На портале RPPA опубликовано "Руководство по распознаванию лиц" от 28.01.2021 (принято Консультативным комитетом Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108)) - https://rppa.ru/npa/t-pd_2020_03rev4_28.01.2021

Штраф в ЕС за нарушения при распознавании лиц

Кто: Garante per la protezione dei dati personali (Италия)

Кого: Clearview AI, Inc.

Когда: 2022.02

За что: нарушение ст. 5(1)(a), 5(1)(b), 5(1)(e), 6, 9, 12, 13, 14, 15, 27 GDPR

Как: штраф €20,000,000 и несколько предписаний – удалить данные субъектов из Италии; прекратить сбор и дальнейшую обработку персональных данных в системе распознавания лиц; назначить в течение 30 дней представителя в ЕС.

Причина: Clearview AI находится в США и владеет базой данных из 10 миллиардов изображений лиц людей со всего мира, которые извлекаются из общедоступных веб-источников, а также с помощью искусственного интеллекта формирует профили людей с помощью извлеченной из изображений биометрии и связанных с изображениями метаданных.
Персональные данные, включая биометрические данные и информацию о геолокации, были обработаны компанией без надлежащего правового основания, поскольку законный интерес американской компании не может квалифицироваться таким образом. Кроме того, компания нарушила несколько основных принципов GDPR, таких как прозрачность, ограничение цели и ограничение срока хранения; компания не предоставила субъектам данных информацию, указанную в ст.13-14 GDPR, не предоставила по запросам субъектов информацию об обработке персональных данных в соответствии со ст.15 GDPR в установленные сроки, а также не назначила представителя в ЕС.

Первоисточник: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9751362

Базовый перечень категорий субъектов персональных данных. Печень состоит из 35 категорий субъектов персональных данных, объединенных в 5 макрокатегорий, и будет применим к большинству организаций. Приведённый перечень категорий субъектов не является исчерпывающим и требует адаптации/дополнения в соответствии спецификой деятельности и её регулирования в отношении отдельно взятой организации.
https://rppa.ru/analitika/subekty_pd

Прочёл очередную новость об отключении российских пользователей от очередного иностранного ИТ-сервиса (https://vc.ru/services/379922-polzovateli-iz-rossii-nachali-soobshchat-ob-udalenii-rabochih-prostranstv-v-slack-eto-zatronulo-komandy-sbera). Не люблю заниматься самоцитированием, но все же приведу отрывок из своей аналитической записки 2014г. для клиентов касаемо 242-ФЗ о локализации БД с ПД российских граждан:
4. Описание политической и правовой ситуации, послужившей фоном для принятия 242-ФЗ
4.1. С учетом роста мировой геополитической напряженности в первой половине 2014 года между РФ и рядом зарубежных стран, а также в условиях взаимных и встречных санкций различного характера, представители российской исполнительной и законодательной власти выступили с целым рядом инициатив по обеспечению национальной безопасности РФ в информационной, финансовой и иных сферах.
4.2. Так, в марте 2014 года, после того как США ввели санкции против РФ в связи с присоединением Крыма к России и международные платёжные системы «Виза» и «МастерКард» во второй раз в истории остановили обслуживание платежных карт нескольких российских банков в торговых точках и банкоматах международной сети, вновь стало актуальным создание в стране национальной системы платёжных карт, независимой от состояния международных отношений. В РФ был принят Федеральный закон от 05.05.2014 № 112-ФЗ, которым внесены изменения, направленные на обеспечение бесперебойности осуществления переводов денежных средств, осуществляемых в рамках платежной системы на территории РФ. Фактически, власти РФ предприняли попытку инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри РФ, то есть операционные центры и платёжные клиринговые центры должны обязательно находиться на территории РФ. Также в законе предусмотрен запрет на передачу и предоставление доступа иностранным государствам к информации о внутрироссийских платёжных транзакциях.
4.3. Схожим образом власти РФ стали действовать для обеспечения «информационного и цифрового» суверенитета РФ, элементом обеспечения которого и стало принятие 242-ФЗ. При принятии 242-ФЗ законодатель указал, предлагаемые изменения соответствуют, в том числе и практике Европейского суда по правам человека: «Так, 13 мая 2014 года Европейский суд по правам человека вынес решение, согласно которому поисковые интернет-сервисы должны принимать во внимание просьбы физических лиц об удалении, открыто размещенной информации с упоминанием их имени из поисковых результатов. При этом, IT-компании, владеющие поисковыми системами в сети «Интернет», обязаны нести ответственность за распространение персональных данных пользователей, опубликованных на сайтах третьих лиц».
4.4. Тем не менее, при анализе норм 242-ФЗ можно прийти к выводу о существовании как минимум еще двух мотивов для властей РФ:
4.4.1. Возникновение у иностранных компаний (например, операторов социальных сетей), осуществляющих свою деятельность в РФ посредством информационно-телекоммуникационной сети «Интернет», обязанности по обеспечению обработки ПДн российских граждан на территории РФ. Таким образом обеспечивается возможность оперативного доступа к указанным ПДн со стороны правоохранительных органов РФ;
4.4.2. Обеспечение непрерывности деятельности российских компаний, являющихся дочерними по отношению к иностранным компаниям или пользующихся ИТ-услугами иностранных компаний. В частности, очень многие «дочки» иностранных компаний пользуются ресурсами ИС, предоставляемыми иностранными компаниями, для обработки ПДн в таких целях как кадровый учет, расчет заработной платы или взаимодействие с контрагентами. Блокировка обработки ПДн в подобных ИС из-за санкций может в кратчайшие сроки нанести серьезный удар по бизнесу компаний-резидентов РФ.

«Яндекс.Еда» опровергла утечку данных пользователей сервиса. В компании пояснили, что с 1 марта утечек данных пользователей зафиксировано не было. При этом 22 марта на одном из сайтов были опубликованы данные пользователей сервиса: номер телефона, имя и адрес.
https://www.rbc.ru/business/23/03/2022/623a50439a79470a32c1eff4

Роскомнадзор составил на компанию «Яндекс.Еда» административный протокол за утечку персональных данных клиентов. Доступ к карте с пользовательскими данными заблокирован, сообщили в ведомстве. https://www.kommersant.ru/doc/5271448

⚡️Роскомнадзор уточняет, не сам сервис, а ресурс с данными утечки из "Яндекс.Еды" внесен в реестр нарушителей прав субъектов персональных данных, доступ к нему ограничен

Прокуратура объявила предостережения находящимся в Подмосковье компаниям IKEA и OBI под зарубежным управлением, а также производителям Michelin, Grundfos и JCB для недопущения нарушений прав сотрудников. Ранее Генпрокуратура РФ поручила организовать ежедневный мониторинг соблюдения законодательства организациями, находящимися под иностранным влиянием и осуществляющими деятельность на территории Московской области.
Источник: https://tass.ru/ekonomika/14161861
Комментарий: Не стоит переоценивать влияние моратория на проведение плановых проверок юрлиц и ИП в 2022 году, установленного ПП РФ от 10.03.2022 № 336. Даже безотносительно сохранения иных способов осуществления Роскомнадзором контрольно-надзорной деятельности (см. ПП РФ от 29.06.2021 № 1046), органы прокуратуры будут проявлять повышенный интерес к соблюдению законности иностранными компаниями, включая вопросы соблюдения требований законодательства РФ о ПД.

Продолжая вчерашнюю тему: В скором времени Яндекс.Еда будет подключена к инструменту для управления данными, который Яндекс запустил в прошлом году. С его помощью можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их раз и навсегда. https://yandex.ru/blog/company/dannye-kotorye-my-ne-uberegli-i-uroki-kotorye-my-izvlekli

Рубрика "В гостях у сказки" 🙃
Некоторые выводы, которые можно сделать после ознакомления с постановлением Девятого арбитражного апелляционного суда от 09.02.2022 № 09АП-87227/2021 по делу № А40-163911/2021 (Роскомнадзор vs Аэрофлот) 👉https://kad.arbitr.ru/Card/d91ada1f-4138-4793-9a7b-808ac8a65ddd:
✅ не обязательно прекращать обработку ПД бывших работников в пятилетний срок с момента их увольнения;
✅ хранение документов, в том числе архивное хранение, может осуществляться не только в бумажном, но и в электронном виде;
✅ в законодательстве РФ отсутствует такое понятие, как "документ, переведенный в статус архивного", а установленные приказом Росархива от 20.12.2019 № 236 сроки хранения документов применяются в силу самого факта наличия того или иного документа в перечне документов, утвержденных данных приказом, а не в силу признания документа архивным;
✅ согласие работника на передачу его ПД (ст.88 ТК РФ) обязательно должно соответствовать требованиям ч.4 ст.9 152-ФЗ только в случае обработки специальных категорий ПД или биометрических ПД, а также в случае трансграничной передачи ПД (в неадекватные страны);
✅ работодатель имеет право передавать ПД работника без получения его согласия - в случаях, предусмотренных п.п.2-11 ч.1 ст.6 152-ФЗ;
✅ норма п.5 ч.1 ст.6 152-ФЗ распространяется на трудовые отношения между работником и работодателем (в т.ч. касаемо передачи ПД работника), хотя Роскомнадзор считает иначе - что указанная норма применима исключительно к гражданско-правовым договорам, а основания для обработки ПД в рамках трудовых отношений определены в гл.14 ТК РФ.

Уже традиционно, в помощь всем интересующимся, публикую актуальную (644 слайда, 64 МБ) версию презентации "Рассмотрение механизмов и специфики применения Общего регламента ЕС о защите данных (GDPR)" (во многом являющейся компиляцией ранее опубликованных материалов из других источников), состоящую из 28 разделов. По сравнению с предыдущим изданием добавлено новые разделы "Прозрачность и понятность обработки данных", "Биометрические данные и видеонаблюдение" и 44 новых слайда:
* Обзор контекста принятия и механизмов GDPR
* Территориальная сфера действия GDPR и трансграничная передача данных
* Рекомендации, руководства и практические пособия
* Вспомогательная информация от коммерческих и некоммерческих организаций
* Прозрачность и понятность обработки данных
* Data Protection (Privacy) by Design and by Default
* Data Protection Impact Assessment
* Records of Processing Activities
* Legitimate Interests
* Data Breach
* Data Protection Officer
* Соглашения об обработке и защите данных
* Взаимодействие с пользователями сайтов и мобильных приложений, а также маркетинг
* Биометрические данные и видеонаблюдение
* Большие данные, искусственный интеллект, машинное обучение и профилирование
* Автоматизация Privacy и Data Protection
* Защита персональных данных
* Псевдонимизация и анонимизация
* Международные стандарты
* Правоприменительная практика
* Штрафы – базы дел и аналитика
* Штрафы – интересные кейсы
* Иные санкции и меры принуждения
* Судебная практика – базы решений и интересные ситуации
* Влияние GDPR на бизнес
* Итоги применения GDPR в 2018-2021гг. и дальнейшие перспективы
* Законодательные инициативы о персональных данных в ЕС и США
* Модернизация Конвенции 108 и ее влияние на регулирование в РФ
https://rppa.ru/_media/analitika/gdpr_26.03.2022.pdf

"Справедливая Россия - За правду" на встрече с Мишустиным предложила совместить минкультуры и РКН в одно министерство - Миронов https://ria.ru/20220329/minkult-1780736226.html
Комментарий: если эту инициативу реализовать, то может получиться Россвязьохранкультура 2.0

Норвежский орган по защите данных («Datatilsynet») 28.03.2022г. опубликовал руководство по обработке персональных данных при проверке благонадежности соискателей ("background checks") на замещение вакантных должностей, которая включает в себя управление связанными с соискателями юридическими, репутационными и комплаенс (предотвращение и урегулирование возможного или существующего конфликта интересов, противодействие коррупции) рисками, а также проверку полноты и достоверности предоставленных соискателями сведений.
Текст руководства доступен только на норвежском языке - https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/for-ansettelse---bakgrunnsundersokelser/

Компаниям, использующим облачные сервисы SAP, следует обратить внимание на приостановку предоставления таких сервисов в РФ. Это касается, в т.ч. сервиса "Russia Cloud Residency Solution", который уже несколько лет предлагается как промышленное решение для выполнения требования ч.5 ст.18 152-ФЗ "О персональных данных" в отношении локализации в РФ баз с персональными данными российских граждан, обрабатываемых с использованием облачных сервисов SAP (например, SuccessFactors). Иначе говоря, для потребителей сервисов SAP возникает ряд вызовов, связанных как с поддержанием стабильности функционирования и доступности привычной облачной инфраструктуры, так и с RU Data localization compliance.
https://news.sap.com/2022/03/sap-continues-to-stand-in-solidarity-with-ukraine/ 
https://quote.rbc.ru/news/short_article/623d71679a79474564bdf3cb

Клиенты сервиса "Яндекс.Еда" подали коллективный иск к этой компании на общую сумму 3,3 млн рублей из-за утечки данных пользователей в открытый доступ в интернете, сообщил директор по правовым вопросам юридического сервиса Destra Legal Борис Фельдман, который представляет интересы 33 истцов. Каждый из истцов требует компенсацию в 100 тыс. рублей. Иск поступил в Замоскворецкий районный суд Москвы, дата заседания пока не назначена. В суде сообщили, что зарегистрировали этот иск.
https://tass.ru/ekonomika/14226409

💡Эксперт «Суммы технологии» Ольга Шаповалова проанализировала правоприменительную практику в России в 2020–21 годах. Ключевые выводы по текущей практике в РФ:
📌 Роскомнадзор интересуется преимущественно юридическими лицами (в большей степени бизнес-структурами), а наказанию подвергались операторы, но не их должностные лица;
📌 прокуратура интересуется преимущественно бюджетными учреждениями (образования, культуры, здравоохранения и т.д.) и органами местного самоуправления, а наказанию подвергались должностные лица операторов (в основном руководители организаций), но не сами организации;
📌 Роскомнадзор возбуждает дела по большинству составов, предусмотренных ст. 13.11 КоАП РФ, а органы прокуратуры в 60% случаев наказывают за отсутствие политики обработки персональных данных (ч.3 ст.13.11 КоАП РФ);
📌 Роскомнадзор является основным инициатором привлечения операторов к административной ответственности в Москве, а за пределами столицы - органы прокуратуры (80% случаев);
📌 основной мерой административной ответственности в Москве является штраф, а за пределами столицы - предупреждение (в отношении должностных лиц за отсутствие политики обработки ПД).
🔑 Источник: https://summa.technology/article/narushenie-poryadka-obrabotki-personalnyh-dannyh

Комитет Госдумы по финансовому рынку одобрил к первому чтению законопроект, исключающий публикацию в СМИ и интернете персональных данных о сотрудниках госорганов и организаций, попавших под санкции. Законопроект предлагает не размещать на сайтах органов и организаций, попавших под санкции Запада, персональную информацию об их служащих и работниках, а также не предоставлять ее для опубликования в СМИ. Это, в частности, касается сведений об их доходах и расходах, имуществе и обязательствах имущественного характера, трудоустройстве, составе семьи. Соответствующие изменения вносятся в законы "О противодействии коррупции" и "О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам".
https://ria.ru/20220330/dannye-1780868405.html

⚡Октябрьский районный суд Санкт-Петербурга зарегистрировал исковое заявление Николая Камнева к ООО "Яндекс" и ООО "Яндекс.Еда" с требованием компенсации морального вреда на 800 тысяч рублей после утечки данных.
#яндекседа #иск #privacy
https://ria.ru/20220330/isk-1780940508.html

Минцифры РФ предлагает ввести оборотные штрафы за утечку персональных данных

Минцифры РФ предлагает ввести большие оборотные штрафы для компаний, допустивших утечку персональных данных, заявил на расширенном заседание комитета Госдумы по информационной политике глава ведомства Максут Шадаев.

"Мы будем просить в этом году, совместно с Роскомнадзором будем выходить с инициативой вводить большие оборотные штрафы для бизнеса, который допустил утечку персональных данных", - сказал Шадаев.

Накануне вместе с коллегами по Экспертному совету «Единой России» разбирали новые поправки в закон о персональных данных. Основные акценты сделаны на борьбу с утечками (операторы теперь будут обязаны незамедлительно информировать об инцидентах с базами персональных данных) и их незаконным оборотом.

В законе появится принцип экстерриториальности – что позволит регулятору контролировать обработку персональных данных россиян зарубежными компаниями. Это симметричные меры, поскольку такой же принцип прописан в законодательстве ЕС и США, и сейчас получается так, что российские компании поставлены в неравное правовое положение с иностранцами.

Кроме того, изменения коснутся условий трансграничной передачи персональных данных россиян. Сейчас этот порядок не урегулирован, что дает возможность недобросовестным операторам безнаказанно их передавать в недружественные страны – что создает существенную угрозу в условиях текущей внешнеполитической ситуации.

Законопроект успешно прошел Экспертный совет партии и сегодня внесен на рассмотрение Государственной Думы.

👆Законопроект № 101234-8
О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных https://sozd.duma.gov.ru/bill/101234-8