🤔 ПМЮФ: Место и роль персональных данных в цифровом пространстве
🔸В России необходимо создать Цифровой кодекс, который аналогично Воздушному, Водному или другим систематизированным нормам установил бы правовые основы использования цифрового пространства, подчеркивают эксперты. При каких условиях из первоначального хаоса правоотношений выстроится свод правил, регулирующих деятельность в электронной среде, и почему необходимо усиливать защиту персональных данных (ПД) россиян, обсудили на прошедшем 11–12 мая XI Петербургском международном юридическом форуме.

🇪🇺🇺🇸 Французский CNIL 17.04.2023 наложил штраф в размере 5,2 млн евро на компанию Clearview AI Inc, в связи с невыполнением предписания CNIL от 17.10.2022. Ранее CNIL наложила штраф в размере 20 млн евро на Clearview AI и предписал ей не собирать и не обрабатывать данные о лицах, находящихся во Франции, без каких-либо законных оснований, а также удалить данные этих лиц после ответа на полученные запросы о доступе.
🔸У Clearview AI было два месяца на то, чтобы выполнить предписание и обосновать его выполнение перед CNIL. Однако CNIL установил, что компания Clarview AI не отправила никаких доказательств выполнения предписания в установленный срок.

🔥 К Privacy Advocates присоединяется Партнер, Александр Партин
🔸Компания Privacy Advocates, специализирующаяся на консультировании в области персональных данных, усиливает свою команду. К ней присоединяется в качестве партнера Александр Партин. Александр усилит направление Data Privacy и займется развитием направления Digital Law (блокчейн, искусственный интеллект, новые технологии).
🔸Александр Партин - юрист с 18-летним стажем, имеющий опыт работы в консалтинге (Goltsblat BLP), инхаусе (Директор по правовым вопросам Центральной и Восточной Европы, Турции, Кимберли-Кларк) и блокчейн-проекте MidHub, обладатель сертификатов CIPP/E, CIPM (от IAPP), со-председатель Кластера РАЭК Privacy&Legal Innovation, член RPPA.
🔸Privacy Advocates: команда профессионалов, занимающихся проектами в области персональных данных. Учредитель и генеральный директор компании - Алексей Мунтян, 15 лет в Data Privacy, соучредитель Russian Privacy Professionals Association (RPPA), внешний Data Protection Officer в четырёх транснациональных холдингах, автор одного из самых популярных ТГ-каналов по вопросам персональных данных (https://news.1rj.ru/str/prv_adv).

🚗 Tesla усиливает мониторинг водителя в автомобиле, начиная считать зевки, моргания и другие факторы для отслеживания усталости водителя
🔸На протяжении нескольких лет Tesla подвергалась критике за недостаточное внимание к мониторингу водителя при использовании продвинутых функций помощи в рамках пакетов Autopilot и Full Self-Driving.
🔸Теперь автопроизводитель поднимает мониторинг водителя на совершенно новый уровень. Хакер Green, известный тем, что раскрывает новые функции, найденные в программном обеспечении Tesla, обнаружил, что компания отслеживает и другие факторы, такие как зевки и моргания: «Похоже, что Tesla планирует значительно усилить мониторинг водителя (основанный на видео с камеры). Теперь компания отслеживает дополнительные факторы, такие как количество зевков у водителя за последнее время, количество морганий и их продолжительность. Все это для расчета усталости водителя».

📱 В Новосибирске сотрудник сотовой связи слил персональные данные абонентов
🔸В марте 2022 года сотрудник салона сотовой связи скопировал персональные данные абонентов и через мессенджер слил их неустановленному лицу. За это тот перечислил ему денежные средства.
🔸Суд признал работника виновным по статье «Неправомерный доступ к компьютерной информации» и назначил ему 1 год лишения свободы условно с испытательным сроком в 1,5 года.

💡Торг лицом: какую ответственность будет нести бизнес за некорректный сбор биометрии
🔸В Госдуму внесены поправки в КоАП, предполагающие штрафы за обработку биометрии без согласия граждан, а также кратное увеличение уже существующих штрафов за «незаконную обработку персональных данных». Минцифры, в свою очередь, обещает отдельные повышенные взыскания за утечку биометрии. При этом уже с июня бизнес должен перенести данные в Единую биометрическую систему.
🔸Судя по формулировкам законопроекта, он направлен на те частные биометрические системы, которые не планируют интегрироваться с Единой биометрической системой (ЕБС), полагает директор Института исследований интернета Карен Казарян. Под формулировки текущей версии законопроекта можно подвести кого угодно, подчеркивает он.
🔸В законопроекте прописана ответственность за нарушение сбора биометрических данных, но нет ответственности за нарушение правил дальнейшей работы с биометрией, обращает внимание соучредитель и член правления Ассоциации профессионалов в области приватности (RPPA) Алексей Мунтян. «Можно не выполнять требования по защите биометрии или обрабатывать биометрию способом, прямо не предусмотренным законодательством, отдельного оговоренного наказания за это нет», — добавляет он. По словам эксперта, также не решен до сих пор вопрос и об ответственности за ошибки при биометрической аутентификации (подтверждении личности). «Система может допускать ошибки, и человек может пострадать из-за того, что его приняли за другого», — поясняет Мунтян.

⚡Оператору ЕСИА разрешён доступ к единому регистру населения
🔸Минцифра считает, что изменения позволят повысить качество взаимодействия ЕСИА с ЕРН, а также с другими государственными информационными системами, обеспечивающими в соответствии с законодательством РФ обновление содержащихся в ЕСИА сведений, и усовершенствовать процесс обновления в ЕСИА данных о гражданах РФ, которые (сведения) нужны в том числе для предоставления государственных услуг и функций.

Вчера стало известно о "сливе" данных заказов предположительно волгоградской сети аптек «Волгофарм» (volgofarm.ru).

В открытый доступ был выложен частичный дамп с информацией о почти 75 тыс. заказов, а мы проанализировали полную версию этого "слива". 😎

В полном дампе заказов содержится 219,234 строки:

🌵 имя (иногда имя/фамилия или ФИО)
🌵 адрес эл. почты (41,213 уникальных адресов)
🌵 телефон (55,459 уникальных номеров)
🌵 дата заказа (с 20.11.2019 по 15.05.2023)
🌵 сумма заказа
🌵 идентификатор заказа и аптеки


Ранее (тут и тут) мы писали про "слив" данных предположительно интернет-аптеки zdravcity.ru.

🏛️ TikTok оштрафовали на $15,7 млн за допуск несовершеннолетних детей
🔸Британское Управление комиссара по информации установило, что у TikTok было около 1,4 млн несовершеннолетних пользователей с мая 2018 года по июль 2020 года. При этом компания не предпринимала адекватных и эффективных мер для удаления или запрета их аккаунтов.
🔸В ответ на штраф TikTok выступил с заявлением, в котором утверждалось, что компания не виновна в каких-либо правонарушениях.

🇪🇺🇺🇸 Австрийский DSB предписывает Clearview AI удалить данные и назначить представителя в ЕС
🔸10.05.2023 австрийский орган по защите данных ("DSB") вынес решение, в котором признал компанию Clearview AI Inc. нарушившей статьи 5(1)(a), (b) и (c), 6(1) и 9(1) GDPR и предписал ей удалить личные данные заявителя и назначить представителя в ЕС в соответствии с жалобой, поданной физическим лицом.
🔸Жалоба касалась фотографии заявителя, содержащейся в базе данных Clearview AI Inc. Такая обработка данных не могла быть законной и была несправедливой, поскольку заявитель не мог ожидать, что его фотографии будут добавлены компанией в базу данных и станут доступны различным клиентам (включая правоохранительные органы).
🔸Законный интерес у Clearview AI отсутствовал, поскольку право субъекта данных перевешивало интересы компании, в связи с серьезным вмешательством в частную жизнь субъекта данных. Указанная обработка также квалифицируется как обработка биометрических данных и относится к "специальным категориям персональных данных".
🔸Кроме того, Clearview AI подпадает под действие GDPR, поскольку отслеживает поведение жителей ЕС в соответствии со статьей 3(2)(b) GDPR, но до сих пор не назначила своего представителя в ЕС.

Телевизоры раздадут в обмен на персональные данные

Стартап Telly предложит потребителям свои К-4 телевизоры 55 дюймов в обмен на обезличенные персональные данные и просмотр рекламы. Telly не скрывает, что будет предлагать обезличенные данные владельцев телевизоров представителям брендов. Отказаться от сбора данных будет невозможно.

Первый онлайн-опрос о личной жизни пользователя нужно будет пройти уже на стадии заказа устройства. Компания намерена до конца года раздать 500 тыс. SMART-TV.

Для сбора данных у телевизора есть отдельная мини-панель. На ней будет демонстрироваться реклама в режиме нон-стоп, ролики нельзя будет отключить.

Получить бесплатный ТВ можно будет уже летом 2023 года.

⚡ЦБ соберет все персональные данные в новую систему
🔸ЦБ опубликовал перечень данных, которые должны храниться в новой автоматизированной информационной системе (АИС) «Страхование». Это единая система, в которую будет передаваться информация обо всех владельцах застрахованных автомобилей и жилья в стране.
🔸Как следует из документа, в перечень собираемых данных вошли ФИО, номер, адрес регистрации, данные паспорта и водительского удостоверения страхователя, номер, марка и модель его автомобиля, а также информация о страховом случае, включая данные о размере убытков, – всего порядка 100 типов данных.
🔸В списке информации о владельце застрахованного жилья, которая будет передаваться страховщиками в АИС, – кадастровый номер объекта недвижимости, его тип, площадь, фактический почтовый адрес и т. д. В системе в числе прочего будут содержаться полные паспортные данные, данные о привлечении к административной или уголовной ответственности, а также медицинские данные, например о характере и степени повреждения здоровья в результате аварии и проч., следует из документа на сайте регулятора.

👻 IT-эксперт Казарян рассказал о двукратной утечке данных почти всех россиян за год и посоветовал россиянам смириться с утечками персональных данных
🔸За последний год персональные данные примерно всех граждан России в среднем дважды попадали в Сеть, предположил в беседе с RTVI генеральный директор Института исследований интернета Карен Казарян. Он предложил гражданам «смириться» с этим фактом, поскольку значительная часть персональных данных жителей России «уже есть в Сети, может быть, в даркнете, и с этим ничего не сделаешь».
🔸Как отметил Казарян, сегодня необходимо сфокусироваться на поиске злоумышленников и на пресечении телефонных мошенничеств с подменой номера, подделки сим-карт и так далее, чтобы аферисты не могли нанести реальный финансовый ущерб гражданам.

🏛️ ФАС попросили проверить услуги сотовых операторов по кредитованию
🔸Об этом говорится в запросе в службу первого зампреда комитета Госдумы по просвещению Яны Лантратовой. В документе приводится пример компании «Мегафон», которая в марте этого года внесла в пользовательское соглашение пункт о согласии абонентов получать информацию по предоставлению микрокредитов.
🔸В нем также сообщается об опасениях абонентов: в случае доступа к их приложению других лиц (например, при потере или краже телефона) без их согласия могут быть оформлены кредиты. Сегодня мобильные операторы, по сути, пытаются подменить собой банки. Они фактически навязывают эту услугу по микрокредитованию, отказаться от получения информации по которой можно, лишь внимательно прочитав договор. Однако гарантий, что мобильные операторы сохранят персональные данные, нет.

⚡«РТК-Солар» обнаружил в открытом доступе 340 млн учётных записей россиян
🔸Около 340 миллионов учётных записей клиентов банков, пользователей онлайн-сервисов и соцсетей, украденных с персональных устройств граждан, было размещено в открытом доступе в январе-апреле 2023 года, сообщила компания «РТК-Солар».
🔸С начала года хакеры выложили в сеть данные 123 российских организаций общим объёмом 1,1 ТБ. Данные получены путём анализа более 2,5 тысячи Telegram-каналов противоправной тематики и даркнет-форумов.
🔸По оценке экспертов Solar AURA, от утечек данных в январе-апреле больше всего пострадала отрасль торговли (40% «сливов»), финансовый сектор (29%), а также строительство и девелопмент (13%). Утечки содержат 61,1 миллиона адресов электронной почты и 144,3 миллиона телефонных номеров. Ещё примерно четверть — это массивы документов, украденных с файловых серверов.

🔸В период с 10.05.2023 по 12.05.2023 Управлением Роскомнадзора по Сибирскому федеральному округу проведено мероприятие по контролю без взаимодействия с контролируемыми лицами на предмет выявления признаков нарушений законодательства в области персональных данных в отношении образовательных учреждений на территории Новосибирской области.
🔸По результатам проведенного мероприятия выявлены нарушения в области персональных данных в деятельности АНО СПО «ОБРАЗОВАТЕЛЬНЫЙ ЦЕНТР «РОСТ» и АНО ОШ «ПРОСВЕЩЕНИЕ». В адрес операторов направлены требования об устранении выявленных нарушений.
🔸В целях информирования операторов, осуществляющих обработку персональных данных сообщаем, что при сборе персональных данных посредством электронных форм типа «Обратная связь», «Оплатить», «Оставить отзыв», «Написать нам», «Задать вопрос», «Оформить заявку» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку персональных данных. Также необходимо разместить на сайте документ, определяющий политику организации в отношении обработки персональных данных.

⚖️ Что делать, если обзор камер системы видеонаблюдения учреждения захватывает территорию вашего домовладения? Жалуйтесь, но это может не помочь...
🔸Истец (физ.лицо) проживает рядом с детским загородным стационарным оздоровительным лагерем "Боровое". В 2018 году на заборе, огораживающем территорию лагеря, установлены видеокамеры. В 2019 году административный истец обнаружил, что обзор камеры видеонаблюдения, расположенной над воротами ограждения лагеря прямо напротив его дома, захватывает территорию его домовладения. В течение 2020-2021 годов он неоднократно обращался в администрацию Няндомского муниципального района Архангельской области с заявлениями о демонтаже данной видеокамеры, мер реагирования по результатам рассмотрения которых не принималось. Полагает бездействие административного ответчика незаконным, нарушающим его право на уважение и неприкосновенность частной жизни.
🔸Для рассмотрения указанных обращений была создана комиссия управления образования администрации Няндомского муниципального района Архангельской области, отобраны объяснения директора муниципального автономного учреждения дополнительного образования "Районный центр дополнительного образования детей", организован выезд на территорию детского лагеря.
🔸В ходе проверки выявлено, что система видеонаблюдения по периметру территории детского загородного стационарного оздоровительного лагеря "Боровое", в том числе, на въезде на данную территорию, установлена во исполнение требований нормативных правовых актов по обеспечению комплексной безопасности и антитеррористической защищенности зданий, помещений и лиц в них находящихся, что является обязанностью образовательного учреждения (пункты 2 и 15 части 3 статьи 28 Федерального закона от 29 декабря 2012 года N 273-ФЗ "Об образовании в Российской Федерации", статья 5 Федерального закона от 6 марта 2006 года N 35-ФЗ "О противодействии терроризму", пункт 2 части 13 статьи 30 Федерального закона от 30 декабря 2009 года N 384-ФЗ "Технический регламент о безопасности зданий и сооружений", пункт 6.48 СП 118.13330.2012 "Свод правил. Общественные здания и сооружения. Актуализированная редакция СНиП 31-09-2009", утвержденного приказом Минрегиона России от 29 декабря 2011 года N 635/10).
🔸Комиссия пришла к выводам о том, что ведение видеонаблюдения за территорией образовательного учреждения соответствует закону, осуществляется только для конкретных и заранее определенных правомерных целей. При этом жилой дом и земельный участок административного истца не попадают в диапазон обзора камер видеонаблюдения. Судебная коллегия по административным делам Третьего кассационного суда общей юрисдикции оставила (см. определение от 18.05.2022 N 88а-8043/2022) без изменения предыдущее судебные решения об отказе в удовлетворении исковых требований истца.

⚡Дума в первом чтении обсудит штрафы за передачу персональных данных по зарубежным мессенджерам

🇪🇺🇺🇸 Ирландская комиссия по защите данных собирается выписать рекордный штраф компании Meta за несоблюдение GDPR
🔸Нарушение заключается в том, что социальная сеть не прислушалась к ранее высказанной регулятором обеспокоенности по поводу того, что персональная информация пользователей может стать доступна спецслужбам США после того, как она передается на американские серверы. Источники Bloomberg также сообщили, что комиссия запретит Meta передавать данные пользователей в Соединенные Штаты.
🔸Точный размер штрафа не называется, однако собеседники агентства говорят о том, что он превысит €746 млн рекордного взыскания, которое регулирующий орган в Люксембурге начислил в июле 2021 года корпорации Amazon за нарушение правил защиты данных. Как говорится в статье, сам вердикт был принят на прошлой неделе и должен быть обнародован в ближайшие дни.