⚡«Почта России» с 1 сентября начнет требовать от отправителей заказных писем предъявить паспорт. Это связано с апрельским приказом Минцифры, в котором прописано требование к идентификации отправителей. Тем, кто захочет отправить письмо от имени другого человека, потребуется предъявить доверенность.

⚡Роскомнадзор проверит хостинг mtw.ru после возможной утечки личных данных пользователей
🔸Ранее в ряде телеграм-каналов появилась информация, что в Сеть попали SQL-дампы с данными клиентов, предположительно, хостинговой площадки mtw.ru. Отмечалось, что в файлах находились таблицы, в которых были указаны фамилии, имена и отчества россиян, около 12 тысяч адресов электронной почты, столько же телефонных номеров, порядка 100 тысяч логинов и хешированных паролей. Также в интернет попали паспортные данные пользователей, IP-адреса и домены.

🇬🇧 Британское Управление комиссара по информации (ICO) 18.08.2023 начало публичные консультации по проекту своего руководства по биометрическим данным и биометрическим технологиям.
🔸В руководстве подробно описывается, как применяется законодательство о защите данных при использовании биометрических данных в системах биометрического распознавания. Руководство предназначено для организаций, которые используют или рассматривают возможность использования систем биометрического распознавания. В руководстве, в частности, рассматриваются следующие вопросы:
- определение биометрических данных и биометрических данных специальной категории;
- как биометрические данные используются в системах биометрического распознавания;
- законодательные требования к защите данных при использовании биометрических данных, в том числе, когда требуется проведение оценки воздействия на защиту данных (DPIA).
🔸Кроме того, руководство содержит краткое изложение проекта оценки воздействия на защиту биометрических данных. Однако в руководстве не рассматриваются требования к защите данных для правоохранительных органов или служб безопасности.

«Камаз» запретил сотрудникам использовать технику Apple на работе

Под запрет попали смартфоны, часы, планшеты, ноутбуки, стационарные компьютеры этого бренда. В устройствах Apple не должны использоваться корпоративные SIM-карты, а информсистемы «Камаза» больше не будут поддерживаться на этих гаджетах.

Соответствующий приказ подписал гендиректор «Камаза» Сергей Когогин.

Продукция американского производителя признана недостаточно надежной с точки зрения защиты информации, отмечается в сообщении корпоративного издания.

Аукционный дом случайно опубликовал адреса владельцев дорогих картин

Профессор немецкого университета при съемке своих картин для реализации через аукцион, случайно вместе с фотографиями передал геолокацию точного месторасположения ценных экспонатов. Эта информация была доступна на сайте британского аукционного дома Christie's для всех желающих, включая преступников.

Профессор сделал снимки своих картин для продажи через аукцион и отправил в Christie's. Ему пообещали, что в течение нескольких недель дадут оценку их стоимости и сообщат, будут ли реализовывать с аукциона. При фотосъемке владелец случайно сохранил свою геолокацию, которая сохранилась после размещении фотографий на сайте Christie's. Любой желающий смог увидеть точное расположение не только дома, но и места в помещении, где были сняты произведения искусств, сообщил The Washington Post.

Сотни других потенциальных клиентов аукционного дома были подвержены тому же риску, сообщили два исследователя кибербезопасности Мартин Чирсич и Андре Зилч, которые и обнаружили уязвимость на сайте.

💡«Закон об авторизации»: разъяснения от Кластера «РАЭК / Privacy & Legal Innovation»
🔸Кластер «РАЭК / Privacy & Legal Innovation» подготовил разъяснения к Федеральному закону от 31.07.2023 № 406-ФЗ «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "О связи"».

🏛️ Минюст поддержал предложение ввести оборотные штрафы за утечки данных
🔸Минюст подготовил отзыв правительства на законопроект об оборотных штрафах на операторов персональных данных за утечки. Кабмин поддерживает инициативу, ранее выдвинутую сенаторами Андреем Турчаком и Ириной Рукавишниковой и депутатом Госдумы Александром Хинштейном, но при условии доработки. Об этом говорится в письме статс-секретаря – замминистра юстиции Андрея Логинова в адрес Минцифры, Минфина и Минэка и проекте официального отзыва правительства на законопроект. Согласно материалам, замечания этих трех министерств были учтены. Логинов просит ведомства согласовать текст до 18 августа с учетом «сжатых сроков».
🔸Разногласия по законопроекту возникли главным образом по двум вопросам: следует ли засчитывать добровольные выплаты операторов гражданам, чьи данные утекли, в качестве смягчающего обстоятельства, а также каким именно должен быть размер штрафа (предлагается установить его на уровне 0,1–3% от оборота). Минюст считает, что в документе нужно предусмотреть возможность добровольной компенсации операторами персональных данных предполагаемого вреда и учитывать это как смягчающее обстоятельство.
🔸Также министерство предлагает авторам инициативы дополнительно обосновать предлагаемый размер штрафов и дифференцировать ответственность за утечку в зависимости от характера правонарушения и степени вреда. Кроме того, Минюст считает необходимым разграничить ответственность для юрлиц и индивидуальных предпринимателей (для соблюдения нормы КоАПа об учете имущественного положения привлекаемого к ответственности).

⚖️ ВС запретил контролерам отбирать у пассажиров документы с персональными данными
🔸Высшая инстанция отмечает, что правовые нормы позволяют проверяющим изъять лишь просроченную либо явно чужую карту, но не действующий документ.

🇩🇪⚖️ Суд в Германии постановил, что инвалид может получить доступ к своим персональным данным в формате, соответствующем его состоянию, даже если это требует снижения технических и организационных стандартов в соответствии со ст.32 GDPR.
🔸Субъект данных обратился с запросом на доступ в администрацию социального обеспечения в соответствии с немецким административным правом. Поскольку субъект данных незрячий, он использовал специальное программное обеспечение для чтения цифровых документов. Таким образом, субъект запросил свои персональные данные в формате pdf, поскольку это был единственный формат, совместимый с таким программным обеспечением.
🔸Это потребовало от контролера отправки соответствующих документов по незашифрованной электронной почте. Контролер отказался это сделать, сославшись на соображения безопасности данных, особенно учитывая, что передача касалась медицинских данных.
🔸Контролер предложил субъекту данных создать учетную запись у провайдера услуг электронной почты, позволяющую отправлять зашифрованные сообщения. Субъект данных возразил, что такое решение является дорогостоящим и, учитывая физическое состояние субъекта данных, представляет собой дополнительное препятствие для доступа. Контроллер также предложил другие каналы связи, такие как обычная почта или доступ к определенным услугам на сайте контроллера. К сожалению, ни один из этих вариантов не был жизнеспособной альтернативой для субъекта данных, поскольку его программное обеспечение не могло читать форматы, предлагаемые контроллером.
☝️Социальный суд Гамбурга (Sozialgericht Hamburg - SG Hamburg) удовлетворил иск субъекта данных. По мнению суда, опасения контроллера по поводу безопасности данных были необоснованными. Фактически, субъект данных дал согласие на обработку и даже прямо попросил об этом в соответствии со ст.6(1)(a) GDPR.
🔸Контролер также не мог использовать статью 32(1) GDPR для отказа от выполнения запроса. По мнению суда, лишь потенциальные риски, связанные с безопасностью связи между контролером и субъектом данных, не могут отменить заинтересованность последнего в том, чтобы не подвергаться дискриминации.
🔸Суд также проанализировал выводы Федерального ведомства по защите персональных данных Германии о возможности отступления от требований технических и организационных мер в соответствии со ст.32 GDPR. Так, для возможности отступления должны быть выполнены три основных требования: во-первых, запрос на менее защитные меры должен исходить от субъекта данных; во-вторых, должны быть конкретные причины, по которым запрашивается отступление; в-третьих, отступление должно быть исключительным, а не структурным.

🇮🇪🏛️ Ирландский DPC вынес компании Airbnb Ireland выговор и предписание об устранении недостатков за незаконную обработку персональных данных
🔸DPC начал свое расследование 04.03.2022 в связи с жалобой на то, что Airbnb Ireland незаконно запросила копию удостоверения личности заявителя для проверки его личности, которая ранее не запрашивалась Airbnb. Заявитель также утверждал, что это противоречит принципам минимизации данных и что Airbnb также не соблюдает принципы прозрачности и предоставления информации. Первоначальные попытки заявителя подтвердить свою личность были отклонены Airbnb, поскольку предоставленный им идентификатор не соответствовал их критериям, однако в конечном итоге заявитель подтвердил свою личность.
🔸Поскольку рассматриваемая ситуация представляет собой трансграничную обработку, в соответствии со ст.60(3) GDPR, DPC направил свой проект решения в соответствующие надзорные органы для получения их мнения. В установленный законом срок он не получил от соответствующих надзорных органов каких-либо релевантных и обоснованных возражений по проекту решения.
🔸В результате проведенного расследования DPC установил, что сохранение компанией Airbnb копии документов, удостоверяющих личность заявителя, после успешного завершения процесса проверки личности нарушает принципы минимизации данных, предусмотренные ст.5(1)(c) GDPR, и принцип ограничения хранения данных, предусмотренный ст.5(1)(e) GDPR. Кроме того, дальнейшая обработка и хранение частично отредактированных и устаревших документов, удостоверяющих личность, которые были признаны неадекватными или недостаточными для проверки личности заявителя, также нарушает принципы минимизации данных и ограничения хранения данных.
🔸DPC вынес следующие предписания в отношении Airbnb Ireland:
1. удалить из всех своих систем и записей отредактированные и устаревшие копии документов, удостоверяющих личность заявителя, которые он пытался загрузить;
2. удалить из всех своих систем и записей документы, удостоверяющие личность, которые были загружены заявителем (сохранив только запись о том, что такие документы были представлены, а также дату их представления);
3. при условии соблюдения законодательства ЕС и государств-членов ЕС пересмотреть свои внутренние политики и процедуры, касающиеся проверки личности пользователя, с тем чтобы:
3.1. после того, как личность субъектов данных была подтверждена к удовлетворению Airbnb Ireland, Airbnb Ireland прекращает практику сохранения неправильно отредактированных и/или устаревших документов, удостоверяющих личность, которые могут быть представлены субъектами данных в рамках процесса проверки личности;
3.2. срок хранения действительных, мошеннических или незаконных документов, удостоверяющих личность (включая документы, удостоверяющие личность, отредактированные в соответствии с законами, требующими определенного редактирования), предоставленных субъектами данных в рамках процесса проверки личности, ограничен строгим минимумом (в соответствии с п.39 преамбулы к GDPR).

⚡️Telegram оштрафовали за отказ удалить данные о чиновнице Росаккредитации (ч.5 ст. 13.11 КоАП РФ)

В сентябре вступают в силу новые административные штрафы за нарушения в Интернете

С 1 сентября вступают в силу изменения в КоАП РФ, которыми вводятся новые составы административных правонарушений.

В частности, поправки устанавливают ответственность за непредставление в Роскомнадзор сведений об интернет-рекламе в виде штрафа в размере от 10 до 500 тыс. руб.

Среди таких нарушений выделяются следующие: неисполнение рекламораспространителями, операторами рекламных систем и рекламодателями обязанности по предоставлению сведений о распространенной в Интернете рекламе, а также нарушение сроков исполнения такой обязанности.

Кроме того, для владельцев социальных сетей установят ответственность в виде штрафов в размере от 50 тыс. до 8 млн руб. за неисполнение обязанности по удалению незаконных материалов и неисполнению требований РКН об ограничении доступа к информации пользователей социальной сети, а также за неразмещение форм для направления обращений и правил пользования социальной сетью и внесенных в них изменениях.

📱 Роскомнадзор обнаружил 9 млн сим-карт с неактуальными персональными данными. Если их владельцы не подтвердят информацию в ближайшие дни, их должны отключить от связи. Проверка пока охватила не всех абонентов в стране.

🏛️ В региональных МФЦ опровергли распространившиеся в соцсетях и личных блогах сообщения о том, что отказаться от использования биометрических данных можно строго до 1 сентября 2023 года.
🔸По словам авторов подобных заявлений, ограничения в сроках связаны с подготовкой хранилищ для школьников и студентов. «Есть информация, что после 1 сентября написать отказ от МФЦ будет невозможно (кто не успел — тот опоздал), так как начинается новый учебный год для школьников и студентов, на которых готовятся соответствующие электронные папки-хранилища с их данными», — говорится в сообщениях.

⚖️ Мировой суд Москвы (судебный участок №422) оштрафовал международное дайвинговое агентство SNSI (Scuba and Nirox Safety International) на 2 млн ₽ по двум протоколам за отказ локализовать электронную базу данных с личной информацией россиян на территории РФ.
🔸Суд постановил признать агентство SNSI виновным по ч. 8 ст. 13.11 КоАП РФ (невыполнение оператором обязанности по хранению персональных данных граждан России на территории РФ) и назначил наказание в виде штрафа в размере 1 млн ₽. Ранее в четверг суд назначил этой же организации штраф в размере 1 млн ₽ за аналогичное правонарушение. Таким образом, общая сумма штрафа по двум протоколам составила 2 млн ₽.
🔸Поводом для привлечения компании к административной ответственности стал отказ филиалов агентства в Италии и Германии локализовать личные данные россиян на территории РФ. Роскомнадзор потребовал устранить это нарушение, однако этого сделано не было.

«Почему Korean Air будет взвешивать некоторых пассажиров перед вылетом?»: Сбор персональных данных добрался до веса - авиакомпании на их основании решают о потребностях в топливе и распределении груза на борту.

«Korean Air — одна из многих авиакомпаний по всему миру, которую государство обязало периодически собирать данные о весе самолетов. Пассажиры и багаж будут взвешиваться анонимно, а затем данные будут переданы в Министерство земли, инфраструктуры и транспорта страны.
Если пассажир предпочитает не собирать данные о своем весе, Korean Air подтверждает, что он может отказаться, сообщив об этом сотруднику.
Ранее в этом году Air New Zealand реализовала аналогичную программу с некоторыми клиентами, летающими по ее международным маршрутам, например, сверхдальним рейсам между Оклендом и аэропортом JFK в Нью-Йорке.
«Мы знаем, что встать на весы может быть непросто. Мы хотим заверить наших клиентов, что видимых дисплеев нигде нет. Никто не может видеть ваш вес, даже мы», — заявил тогда представитель Air NZ, национального перевозчика страны»

💡Количество утечек информации в мире за первые полгода 2023 года выросло в 2,4 раза, сообщили специалисты по информационной безопасности. Лидер по их числу — США. Чаще всего злоумышленники охотятся за персональными данными, сведениями, содержащими коммерческую и государственную тайну. В то же время в России наблюдается обратная тенденция — число утечек упало на 15,5%. Эксперты связывают это с тем, что российские компании сумели адаптироваться к киберугрозам, проявившимся после начала СВО.

🏛️ Управлением по Сибирскому федеральному округу проведено мероприятие без взаимодействия с контролируемыми лицами
🔸В целях информирования операторов, осуществляющих обработку персональных данных сообщаем, что при сборе персональных данных посредством электронных форм типа «Обратная связь», «Оплатить», «Оставить отзыв», «Написать нам», «Задать вопрос», «Оформить заявку» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку персональных данных. Также необходимо разместить на сайте документ, определяющий политику организации в отношении обработки персональных данных.