⚡Роскомнадзор выявил утечку персональных данных почти 1 млн клиентов МТС-банка. В отношении компании составлен административный протокол за нарушение законодательства о защите персональных данных, он будет передан в суд.

🔥 В России обсуждают создание информационного портала для подачи коллективных исков, в том числе по делам об утечке персональных данных клиентов и неоказания услуг ЖКХ.
🔸На этом ресурсе, например, пострадавшие по одному и тому же делу из разных регионов смогут быстро найти друг друга и присоединиться к иску. Соответствующее предложение Совфеда уже поддержал Роспотребнадзор.
🔸В Минюсте сообщили, что Минцифры совместно с Верховным судом работают над упрощением процедуры подачи групповых исков. Они пока не пользуются популярностью среди россиян: институт коллективных жалоб в суд только формируется в России, объясняют юристы.

⚡️Закон об оборотных штрафах за утечки персданных нужен уже сейчас

Роскомнадзор провел проверку и подтвердил, что в Сеть попали более миллиона данных клиентов «МТС-банк». В самом же банке до этого брать на себя ответственность за инцидент не спешили.

⏱Хронология событий такова:

🔵 В начале сентября появилась информация о крупной утечке персданных клиентов «МТС-банк».

🔵 В первом файле, слитом в Сеть, было примерно миллион строк пользователей, где были указаны ФИО, номер телефона, дата рождения, пол, ИНН и гражданство.

🔵 Финансово-кредитная организация поначалу все отрицала, но вскоре заявила, что могла иметь место утечка на стороне ритейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платежные данные пользователей. А системы банка, конечно же, вне опасности.

🔵 Наконец, 19 октября расследование регулятора доказало факт утечки данных клиентов «МТС-банка».

❗️Только вдумайтесь, утечка на миллион строк, за каждой из которой стоит конкретный человек, очевидные проблемы с системой ИБ в банке — а максимальная санкция за это по действующему законодательству составляет до 100 тыс. рублей.

📊Бизнесу попросту экономически выгодно работать в таких условиях, когда даже такая масштабная утечка ему обходится в символический штраф. Отсюда и критика с его стороны нашего законопроекта об ужесточении ответственности компаний за утечку персональных данных наших граждан и введения оборотных штрафов за повторные утечки, который должен изменить ситуацию. Регулятор получит действенный механизм по давлению на компании, которые халатно относятся к хранению персданных россиян.

В Россию запускают систему сертификации специалистов по защите персональных данных

Российская ассоциация специалистов по защите данных (Russian Privacy Professionals Association, RPPA) 20 октября запускает независимую систему сертификации специалистов по защите персональных данных. «Мы начинаем принимать заявки от тех, кто хочет подтвердить свои знания и навыки Data Protection Officer (DPO, специалист по защите персональных данных)», – заявил международный эксперт в области приватности RPPA Николай Дмитрик на проходящем сегодня Евразийском конгрессе по защите данных (Eurasian Data Protection Congress).

На каждого прошедшего сертификацию будет создаваться запись в реестре с уникальным номером, отметил он. По мере повышения уровня знаний и навыков в номер будут вноситься изменения. По записи можно будет определить, какие навыки специалиста уже подтверждены. «Это будет своего рода аутсорсинг собеседования на работу», – обратил внимание Николай Дмитрик.

«Задача сертификации – не только подтвердить компетенции согласно перечню компетенций DPO, а сформировать базу знаний, познакомиться с новыми участниками нашего профессионального сообщества лично», – отметила соучредитель RPPA Кристина Боровикова. По ее словам, перечень компетенций специалиста по защите персданных готовился год и обсуждался публично.

💡Исследование «Технологий доверия» (TeDo, ранее PwC) об изменениях в работе юридических департаментов российских компаний с весны 2022 года зафиксировало, что 42% опрошенных выделили среди ключевых задач защиту персональных данных.

😱 Хакер украл генетические профили из компании по тестированию ДНК 23andMe и опубликовал данные на киберпреступном рынке BreachForums.
🔸Утекший набор данных включает профили Британской королевской семьи, династий, таких как Ротшильды и Рокфеллеры, а также некоторых "самых богатых людей, проживающих в США и Западной Европе".
🔸Хакер также утверждает, что украденные подробные профили ДНК включают адреса электронной почты, фотографии, пол, дату рождения и генетическое происхождение.

🏛️За утечку персональных данных с государственных информационных ресурсов могут начать наказывать ответственных должностных лиц. Чиновникам готовят штрафы до двух миллионов рублей, а если сведения о людях стали предметом купли-продажи, то виновных могут посадить на срок до десяти лет. Кроме того, парламентарии обсуждают введение компенсаций гражданам от госорганов за утечку.
🔸Ранее подтвердить или опровергнуть наличие фактов утечки персональных данных россиян с портала госуслуг главу Минцифры Максута Шадаева попросил зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. Соответствующее письмо он отправил министру 15 октября, копия документа есть у «Парламентской газеты». Сенатор сослался на сообщения в СМИ и социальных сетях, которые писали о якобы участившихся случаях утечки не только с коммерческих, но и государственных информационных ресурсов.

🤔Альфа-банк опроверг информацию об утечке данных клиентов. Ранее Telegram-канал Marketoverview написал о взломе базы Альфа-банка украинскими хакерскими группировками KibOrg и NLB. Из сообщений следует, что были получены данные 30 млн клиентов Альфа-банка, в которых содержатся ФИО, дата рождения, номер счета, телефон и другая личная информация.

🇰🇿 В Казахстане могут увеличить срок давности за правонарушения в сфере защиты персональных данных.

🥱 Член Экспертного совета комитета Госдумы по защите конкуренции Андрей Тенишев: Персональные данные стали капиталом для цифровых платформ. Так, в 2016 году Googlе оценивал данные одного человека в 720 долл. США в год. И дешевле они не стали. Персональные данные, которые мы передаем цифровым компаниям, сегодня оцениваются специалистами в 1 тыс. 544 долл. США за одного человека. Учитывается ли это при оценке капитализации наших цифровых компаний — вопрос риторический.

⚡Управлением Роскомнадзора по Республике Башкортостан результате проведенного мероприятия без взаимодействия с контролируемым лицом в отношении АО «СпутникТелеком» выявлены признаки нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
🔸Установлено, что на официальном сайте АО «СпутникТелеком» отсутствует документ, определяющий политику в отношении обработки персональных данных, осуществляется сбор персональных данных физических лиц без их согласия на обработку персональных данных. Помимо этого, выявлено использование интернет-сервиса «Яндекс.Метрика», посредством которого также осуществляется обработка персональных данных посетителей интернет-ресурса, без их согласия.

🏛️ Управление Роскомнадзора по Тюменской области, ХМАО-ЮГРЕ и ЯНАО считает, что в случае использования captcha (Google) под формами обратной связи на сайте необходимо соблюдать требования о локализации персональных данных согласно ч.5 ст.18 152-ФЗ
🔸Управление в сентябре 2023 года проведело 5 мероприятий по контролю. Данные мероприятия проведены без взаимодействия с контролируемыми лицами.
🔸Проведена оценка соответствия деятельности требованиям законодательства Российской Федерации о персональных данных 20 сайтов в отношении следующих категорий операторов: предприятия общественного питания; медицинские организации; организации, оказывающие услуги парикмахерских и салонов красоты; фитнес-центры; операторы связи.
🔸У всех операторов были выявлены нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе:
- отсутствие возможности посетителями сайтов дать согласие на обработку персональных данных при заполнении форм обратной связи, предполагающих внесение персональных данных;
- отсутствие под формами сбора персональных данных документа, определяющего политику оператора в отношении обработки персональных данных;
- отсутствие согласий субъектов персональных данных для распространения их персональных данных на сайтах операторов;
- использование captcha (Google) под формами обратной связи, что может указывать на осуществление трансграничной передачи персональных данных пользователей сайта;
- несоблюдение требований по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (в случае использования captcha (Google) под формами связи);
- записи о нескольких операторах отсутствуют в Реестре операторов, осуществляющих обработку персональных данных, либо данные, содержащиеся в Реестре, не соответствуют фактической деятельности организаций, собирающих данные с помощью сайтов.

H&M оштрафовали в Швеции из-за жалоб на неправомерную обработку персональных данных

Шведское управление по защите данных (IMY) инициировало расследование против ритейлера одежды H&M в связи с жалобами частных лиц, которые возражали против обработки компанией их персональных данных.

Жалобы поступили от жителей Польши и Италии, но были переданы в IMY, поскольку штаб-квартира H&M находится в Швеции.

H&M нарушила нормы Общего регламента по защите данных (GDPR) ЕС, не прекратив обрабатывать персональные данные заявителей, несмотря на их возражения, посчитало IMY.

Ведомство наложило на компанию административный штраф в размере 350 тыс. шведских крон (около 28,5 тыс. евро).

📱 Чтобы никакие личные фотографии не достались сотруднику сервисного центра. Google работает над режимом Repair Mode для Android
🔸Речь о режиме, который пригодится любому пользователю, если придётся сдавать смартфон в сервисный центр. Это будет работать следующим образом: пользователь включит этот режим, используя выбранный метод аутентификации, и смартфон скроет учётную запись и все данные пользователя.
🔸Вместо этого сотрудники сервисного центра получат аппарат с чистой операционной системой без какой-либо учётной записи и доступа к скрытым файлам. После того как пользователь заберёт смартфон из сервиса, ему достаточно будет отключить режим Repair Mode, используя тот же метод аутентификации, который был использован при активации режима.

На ярмарке вакансий RPPA опубликованы две новые позиции:
🔸Эксперт по data privacy в compliance Яндекс 360
🔸Ведущий юрисконсульт по персональным данным в Отдел правового сопровождения IP и технологий Сбера
🇷🇺⚡️👨‍💻 #вакансия #privacy #sber #yandex

⚡Банки высказались против законопроекта, который предусматривает прямой доступ силовиков к базам данных клиентов для корректировки сведений о сотрудниках спецслужб. Банкиры считают, что такая инициатива нарушает конституционные права россиян, антиотмывочное законодательство и информационную безопасность банков.
🔸Это следует из письма Ассоциации банков России (АБР), которое направлено в Минцифры и председателю комитета Госдумы по информационной политике, информационным технологиям и связи Александру Хинштейну.

Есть вопросы к DPO

Что сейчас обсуждают специалисты по защите персональных данных

Сфера персональных данных (ПД) все больше усложняется, в ней возникает ряд новых направлений, которые требуют осмысления и обмена опытом между участниками рынка. Как обеспечить законное распространение личной информации, является ли адрес электронной почты персданными, как наказывают за утечки сведений в разных странах и многое другое обсудили на прошедшем 19-20 октября Евразийском конгрессе по защите данных (Eurasian Data Protection Congress). Подробности – в материале RSpectr.