Принято Постановление Правительства РФ от 20.10.2021 N 1799, которое утверждает Правила аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПДн, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических ПДн.
Вступает в силу с 1 января 2022 и действует до 1 января 2028.
Аккредитация проводится Минцифры РФ и действует без ограничения срока.
Правила в том числе устанавливают:
- Порядок аккредитации;
- Порядок приостановления и прекращения действия аккредитации;
- Порядок внесения изменений в перечень аккредитованных организаций и изменения области аккредитации;
- Дополнительные требования к аккредитации организаций, являющихся иностранными юридическими лицами.

Постановление Правительства РФ от 20.10.2021 N 1801 "Об утверждении Правил идентификации пользователей информационно-телекоммуникационной сети "Интернет" организатором сервиса обмена мгновенными сообщениями"

Вступает в силу с 01 марта 2022 года и действует до 01 марта 2028 года.

Презентация Ирины Шурминой (CMS Russia), "Реклама и персональные данные: острые вопросы".

Минцифры РФ планирует усилить контроль за обработкой персональных данных.

Например, если в течение полугода будет получено более 10 сообщений о доступности и распространении в интернете баз персональных данных, принадлежащих какой-либо компании, Роскомнадзор сможет проводить внеплановые проверки операторов соблюдения ими законодательства.

Также поводом для проверки послужит выявление в течение полугода более 10 фактов нарушения оператором требований об уточнении, блокировке или уничтожении недостоверных или полученных незаконным путем ПД.

https://safe.cnews.ru/news/top/2021-10-22_vlasti_usilyat_kontrol_za

Ссылка на проект приказа Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой персональных данных
https://regulation.gov.ru/projects#npa=121799

Приговор 3,5 года за кражу компьютерной информации (содержащей персональные данные) из базы оператора связи.

https://valerykomarov.blogspot.com/2021/10/2741_25.html

В команде Сбера открыта вакансия Руководитель направления структурного подразделения, ответственного за организацию обработки персональных данных.

Вознаграждение 150-250 тысяч рублей в зависимости от профессиональных компетенций успешного финалиста.

Вопросы по email voshalamaeva@sberbank.ru

Если в вашем бизнесе есть отношения с Белорусскими компаниями вида Оператор - Уполномоченное лицо (Обработчик), до 15 ноября 2021 года нужно дополнить договоры требованиями к поручению на обработку по ст. 7 закона РБ "О защите персональных данных" (от 7 мая 2021 г. № 99-З).

"Статья 7. Обработка персональных данных по поручению оператора

1. Уполномоченное лицо обязано соблюдать требования к обработке персональных
данных, предусмотренные настоящим Законом и иными актами законодательства.
В договоре между оператором и уполномоченным лицом, акте законодательства либо
решении государственного органа должны быть определены:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными
уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со статьей 17
настоящего Закона."

Закон РБ указывает не об отсылке на ст. 17, а об их определении по ст. 17.

Одна из мер по ст. 17:

"осуществление технической и криптографической защиты персональных данных
в порядке, установленном Оперативно-аналитическим центром при Президенте
Республики Беларусь, в соответствии с классификацией информационных ресурсов
(систем), содержащих персональные данные."

От 350 000 рублей в месяц Руководителю направления процессов обработки персональных данных в УК Альфа-групп.

Яндекс.Такси ищет Юриста в области приватности.
Пример того, с чем можно столкнутся на (возможной) работе.

В дополнение к пояснениям Роскомнадзора об обязанности по публикации политики прилагается слайд презентации со дня открытых дверей Роскомнадзора 2017 года.

Согласно позиции на слайде, отсутствует административная ответственность по ч. 3 ст. 13.11 КоАП РФ за содержание документа, определяющего политику в отношении обработки персональных данных.

Еще в 2017 году Роскомнадзор указывал, что обезличивание возможно только для гос. и мун. органов. С тех пор позиция не изменилась.

Комитет Госдумы по безопасности и противодействию коррупции поддержал концепцию законопроекта о хранении бизнесом внутренней переписки в течение трех лет. С 2016 года такая обязанность распространяется на данные, которые передаются по каналам связи. Теперь предлагается обязать бизнес хранить переписку из технологических сетей связи с номерами автономной системы.

https://iz.ru/1242837/natalia-bashlykova/zapomnit-vse-biznes-khotiat-obiazat-tri-goda-khranit-perepisku-v-zakrytykh-setiakh

Подборка НПА по реформе ЕБС, принятых в последнее время в соответствии с ФЗ от 29.12.2020 N 479-ФЗ. Подготовил Олег Ксенофонтов.

1. Постановление Правительства РФ от 23.10.2021 № 1815 об утв. перечня
- Случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических ПДн в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических ПДн
- Случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в ч.1 ст. 761 ФЗ о ЦБ виды деятельности, субъектами национальной платежной системы, ИП указанных информационных систем для идентификации либо идентификации и аутентификации физ. лица, выразившего согласие на их проведение

http://publication.pravo.gov.ru/Document/View/0001202110260023

2. Приказ Минцифры от 10.09.2021 № 930 об утв.
- Порядка обработки, включая сбор и хранение, параметров биометрических ПДн
- Порядка размещения и обновления биометрических ПДн в ЕБС и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических ПДн
- Требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн в целях проведения идентификации

http://publication.pravo.gov.ru/Document/View/0001202110280037

3. Постановление Правительства РФ от 20.10.2021 № 1799 об
- Аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПДн, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических ПДн

http://publication.pravo.gov.ru/Document/View/0001202110210028

4. Постановление Правительства РФ от 15.10.2021 № 1754 об утв.
- Требований к проверке простой электронной подписи, которой в соответствии с ч. 5 и 23 ст. 14.1 ФЗ "Об информации…" подписаны согласия на обработку ПДн и биометрических ПДн, при хранении указанных согласий

http://publication.pravo.gov.ru/Document/View/0001202110180013

5. Постановление Правительства РФ от 15.10.2021 № 1753 об утв.
- Требований к организационным и техническим условиям осуществления МФЦ предоставления государственных и муниципальных услуг
- Размещения или обновления в ЕСИА, необходимых для регистрации физ. лиц в данной системе
- Размещения биометрических ПДн в ЕБС с использованием программно-технических комплексов

http://publication.pravo.gov.ru/Document/View/0001202110180003

6. Постановление Правительства РФ от 20.10.2021 № 1798 об утв.
- Правил осуществления Роскомнадзором и ФСБ контроля и надзора за соблюдением МФЦ предоставления государственных и муниципальных услуг порядка размещения и обновления биометрических ПДн в ЕБС

http://publication.pravo.gov.ru/Document/View/0001202110210025

Статья TADVISER о том, какие подходы к управлению данными существуют в разных странах мира, включая Россию, и как государства пытаются найти баланс между защитой приватности граждан и получением максимальной выгоды от использования данных для экономического роста.

Узбекистан. "Узкомнадзор в среду ограничил работу социальных сетей и мессенджеров Telegram, Facebook, "Одноклассники" и YouTube из-за нарушения закона о персональных данных.
"По поручению президента начальник Государственной инспекции по контролю в сфере информатизации и телекоммуникациям Голибшер Зияев освобожден от занимаемой должности за ошибочные и несогласованные действия, по произошедшему факту будут проведены следственные действия", - написал Асадов в своем Telegram-канале."

https://ria.ru/20211103/uzbekistan-1757642081.html

Приказ Роскомнадзора от 14 сентября 2021 г. N 183 изменил перечень стран, обеспечивающих адекватный уровень защиты прав субъектов персональных данных (зарегистрировано в Минюсте России 21 октября 2021 года).

Исключены из перечня:
➡️ Аргентинская Республика,
➡️ Королевство Марокко,
➡️ Республика Чили,
➡️ Тунисская Республика.

Включены в перечень:
✅ Народная Республика Бангладеш,
✅ Республика Беларусь,
✅ Республика Замбия,
✅ Республика Нигер,
✅ Республика Таджикистан,
✅ Республика Узбекистан,
✅ Республика Чад,
✅ Социалистическая Республику Вьетнам,
✅ Тоголезская Республика,
✅ Федеративная Республика Бразилия,
✅ Федеративная Республика Нигерия.

О рисках оплаты проезда в метрополитене с использованием Face Pay.

Статьей 86 ТК РФ предусмотрен исключительный перечень случаев обработки персональных данных.

"обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества".

Возникает вопрос, как обрабатывать ПД, например, для целей ДМС или предоставления работникам абонементов на фитнес.

1) Работник и работодатель обязаны соблюдать ЛНА согласно ст. 21 и ст. 22 ТК РФ. Работодатель может принять ЛНА о ДМС, а также об обеспечении бытовых нужд работников, связанных с исполнением ими трудовых обязанностей, в виде корпоративного абонемента на фитнес.
2) Согласно ст. 57 ТК РФ, в трудовой договор могут быть включены условия об улучшении социально-бытовых условий работника и членов его семьи. К этому может относиться и фитнес, и ДМС. Работодатель обязан выполнять условия трудового договора согласно ст. 22 ТК РФ.

Пункт 1 и 2 дадут попадание в ст. 86 ТК РФ "... в целях обеспечения соблюдения законов и иных нормативных правовых актов"

Пост подготовлен на основе комментариев Станислава Румянцева в группе Facebook GDPR&152ФЗ.

Добрый день, коллеги! Делюсь интересным рудебным решением Верховного Суда UK (UKSC) от 10 ноября по коллективному иску против Google: https://www.supremecourt.uk/cases/docs/uksc-2019-0213-judgment.pdf . Коротко говоря, UKSC отклонил аппелацию против решения High Court (EWHC) об отказе в иске. Лорд Leggatt, который дал leading judgement указывает, что истцы не представили доказательств действительного материального или морального (distress) ущерба, который был им нанесен Google. Суть иска была в том, что Google незаконно искользовал cookies, фактически обходя настройки Safari, которые не разрешали этого делать без согласия пользователей. Интересное решение по ряду причин. В частности, в нем подробно разбираются принципы обработки данных, правовые основания и права субъекта. Но самое примечательное, что рельефно выражен старый принцип английского права (уже в Robinson v Harman (1848) упоминается как давно установленный), согласно которому возмещение убытков носит компенсационный характер, а не является наказанием для ответчика, даже, если правонарушение доказано. Это одна из ключевых особенностей английского права, отличающая его от других правовопорядков. Надо сказать, что это правило постепенно смягчается в последнее время. Для взыскания морального вреда (distress, “physical inconvenience”), например, поворотным моментом стало дело Farley v Skinner [2001].

"Биометрические данные должны храниться в единой системе биометрической идентификации, а государство должно быть ответственным за их хранение. Об этом Владимир Путин заявил на международной конференции по искусственному интеллекту и анализу данных AI Journey 2021...

При этом, подчеркнул президент, необходимо обеспечить организациям свободный доступ к информации, но в полностью зашифрованном виде, исключающем любое внешнее вмешательство, открытый доступ к персональным данным человека."

https://www.ntv.ru/novosti/2633201/