А вот генеральный директор Агентства по страхованию вкладов (АСВ) Андрей Мельников считает, что через 10 лет платежные карты сменит биометрия.

Банк России предложил ограничить возможность передавать банковским платежным агентам идентификацию клиентов, но они по-прежнему смогут проводить расчеты. Об этом заявил директор департамента финансового мониторинга и валютного контроля ЦБ Богдан Шабля.

Национальный институт стандартов и технологий (NIST) США предложил внести существенные изменения в «Руководство по цифровой идентификации», направленные на борьбу с устаревшими и неэффективными политиками паролей, которые часто ставят под угрозу безопасность. В последней версии SP 800−63−4 NIST предлагает запретить обязательный сброс пароля, ненужные ограничения на количество символов и некоторые контрольные вопросы.

Крупные российские банки, по информации из базы ЦБ о мошенниках, в среднем «охлаждают» ежедневно 20 000 переводов, рассказал директор департамента информационной безопасности ЦБ Вадим Уваров.
25 июля заработали новые правила борьбы с дропперами – людьми, через чьи банковские карты, с их согласия или без него, проходят мошеннические операции. Теперь банки обязаны приостанавливать переводы на два дня, если информация о получателе средств содержится в базе данных ЦБ о мошеннических операциях.
В первый день работы поправок в закон о национальной платежной системе банки отключили порядка 30 000 электронных средств платежа, принадлежащих мошенникам, сообщил Уваров.

МВД раскрыло принцип работы публичного реестра контролируемых лиц для мигрантов.

Общедоступная часть реестра контролируемых лиц, т. е. списка иностранцев и лиц без гражданства, чьи законные основания для пребывания в РФ прекращены, будет опубликована на сайте МВД. Такие данные будут предоставляться любому желающему по запросу.

Предполагается, что постановление вступит в силу с 5 февраля 2025 г. В закрытой подсистеме сайта МВД будет собрана следующая информация: наличие или отсутствие сведений об иностранце в реестре контролируемых лиц, фамилия, имя, отчество, дата рождения, пол, серия и номер документа, удостоверяющего личность, следует из текста проекта.

WSJ рассказала, как Telegram стал «охотничьими угодьями» для спецслужб

Несмотря на использование Telegram преступниками разного уровня, мессенджер стал незаменимым инструментом правоохранительных ведомств для проникновения в преступные группировки даже без сотрудничества с руководством платформы, пишет Wall Street Journal со ссылкой на источники среди чиновников и бывших федеральных агентов.

В последние пять лет спецслужбы США неоднократно привлекали преступников к ответственности с помощью их собственных слов, опубликованных в полностью открытых телеграм-каналах, что сделало мессенджер «охотничьими угодьями» правоохранительных ведомств, отмечает издание.

До создания Teelgram преступники обычно полагались на сильно разрозненные форумы в даркнете, недоступные обычным пользователям, и власти могли закрыть их лишь с помощью судебных постановлений, причем легко отследить пользователей не удавалось. В случае с Telegram его пользователи зачастую используют один и тот же аккаунт на десятках форумов, за счет чего следователи получают их «дорожную карту», объяснил газете бывший федеральный прокурор, расследовавший киберпреступления и онлайн-продажу наркотиков Сет Герц.

Но все же мессенджер более удобен для преступников, чем для следователей, полагает Эван Кольманн, консультант по борьбе с терроризмом, который работал в ФБР и давал показания в десятках дел, связанных с Telegram. По его оценке, находки правоохранительных ведомств в Telegram представляют собой «каплю в море».

Крупный бизнес переходит на российские решения по управлению персональными данными клиентов. Как заявил на CDI Conf 2024 Алексей Сокольский, начальник управления «Розничный клиент» в ВТБ, после перехода на российское решение по управлению клиентскими данными от HFLabs ручные корректировки клиентских записей в ВТБ уменьшились на треть. Экономия составила более 100 млн руб. в 2024 году. По пути замещения MDM-системы от зарубежного вендора пошел и «Ингосстрах». Сейчас компания внедряет отечественную систему по управлению данными клиентов. Первые результаты уже есть: с помощью CDI компания проанализировала контактные данные клиентов и выявила популярные и массовые телефоны и электронные адреса. Российское решение «Единый клиент» также использует букмекерская компания «Лига ставок». С его помощью компания, например, находит записи-дубли — они возникают в случае, если игрок хочет получить дополнительные бонусы и регистрируется в системе повторно.

Посмотреть записи этих и других выступлений с CDI Conf 2024 и узнать, как крупный российский бизнес работает с персональными данными клиентов, можно в YouTube или Rutube.

На Евразийском конгрессе по защите персональных данных Региональное Сообщество Профессионалов Приватности (RPPA) анонсировало создание и начало практической деятельности собственного Аналитического Центра.

Компания IDX™ поддержала инициативу Сообщества, передав в управление свой телеграм-канал «Персональные данные» и доступ к его аудитории Аналитическому центру.

Компания IDX™ давно известна на рынке проверки данных как единственный независимый поставщик LegalTech-решений, RPPA - ключевое в ЕврАзЭС экспертное сообщество в сфере приватности. Сложившееся сотрудничество RPPA и IDX™  обеспечит Аналитическому центру Сообщества наибольший охват аудитории среди всех российских “think tank”.

IDX™ видит перспективы сотрудничества с RPPA в развитии рынка решений приватности и защиты данных пользователей Сети и призывает другие компании поддерживать инициативы RPPA.

Подписчики! Друзья!

Здорово, что мы провели столько времени вместе и спасибо Вам всем и каждому за Ваше внимание и доверие!

Пришло время сделать вместе что-то большее, чем новостную ленту! Рады, что нашли общее с RPPA и спокойно передаем им бразды политики в этом канале!

💡🇧🇾 Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД) и Министерство антимонопольного регулирования (МАРТ) и торговли Республики Беларусь 2025.01.08 издали первые совместные Разъяснения – о том, как обрабатывать персональные данные при направлении рассылок.

🔸Эксперты RPPA [РБ] подготовили аналитическую справку, из которой вы можете узнать:
– основные положения Разъяснений по поводу того, что относится к ПД, что может быть основанием рекламной рассылки и кто будет нести ответственность за её правомерность;
– основные риски, которые могут возникнуть в связи с зафиксированной позицией НЦЗПД и МАРТ;
– варианты интерпретации Разъяснений с учётом указанных рисков и баланса интересов всех участников правоотношений по обработке данных.

💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал о квалификации владельца облачного хранилища, оказывающего услуги по модели IaaS, в качестве «обработчика» ПД.

🔸Владелец облачного хранилища (провайдер) может выступать в качестве «обработчика» ПД при одновременном выполнении следующих критериев:

1️⃣ долгосрочное размещение ПД (в т.ч. хранение) пользователем и/или уполномоченными им лицами на вычислительных мощностях облачного хранилища;

2️⃣ осведомленность провайдера (когда провайдер знал, мог или должен был знать) о действиях пользователя и/или уполномоченных им лиц по целенаправленному использованию облачного хранилища для размещения ПД;

3️⃣ волеизъявление провайдера и пользователя хранилища на размещение ПД в облачном хранилище путем поручения обработки ПД провайдеру от пользователя хранилища в одной из двух форм, предусмотренных ч.3 ст.6 152-ФЗ (договор или акт), при этом согласованные сторонами условия поручения обработки ПД не обязательно должны содержаться в письменном договоре, но могут указываться, например, в электронной переписке или путем акцепта пользователем своими конклюдентными действиями оферты провайдера.

💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал об определении личности субъекта персональных данных при обращении к оператору. Основные выводы материала:

1️⃣ Чтобы верно установить набор сведений, необходимых для решения задачи подтверждения тождественности, следует учитывать контекст обработки ПД.

2️⃣ Если установленные законом требования к обращению не исполнены, ни отказ в удовлетворении, ни исполнение требования субъекта сами по себе не будут нарушением.

3️⃣ При решении задачи подтверждения тождественности нужно исходить из целесообразности принятия дополнительных мер и уровня риска для прав субъекта при удовлетворении требования отправителя.

4️⃣ При оценке указанной целесообразности и уровня риска необходимо учитывать, в частности, объем данных в обращении, возможное влияние исполнения требования на обработку и (или) права субъекта.

💡🇧🇾Эксперты RPPA [РБ] обсудили подготовленный аналитический материал об определении личности субъекта персональных данных при обращении к оператору и пришли к выводу о возможности его использования в практике белорусских privacy-специалистов с рядом уточнений и комментариев:

1. У оператора может не быть информации, необходимой для идентификации обратившегося с запросом лица, — это не является ни нарушением, ни каким-либо исключением из общего правила.

2. Осуществление прямых контактов со всеми субъектами, чьи данные в информационной системе совпадают с данными в запросе (со всеми Иванами Ивановичами Ивановыми), представляется нарушающим принципы минимизации и соразмерности обработки персональных данных.

3. Субъект персональных данных, исходя из системного толкования Закона Республики Беларусь от 07.05.2021 № 99-З "О защите персональных данных" (99-З), — идентифицированное или идентифицируемое физическое лицо, к которому относится обрабатываемая оператором информация, — именно от того, является ли обратившееся лицо субъектом в отношении обрабатываемых оператором персональных данных, зависит возможность оператора способствовать этому лицу в реализации его прав, предусмотренных 99-З.

Например, если единственный из указанных субъектом идентификаторов, входящий в состав собираемой оператором информации, пересекается у 100 других субъектов, попытка выяснить, кто из субъектов — обратившееся лицо, может привести к избыточной обработке и вмешательству в частную жизнь 99 субъектов, не направлявших запрос.

4. Идеальный случай при обработке персональных данных в онлайн-среде — реализация прав непосредственно в интерфейсе сервиса, в его авторизованной зоне, где у оператора уже отсутствует необходимость в идентификации обратившегося лица, в том числе посредством запроса дополнительной информации о нем.

5. Дополнительным основанием для запроса дополнительной информации у обратившегося может быть ссылка на ст. ст. 16-17 99-З, так как оператор обязан обеспечить безопасность обрабатываемых данных и самостоятельно определяет перечень мер защиты: уточнение информации, таким образом, будет служить снижению риска несанкционированного доступа неавторизованных лиц к данным субъекта при условии соблюдения принципов обработки персональных данных, установленных 99-З. Более того, согласно ст. 31 Закона Республики Беларусь от 10.10.2008 № 455-З "Об информации, информатизации и защите информации", обладатель информации, оператор информационной системы обязаны, в частности, обеспечить конфиденциальность информации, то есть, в том числе исключить её предоставление без согласия или иного основания, предусмотренного законом.

6. По мнению экспертов необходимо проработать возможность внесения изменений в 99-З, которые бы позволили обеспечить правовую определенность в отношении права оператора персональных данных при получении запроса субъекта персональных данных по каналу, не используемому при взаимодействии соответствующих субъекта и оператора, принимать дополнительные меры по идентификации отправителя или предлагать альтернативный, доверенный канал для реализации прав субъекта персональных данных.

Например, это может быть достигнуто через внесение изменений в п.2 ст.14 99-З в части дополнения перечня подлежащих указанию данных "идентификатором, используемым во взаимодействии между оператором и субъектом".

💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал о методологии оценки применимости законного интереса как основания обработки персональных данных. Основные выводы материала:

1️⃣ Использование законного интереса как правового основания предусмотрено российским законодательством (п. 7 ч. 1 ст. 6 152-ФЗ).

2️⃣ До осуществления оценки применимости законного интереса (ОПЗИ) остальные атрибуты обработки должны быть определены и уже должны соответствовать требованиям закона, включая соблюдение принципов обработки. Цель должна быть конкретной и законной. Обработка – безусловно необходимой для ее достижения. Атрибутивный состав и объем данных, срок и действия по их обработке – минимально необходимыми для достижения цели. Информация об обработке должна быть зафиксирована оператором в удобном для актуализации формате. Такая обработка уже полностью соответствует 152-ФЗ во всем, что не касается правового основания обработки ПД.

3️⃣ Среди случаев обработки ПД, предусмотренных п. 7 ч. 1 ст. 6 152-ФЗ, наибольшей правовой определенностью характеризуется обработка ПД, необходимая для осуществления права оператора. В этой связи для более последовательного и предсказуемого применения этого основания рекомендуется опираться на конкретное субъективное право оператора.

4️⃣ Оценка заключается в прохождении трех ступеней оценки. Во-первых, ЗИ безусловно не является применимым в ряде случаев, прямо указанных в законе. Во-вторых, ЗИ должен опираться на субъективное право со ссылкой на норму закона, предоставляющую такое субъективное право оператору персональных данных. В-третьих, необходимо исключить высокорисковые для субъектов сценарии обработки, список которых может отличаться в зависимости от того, является ли та или иная обработка исключительно необходимой для осуществления основной деятельности оператора ПД.

5️⃣ Бремя доказывания наличия ЗИ в качестве основания обработки ПД лежит на операторе (ч. 3 ст. 9 152-ФЗ), в связи с чем рекомендуется надлежащим образом документировать проведение ОПЗИ.