#PrivacyNews

ЧАСТЬ 2

🔵Преступления и наказания:

🔽В Челябинске директор школы заплатит штраф за отправку письма с персональными данными ученика;

🔽В Самарской области врач-патологоанатом признан виновным по ст. 290 УК РФ (получение взятки) - передавал ПДн умерших в компании по организации ритуальных услуг;

🔽Начался суд над подростком из Lapsus$, который хакнул Revolut и Uber в сентябре 2022 года;

🔽Мэрия Оренбурга опубликовала в газете «Вечерний Оренбург» личные данные участников публичных слушаний генплана;

🔽ВС РФ принял решение по спору между Роскомнадзором и СК "Арсеналъ": адрес электронной почты - НЕ ПД хотя мы аж дважды ошиблись, готовя пост, согласие на распространение - частный случай согласия на обработку.

🔵Следствие вели с РКН (и не только):

🔼Немецкие СМИ сообщают о появлении файла с данными 5600 клиентов платформы VirusTotal, среди которых были сотрудники АНБ США, немецких разведывательных служб и крупных немецких компаний;

🔼РКН проверит информацию об утечке образовательной платформы «Российская электронная школа»;

🔼РКН проводит проверку в связи с информацией о возможной утечке
персональных данных клиентов лабораторной службы "Хеликс", компания уверяет, что утечки не было;

🔼Результаты проведенных во 2 квартале 2023 года мероприятий без взаимодействия с контролируемыми лицами Управлением РКН по Калининградской области;

🔼Результаты проведенного мероприятия без взаимодействия с контролируемым лицом в отношении ООО Управляющая компания «№1» Управлением РКН по Республике Башкортостан (спойлер: нарушения есть).

🔵Немного статистики - грустной и не очень:

🔽Опрос компании "РТК-Солар" показал: малое количество организаций волнуется по поводу угрозы штрафов от регуляторов;

🔽За шесть месяцев 2023 года произошло 60 крупных утечек данных, содержащих 188,7 млн клиентских записей (содержащих уникальные клиентские e-mail или телефоны);

🔽По данным аналитического исследования InfoWatch: в других странах существенно большая часть краж данных уходит от внимания общественности.

🔵Почитать:

🔽Риелторы стали всё чаще запрашивать у продавцов квартир их кредитную историю;

🔽А техника все наступает: эксперты предупреждают о тайном сборе и передаче данных от офисной техники. Домашние роутеры не отстают;

🔽Глава MI6 рассказал, как и для чего Китай собирает личные данные
граждан других стран.


📍Автор: @Ka_Rina7

#materials #iapp

PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности.

Часть 3: Privacy risk management

👁Фокус внимания: Только в 57% организационных повестках дня поднимаются вопросы по рискам приватности.

🔵Когда респондентов спросили о внедрении стандартизированных методологий для поддержки системы оценки рисков приватности, около 14% респондентов отметили, что они их не используют, в то время как еще 14% использует их только изредка.

🔧Способы решения: использование стандартизированных систем и
методологий.

1) ISO 31000: Risk management — Guidelines, предоставляет структуру и соответствующий набор принципов для управления рисками.

🔵В связи с возможными проблемами интеграции системы контроля рисков в сфере приватности в общую систему управления рисками, представленную стандартом, указанная раннее система ISO также может использоваться вместе с ISO/IEC 27557: Application of ISO 31000:2018.

🔵Стандарт ISO/IEC 27557 был разработан в качестве дополнительного руководства, призванного помочь интегрировать связанные с этим риски приватности в программу управления рисками организации.

2) The National Institute of Standards and Technology также разработал фреймворки, которые предлагают основанный на оценке рисков подход к разработке систем и сервисов.

🔵The NIST Risk Management Framework содержит семиступенчатый процесс, который может быть применен к любому типу технологической системы или сервиса, независимо от уровня организации, позволяя пользователям выбирать средства контроля информационной безопасности, соответствующие их программе управления рисками в организации.

🔵NIST фокусируется исключительно на выявлении рисков приватности и управлении ими для обеспечения совместимости с широким набором областей правового регулирования.

📍Автор: Илья, @levailya

#РКН

🔥Оставайся с нами на трансляции семинара РКН 27.07

🔵тезисы выступления
🔵UPD: транскрибация 28.07

📍Твои корреспонденты: Юрий, @indian_miracle и Крис!

#РКН

Татьяна Александровна Коваленко

🔵Действия при обработке персональных данных, собираемых посредством Google Analytics, = Трансграничная передача персональных данных. Следовательно, при использовании данного решения нужно подавать уведомление о намерении осуществлять трансграничную передачу персональных данных.

🔵В случае если филиал, расположенный на территории иностранного государства, не зарегистрирован на территории иностранного государства в качестве обособленного юридического лица, то при передаче персональных данных работников в указанный филиал требования ст. 12 Закона о персональных данных, в рассматриваемом случае, соблюдать не требуется

🔵В случае если субъект персональных данных самостоятельно передает свои персональные данные (например, оформляя заказ на иностранном интернет-магазине) трансграничной передачи не будет

🔵В случае отказа в предоставлении биометрических персональных данных / согласия на их обработку, оператор не вправе отказывать в предоставлении услуги / в обслуживании.
Оператор должен предоставить альтернативный способ получения услуги.

Исключением составляют случаи, в рамках которых предоставление биометрических персональных данных / согласия на обработку персональных данных является обязательным

📍Корреспондент: Юрий, @indian_miracle

#РКН

Пересказ закона

Анна Михайловна Кононенко

Политика обработки персональных данных

Положения п. 2 ч. 1 ст. 18.1 Закона о персональных данных должны быть учтены при разработке документа, определяющего политику оператора в отношении обработки персональных данных.

В документе, определяющем политику оператора в отношении обработки персональных данных, рекомендуется отражать следующее:

🔵Информация об операторе (наименование или Ф.И.О., ИНН), контактная информация;

🔵Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;

🔵Правовые основания обработки персональных данных;

🔵Перечень мер, принимаемых оператором и направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом о персональных данных;

🔵Информация о передаче оператором персональных данных третьим лицам с указанием правового основания, цели, состава передаваемых персональных данных (при осуществлении);

🔵Сведения об осуществлении трансграничной передачи персональных данных с указанием стран, на территорию которых передаются персональные данные (при осуществлении);

🔵Способы связи с оператором для реализации прав субъектов персональных данных (адрес электронной почты, почтовый адрес и т.д.).

📍Корреспондент: Юрий, @indian_miracle

#РКН

Ирина Семеновна Шишигина

🔵Если инцидент (утечка персональных данных) произошел на стороне подрядной организации (лица, осуществляющего обработку персональных данных по поручению оператора), направлять уведомление должен оператор

🔵Если в деятельности оператора не выявлены случаи, установленные приказом Роскомнадзора от 27.10.2022 № 178, в акте оценки вреда указывается вывод об отсутствии степени вреда.
Приказ Роскомнадзора от 27.10.2022 № 178 не затрагивает вопросы обеспечения безопасности персональных данных, установленные постановлением Правительства РФ от 01.11.2012 № 1119.

🔵Определение методики проведения оценки вреда / переодичности проведения оценки вреда / определение состава комиссии по оценке вреда / права подписи акта оценки вреда отнесено к исключительной компетенции оператора.

🔵Обезличивание персональных данных не приравнивается к уничтожению персональных данных.

📍Корреспондент: Юрий, @indian_miracle

#РКН

Юрий Евгеньевич Контемиров

🔵При указании в тексте согласия на обработку персональных данных сведений о передаче ПДн третьим лицам – нужно писать с какой целью передаются персональные данные указанным лицам

🔵На сегодняшний день не предусмотрена возможность указания нескольких операторов персональных данных в тексте согласия на обработку персональных данных

🔵В одном согласии возможно указывать и положения об обработке персональных данных в целях оказания услуг и положения об обработке куки файлов.
При этом нужно указывать цели обработки персональных данных.

🔵Общий корпоративный электронный адрес – не является персональными данными.
Корпоративный электронный адрес конкретного сотрудника – персональные данные.

🔵Одно и тоже лицо может быть ответственным и за обработку персональных данных и за обеспечение безопасности обрабатываемых данных.

🔵Сбор персональных данных членов семьи кандидата на трудоустройство (о близких родственниках) допустим в отсутствие согласия на обработку персональных данных родственника, если объем собираемых сведений о родственнике не превышает установленный карточкой Т-2.

🔵При оказании услуг по предоставлению облачной инфраструктуры – нужно предоставлять поручение на обработку персональных данных.

🔵И провайдер и лицо, размещающее свои данные (даже если провайдер не имеет доступ к размещаемым данным), – оба операторы.

🔵Если компания находится в одной стране, а используемые сервера на территории иной страны, в этом случае в уведомлении о намерении осуществлять трансграничную передачу персональных данных рекомендуется указывать обе страны.

Если установить местонахождение технических мощностей невозможно, то рекомендуется запросить эту информацию у иностранного лица, предоставляющего услуги по использованию соответствующих мощностей.

🔵Реквизиты платежных карт являются персональными данными

📍Корреспондент: Юрий, @indian_miracle

#ркн #materials

🔥🔥🔥Самая детальная транскрибация сессии РКН от 27.07🔥🔥🔥

📍Автор: Юрий, @YGutsev, только на нашем канале!

Юра, спасибо тебе огромное! Проделана достойная работа😏

#materials #iapp

А вот и инфографика на случай, если нет времени читать отчет IAPP и KPMG о рисках и наш пересказ🙂