систем и сервисов.

🔵The NIST Risk Management Framework содержит семиступенчатый процесс, который может быть применен к любому типу технологической системы или сервиса, независимо от уровня организации, позволяя пользователям выбирать средства контроля информационной безопасности, соответствующие их программе управления рисками в организации.

🔵NIST фокусируется исключительно на выявлении рисков приватности и управлении ими для обеспечения совместимости с широким набором областей правового регулирования.

📍Автор: Илья, @levailya

#РКН

🔥Оставайся с нами на трансляции семинара РКН 27.07

🔵тезисы выступления
🔵UPD: транскрибация 28.07

📍Твои корреспонденты: Юрий, @indian_miracle и Крис!

#РКН

Татьяна Александровна Коваленко

🔵Действия при обработке персональных данных, собираемых посредством Google Analytics, = Трансграничная передача персональных данных. Следовательно, при использовании данного решения нужно подавать уведомление о намерении осуществлять трансграничную передачу персональных данных.

🔵В случае если филиал, расположенный на территории иностранного государства, не зарегистрирован на территории иностранного государства в качестве обособленного юридического лица, то при передаче персональных данных работников в указанный филиал требования ст. 12 Закона о персональных данных, в рассматриваемом случае, соблюдать не требуется

🔵В случае если субъект персональных данных самостоятельно передает свои персональные данные (например, оформляя заказ на иностранном интернет-магазине) трансграничной передачи не будет

🔵В случае отказа в предоставлении биометрических персональных данных / согласия на их обработку, оператор не вправе отказывать в предоставлении услуги / в обслуживании.
Оператор должен предоставить альтернативный способ получения услуги.

Исключением составляют случаи, в рамках которых предоставление биометрических персональных данных / согласия на обработку персональных данных является обязательным

📍Корреспондент: Юрий, @indian_miracle

#РКН

Пересказ закона

Анна Михайловна Кононенко

Политика обработки персональных данных

Положения п. 2 ч. 1 ст. 18.1 Закона о персональных данных должны быть учтены при разработке документа, определяющего политику оператора в отношении обработки персональных данных.

В документе, определяющем политику оператора в отношении обработки персональных данных, рекомендуется отражать следующее:

🔵Информация об операторе (наименование или Ф.И.О., ИНН), контактная информация;

🔵Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;

🔵Правовые основания обработки персональных данных;

🔵Перечень мер, принимаемых оператором и направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом о персональных данных;

🔵Информация о передаче оператором персональных данных третьим лицам с указанием правового основания, цели, состава передаваемых персональных данных (при осуществлении);

🔵Сведения об осуществлении трансграничной передачи персональных данных с указанием стран, на территорию которых передаются персональные данные (при осуществлении);

🔵Способы связи с оператором для реализации прав субъектов персональных данных (адрес электронной почты, почтовый адрес и т.д.).

📍Корреспондент: Юрий, @indian_miracle

#РКН

Ирина Семеновна Шишигина

🔵Если инцидент (утечка персональных данных) произошел на стороне подрядной организации (лица, осуществляющего обработку персональных данных по поручению оператора), направлять уведомление должен оператор

🔵Если в деятельности оператора не выявлены случаи, установленные приказом Роскомнадзора от 27.10.2022 № 178, в акте оценки вреда указывается вывод об отсутствии степени вреда.
Приказ Роскомнадзора от 27.10.2022 № 178 не затрагивает вопросы обеспечения безопасности персональных данных, установленные постановлением Правительства РФ от 01.11.2012 № 1119.

🔵Определение методики проведения оценки вреда / переодичности проведения оценки вреда / определение состава комиссии по оценке вреда / права подписи акта оценки вреда отнесено к исключительной компетенции оператора.

🔵Обезличивание персональных данных не приравнивается к уничтожению персональных данных.

📍Корреспондент: Юрий, @indian_miracle

#РКН

Юрий Евгеньевич Контемиров

🔵При указании в тексте согласия на обработку персональных данных сведений о передаче ПДн третьим лицам – нужно писать с какой целью передаются персональные данные указанным лицам

🔵На сегодняшний день не предусмотрена возможность указания нескольких операторов персональных данных в тексте согласия на обработку персональных данных

🔵В одном согласии возможно указывать и положения об обработке персональных данных в целях оказания услуг и положения об обработке куки файлов.
При этом нужно указывать цели обработки персональных данных.

🔵Общий корпоративный электронный адрес – не является персональными данными.
Корпоративный электронный адрес конкретного сотрудника – персональные данные.

🔵Одно и тоже лицо может быть ответственным и за обработку персональных данных и за обеспечение безопасности обрабатываемых данных.

🔵Сбор персональных данных членов семьи кандидата на трудоустройство (о близких родственниках) допустим в отсутствие согласия на обработку персональных данных родственника, если объем собираемых сведений о родственнике не превышает установленный карточкой Т-2.

🔵При оказании услуг по предоставлению облачной инфраструктуры – нужно предоставлять поручение на обработку персональных данных.

🔵И провайдер и лицо, размещающее свои данные (даже если провайдер не имеет доступ к размещаемым данным), – оба операторы.

🔵Если компания находится в одной стране, а используемые сервера на территории иной страны, в этом случае в уведомлении о намерении осуществлять трансграничную передачу персональных данных рекомендуется указывать обе страны.

Если установить местонахождение технических мощностей невозможно, то рекомендуется запросить эту информацию у иностранного лица, предоставляющего услуги по использованию соответствующих мощностей.

🔵Реквизиты платежных карт являются персональными данными

📍Корреспондент: Юрий, @indian_miracle

#ркн #materials

🔥🔥🔥Самая детальная транскрибация сессии РКН от 27.07🔥🔥🔥

📍Автор: Юрий, @YGutsev, только на нашем канале!

Юра, спасибо тебе огромное! Проделана достойная работа😏