RPPA PRO: Privacy • AI • Cybersecurity • IP
#materials #gdpr #CCTV Ключевые моменты Руководства EDPB по обработке ПДн с использованием средств видеонаблюдения, опубликовано здесь - ПДн (видеозаписи), которые используются для распознавания лиц, относятся к биометрическим данным (прим. что и следует…
Продолжим:
- при исполнении права субъекта на доступ к видеозаписям следует учитывать, что такие действия не должны влиять на права других субъектов; к примеру, на видео могут присутствовать другие люди, в таком случае оператор должен внедрять технические меры для выполнения запроса на доступ к данным (редактирование записи «размытие»);
- оператор должен определить методы идентификации субъекта для выполнения его запросов, в случае, если оператор не может однозначно определить субъекта, субъект должен доказать оператору, что находился в указанное время в указанном месте мониторинга;
- замазывание картинки в видеозаписи после чего невозможно восстановить данные субъекта можно отнести к удалению ПДн;
- уведомление о видеонаблюдении (transparency, information obligation) рекомендуется делать многоуровневым:
1. предупреждающие знаки, установленные за границами зоны мониторинга, чтобы субъект мог оценить зону, с указанием: целей обработки ПДн, инф об операторе, прав субъекта, влияния такой обработки на субъекта, правового основания обработки, контактов DPO, инф о передаче ПДн третьим лицам, сроков хранения ПДн и ссылки на политику обработки ПДн (веб-сайт, QR код, номер телефона);
2. политика обработки ПДн: вся инф, требуемая ст.13 гдпр;
- рекомендуется хранить видеозаписи не более 2х дней (в целях противодействия вандализму);
- в технической спецификации на систему видеонаблюдения должны быть учтены принципы обработки ПДн;
- функции средств видеонаблюдения, не используемые для достижения целей обработки ПДн, необходимо деактивировать.
- при исполнении права субъекта на доступ к видеозаписям следует учитывать, что такие действия не должны влиять на права других субъектов; к примеру, на видео могут присутствовать другие люди, в таком случае оператор должен внедрять технические меры для выполнения запроса на доступ к данным (редактирование записи «размытие»);
- оператор должен определить методы идентификации субъекта для выполнения его запросов, в случае, если оператор не может однозначно определить субъекта, субъект должен доказать оператору, что находился в указанное время в указанном месте мониторинга;
- замазывание картинки в видеозаписи после чего невозможно восстановить данные субъекта можно отнести к удалению ПДн;
- уведомление о видеонаблюдении (transparency, information obligation) рекомендуется делать многоуровневым:
1. предупреждающие знаки, установленные за границами зоны мониторинга, чтобы субъект мог оценить зону, с указанием: целей обработки ПДн, инф об операторе, прав субъекта, влияния такой обработки на субъекта, правового основания обработки, контактов DPO, инф о передаче ПДн третьим лицам, сроков хранения ПДн и ссылки на политику обработки ПДн (веб-сайт, QR код, номер телефона);
2. политика обработки ПДн: вся инф, требуемая ст.13 гдпр;
- рекомендуется хранить видеозаписи не более 2х дней (в целях противодействия вандализму);
- в технической спецификации на систему видеонаблюдения должны быть учтены принципы обработки ПДн;
- функции средств видеонаблюдения, не используемые для достижения целей обработки ПДн, необходимо деактивировать.
#news #РКН #152фз
Цифры от РКН, здесь:
- 25 000 обращений получено за первую половину 2019г,
- что на 44% больше аналогичного периода в 2018г,
- только 7,6% случаев нарушений подтверждено РКН,
- больше всего получено жалоб на кредитные учреждения, организации ЖКХ, владельцев сайтов и коллекторских агентств
Цифры от РКН, здесь:
- 25 000 обращений получено за первую половину 2019г,
- что на 44% больше аналогичного периода в 2018г,
- только 7,6% случаев нарушений подтверждено РКН,
- больше всего получено жалоб на кредитные учреждения, организации ЖКХ, владельцев сайтов и коллекторских агентств
Роскомнадзор
Увеличилось количество жалоб о нарушениях российского законодательства в области персональных данных
Forwarded from vc.ru
Федеральная торговая комиссия США оштрафовала Facebook на рекордные в своей истории $5 млрд из-за проблем с защитой пользователей и утечек данных.
Сумма штрафа равна среднему доходу Facebook за месяц
vc.ru/social/76678
Сумма штрафа равна среднему доходу Facebook за месяц
vc.ru/social/76678
#materials #databreach
Ежегодное исследование IBM о влиянии утечек данных на бизнес компании, здесь
Стоимость утечки для компании выросла на 12% за последние 5 лет и стоит в среднем 3.92m$
Ежегодное исследование IBM о влиянии утечек данных на бизнес компании, здесь
Стоимость утечки для компании выросла на 12% за последние 5 лет и стоит в среднем 3.92m$
#ркн #пдн #152фз
Тезисы со дня открытых дверей в РКН, приуроченного к др 152фз.
Нарушения:
⁃ Некорректно составленное уведомление: цели обработки не определены. Взаимоотношения между работодателем и соискателем - другая цель обработки ПДн, отличная от обработки ПДн работника; не определен перечень ПДн: нет ИНН, СНИЛС (это ПДн); неполный перечень категорий субъектов: нет кандидатов, родственников, уволенных работников; правовые основания не выбраны: согласие - одно из основных правовых оснований; отсутствие информации о БД: указаны не все места нахождения БД (нужно прописывать полный адрес); не проводится аудит; не соблюдаются рекомендации РКН;
⁃ Инспектор при проверке ориентируется на уведомление об обработке ПДн; инф из уведомления далее отражается в лна оператора;
⁃ При использовании аналитики (например, от Google, Яндекс) необходимо учитывать требования 152фз, правовым основанием обработки может быть согласие в электронной форме, субъекта необходимо уведомить о такой обработке (как и в гдпр);
⁃ Непредоставление в РКН сведений об изменении уведомления (изменении перечня ПДн, перечня субъектов, адресов БД, отв лица за обработку ПДн);
⁃ Не назначен отв за обработку ПДн, следует обратить внимание, что отв должен иметь достаточную власть и влияние для исполнения своих обязанностей, обязанности должны быть прописаны в ДИ; должен быть один отв, а не несколько. Отв лицо может делегировать часть функционала другим работникам, но отв несет он;
⁃ Отсутсвует политика и лна по ПДн. Оператор самостоятельно определяет количество документов, это может быть как один документ, так и насколько. Операторы забывают о требованиях закона о доступе к документу субъектов ПДн. Если собираете ПДн при помощи веб-сайта, на веб-сайте должна быть политика размещена. В отсутствии сайта разместить можно документна внутреннем портале, на информационном щите, в любом месте на выбор оператора, главное, чтобы документ был доступен субъектам;
⁃ Неознакомление работников оператора, участв в обработке ПДн, с положениями законодательства по ПДн. Примерный перечень НПА размещён на веб-сайте РКН. Также следует учитывать профильные акты (банковская сфера);
⁃ Не задокументирована информация о местах хранения ПДн;
⁃ Отсутствие или наличие неактуального перечня лиц, имеющих доступ к ПДн;
⁃ Не ознакомление работников с порядком обработки ПДн без использования средств автоматизации, в том числе работников подрядной организации;
⁃ Некорректно составлена письменная форма согласия;
⁃ Отсутствует уполномоченный представитель оператора при проверке, на этом основании проверка мб остановлена, на решение вопроса: 1 месяц, или инспектор придёт на проверку в теч года без уведомления оператора. Оформляется приказом о возложению обязанностей по взаимод, внешний консалт - нужна доверенность;
Рекомендации: внутренний аудит может быть оформлен в виде акта, пояснительной записки.
Согласно ТК РФ работники должны быть ознакомлены с лна под роспись.
Согласие на бумаге и согласие в письменной форме - это разные сущности.
Должностные лица РКН не осуществляют консультирование операторов при проверке.
Тезисы со дня открытых дверей в РКН, приуроченного к др 152фз.
Нарушения:
⁃ Некорректно составленное уведомление: цели обработки не определены. Взаимоотношения между работодателем и соискателем - другая цель обработки ПДн, отличная от обработки ПДн работника; не определен перечень ПДн: нет ИНН, СНИЛС (это ПДн); неполный перечень категорий субъектов: нет кандидатов, родственников, уволенных работников; правовые основания не выбраны: согласие - одно из основных правовых оснований; отсутствие информации о БД: указаны не все места нахождения БД (нужно прописывать полный адрес); не проводится аудит; не соблюдаются рекомендации РКН;
⁃ Инспектор при проверке ориентируется на уведомление об обработке ПДн; инф из уведомления далее отражается в лна оператора;
⁃ При использовании аналитики (например, от Google, Яндекс) необходимо учитывать требования 152фз, правовым основанием обработки может быть согласие в электронной форме, субъекта необходимо уведомить о такой обработке (как и в гдпр);
⁃ Непредоставление в РКН сведений об изменении уведомления (изменении перечня ПДн, перечня субъектов, адресов БД, отв лица за обработку ПДн);
⁃ Не назначен отв за обработку ПДн, следует обратить внимание, что отв должен иметь достаточную власть и влияние для исполнения своих обязанностей, обязанности должны быть прописаны в ДИ; должен быть один отв, а не несколько. Отв лицо может делегировать часть функционала другим работникам, но отв несет он;
⁃ Отсутсвует политика и лна по ПДн. Оператор самостоятельно определяет количество документов, это может быть как один документ, так и насколько. Операторы забывают о требованиях закона о доступе к документу субъектов ПДн. Если собираете ПДн при помощи веб-сайта, на веб-сайте должна быть политика размещена. В отсутствии сайта разместить можно документна внутреннем портале, на информационном щите, в любом месте на выбор оператора, главное, чтобы документ был доступен субъектам;
⁃ Неознакомление работников оператора, участв в обработке ПДн, с положениями законодательства по ПДн. Примерный перечень НПА размещён на веб-сайте РКН. Также следует учитывать профильные акты (банковская сфера);
⁃ Не задокументирована информация о местах хранения ПДн;
⁃ Отсутствие или наличие неактуального перечня лиц, имеющих доступ к ПДн;
⁃ Не ознакомление работников с порядком обработки ПДн без использования средств автоматизации, в том числе работников подрядной организации;
⁃ Некорректно составлена письменная форма согласия;
⁃ Отсутствует уполномоченный представитель оператора при проверке, на этом основании проверка мб остановлена, на решение вопроса: 1 месяц, или инспектор придёт на проверку в теч года без уведомления оператора. Оформляется приказом о возложению обязанностей по взаимод, внешний консалт - нужна доверенность;
Рекомендации: внутренний аудит может быть оформлен в виде акта, пояснительной записки.
Согласно ТК РФ работники должны быть ознакомлены с лна под роспись.
Согласие на бумаге и согласие в письменной форме - это разные сущности.
Должностные лица РКН не осуществляют консультирование операторов при проверке.