🇪🇺 Австрийский суд: раскрытие алгоритма или формулы расчета «маркетинговых классификаций» не является необходимым при ответе на DSAR
🔸Субъект данных обратился с запросом о доступе (DSAR) к контроллеру - поставщику почтовых услуг. Контроллер доставлял целевую политическую рекламу и субъекту данных, почему они были отнесены к определенным политическим симпатиям. Однако, по мнению субъекта данных, ответ контроллера был неполным. Например, в нем не были указаны источники данных и то, каким образом субъект данных был отнесен к определенным политическим предпочтениям для целей политической рекламы.
🔸Субъект данных подал жалобу в австрийский надзорный орган (DPA). Австрийский DPA поддержал жалобу и установил нарушение ст. 12(1) и 15(1)(g) и (h) GDPR, поскольку контроллер не предоставил информацию об источниках данных и о том, каким образом была установлена связь между субъектом данных и определенными политическими группами.
🔸Контролер обжаловал решение, утверждая, что информация, запрошенная субъектом данных, не является персональными данными, а представляет собой лишь "маркетинговые классификации", к которым не применимо ни профилирование в смысле GDPR, ни ст.22(1) GDPR.
🔸Федеральный административный суд Австрии (Bundesverwaltungsgericht - "BVwG") поддержал апелляцию контролера.
🔸Во-первых, по мнению судей, источники были должным образом раскрыты в ответе на запрос о доступе. Кроме того, раскрытие информации было прозрачным и понятным, что соответствовало требованиям ст.12(1) GDPR.
🔸Во-вторых, что касается предполагаемого нарушения ст.15(1)(h) GDPR, суд установил, что контролер предоставил достаточную информацию для понимания логики автоматизированного принятия решений в соответствии со ст. 22(1) и (4) GDPR. По сути, обрабатывались такие данные, как адрес, возраст и пол субъекта данных; использовался "статистический" метод; целью обработки было избежать доставки субъекту данных нерелевантной рекламы. Суд не стал рассматривать вопрос о том, является ли данная обработка профилированием, а также вопрос о том, являются ли "маркетинговые классификации" персональными данными. Суд указал, что раскрытие алгоритма или формулы расчета не является необходимым в соответствии со ст. 15(1)(h) GDPR.
🔸Таким образом, суд отменил решение DPA и заявил, что нарушения ст. 12 и 15 GDPR не было.

🇪🇺 Австрийский суд постановил, что создание учетной записи клиента для покупки товаров через Интернет может быть поставлено в зависимость от согласия на обработку персональных данных в рекламных целях при условии, что контроллер также предлагает возможность приобретения тех же товаров в качестве "гостя" на сайте.
🔸Субъект данных создал учетную запись у контроллера с целью приобретения товаров в Интернете. В связи с этим он якобы был вынужден дать согласие на обработку своих персональных данных в целях рекламы. Субъект данных подал жалобу в австрийский надзорный орган (DPA). Австрийский DPA признал обработку незаконной.
🔸Контролер обжаловал это решение, утверждая, что субъект данных не был фактически "вынужден" создавать учетную запись для приобретения товара. На самом деле он мог заказать товар, воспользовавшись так называемой "гостевой" опцией, что не подразумевало бы никакой обработки в рекламных целях. Напротив, создание учетной записи подразумевает, что пользователь хочет иметь доступ к скидкам и быть информированным о предложениях, касающихся продукции контроллера.

Управление по защите данных Финляндии запретило ООО "Яндекс" и нидерландской Ridetech International B.V., занимающейся обработкой личных данных пользователей такси Yango, передавать их в Россию, следует из сообщения финского ведомства.

Бренд такси Yango, связанный с российским "Яндексом", работает в столичном регионе Финляндии с 2017 года.

Анна Серебряникова поддержала предложение РОЦИТ ввести обязательное страхование ответственности для операторов персональных данных.

Сегодня СМИ сообщили о том, что крупные операторы персональных данных направили в аппарат Правительства РФ отзыв на законопроект об оборотных штрафах за утечки данных.

В Ассоциации больших данных (АБД; объединяет Яндекс, VK, Газпромбанк, Ростелеком, Мегафон и др. крупнейших операторов данных) считают, что публикация баз с персональными данными, самостоятельно раскрытыми их субъектами, не должна приводить к штрафам. Ассоциация предлагает смягчать наказание или даже не штрафовать оператора, который сделал все необходимое для защиты данных.

Неопределенность состава правонарушения в законопроекте фактически приводит к введению безвиновной ответственности для бизнеса, считают в АБД.

Позиция АБД вызвала оживленную дискуссию. Письмо Ассоциации в Правительство прокомментировал один из авторов законопроекта, председатель комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн:

"Симптоматично, что бизнес признает необходимость введения оборотных штрафов за повторную утечку персданных. Представители АБД не согласны с методикой расчета (штрафов) — в Ассоциации знают, что мы открыты для обсуждения, законопроект пока на рассмотрении в Правительстве".

Ранее председатель правления РОЦИТ Антон Горелкин предложил обсудить на площадке нашей организации инициативу о введении обязательного страхования ответственности операторов персональных данных в случае утечки:

"У РОЦИТ есть предложение обсудить обязательное страхование ответственности операторов персональных данных в случае утечки. Чтобы выгодоприобретателями по этой страховке стали люди. Это можно было бы сделать обязательным требованием для крупных операторов персональных данных".

Это предложение нашло поддержку у крупных операторов данных. Его прокомментировала президент Ассоциации больших данных, член РОЦИТ Анна Серебряникова:

"Все предложения и меры, направленные на выстраивание модели должного поведения оператора персональных данных - это хорошо. Так, добровольный аудит систем защиты баз с ПД, страхование ответственности и т. д. - это совершенно правильные инициативы. Они создают правовую определенность и способствуют защите граждан и добросовестных операторов.
А именно это - создание более безопасной и защищённой среды хранения и обработки ПД и должно являться главной целью законопроекта".

Таким образом, на площадке РОЦИТ возникает поле для конструктивного взаимодействия законодателей, бизнеса и экспертного сообщества в целях наиболее сбалансированной и эффективной защиты прав и интересов граждан при обеспечении безопасности их данных.

В Индии одобрен законопроект о защите цифровых ПД граждан

Как сообщается, нижняя палата парламента Индии одобрила представленный на прошлой неделе новый законопроект о конфиденциальности данных.

Документ вводит обязательство для компаний, собирающих ПД граждан, получать явное согласие пользователя прежде, чем обрабатывать их. Предусмотрен ряд исключений, например, платформы могут обрабатывать ПД без получения согласия, если данные передаются добровольно в ряде случаев, в частности, при предоставлении чеков или при оказании государственных слуг.

Законопроект позволяет правительству при необходимости отменять требования к соблюдению требований для некоторых хранителей данных, например, стартапов. Он также наделяет правительство полномочиями по созданию совета по защите данных и назначению всех его членов, включая председателя.

Для того чтобы законопроект о защите данных стал законом, он должен быть одобрен верхней палатой парламента и президентом Индии.

Google грозит штраф $5 млрд за слежку в режиме «инкогнито»

Суд Калифорнии отклонил запрос компании об упрощённом судопроизводстве. Дело передано на рассмотрение до полного разбирательства.

Google обвинили в нарушение правил конфиденциальности в 2020 году. По словам пользователей, браузер продолжает отслеживать их действия даже после активации режима «инкогнито». Истцы утверждают – для этого используются файлы cookie, аналитика и другие инструменты приложений. Сторона обвинения предоставила доказательства того, что компания «хранит все данные пользователей в одном хранилище, затем использует их для подбора контекстной рекламы». От компании требуют компенсации в размере не менее $5 млрд.
 
Представитель Google Хосе Кастаньеда заявил, что «режим инкогнито» в Chrome даёт возможность работать в интернете без сохранения активности пользователей в браузере. Он подчеркнул, что при открытии новой вкладки это могут делать сайты. 

В Google заявили, что их действия не наносят экономического ущерба, но суд не согласился с этим аргументом. Истцы доказали, что у браузеров существует рынок данных, и предполагаемая слежка не даёт им возможности стать участниками этого рынка. Наконец, учитывая механику сбора данных, решено, что денежная компенсация не является адекватной мерой правовой защиты. Для решения проблемы необходим судебный запрет.

В режиме «Инкогнито» не сохраняется история поиска и другой активности в интернете. Однако Google в этом режиме использовала инструменты для сбора данных, например, Google Analytics и Google Ad Manager. Эти инструменты позволяют компании собирать данные о привычках и хобби пользователя.

Google является монополистом на рынках интернет-поиска в большинстве стран мира, в том числе в России. Используя аукционную бизнес-модель ("победитель платит максимальную цену и получает весь рынок") при продаже таргетированной рекламы, Google по сути управляет спросом и предложением на национальных цифровых рынках в пользу транснациональных корпораций. При этом миллионы национальных производителей дискредитируются, так как не имеют достаточных ресурсов для победы на рекламных аукционах Google. Таким образом с национальных рынков выкачивается прибыль в пользу монополиста. Капитализация Google за последнее десятилетие увеличилась в десятки раз.

⚡В Казахстане приостановили работу домена yandex.kz: в Министерстве цифрового развития республики объяснили это решение нарушением правил по размещению
🔸В ведомстве подчеркнули, что решение было принято в соответствии с правилами регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента интернета.
🔸Министерство цифрового развития Казахстана проинформировало, что направлен запрос в ООО "Яндекс" о предоставлении развернутой информации по указанным вопросам, с предоставлением информации о местоположениях центров обработки данных, принимаемых мерах защиты персональных данных граждан Казахстана.

⚡В Грузии начали изучать законность обработки данных пользователей Яндекс Go: это связано с решением властей России предоставить ФСБ доступ к базам служб заказов легкового такси
🔸Служба персональных данных Грузии приступила к изучению законности обработки сведений пользователей сервиса Яндекс Go после решения властей РФ предоставить ФСБ доступ к базам служб заказов легкового такси. Об этом говорится в заявлении ведомства.
🔸В Яндекс Go ранее пояснили, что в Грузии компанией оперирует нидерландское юридическое лицо, удовлетворяющее требованиям ЕС, в том числе в сфере защиты персональных данных. Там также отметили, что российские правоохранительные органы не могут получать доступ к данным о поездках пользователей сервиса вне РФ.

🇬🇧 Избирком Великобритании сообщил об утечке данных в результате комплексной кибератаки. По его данным, киберпреступники, которые пока не идентифицированы, могли получить доступ к персональным данным избирателей, включая их имена, адрес проживания и электронную почту.

⚡«Яндекс Такси» заявил, что не передает ФСБ данные о зарубежных пользователях
🔸«Российские правоохранительные органы не получают доступ к информации о поездках пользователей вне России через запрос к сервису. Данные о поездках могут получить исключительно правоохранительные органы той страны, где поездка была совершена, по процедурам, прописанным в локальных законах: так работает и российское законодательство, и законодательство большинства других стран»,— сообщила пресс-служба Яндекса.
🔸В «Яндекс Такси» заявили, что большинство высоконагруженных онлайн-сервисов хранят личные данные пользователей в зашифрованном виде в разных дата-центрах. Пресс-служба подчеркнула, что расположение этих данных не зависит от страны, в которой работает сервис.

🇨🇳 Китайский регулятор выступил против установки устройств для распознавания лиц в общественных туалетах
🔸Администрация киберпространства КНР (Cyberspace Administration of China, CAC) представила проект нормативного документа в области обеспечения безопасности при использовании технологии распознавания лиц; документ, в частности, запрещает установку соответствующих устройств в отелях, общественных туалетах, раздевалках и ряде других мест.
🔸В документе указано, что технология распознавания лиц может быть использована для обработки биометрических данных только при наличии «конкретной цели и обоснованной необходимости с обеспечением строгих защитных мер».
🔸Применение технологии также требует согласия гражданина на это. В случае, если установить личность одинаково эффективно можно с помощью инструментов, не предполагающих использование биометрических данных, предпочтение должно отдаваться именно таким инструментам, говорится в проекте.
🔸Устанавливать устройства для получения изображений граждан в публичных местах предложено только ради общественной безопасности. Рядом с гаджетами должны быть размещены хорошо различимые информационные знаки, предупреждающие о наличии подобных устройств.

📱Google разрешила отключать рекомендации в YouTube
🔸У отключивших рекомендации изменится интерфейс личного кабинета YouTube. Как говорится в сообщении, изменения будут вводиться для всех пользователей «постепенно, в течение ближайших месяцев». При желании рекомендации можно будет включить вновь.

🇳🇴🇺🇸 Норвежское ведомство по защите данных Datatilsynet с 14 августа 2023 будет штрафовать признанную в России экстремистской Meta (владеет Facebook и Instagram) на 1 миллион крон в день за неправомерный сбор персональных данных (ПД) норвежцев.
🔸Регулятор заявил, что Meta не имеет права собирать ПД пользователей, включая информацию о местоположении, и использовать эти данные для показа норвежцам таргетированной рекламы.
🔸Ведомство предъявило Meta соответствующие претензии 17 июля 2023 и дало срок на устранение нарушений до 4 августа. Требования Datatilsynet, очевидно, не выполнены.
🔸Datatilsynet планирует штрафовать Meta на миллион крон в день до 3 ноября текущего года. Если компания откажется исполнять предписание надзорного органа, Datatilsynet может с санкции Европейского совета по защите данных (European Data Protection Board, EDPB) штрафовать американскую компанию неопределённо долго.

🏛️ Милош Вагнер: не утекут только те данные, которых нет
🔸Обеспечение безопасности персональных данных в интернете уже много лет – большая проблема, у людей крадут не только "безобидные" почту и номер телефона, но порой и всю жизнь: заводят фирмы для незаконной торговли, берут кредиты. Как сами граждане, а главное компании-держатели этой чувствительной информации могут защитить данные, почему не существует людей без цифрового следа, и куда обращаться, если у вас все-таки украли "личность", рассказал замглавы Роскомнадзора Милош Вагнер.

👮‍♂️Прокуратура Еврейской автономной области провела проверку исполнения законодательства о персональных данных, в деятельности департамента здравоохранения правительства области выявлены нарушения.
🔸Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» предусмотрено издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
🔸В нарушение требований федерального законодательства департаментом здравоохранения правительства области как оператором персональных данных не выполнены обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных.
🔸В этой связи, прокуратурой области в отношении департамента здравоохранения правительства области вынесено постановление по делу об административном правонарушении по ч. 3 ст. 13.11 КоАП РФ (нарушение законодательства Российской Федерации в области персональных данных), по результатам рассмотрения которого юридическому лицу судом назначено наказание в виде штрафа в размере по 30 тыс. рублей.

🇪🇺Штраф за незаконную обработку медицинских данных персонала в связи с возможным расторжением трудовых договоров
🔸Кто: BDI Berliner (Германия)
🔸Кого: неназванная компания
🔸Когда: 2023.08
🔸За что: нарушение ст. 5(1)(b), 9(2)GDPR
🔸Как: штраф 215,000
🔸Причина: компания вела базу данных со специальными категориями персональных данных своих сотрудников. База данных велась с целью выбора сотрудников для увольнения по окончании испытательного срока. Такая база данных включала в себя информацию о психологическом состоянии некоторых сотрудников, обращениях за психотерапией, а также их склонности к вступлению в профсоюз.
Компания незаконно обрабатывала специальные категории данных, включая данные о здоровье, так как договор между работодателем и сотрудниками не может быть действительным правовым основанием для рассматриваемой обработки. При определенных обстоятельствах работодатель может потребовать от своих сотрудников предоставления определенных данных, в том числе и конфиденциальных. Тем не менее, рассматриваемые в данном случае действия по обработке, даже если они основывались на данных, предоставленных непосредственно работниками, не были необходимы в контексте договора и нарушали принцип ограничения цели.

🤔Вынужденная посадка: изменят ли Рунет новые правила «приземления»
🔸В конце июля президент утвердил изменения в федеральные законы «Об информации» и «О связи». Согласно их новым редакциям, в России вводится регулирование деятельности хостинг-провайдеров, новые правила регистрации на российских сайтах, а также уточняются требования к владельцам новостных агрегаторов. Изменения будут вводиться поэтапно, а полностью они вступят в силу к III кварталу 2024 года. О том, что значат новые правила для Рунета, интернет-предпринимателей и рядовых пользователей, рассуждает основатель и генеральный директор хостинг-провайдера RUVDS Никита Цаплин.

#materials #rppa #dpo

👍❤️‍🔥Представляем вашему вниманию Перечень компетенций DPO - первый в России документ, который вводит структурированный подход к компетенциям в сфере приватности

📍Авторы: экспертная группа RPPA

По вопросам и улучшениям пиши @krakozubla.

🏛️ Опубликован проект требований к содержанию и размещению информации о применении рекомендательных технологий

🇬🇧 09.08.2023 исполнительный директор Управления комиссара по информации (ICO) по регуляторным рискам опубликовал совместное сообщение со старшим директором отдела цифровых рынков Управления по конкуренции и рынкам (CMA), в котором объявил о выпуске совместного документа ICO-CMA о вредном дизайне на цифровых рынках. Документ адресован веб-дизайнерам, разработчикам и организациям, создающим веб-сайты.