Обновлен базовый перечень целей обработки персональных данных. Перечень состоит из 101 микроцели, которые объединены в 12 макроцелей (для эффективного структурирования согласий на обработку персональных данных и направления уведомлений в Роскомнадзор), и применим к большинству организаций. Приведённый перечень целей не является исчерпывающим и требует дополнения в соответствии спецификой деятельности и её регулирования в отношении отдельно взятой организации.
🔸Оригинал схемы в хорошем качестве доступен на сайте RPPA.
🇷🇺💡👨‍🏫 #пд #цели #ropa #аналитика

Глава Минцифы Шадаев: В России за полтора года заблокировано более 3,5 млн подозрительных сим-карт

ООО «Единый оператор» (входит в структуру ГК «Автодор») приступает к тестированию нейросети с возможностью считывать грязные или нечитаемые номера машин на ЦКАД и М-12 «Восток». Их владельцы не платят за проезд и уходят от штрафов. Нейросеть проанализирует базу данных всех транспортных средств, когда-либо проезжавших по платным участкам в поисках подходящих совпадений. В случае «положительного результата» эксперимента компания предложит изменить законодательство для вынесения штрафов на основе показаний нейросети. Определение машины по типу кузова, цвету конфигурации, вмятинам не может гарантировать стопроцентную идентификацию, предупреждают эксперты.

Злоумышленников, торгующих персональными данными в интернете, нужно привлекать к уголовной ответственности, заявил замглавы Роскомнадзора Милош Вагнер. Он уточнил, что для этого необходимо внести изменения в УК РФ. По его словам, Минцифры уже работает над этим.

Хакеры из группировки NLB опубликовали свыше 4000 изображений первых страниц паспортов, принадлежащих водителям сервиса «Ситимобил». «Ситимобил» готовит уведомление в Роскомнадзор по вопросу утечки паспортных данных водителей, а Роскомнадзор — проверку.

Совет федерации принял Закон, который позволяет Фонду пенсионного и социального страхования РФ открывать иностранным гражданам СНИЛС на основании информации, поступившей в фонд из ЕСИА, но только при наличии в ней прошедших проверку достоверности сведений о документе, удостоверяющем личность иностранного гражданина или лица без гражданства

Минцифры предложило ввести уголовное и административное наказание за нарушения при работе с биометрическими данными

Об этом сообщил "Интерфаксу" источник, знакомый с разработкой соответствующих законопроектов.

В частности, за умышленное размещение заведомо недостоверных сведений в Единой биометрической системе или подлог документов предлагается ввести уголовную ответственность. Предусматриваются штрафы до 300 тыс. руб., исправительные работы до 480 часов или до двух лет, либо принудительные работы до трех лет или лишение свободы на три года.

Другой проект предусматривает внесение изменений в КоАП РФ. В том числе, за отказ в предоставлении госуслуг при решении гражданина не предоставлять биометрию предлагается ввести штраф от 10 до 20 тыс. руб.

@interfaxonline

Компания Meta* согласилась на мировое соглашение по делу Cambridge Analytica и готова выплатить для урегулирования иска $725 млн. Возмещение станет крупнейшим за всю историю коллективных исков о конфиденциальности данных — при условии, что судья утвердит соглашение.

Коллективный иск, поданный в 2018 году, оценивает количество пострадавших в 250-280 млн человек — то есть включает всё взрослое население США. Если выплата будет утверждена, то на каждого пострадавшего придётся от 2,6 до 2,9 долларов.

Интересно, что предыдущий «рекорд» тоже принадлежит иску против Facebook. В 2021 году жителям штата Иллинойс удалось отсудить у компании $650 млн за использование технологии распознавания лиц без их согласия. Деньги получили 1,6 млн жителей штата, подписавшихся под иском — это 22% от всех пользователей Facebook в Иллинойсе. В итоге, на каждого человека пришлось по $345.

Вспомним, что в августе этого года наше правительство предложило создать фонд для таких компенсаций в России, чтобы жертвы утечек данных могли претендовать на выплату. Деньги на пополнение фонда предлагалось выделять из оборотных штрафов, которые будет обязана заплатить компания в случае утечки.

* Meta признана экстремистской в России

Совфед одобрил закон о штрафах за распространение анонимных сим-карт. За заключение оператором связи либо его дилером договора об оказании услуг связи не предусмотренным законодательством способом предусматривается наказание в виде штрафа для граждан и должностных лиц в размере от 30 тыс. до 50 тыс. рублей, на юридических лиц - от 300 тыс. до 500 тыс. рублей. Если оператор предоставляет услуги пользователю, которого обслуживает абонент - юридическое лицо либо индивидуальный предприниматель, в случае отсутствия в единой системе идентификации и аутентификации обязательных сведений либо в случае выявления факта недостоверности таких сведений штраф для должностных лиц составит от 100 тыс. до 200 тыс. рублей, для юрлиц - от одного миллиона до двух миллионов рублей.
Если оператор связи не проведет в проверку достоверности сведений об абоненте при отсутствии признаков уголовно наказуемого деяния штраф также составит до 500 тыс. рублей.

Правительство предлагает ввести административную ответственность за перепродажу сведений из ЕГРН и создание сайтов-двойников Росреестра: для физлиц такая деятельность может обернуться штрафом до 25 тыс. руб., для юрлиц — до 400 тыс. руб.
По представленным в пояснительной записке расчетам (сделанным из предположения, что 10–30% приобретенных ключей доступа в ЕГРН используется сайтами-двойниками, а также платы в 290 руб. за наиболее «популярную» выписку из реестра — о характеристиках недвижимости и правах на нее), доходы сайта-двойника и, соответственно, потери бюджета от неуплаты госпошлины оценены в диапазон от 1,5 млрд руб. до 4,8 млрд руб. в год. Также власти видят риски в незаконном обороте персональных данных, в недостоверности сведений, предоставляемых сайтами-двойниками, и перегрузке ФГИС ЕГРН из-за непрерывных роботизированных обращений со стороны двойников (около 7,5 тыс. в сутки), что может вызвать проблемы или даже отказ системы в обработке запросов добросовестных пользователей.

Как стало известно “Ъ”, для оборотных штрафов за утечки персональных данных, которые предусмотрены законопроектом Минцифры, может быть установлен верхний предел в 500 млн руб., а нижний — в 5 млн руб. Эксперты считают, что штрафы подтолкнут компании усилить меры безопасности, но участники рынка предупреждают, что инициатива может привести к «дроблению» российского бизнеса, например, на региональные подразделения с целью уменьшить облагаемые штрафом доходы. https://www.kommersant.ru/doc/5747151

Минобороны и Минцифры включены в перечень получателей сведений из Единого регистра населения. Согласно постановлению правительства №2347 от 20 декабря, эти ведомства смогут получать паспортные данные граждан, информацию об адресах регистрации и о наличии у них детей. Минобороны эти сведения необходимы для воинского учета.

Глава СК Бастрыкин предложил своим подчиненным проработать вопрос о заключении соглашений о сотрудничестве с некоторыми компаниями в сфере информационных технологий, "обладающими инструментами обработки больших объемов данных".
Другая инициатива — создание единого криминалистического учета электронных следов. Такая база позволит улучшить взаимодействие между следователями из разных регионов, в случае если одни и те же граждане совершали преступления в нескольких субъектах страны, объяснили в СК.
В СК заявили, что важно закрепить в законе статус цифровой валюты и механизма наложения ареста на нее.

❕Размер штрафов за утечку персональных данных может зависеть от ее размера, сообщил председатель комитета Госдумы по информационной политике Александр Хинштейн.

"Обсуждается привязка санкций к размеру допущенных утечек: за "слив" 1 тысячи записей, к примеру, ответственность будет меньше, чем за 10 тысяч", - написал Хинштейн в понедельник в своем Telegram-канале.

Он отметил, что "работа над законодательными инициативами идёт полным ходом, и процесс ещё не завершён".

Хинштейн добавил, что наряду с введением оборотных штрафов для компаний, допустивших повторные утечки, предполагаются и "внушительные штрафы" для должностных лиц, а также уголовная ответственность.

Он выразил надежду, что в январе окончательная редакция соответствующих проектов законов будет готова.

Эксперты АНО «Цифровая экономика» предложили ввести институт дата-посредников для нахождения баланса между защитой персональных данных и предоставлением ученым и разработчикам систем искусственного интеллекта доступа к медицинской информации (о диагнозах, клинических исследованиях, обращениях в медучреждения и пр.). Сейчас большая часть медицинских данных относится к категории персональных и не может обрабатываться без согласия субъекта даже в обезличенном виде. Применение режима «регуляторной песочницы» в этой сфере, по мнению экспертов АНО, откроет разработчикам доступ к наборам данных в защищенном контуре и при этом обезопасит пациентов.

🔸Роструд считает, что температура тела относится к персональным данным работника. По общему правилу собирать сведения о температуре тела работников можно только сих согласия. Соответственно, собирать сведения о температуре тела работников можно только с их согласия (п. 3 ст. 86 ТК РФ). В соответствии со ст. 88 ТК РФ работодатель не должен запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
🔸В то же время работодатель обязан обеспечивать безопасные условия и охрану труда (ст. 214 ТК РФ). Поэтому в целях определения пригодности работника к выполнению поручаемой работы и предупреждения профессиональных заболеваний работодатель должен обладать информацией о состоянии здоровья работников, занятых:
- на тяжелых работах,
- на работах с вредными и (или) опасными условиями труда;
- на работах, связанных с движением транспорта;
- в организациях пищевой промышленности;
- в организациях общественного питания и торговли;
- на водопроводных сооружениях;
- в лечебно-профилактических и детских учреждениях.
🇷🇺⚡🏛️ #роструд #температура #пд #мониторинг

Из-за массовых утечек данных, в том числе организованных хакерами-активистами, цены на базы, не содержащие, например, финансовой и другой чувствительной информации, снизились почти вдвое. По оценке Positive Technologies, если в 2021 году стоимость «простой» базы, содержащей только личные данные пользователей, составляла $200–250, то в 2022-м — $100–150.
В то же время сложные наборы данных, в том числе о компаниях, напротив, подорожали. Злоумышленников стал больше интересовать прямой доступ к внутренним системам организаций, нежели стандартный набор информации о гражданах.
В последнее время формируется спрос на доступ к CRM-системам компаний, в которых злоумышленники могут сами получить достоверные и актуальные данные о сотрудниках и клиентах организаций из первоисточника.

Доля мошеннических действий клиентов в автостраховании снизилась по сравнению с прошлым годом, причем в основном это коснулось сегмента каско. Этому во многом способствовала цифровизация этого сегмента.
Зато растет мошенничество в области страхования жизни и имущества. в страховании жизни механизм мошенничества строится либо на получении тех или иных необходимых для страховой выплаты медицинских диагнозов, оформлении фиктивной инвалидности через соответствующие медицинские механизмы, либо вообще через получение поддельных или незаконно выданных свидетельств о смерти застрахованных лиц.

26 декабря вступил в силу Приказ Роскомнадзора от 28 октября 2022 г. № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».

❓Что изменилось?

Для удобства операторов мы изменили формы электронного уведомления о начале или осуществлении любой обработки персональных данных. Ознакомиться можно здесь.

Кроме того, чтобы операторам было проще разобраться с документацией, мы опубликовали примеры заполнения уведомлений на сайте. По ссылке вы найдете:

📌 Пример заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных.
📌 Пример заполнения уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.
📌 Пример заполнения уведомления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.
📌 Пример заполнения заявления о предоставлении выписки из реестра операторов.

В даркнете значительно выросло количество предложений по отрисовке документов для прохождения процедуры «знай своего клиента» (KYC) у финансовых организаций. Стоимость таких услуг оценивается максимально в несколько сот долларов.
В объявлениях, с которыми ознакомился “Ъ”, предлагаются отрисовка сканов документов (паспортов, прав, коммунальных платежей, банковских выписок и т. д.) под запрашиваемые данные, фотомонтаж (фото с документом у лица, документ на фоне, документ в руке и т. д.), цветная печать и ламинация для фото, живые дропы (подставные люди) для фото и видео верификации с документами (напечатанный муляж).
Востребованность документов для прохождения KYC-верификации так или иначе связана с ростом интереса к валютным сервисам и финансовым онлайн-услугам. Зачастую это букмекеры, криптобиржи и необанки, проводящие в основном онлайн KYС. Также могут использоваться для открытия обычных банковских счетов и карт в некоторых банках стран СНГ, которые начали предлагать их для россиян удаленно.

Руководитель Росреестра Олег Скуфинский дал больше интервью РБК и сделала несолько заявлений на нашей тематике.
До 2027 года будет наконец-то выверен весь ЕГРН, получены полные данные по всем границам (субъектов, муниципальных образований, населенных пунктов, территориальных зон), согласованы все нестыковки в данных и т. д. Сейчас в ЕГРН в отношении более чем 8,5 млн земельных участков содержатся реестровые ошибки в сведениях о местоположении границ. К концу 2025 года ведомством запланировано исправление более 1,8 млн реестровых ошибок. За 2022 год исправлено 155 тыс. ошибок.
А вообще Росреестр создает Единую Национальную систему пространственных данных (НСПД).
С 1 марта 2023 года вступает в силу 266-й ФЗ «О внесении изменений в Федеральный закон «О персональных данных», сведения с данными о ФИО и дате рождения собственника не будут включаться в общедоступную выписку из ЕГРН. Выписку с данными о правообладателе можно будет получить только с разрешения самого правообладателя. "Почему данные об имеющейся у гражданина недвижимости должны быть публичными? Ведь никто не раскрывает свои средства на банковских вкладах. Собственник сам вправе решать, кому давать доступ к такой информации, а кому нет. Открытой она не должна быть априори,"
— считает Скуфинский.