#materials #iapp

PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности.

Часть 3: Privacy risk management

👁Фокус внимания: Только в 57% организационных повестках дня поднимаются вопросы по рискам приватности.

🔵Когда респондентов спросили о внедрении стандартизированных методологий для поддержки системы оценки рисков приватности, около 14% респондентов отметили, что они их не используют, в то время как еще 14% использует их только изредка.

🔧Способы решения: использование стандартизированных систем и
методологий.

1) ISO 31000: Risk management — Guidelines, предоставляет структуру и соответствующий набор принципов для управления рисками.

🔵В связи с возможными проблемами интеграции системы контроля рисков в сфере приватности в общую систему управления рисками, представленную стандартом, указанная раннее система ISO также может использоваться вместе с ISO/IEC 27557: Application of ISO 31000:2018.

🔵Стандарт ISO/IEC 27557 был разработан в качестве дополнительного руководства, призванного помочь интегрировать связанные с этим риски приватности в программу управления рисками организации.

2) The National Institute of Standards and Technology также разработал фреймворки, которые предлагают основанный на оценке рисков подход к разработке систем и сервисов.

🔵The NIST Risk Management Framework содержит семиступенчатый процесс, который может быть применен к любому типу технологической системы или сервиса, независимо от уровня организации, позволяя пользователям выбирать средства контроля информационной безопасности, соответствующие их программе управления рисками в организации.

🔵NIST фокусируется исключительно на выявлении рисков приватности и управлении ими для обеспечения совместимости с широким набором областей правового регулирования.

📍Автор: Илья, @levailya

#РКН

🔥Оставайся с нами на трансляции семинара РКН 27.07

🔵тезисы выступления
🔵UPD: транскрибация 28.07

📍Твои корреспонденты: Юрий, @indian_miracle и Крис!

#РКН

Татьяна Александровна Коваленко

🔵Действия при обработке персональных данных, собираемых посредством Google Analytics, = Трансграничная передача персональных данных. Следовательно, при использовании данного решения нужно подавать уведомление о намерении осуществлять трансграничную передачу персональных данных.

🔵В случае если филиал, расположенный на территории иностранного государства, не зарегистрирован на территории иностранного государства в качестве обособленного юридического лица, то при передаче персональных данных работников в указанный филиал требования ст. 12 Закона о персональных данных, в рассматриваемом случае, соблюдать не требуется

🔵В случае если субъект персональных данных самостоятельно передает свои персональные данные (например, оформляя заказ на иностранном интернет-магазине) трансграничной передачи не будет

🔵В случае отказа в предоставлении биометрических персональных данных / согласия на их обработку, оператор не вправе отказывать в предоставлении услуги / в обслуживании.
Оператор должен предоставить альтернативный способ получения услуги.

Исключением составляют случаи, в рамках которых предоставление биометрических персональных данных / согласия на обработку персональных данных является обязательным

📍Корреспондент: Юрий, @indian_miracle

#РКН

Пересказ закона

Анна Михайловна Кононенко

Политика обработки персональных данных

Положения п. 2 ч. 1 ст. 18.1 Закона о персональных данных должны быть учтены при разработке документа, определяющего политику оператора в отношении обработки персональных данных.

В документе, определяющем политику оператора в отношении обработки персональных данных, рекомендуется отражать следующее:

🔵Информация об операторе (наименование или Ф.И.О., ИНН), контактная информация;

🔵Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;

🔵Правовые основания обработки персональных данных;

🔵Перечень мер, принимаемых оператором и направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом о персональных данных;

🔵Информация о передаче оператором персональных данных третьим лицам с указанием правового основания, цели, состава передаваемых персональных данных (при осуществлении);

🔵Сведения об осуществлении трансграничной передачи персональных данных с указанием стран, на территорию которых передаются персональные данные (при осуществлении);

🔵Способы связи с оператором для реализации прав субъектов персональных данных (адрес электронной почты, почтовый адрес и т.д.).

📍Корреспондент: Юрий, @indian_miracle

#РКН

Ирина Семеновна Шишигина

🔵Если инцидент (утечка персональных данных) произошел на стороне подрядной организации (лица, осуществляющего обработку персональных данных по поручению оператора), направлять уведомление должен оператор

🔵Если в деятельности оператора не выявлены случаи, установленные приказом Роскомнадзора от 27.10.2022 № 178, в акте оценки вреда указывается вывод об отсутствии степени вреда.
Приказ Роскомнадзора от 27.10.2022 № 178 не затрагивает вопросы обеспечения безопасности персональных данных, установленные постановлением Правительства РФ от 01.11.2012 № 1119.

🔵Определение методики проведения оценки вреда / переодичности проведения оценки вреда / определение состава комиссии по оценке вреда / права подписи акта оценки вреда отнесено к исключительной компетенции оператора.

🔵Обезличивание персональных данных не приравнивается к уничтожению персональных данных.

📍Корреспондент: Юрий, @indian_miracle

#РКН

Юрий Евгеньевич Контемиров

🔵При указании в тексте согласия на обработку персональных данных сведений о передаче ПДн третьим лицам – нужно писать с какой целью передаются персональные данные указанным лицам

🔵На сегодняшний день не предусмотрена возможность указания нескольких операторов персональных данных в тексте согласия на обработку персональных данных

🔵В одном согласии возможно указывать и положения об обработке персональных данных в целях оказания услуг и положения об обработке куки файлов.
При этом нужно указывать цели обработки персональных данных.

🔵Общий корпоративный электронный адрес – не является персональными данными.
Корпоративный электронный адрес конкретного сотрудника – персональные данные.

🔵Одно и тоже лицо может быть ответственным и за обработку персональных данных и за обеспечение безопасности обрабатываемых данных.

🔵Сбор персональных данных членов семьи кандидата на трудоустройство (о близких родственниках) допустим в отсутствие согласия на обработку персональных данных родственника, если объем собираемых сведений о родственнике не превышает установленный карточкой Т-2.

🔵При оказании услуг по предоставлению облачной инфраструктуры – нужно предоставлять поручение на обработку персональных данных.

🔵И провайдер и лицо, размещающее свои данные (даже если провайдер не имеет доступ к размещаемым данным), – оба операторы.

🔵Если компания находится в одной стране, а используемые сервера на территории иной страны, в этом случае в уведомлении о намерении осуществлять трансграничную передачу персональных данных рекомендуется указывать обе страны.

Если установить местонахождение технических мощностей невозможно, то рекомендуется запросить эту информацию у иностранного лица, предоставляющего услуги по использованию соответствующих мощностей.

🔵Реквизиты платежных карт являются персональными данными

📍Корреспондент: Юрий, @indian_miracle

#ркн #materials

🔥🔥🔥Самая детальная транскрибация сессии РКН от 27.07🔥🔥🔥

📍Автор: Юрий, @YGutsev, только на нашем канале!

Юра, спасибо тебе огромное! Проделана достойная работа😏

#materials #iapp

А вот и инфографика на случай, если нет времени читать отчет IAPP и KPMG о рисках и наш пересказ🙂

#PrivacyNews

Неделя прошла - новостей принесла, check-up!

🔵 Законодательное:

🔽Разработан проект Цифрового кодекса Кыргызской Республики

🔽 Законопроект о рекомендательных технологиях принят Государственной Думой во втором чтении

🔽 Кабмин утвердил постановление о запуске государственной системы такси с 01.09.2023

🔽Предлагается установить возможность признания электронной подписи, созданной в соответствии с нормами права иностранного государства и международными стандартами, в отношениях между участниками электронного взаимодействия

🔵 Инициативы:

🔽Сенаторы Андрей Турчак и Ирина Рукавишникова, вместе с депутатом Александром Хинштейном, представили премьер-министру Михаилу Мишустину заключительную версию законопроекта, устанавливающего штрафы за нарушения защиты персональных данных

🔽 В Рунете могут запретить регистрироваться на сайтах с иностранной электронной почты

🔽 По заявлению Александра Хинштейна новые правила регистрации на сайтах не коснутся россиян, проживающих за границей

🔽Новые правила регистрации в интернете угрожают приложениям банков и Apple ID

🔽Завершена работа над законопроектом об оборотных штрафах за утечки персональных данных. Итоговая версия законопроекта предусматривает наказание за подобные инциденты в виде административного штрафа в размере до 3% совокупной выручки компании

🔽Минцифры России и Комитет по информационной политике Госдумы не договорились о компенсациях за утечки данных. Обсуждаемый депутатами и сенаторами вариант законопроекта категорически не устраивает министерство

🔽В Роскомнадзоре предложили ввести уголовную ответственность за покупку и продажу баз данных

🔽Глава комитета Госдумы заявил о планах ужесточить требования к операторам связи

🔽МВД, ФСБ и Минфин не поддержали ускоренную выдачу загранпаспортов за деньги

🔽В Госдуме готовятся ко второму чтению поправки к законодательству, облегчающие взаимодействие коллекторов с должниками. Коллекторы хотят общаться с заемщиками анонимно и безлимитно

🔵А что там у "них"?!

🔽Американский регулятор ESRB решил пресечь на корню многолетнюю проблему с несоблюдением возрастных ограничений

🔽Компания Ew Business Machines S.p.A. (Ew) оштрафована итальянским органом по защите персональных данных за нарушение обязательства по доведению до работников необходимой информации об использовании системы наблюдения за ними со стороны работодателя

🔵Преступления и наказания:

🔽Хакерам удалось проникнуть в почтовые аккаунты высокопоставленных чиновников США и похитить множество конфиденциальных данных

🔽24-летняя липчанка попала под уголовное дело за кражу персональных данных

🔵Следствие вели с РКН (и не только):

🔽Роскомнадзор и Генпрокуратуру попросили проверить сервис «Глаз Бога»

🔽Ритуальный агент передал врачу-патологоанатому более 1,7 млн рублей за информацию об умерших

Продолжение ниииже🔽🔽🔽🔽

📍Авторы: Карина, @Ka_Rina7 и Юрий, @indian_miracle

Продолжение

🔵Немного статистики - грустной и не очень:

🔽Лаборатория Касперского составила рейтинг самых безопасных мессенджеров для общения.

🔽За шесть месяцев 2023 года в России произошло 60 крупных утечек, содержащих 188,7 миллиона клиентских записей – уникальные e-mail или телефоны, сообщила компания DLBI (Data Leakage & Breach Intelligence), специализирующаяся на расследовании утечек данных и мониторинга даркнета

🔽Роскомнадзор получил более 700 уведомлений компаний о намерении передавать данные за рубеж

🔵И еще кое-что:

🔽Почему критикуют законопроект о штрафах за недостаточные меры по защите данных

🔽И вас вычислят: в Telegram появился аналог нелегального сервиса «Глаз Бога»

🔽Мэрия Москвы запустила сервис для владельцев домашних животных, предоставляющий доступ к электронной амбулаторной карте питомца, в которой собираются сведения о посещении ветеринара, вакцинациях и результатах исследований в государственных ветеринарных клиниках

🔽Минфин России намерен упростить открытие бизнеса с помощью запуска эксперимента по предоставлению гражданам специального сервиса, обеспечивающего удобную регистрацию организаций и индивидуальных предпринимателей

🔽По мнению представителей Минцифры России применение биометрии для подтверждения личности при посадке в поезд позволит избежать ситуаций с забытыми паспортами и повысит скорость идентификации пассажиров

🔽Согласно заявлению представителей Минцифры России, Российская Федерация выступает за единое регулирование трансграничной передачи персональных данных в рамках международных организаций

🔽В ГИБДД отреагировали на предположения о штрафах для не явившихся вовремя в военкомат водителей. Начиная с 11.07.2023 им начали ограничивать действие прав.

🔵Новенькое из бизнеса:

🔽На экономическом форуме "Россия - Африка", первый замглавы Минпромторга, Василий Осьмаков, заявил, что Министерство рекомендует российским промышленным предприятиям запретить сотрудникам использовать iPhone в рабочих целях.

🔽ОАО РЖД планирует верифицировать пассажиров по лицам

🔽Принадлежащий «Яндексу» сервис «Толока», который используется для обучения нейросетей, перестроится на зарубежный рынок, в России будут запущены «Яндекс Задания».

🔽В большинстве российских компаний не видят пользу от цифрового рубля для бизнеса

🔽Запущен криптовалютный проект Worldcoin, разработчиком которого выступал генеральный директор OpenAI Сэм Альтман. Условием получения криптовалюты (токенов) в рамках данного проекта является сдача биометрических персональных данных

📍Авторы: Карина, @Ka_Rina7, Юрий, @indian_miracle