Роскомнадзор составил на компанию «Яндекс.Еда» административный протокол за утечку персональных данных клиентов. Доступ к карте с пользовательскими данными заблокирован, сообщили в ведомстве. https://www.kommersant.ru/doc/5271448

⚡️Роскомнадзор уточняет, не сам сервис, а ресурс с данными утечки из "Яндекс.Еды" внесен в реестр нарушителей прав субъектов персональных данных, доступ к нему ограничен

Прокуратура объявила предостережения находящимся в Подмосковье компаниям IKEA и OBI под зарубежным управлением, а также производителям Michelin, Grundfos и JCB для недопущения нарушений прав сотрудников. Ранее Генпрокуратура РФ поручила организовать ежедневный мониторинг соблюдения законодательства организациями, находящимися под иностранным влиянием и осуществляющими деятельность на территории Московской области.
Источник: https://tass.ru/ekonomika/14161861
Комментарий: Не стоит переоценивать влияние моратория на проведение плановых проверок юрлиц и ИП в 2022 году, установленного ПП РФ от 10.03.2022 № 336. Даже безотносительно сохранения иных способов осуществления Роскомнадзором контрольно-надзорной деятельности (см. ПП РФ от 29.06.2021 № 1046), органы прокуратуры будут проявлять повышенный интерес к соблюдению законности иностранными компаниями, включая вопросы соблюдения требований законодательства РФ о ПД.

Продолжая вчерашнюю тему: В скором времени Яндекс.Еда будет подключена к инструменту для управления данными, который Яндекс запустил в прошлом году. С его помощью можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их раз и навсегда. https://yandex.ru/blog/company/dannye-kotorye-my-ne-uberegli-i-uroki-kotorye-my-izvlekli

Рубрика "В гостях у сказки" 🙃
Некоторые выводы, которые можно сделать после ознакомления с постановлением Девятого арбитражного апелляционного суда от 09.02.2022 № 09АП-87227/2021 по делу № А40-163911/2021 (Роскомнадзор vs Аэрофлот) 👉https://kad.arbitr.ru/Card/d91ada1f-4138-4793-9a7b-808ac8a65ddd:
✅ не обязательно прекращать обработку ПД бывших работников в пятилетний срок с момента их увольнения;
✅ хранение документов, в том числе архивное хранение, может осуществляться не только в бумажном, но и в электронном виде;
✅ в законодательстве РФ отсутствует такое понятие, как "документ, переведенный в статус архивного", а установленные приказом Росархива от 20.12.2019 № 236 сроки хранения документов применяются в силу самого факта наличия того или иного документа в перечне документов, утвержденных данных приказом, а не в силу признания документа архивным;
✅ согласие работника на передачу его ПД (ст.88 ТК РФ) обязательно должно соответствовать требованиям ч.4 ст.9 152-ФЗ только в случае обработки специальных категорий ПД или биометрических ПД, а также в случае трансграничной передачи ПД (в неадекватные страны);
✅ работодатель имеет право передавать ПД работника без получения его согласия - в случаях, предусмотренных п.п.2-11 ч.1 ст.6 152-ФЗ;
✅ норма п.5 ч.1 ст.6 152-ФЗ распространяется на трудовые отношения между работником и работодателем (в т.ч. касаемо передачи ПД работника), хотя Роскомнадзор считает иначе - что указанная норма применима исключительно к гражданско-правовым договорам, а основания для обработки ПД в рамках трудовых отношений определены в гл.14 ТК РФ.

Уже традиционно, в помощь всем интересующимся, публикую актуальную (644 слайда, 64 МБ) версию презентации "Рассмотрение механизмов и специфики применения Общего регламента ЕС о защите данных (GDPR)" (во многом являющейся компиляцией ранее опубликованных материалов из других источников), состоящую из 28 разделов. По сравнению с предыдущим изданием добавлено новые разделы "Прозрачность и понятность обработки данных", "Биометрические данные и видеонаблюдение" и 44 новых слайда:
* Обзор контекста принятия и механизмов GDPR
* Территориальная сфера действия GDPR и трансграничная передача данных
* Рекомендации, руководства и практические пособия
* Вспомогательная информация от коммерческих и некоммерческих организаций
* Прозрачность и понятность обработки данных
* Data Protection (Privacy) by Design and by Default
* Data Protection Impact Assessment
* Records of Processing Activities
* Legitimate Interests
* Data Breach
* Data Protection Officer
* Соглашения об обработке и защите данных
* Взаимодействие с пользователями сайтов и мобильных приложений, а также маркетинг
* Биометрические данные и видеонаблюдение
* Большие данные, искусственный интеллект, машинное обучение и профилирование
* Автоматизация Privacy и Data Protection
* Защита персональных данных
* Псевдонимизация и анонимизация
* Международные стандарты
* Правоприменительная практика
* Штрафы – базы дел и аналитика
* Штрафы – интересные кейсы
* Иные санкции и меры принуждения
* Судебная практика – базы решений и интересные ситуации
* Влияние GDPR на бизнес
* Итоги применения GDPR в 2018-2021гг. и дальнейшие перспективы
* Законодательные инициативы о персональных данных в ЕС и США
* Модернизация Конвенции 108 и ее влияние на регулирование в РФ
https://rppa.ru/_media/analitika/gdpr_26.03.2022.pdf

"Справедливая Россия - За правду" на встрече с Мишустиным предложила совместить минкультуры и РКН в одно министерство - Миронов https://ria.ru/20220329/minkult-1780736226.html
Комментарий: если эту инициативу реализовать, то может получиться Россвязьохранкультура 2.0

Норвежский орган по защите данных («Datatilsynet») 28.03.2022г. опубликовал руководство по обработке персональных данных при проверке благонадежности соискателей ("background checks") на замещение вакантных должностей, которая включает в себя управление связанными с соискателями юридическими, репутационными и комплаенс (предотвращение и урегулирование возможного или существующего конфликта интересов, противодействие коррупции) рисками, а также проверку полноты и достоверности предоставленных соискателями сведений.
Текст руководства доступен только на норвежском языке - https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/for-ansettelse---bakgrunnsundersokelser/

Компаниям, использующим облачные сервисы SAP, следует обратить внимание на приостановку предоставления таких сервисов в РФ. Это касается, в т.ч. сервиса "Russia Cloud Residency Solution", который уже несколько лет предлагается как промышленное решение для выполнения требования ч.5 ст.18 152-ФЗ "О персональных данных" в отношении локализации в РФ баз с персональными данными российских граждан, обрабатываемых с использованием облачных сервисов SAP (например, SuccessFactors). Иначе говоря, для потребителей сервисов SAP возникает ряд вызовов, связанных как с поддержанием стабильности функционирования и доступности привычной облачной инфраструктуры, так и с RU Data localization compliance.
https://news.sap.com/2022/03/sap-continues-to-stand-in-solidarity-with-ukraine/ 
https://quote.rbc.ru/news/short_article/623d71679a79474564bdf3cb

Клиенты сервиса "Яндекс.Еда" подали коллективный иск к этой компании на общую сумму 3,3 млн рублей из-за утечки данных пользователей в открытый доступ в интернете, сообщил директор по правовым вопросам юридического сервиса Destra Legal Борис Фельдман, который представляет интересы 33 истцов. Каждый из истцов требует компенсацию в 100 тыс. рублей. Иск поступил в Замоскворецкий районный суд Москвы, дата заседания пока не назначена. В суде сообщили, что зарегистрировали этот иск.
https://tass.ru/ekonomika/14226409

💡Эксперт «Суммы технологии» Ольга Шаповалова проанализировала правоприменительную практику в России в 2020–21 годах. Ключевые выводы по текущей практике в РФ:
📌 Роскомнадзор интересуется преимущественно юридическими лицами (в большей степени бизнес-структурами), а наказанию подвергались операторы, но не их должностные лица;
📌 прокуратура интересуется преимущественно бюджетными учреждениями (образования, культуры, здравоохранения и т.д.) и органами местного самоуправления, а наказанию подвергались должностные лица операторов (в основном руководители организаций), но не сами организации;
📌 Роскомнадзор возбуждает дела по большинству составов, предусмотренных ст. 13.11 КоАП РФ, а органы прокуратуры в 60% случаев наказывают за отсутствие политики обработки персональных данных (ч.3 ст.13.11 КоАП РФ);
📌 Роскомнадзор является основным инициатором привлечения операторов к административной ответственности в Москве, а за пределами столицы - органы прокуратуры (80% случаев);
📌 основной мерой административной ответственности в Москве является штраф, а за пределами столицы - предупреждение (в отношении должностных лиц за отсутствие политики обработки ПД).
🔑 Источник: https://summa.technology/article/narushenie-poryadka-obrabotki-personalnyh-dannyh

Комитет Госдумы по финансовому рынку одобрил к первому чтению законопроект, исключающий публикацию в СМИ и интернете персональных данных о сотрудниках госорганов и организаций, попавших под санкции. Законопроект предлагает не размещать на сайтах органов и организаций, попавших под санкции Запада, персональную информацию об их служащих и работниках, а также не предоставлять ее для опубликования в СМИ. Это, в частности, касается сведений об их доходах и расходах, имуществе и обязательствах имущественного характера, трудоустройстве, составе семьи. Соответствующие изменения вносятся в законы "О противодействии коррупции" и "О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам".
https://ria.ru/20220330/dannye-1780868405.html

⚡Октябрьский районный суд Санкт-Петербурга зарегистрировал исковое заявление Николая Камнева к ООО "Яндекс" и ООО "Яндекс.Еда" с требованием компенсации морального вреда на 800 тысяч рублей после утечки данных.
#яндекседа #иск #privacy
https://ria.ru/20220330/isk-1780940508.html

Минцифры РФ предлагает ввести оборотные штрафы за утечку персональных данных

Минцифры РФ предлагает ввести большие оборотные штрафы для компаний, допустивших утечку персональных данных, заявил на расширенном заседание комитета Госдумы по информационной политике глава ведомства Максут Шадаев.

"Мы будем просить в этом году, совместно с Роскомнадзором будем выходить с инициативой вводить большие оборотные штрафы для бизнеса, который допустил утечку персональных данных", - сказал Шадаев.

Накануне вместе с коллегами по Экспертному совету «Единой России» разбирали новые поправки в закон о персональных данных. Основные акценты сделаны на борьбу с утечками (операторы теперь будут обязаны незамедлительно информировать об инцидентах с базами персональных данных) и их незаконным оборотом.

В законе появится принцип экстерриториальности – что позволит регулятору контролировать обработку персональных данных россиян зарубежными компаниями. Это симметричные меры, поскольку такой же принцип прописан в законодательстве ЕС и США, и сейчас получается так, что российские компании поставлены в неравное правовое положение с иностранцами.

Кроме того, изменения коснутся условий трансграничной передачи персональных данных россиян. Сейчас этот порядок не урегулирован, что дает возможность недобросовестным операторам безнаказанно их передавать в недружественные страны – что создает существенную угрозу в условиях текущей внешнеполитической ситуации.

Законопроект успешно прошел Экспертный совет партии и сегодня внесен на рассмотрение Государственной Думы.

👆Законопроект № 101234-8
О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных https://sozd.duma.gov.ru/bill/101234-8

В далеком 2018г. Роскомнадзор рассказал нам cool story про грядущую реформу российского законодательства о персональных данных в связи с подписанием Россией протокола №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных. Видимо, this is it. Предлагаю вашему вниманию 📄 описание положений крупнейшего (с 2011г.) пакета изменений в ФЗ «О персональных данных», предлагаемых авторским коллективом депутатов и сенаторов Федерального Собрания РФ в нашумевшем законопроекте от 06.04.2022 №101234-8.

Минцифры опубликовало проект Требований и Правил аккредитации госорганов, являющихся владельцами и (или) операторами ГИС, с применением которых осуществляется идентификация и (или) аутентификация

📃⚡Европейский парламент принял 06.04.2022 Закон ЕС об управлении данными (EU Data Governance Act – DGA). DGA должен теперь быть принят Советом Европейского Союза, прежде чем он станет законом. По оценке Европейской Комиссии, объем данных в ЕС, генерируемых государственными органами, предприятиями и гражданами, постоянно растет. Ожидается, что в период с 2018 по 2025 год он увеличится в пять раз. Новый акт позволит использовать эти данные на благо общества, граждан и компаний – для разработки новых продуктов и услуг. Кроме того, доступ к большим данным имеет решающее значение для использования потенциала искусственного интеллекта («ИИ»). DGA также должен укрепить доверие к обмену данными, сделать его более безопасным и простым, а также обеспечить его соответствие законодательству о защите персональных данных с помощью ряда инструментов, от технических решений, таких как анонимизация и объединение данных, к юридически обязывающим соглашениям о повторном использовании данных.
https://www.europarl.europa.eu/news/en/headlines/priorities/artificial-intelligence-in-the-eu/20220331STO26411/data-governance-why-is-the-eu-data-sharing-law-important

Обновил свою презентацию о регулировании оборота биометрических персональных данных в РФ, добавив в нее пару слайдов о письмах Минцифры России и Роскомнадзора от 2020г. Также обновил перечень подзаконных актов, связанных с 479-ФЗ.

Высокоуровневый обзор нашумевшего законопроекта в "Парламентской газете" - https://www.pnp.ru/economics/personalnye-dannye-rossiyan-mogut-zapretit-peredavat-za-granicu.html