🇪🇺Активисты ЕС подали жалобы на X из-за использования персональных данных
🔸Власти девяти европейских стран получили жалобы на X (ранее Twitter) из-за нелегального использования данных для обучения искусственного интеллекта (ИИ). Об этом сообщается на сайте австрийской некоммерческой организации по защите цифровых прав None of Your Business (NOYB).
🔸NOYB инициировала подачу жалоб на соцсеть в органы по защите данных Австрии, Бельгии, Греции, Ирландии, Испании, Италии, Нидерландов, Польши и Франции. Правозащитники отмечают, что X никогда не информировала своих пользователей о том, что их личные данные используются для тренировки ИИ. "Компаниям, которые напрямую взаимодействуют с пользователями, просто нужно отправить им запрос, прежде чем использовать данные. [Соцсети] регулярно делают это для множества других целей, так что это определенно было бы возможно и для обучения ИИ", - заявил австрийский активист и глава NOYB Макс Шремс. Организация сообщила, что требует проведения полного расследования.
🔸Ирландская Комиссия по защите данных подала в суд на X, обвинив соцсеть в незаконном сборе информации пользователей для обучения своего чат-бота на основе ИИ Grok. Однако, по словам Шремса, по итогам слушаний стороны договорились лишь о приостановке обучения нейросети до сентября, не приняв никакого решения насчет незаконных действий X.
🔸Власти девяти европейских стран получили жалобы на X (ранее Twitter) из-за нелегального использования данных для обучения искусственного интеллекта (ИИ). Об этом сообщается на сайте австрийской некоммерческой организации по защите цифровых прав None of Your Business (NOYB).
🔸NOYB инициировала подачу жалоб на соцсеть в органы по защите данных Австрии, Бельгии, Греции, Ирландии, Испании, Италии, Нидерландов, Польши и Франции. Правозащитники отмечают, что X никогда не информировала своих пользователей о том, что их личные данные используются для тренировки ИИ. "Компаниям, которые напрямую взаимодействуют с пользователями, просто нужно отправить им запрос, прежде чем использовать данные. [Соцсети] регулярно делают это для множества других целей, так что это определенно было бы возможно и для обучения ИИ", - заявил австрийский активист и глава NOYB Макс Шремс. Организация сообщила, что требует проведения полного расследования.
🔸Ирландская Комиссия по защите данных подала в суд на X, обвинив соцсеть в незаконном сборе информации пользователей для обучения своего чат-бота на основе ИИ Grok. Однако, по словам Шремса, по итогам слушаний стороны договорились лишь о приостановке обучения нейросети до сентября, не приняв никакого решения насчет незаконных действий X.
👍5
🇷🇺🇨🇳Китайская угроза: властям предложили ускорить сбор данных с автомобилей
🔸Некоммерческое партнерство ГЛОНАСС, объединяющее «Яндекс» и операторов связи, предложило Минпромторгу принять меры для создания базы данных системы «Автодата», идея которой обсуждается чиновниками уже несколько лет.
🔸После начала «спецоперации» автопроизводители из Китая усилили присутствие в России, что, как уверены в партнерстве, обострило проблему утечки автомобильных данных к зарубежным разработчикам. По оценке дилеров, возможности Китая по удаленному сбору данных с автомобилей в России сейчас ограничены, а риск утечки данных из китайских авто не выше вероятности такого же инцидента с автопроизводителем из другой страны.
🔸Оператор у создающейся платформы появился в 2021 года, но ее идея обсуждается с чиновниками около восьми лет. Внедрение платформы подразумевало сбор данных о машинах и водителях, включая данные о геолокации, что вызывало обеспокоенность среди участников рынка, предупреждавших о росте цен на автомобили.
🔸Ранее также велась разработка законопроекта об «Автодате». Этот документ критиковали «Яндекс», АО «Глонасс» (оператор российской системы экстренного реагирования на ДТП), «Камаз», Volkswagen и ряд других автопроизводителей. Против законопроекта выступал и Минпромторг. По просьбе министерства работа над законопроектом отложена на 2025-й год.
🔸Изначально предполагалось подключение «Автодаты» к информационным системам автоконцернов, чтобы сбор данных о машинах проводился на их стороне. Сейчас идея проекта заключается в том, чтобы сотрудничать с владельцами автомобилей напрямую. Для этого оператор платформы «Автодата» рассматривает возможность установки на автомобили специальных устройств, которые будет подключаться с диагностическому разъему машины через диагностический интерфейс OBD и снимать данные.
🔸Некоммерческое партнерство ГЛОНАСС, объединяющее «Яндекс» и операторов связи, предложило Минпромторгу принять меры для создания базы данных системы «Автодата», идея которой обсуждается чиновниками уже несколько лет.
🔸После начала «спецоперации» автопроизводители из Китая усилили присутствие в России, что, как уверены в партнерстве, обострило проблему утечки автомобильных данных к зарубежным разработчикам. По оценке дилеров, возможности Китая по удаленному сбору данных с автомобилей в России сейчас ограничены, а риск утечки данных из китайских авто не выше вероятности такого же инцидента с автопроизводителем из другой страны.
🔸Оператор у создающейся платформы появился в 2021 года, но ее идея обсуждается с чиновниками около восьми лет. Внедрение платформы подразумевало сбор данных о машинах и водителях, включая данные о геолокации, что вызывало обеспокоенность среди участников рынка, предупреждавших о росте цен на автомобили.
🔸Ранее также велась разработка законопроекта об «Автодате». Этот документ критиковали «Яндекс», АО «Глонасс» (оператор российской системы экстренного реагирования на ДТП), «Камаз», Volkswagen и ряд других автопроизводителей. Против законопроекта выступал и Минпромторг. По просьбе министерства работа над законопроектом отложена на 2025-й год.
🔸Изначально предполагалось подключение «Автодаты» к информационным системам автоконцернов, чтобы сбор данных о машинах проводился на их стороне. Сейчас идея проекта заключается в том, чтобы сотрудничать с владельцами автомобилей напрямую. Для этого оператор платформы «Автодата» рассматривает возможность установки на автомобили специальных устройств, которые будет подключаться с диагностическому разъему машины через диагностический интерфейс OBD и снимать данные.
🤬6👍1👎1🤔1
🏛️ Роскомнадзор назвал критерии для возможных уполномоченных операторов персональных данных
🔸Пресс-служба Роскомнадзора сообщила: "Доверить хранение и обработку значительных объемов персональных данных (от 100 тыс. записей персональных данных) можно только компаниям, подтвердившим способность организовать безопасную обработку ПД". К ним необходимо предъявлять повышенные требования:
1. быть российским юридическим лицом;
2. иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора;
3. иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн руб.;
4. использовать для обработки персональных данных базы данных только на территории РФ;
5. подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.
🔸Зарабатывать на хранении чужих баз данных операторы не смогут, если не будут удовлетворять вышеперечисленным критериям.
👁 Комментарий Privacy Advocates: возможно, критерий определения "значительных" объемов обрабатываемых персональных данных будет подлежать дальнейшему уточнению, так как генерация 100 тыс. записей персональных данных возможна в относительно короткий срок для всего лишь нескольких тысяч субъектов персональных данных даже в среднего размера компании/организации, располагающей типовым набором информационных систем.
🔸Пресс-служба Роскомнадзора сообщила: "Доверить хранение и обработку значительных объемов персональных данных (от 100 тыс. записей персональных данных) можно только компаниям, подтвердившим способность организовать безопасную обработку ПД". К ним необходимо предъявлять повышенные требования:
1. быть российским юридическим лицом;
2. иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора;
3. иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн руб.;
4. использовать для обработки персональных данных базы данных только на территории РФ;
5. подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.
🔸Зарабатывать на хранении чужих баз данных операторы не смогут, если не будут удовлетворять вышеперечисленным критериям.
Please open Telegram to view this post
VIEW IN TELEGRAM
😱15🤡12🤔5👍1👏1🤣1
💡Юрист рассказал о наказании за скрытую съемку
🔸По словам эксперта, скрытая съемка с использованием специальных приборов — это нарушение закона, которое может повлечь за собой серьезные правовые последствия. В российском законодательстве существует ряд норм, регулирующих вопросы неприкосновенности частной жизни и защиты персональных данных граждан.
🔸«Согласно Конституции РФ, каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Эти фундаментальные права защищены не только Основным законом страны, но и рядом федеральных законов и подзаконных актов», — сказал юрист.
🔸Использование или покупка специальных технических средств для негласного получения информации, а также незаконный сбор сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия являются серьезным правонарушением. Уголовный кодекс РФ предусматривает ответственность за такие действия в ст 138.1 и ст. 137.
🔸«Однако стоит отметить, что не всякая скрытая съемка является незаконной. Существуют ситуации, когда такая съемка может быть разрешена или даже необходима. Например, правоохранительные органы могут использовать скрытую съемку в рамках оперативно-разыскных мероприятий при наличии соответствующего разрешения. Также скрытая съемка может быть разрешена в целях обеспечения безопасности в общественных местах, таких как банки, магазины или метро, при условии, что посетители предупреждены о ведении видеонаблюдения», — рассказал эксперт.
🔸В случае обнаружения скрытой камеры, первое, что следует сделать, — это зафиксировать факт ее наличия. Можно сфотографировать или снять на видео обнаруженное устройство, не трогая его. Затем необходимо обратиться в правоохранительные органы с заявлением о нарушении неприкосновенности частной жизни. Важно сохранить все возможные доказательства, которые могут помочь в расследовании.
🔸По словам эксперта, скрытая съемка с использованием специальных приборов — это нарушение закона, которое может повлечь за собой серьезные правовые последствия. В российском законодательстве существует ряд норм, регулирующих вопросы неприкосновенности частной жизни и защиты персональных данных граждан.
🔸«Согласно Конституции РФ, каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Эти фундаментальные права защищены не только Основным законом страны, но и рядом федеральных законов и подзаконных актов», — сказал юрист.
🔸Использование или покупка специальных технических средств для негласного получения информации, а также незаконный сбор сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия являются серьезным правонарушением. Уголовный кодекс РФ предусматривает ответственность за такие действия в ст 138.1 и ст. 137.
🔸«Однако стоит отметить, что не всякая скрытая съемка является незаконной. Существуют ситуации, когда такая съемка может быть разрешена или даже необходима. Например, правоохранительные органы могут использовать скрытую съемку в рамках оперативно-разыскных мероприятий при наличии соответствующего разрешения. Также скрытая съемка может быть разрешена в целях обеспечения безопасности в общественных местах, таких как банки, магазины или метро, при условии, что посетители предупреждены о ведении видеонаблюдения», — рассказал эксперт.
🔸В случае обнаружения скрытой камеры, первое, что следует сделать, — это зафиксировать факт ее наличия. Можно сфотографировать или снять на видео обнаруженное устройство, не трогая его. Затем необходимо обратиться в правоохранительные органы с заявлением о нарушении неприкосновенности частной жизни. Важно сохранить все возможные доказательства, которые могут помочь в расследовании.
👍13
💡Кто и зачем продает биометрию в даркнете: стоимость биометрических данных начинается от 10 тысяч рублей
🔸Украсть биометрические данные можно несколькими способами. Первый — получить доступ к их закодированным версиям, к примеру, в результате взлома базы данных. С технической точки зрения этот способ довольно сложный, поскольку взломщикам придется искать изъяны в атакуемой информационной системе.
🔸Мошенники чаще прибегают к более простому фишинговому варианту — звонят своим жертвам по видеосвязи, зачастую представляясь сотрудниками банков, и просят включить видео. Как только это произойдет, они смогут авторизоваться по биометрии под видом жертвы и похитить деньги.
🔸Получив биометрию жертвы, преступники могут создавать ее дипфейки для дальнейших киберпреступлений, добавляет Мария Михайлова. К примеру, они могут воспроизводить голос человека для создания голосовых сообщений (образцы голоса можно украсть во время любого мошеннического звонка). Или сгенерировать видео — для этого достаточно видео с человеком или записи с экрана, полученной во время видеозвонка. Голосовые сообщения и видеозвонки повышают уровень доверия пользователей и используются мошенниками для получения финансовой выгоды.
🔸Украсть биометрические данные можно несколькими способами. Первый — получить доступ к их закодированным версиям, к примеру, в результате взлома базы данных. С технической точки зрения этот способ довольно сложный, поскольку взломщикам придется искать изъяны в атакуемой информационной системе.
🔸Мошенники чаще прибегают к более простому фишинговому варианту — звонят своим жертвам по видеосвязи, зачастую представляясь сотрудниками банков, и просят включить видео. Как только это произойдет, они смогут авторизоваться по биометрии под видом жертвы и похитить деньги.
🔸Получив биометрию жертвы, преступники могут создавать ее дипфейки для дальнейших киберпреступлений, добавляет Мария Михайлова. К примеру, они могут воспроизводить голос человека для создания голосовых сообщений (образцы голоса можно украсть во время любого мошеннического звонка). Или сгенерировать видео — для этого достаточно видео с человеком или записи с экрана, полученной во время видеозвонка. Голосовые сообщения и видеозвонки повышают уровень доверия пользователей и используются мошенниками для получения финансовой выгоды.
👏6👍4
🇺🇸⚖️В США от имени штата подан иск к GM из-за продажи собранных подключёнными автомобилями данных
🔸Техас подал иск к General Motors, обвиняя её в «нечестных, обманных и дезориентирующих» практиках, результатом которых стала продажа страховым компаниям более 1,8 миллиона записей из базы конфиденциальных данных водителей штата.
🔸Среди таких данных – информация о том, когда водитель находится за рулём, с какой скоростью он едет, пристёгнут ли он, как долго не выключается мотор и т.д. При этом GM уверяла страховые компании, что получила разрешение автовладельцев на сбор и продажу данных, но не информировала водителей о продаже такой информации, говорится в иске.
🔸Техас подал иск к General Motors, обвиняя её в «нечестных, обманных и дезориентирующих» практиках, результатом которых стала продажа страховым компаниям более 1,8 миллиона записей из базы конфиденциальных данных водителей штата.
🔸Среди таких данных – информация о том, когда водитель находится за рулём, с какой скоростью он едет, пристёгнут ли он, как долго не выключается мотор и т.д. При этом GM уверяла страховые компании, что получила разрешение автовладельцев на сбор и продажу данных, но не информировала водителей о продаже такой информации, говорится в иске.
👾4⚡2
💡Вопрос: Является ли фотография или видеозапись работника его биометрическими персональными данными? Может ли работодатель производить фотографирование или вести видеосъемку работников на их рабочем месте без согласия работников?
🏛️ Минтруд: содержание понятия "биометрические персональные данные" и общие правила их использования (обработки) установлены ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Минтруд России не наделен полномочиями по разъяснению положений данного Федерального закона.
🔸В соответствии с нормами ст.22 ТК РФ работодатель имеет право требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя, если работодатель несет ответственность за сохранность этого имущества) и других работников, соблюдения правил внутреннего трудового распорядка, требований охраны труда.
🔸Кроме того, на основании ст.214.2 ТК РФ работодатель имеет право использовать в целях контроля за безопасностью производства работ приборы, устройства, оборудование и (или) комплексы (системы) приборов, устройств, оборудования, обеспечивающих дистанционную видео-, аудио- или иную фиксацию процессов производства работ, обеспечивать хранение полученной информации.
🔸Согласно ч.2 ст.189 ТК РФ работодатель обязан в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором создавать условия, необходимые для соблюдения работниками дисциплины труда.
🔸Одновременно из содержания ст.56 ТК РФ, в частности, следует, что на основании трудового договора работник обязуется лично выполнять определенную трудовую функцию в интересах, под управлением и контролем работодателя, соблюдать правила внутреннего трудового распорядка, действующие у данного работодателя.
🔸Так, поднимаемые в обращении вопросы многократно исследовались судами различных уровней при рассмотрении дел, связанных с осуществлением работодателями видеозаписи, правовая позиция которых изложена в постановлениях соответствующих судов (например: Определение Третьего кассационного суда общей юрисдикции от 3 июля 2023 г. N 88-14171/2023 по делу N 2-2154/2022; Апелляционное определение судебной коллегии по гражданским делам Новосибирского областного суда от 15 января 2019 г. по делу N 33-653/2019; Апелляционное определение судебной коллегии по гражданским делам Верховного Суда Республики Бурятия от 19 июля 2017 г. по делу N 33-2917/2017; Апелляционное определение судебной коллегии по гражданским делам Свердловского областного суда от 16 ноября 2016 г. по делу N 33-20507/2016).
🏛️ Минтруд: содержание понятия "биометрические персональные данные" и общие правила их использования (обработки) установлены ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Минтруд России не наделен полномочиями по разъяснению положений данного Федерального закона.
🔸В соответствии с нормами ст.22 ТК РФ работодатель имеет право требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя (в том числе к имуществу третьих лиц, находящемуся у работодателя, если работодатель несет ответственность за сохранность этого имущества) и других работников, соблюдения правил внутреннего трудового распорядка, требований охраны труда.
🔸Кроме того, на основании ст.214.2 ТК РФ работодатель имеет право использовать в целях контроля за безопасностью производства работ приборы, устройства, оборудование и (или) комплексы (системы) приборов, устройств, оборудования, обеспечивающих дистанционную видео-, аудио- или иную фиксацию процессов производства работ, обеспечивать хранение полученной информации.
🔸Согласно ч.2 ст.189 ТК РФ работодатель обязан в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором создавать условия, необходимые для соблюдения работниками дисциплины труда.
🔸Одновременно из содержания ст.56 ТК РФ, в частности, следует, что на основании трудового договора работник обязуется лично выполнять определенную трудовую функцию в интересах, под управлением и контролем работодателя, соблюдать правила внутреннего трудового распорядка, действующие у данного работодателя.
🔸Так, поднимаемые в обращении вопросы многократно исследовались судами различных уровней при рассмотрении дел, связанных с осуществлением работодателями видеозаписи, правовая позиция которых изложена в постановлениях соответствующих судов (например: Определение Третьего кассационного суда общей юрисдикции от 3 июля 2023 г. N 88-14171/2023 по делу N 2-2154/2022; Апелляционное определение судебной коллегии по гражданским делам Новосибирского областного суда от 15 января 2019 г. по делу N 33-653/2019; Апелляционное определение судебной коллегии по гражданским делам Верховного Суда Республики Бурятия от 19 июля 2017 г. по делу N 33-2917/2017; Апелляционное определение судебной коллегии по гражданским делам Свердловского областного суда от 16 ноября 2016 г. по делу N 33-20507/2016).
👍20❤1
💪 В банках снижается число случаев компрометации данных
🔸В России по итогам первого полугодия перераспределилась доля утечек в финансовом секторе. Если годом ранее наибольшая доля скомпрометированной информации приходилась на банки, то сейчас число утечек из них снизилось более чем вдвое.
🔸В то же время в сфере микрозаймов объемы утечек, по оценке аналитиков, выросли, и сейчас их доля достигает более 35% в общем объеме скомпрометированных данных в отрасли. Это происходит на фоне роста популярности микрозаймов в России и меньшей защищенности таких компаний, говорят эксперты.
🔸Количество и содержание утечек информации в финансовом секторе в России за первое полугодие изменилось, подсчитали аналитики ИБ-компании InfoWatch. Так, число утечек данных из финансовых организаций в целом в России сократилось относительно показателей за 2023 год более чем вдвое: до 14 инцидентов с 37. Объем данных (идентичных записей) в скомпрометированных базах составил 49,5 млн строк, хотя в первом полугодии 2023 года их было 51,1 млн.
🔸В России по итогам первого полугодия перераспределилась доля утечек в финансовом секторе. Если годом ранее наибольшая доля скомпрометированной информации приходилась на банки, то сейчас число утечек из них снизилось более чем вдвое.
🔸В то же время в сфере микрозаймов объемы утечек, по оценке аналитиков, выросли, и сейчас их доля достигает более 35% в общем объеме скомпрометированных данных в отрасли. Это происходит на фоне роста популярности микрозаймов в России и меньшей защищенности таких компаний, говорят эксперты.
🔸Количество и содержание утечек информации в финансовом секторе в России за первое полугодие изменилось, подсчитали аналитики ИБ-компании InfoWatch. Так, число утечек данных из финансовых организаций в целом в России сократилось относительно показателей за 2023 год более чем вдвое: до 14 инцидентов с 37. Объем данных (идентичных записей) в скомпрометированных базах составил 49,5 млн строк, хотя в первом полугодии 2023 года их было 51,1 млн.
👍8
⚡Роскомнадзор подтвердил утечку персональных данных одной из организаций соцобслуживания Подмосковья
🔸Одна из организаций по социальному обслуживанию Московской области направила уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о произошедшей утечке персональных данных, сообщили в пресс-службе ведомства.
🔸«Организация социального обслуживания уведомила Роскомнадзор о утечке персональных данных получателей услуг», – отметили в ведомстве.
🔸Ранее в Telegram-каналах появилась информация о том, что личные данные детей-инвалидов из Подмосковья стали доступны для всех. Указывалось, что страница с фамилиями, именами и отчествами детей, их датами рождения, адресами и телефонами близких была проиндексирована поисковыми системами на сайте одной из организаций социального обслуживания Московской области.
🔸Одна из организаций по социальному обслуживанию Московской области направила уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о произошедшей утечке персональных данных, сообщили в пресс-службе ведомства.
🔸«Организация социального обслуживания уведомила Роскомнадзор о утечке персональных данных получателей услуг», – отметили в ведомстве.
🔸Ранее в Telegram-каналах появилась информация о том, что личные данные детей-инвалидов из Подмосковья стали доступны для всех. Указывалось, что страница с фамилиями, именами и отчествами детей, их датами рождения, адресами и телефонами близких была проиндексирована поисковыми системами на сайте одной из организаций социального обслуживания Московской области.
😢7🤬3👍1
Чек-лист контролей ПД.pdf
4.2 MB
💡👁 Privacy Advocates обновили для вас чек-лист из 113 основных контролей обработки и защиты ПД, в который добавили новое требование по уничтожению ПД с использованием сертифицированных СЗИ (см. п.3.1 ч.2 ст.19 152-ФЗ о ПД). Сам чек-лист структурирован в следующие разделы:
⚖️ 1 Целенаправленность и пропорциональность обработки ПД
📒 2 Основания обработки ПД
📑 3 Передача ПД и соглашения с третьими лицами
💽 4 Сбор, использование, хранение и уничтожение ПД
📢 5 Коммуникация и взаимодействие с субъектами ПД
🏛 6 Коммуникация и взаимодействие с уполномоченными органами
🪧 7 Осведомленность и обучение персонала, допущенного к обработке ПД
🔦 8 Контроль отклонений и реагирование на инциденты
🔒 9 Безопасность обработки ПД
🚧 10 Руководство и учет в области ПД
⚡️Меры юридической ответственности для юридических лиц и должностных лиц за невыполнение контролей;
⚠️Риск-факторы повышения вероятности контрольных (надзорных) мероприятий в области ПД
⚖️ 1 Целенаправленность и пропорциональность обработки ПД
📒 2 Основания обработки ПД
📑 3 Передача ПД и соглашения с третьими лицами
💽 4 Сбор, использование, хранение и уничтожение ПД
📢 5 Коммуникация и взаимодействие с субъектами ПД
🏛 6 Коммуникация и взаимодействие с уполномоченными органами
🪧 7 Осведомленность и обучение персонала, допущенного к обработке ПД
🔦 8 Контроль отклонений и реагирование на инциденты
🔒 9 Безопасность обработки ПД
🚧 10 Руководство и учет в области ПД
⚡️Меры юридической ответственности для юридических лиц и должностных лиц за невыполнение контролей;
⚠️Риск-факторы повышения вероятности контрольных (надзорных) мероприятий в области ПД
Please open Telegram to view this post
VIEW IN TELEGRAM
👍28🔥13❤5
💡🏦 Интересные материалы Ассоциации ФинТех об открытых API для финансового рынка
🔸Суть - банкиры описывают обмен полной информацией о своей клиентуре в режиме реального времени в автоматическом режиме в рамках т.н. 'Открытого банкинга' (фактически это конечно уже все есть, но пока не оформлено в цельнотянутую конструкцию со стандартами и прочим).
🔸Суть - банкиры описывают обмен полной информацией о своей клиентуре в режиме реального времени в автоматическом режиме в рамках т.н. 'Открытого банкинга' (фактически это конечно уже все есть, но пока не оформлено в цельнотянутую конструкцию со стандартами и прочим).
🔥5👍3❤2
0001202408190003.pdf
109.2 KB
🏛️ Опубликован приказ Минцифры от 01.08.2024 № 682, которым добавлен новый индикатор риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных
🔸Выявление в течение календарного года двух и более нарушений требований 149-ФЗ об информации в отношении ст.10.2-2 (особенности предоставления информации с применением рекомендательных технологий).
🔸Выявление в течение календарного года двух и более нарушений требований 149-ФЗ об информации в отношении ст.10.2-2 (особенности предоставления информации с применением рекомендательных технологий).
👍9🤔2❤1
🏛️ Для белых хакеров может быть создан отдельный реестр
🔸Совет Федерации, ФСБ, МВД и компании, занимающиеся информационной безопасностью (ИБ), обсуждают возможность создания реестра белых хакеров и их сертификацию. Об этом «Ведомостям» рассказали три источника, близких к различным ИБ-компаниям. По их словам, вопрос обсуждался на закрытой встрече представителей ведомств в начале августа.
🔸Вопрос прорабатывается в рамках законопроекта о белых хакерах, пояснил «Ведомостям» член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин. В сентябре должны подписать решение секции совета по развитию цифровой экономики при Совете Федерации по данной теме, уточнил он.
🔸Совет Федерации, ФСБ, МВД и компании, занимающиеся информационной безопасностью (ИБ), обсуждают возможность создания реестра белых хакеров и их сертификацию. Об этом «Ведомостям» рассказали три источника, близких к различным ИБ-компаниям. По их словам, вопрос обсуждался на закрытой встрече представителей ведомств в начале августа.
🔸Вопрос прорабатывается в рамках законопроекта о белых хакерах, пояснил «Ведомостям» член комитета Совета Федерации по конституционному законодательству и государственному строительству Артем Шейкин. В сентябре должны подписать решение секции совета по развитию цифровой экономики при Совете Федерации по данной теме, уточнил он.
👍7😁4
🏛️ Минцифры поднимает отрасли на борьбу с киберугрозами
🔸К платформе для противодействия киберугрозам, разрабатываемой Минцифры для объединения усилий с бизнесом и силовыми структурами, могут привлечь социальные сети, разработчиков мобильных приложений и маркетплейсы. Проект получил название «ТелекомЦерт».
🔸Ранее в обсуждении инициативы принимали участие банки и телеком-компании. Саму платформу Минцифры планирует запустить к концу 2026 года. Ряд участников рынка считают, что подключение к ней должно стать обязательным, что потребует изменений в законодательстве.
🔸К платформе для противодействия киберугрозам, разрабатываемой Минцифры для объединения усилий с бизнесом и силовыми структурами, могут привлечь социальные сети, разработчиков мобильных приложений и маркетплейсы. Проект получил название «ТелекомЦерт».
🔸Ранее в обсуждении инициативы принимали участие банки и телеком-компании. Саму платформу Минцифры планирует запустить к концу 2026 года. Ряд участников рынка считают, что подключение к ней должно стать обязательным, что потребует изменений в законодательстве.
👍2🤔2
📺 Основную выручку производителям телевизоров стали приносить ПД пользователей
🔸Доход производителей телевизоров уже не связан целиком и полностью с продажей устройств, всё больше компаний рассматривают в качестве своего наиболее ценного актива покупателей и их персональные данные (ПД).
🔸За последние несколько лет производители телевизоров зафиксировали рост доходов, связанных с операционными системами (ОС) для устройств. Такие ОС могут показывать зрителям рекламу и анализировать отклик на неё. Вместо того, чтобы продавать как можно больше телевизоров, компании, в частности, LG, Samsung, Roku и Vizio, стремятся заработать на уже реализованных устройствах посредством рекламы и сбора ПД пользователей.
🔸Огромная часть выручки, связанной с операционными системами телевизоров, поступает от продажи рекламы, включая ту, что транслируют на главном экране устройства, заставке и бесплатных ТВ-каналах.
🔸В основе рекламного бизнеса в сфере умных телевизоров лежит технология автоматического распознавания контента (Automatic content recognition, ACR). Хотя производители заявляют, что пользователи могут деактивировать применение ACR, на деле это слишком сложно.
🔸Для большинства пользователей ACR не несёт никакой пользы. В то же время применение данной технологии связано с рисками в области обеспечения конфиденциальности. Компании – иногда в режиме реального времени – обмениваются с третьей стороной данными о том, как владельцы Smart TV взаимодействуют с устройствами.
🔸Наибольшую угрозу представляют дешёвые телевизоры. Невысокую цену они компенсируют рекламой и сбором персональных данных. После автоматического обновления ПО спустя некоторое время после покупки количество транслируемой рекламы на дешёвом телевизоре может возрасти.
🔸Доход производителей телевизоров уже не связан целиком и полностью с продажей устройств, всё больше компаний рассматривают в качестве своего наиболее ценного актива покупателей и их персональные данные (ПД).
🔸За последние несколько лет производители телевизоров зафиксировали рост доходов, связанных с операционными системами (ОС) для устройств. Такие ОС могут показывать зрителям рекламу и анализировать отклик на неё. Вместо того, чтобы продавать как можно больше телевизоров, компании, в частности, LG, Samsung, Roku и Vizio, стремятся заработать на уже реализованных устройствах посредством рекламы и сбора ПД пользователей.
🔸Огромная часть выручки, связанной с операционными системами телевизоров, поступает от продажи рекламы, включая ту, что транслируют на главном экране устройства, заставке и бесплатных ТВ-каналах.
🔸В основе рекламного бизнеса в сфере умных телевизоров лежит технология автоматического распознавания контента (Automatic content recognition, ACR). Хотя производители заявляют, что пользователи могут деактивировать применение ACR, на деле это слишком сложно.
🔸Для большинства пользователей ACR не несёт никакой пользы. В то же время применение данной технологии связано с рисками в области обеспечения конфиденциальности. Компании – иногда в режиме реального времени – обмениваются с третьей стороной данными о том, как владельцы Smart TV взаимодействуют с устройствами.
🔸Наибольшую угрозу представляют дешёвые телевизоры. Невысокую цену они компенсируют рекламой и сбором персональных данных. После автоматического обновления ПО спустя некоторое время после покупки количество транслируемой рекламы на дешёвом телевизоре может возрасти.
😢8🤔5❤1😁1
🇪🇺Штраф за непривлечение DPO к решению вопросов, связанных с защитой данных, и непредоставление DPO достаточных ресурсов и полномочий
🔸Кто: Commission nationale pour la protection des données (Люксембург) и Административный суд Люксембурга
🔸Когда: 2024.05
🔸За что: нарушение ст.ст. 38(1), 38(2), 39 GDPR
🔸Как: Штраф €18,000
🔸Обстоятельства: DPO группы компаний, находящийся во Франции, не был включен в корпоративный комитет по защите данных компании группы в Люксембурге и был вовлечен в вопросы защиты данных только косвенно через местное контактное лицо – единственного юриста компании в Люксембурге.
DPO должен быть вовлечен во все вопросы, связанные с защитой персональных данных, и общей консультации недостаточно. Принимая во внимание объем деятельности контролера в Люксембурге (70 локаций, от 1600 до 2100 сотрудников и 25,000 потребителей в день), требуется наличие как минимум одного штатного сотрудника, занимающегося защитой данных.
🔸Кто: Commission nationale pour la protection des données (Люксембург) и Административный суд Люксембурга
🔸Когда: 2024.05
🔸За что: нарушение ст.ст. 38(1), 38(2), 39 GDPR
🔸Как: Штраф €18,000
🔸Обстоятельства: DPO группы компаний, находящийся во Франции, не был включен в корпоративный комитет по защите данных компании группы в Люксембурге и был вовлечен в вопросы защиты данных только косвенно через местное контактное лицо – единственного юриста компании в Люксембурге.
DPO должен быть вовлечен во все вопросы, связанные с защитой персональных данных, и общей консультации недостаточно. Принимая во внимание объем деятельности контролера в Люксембурге (70 локаций, от 1600 до 2100 сотрудников и 25,000 потребителей в день), требуется наличие как минимум одного штатного сотрудника, занимающегося защитой данных.
❤10👍5🤔3
Поручение ПД персонала - ЗИ.rtf
214.8 KB
⚖️ Некоторые выводы из решения Пресненского районного суда Москвы от 30.01.2024 по делу №2-907/2024 (Петрова vs ООО "СК Энмув Рус"):
🔸в трудовых отношениях обработка ПД ведется в рамках исполнения трудового договора, закона, и не могла ставиться под условие получения согласия на обработку ПД, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона;
🔸работодатель вправе передавать ПД и поручать их обработку третьим лицам в рамках преследования собственного законного интереса, если при этом не нарушаются права и свободы работников как субъектов ПД, т.е. возможность передачи ПД для надлежащего выполнения обязанностей работодателя не может ставиться под условие получения согласия работника, иное приводило бы к существенному ограничению прав работодателя как юридического лица;
🔸хранение документов, в том числе архивное, может осуществляться не только в бумажном, но и в электронном виде, ПД уволенных работников должны сохраняться в течение установленных сроков хранения документов и сведений, в том числе, в электронном виде в информационных системах;
🔸частичная утрата кадровых документов не свидетельствует о нарушении прав работника, т.к. сами по себе копии документов не являются ПД, а выступают, в первую очередь, в качестве источников и материальных носителей ПД - отсутствие бумажных документов не свидетельствует об утрате ПД как таковых.
🔸в трудовых отношениях обработка ПД ведется в рамках исполнения трудового договора, закона, и не могла ставиться под условие получения согласия на обработку ПД, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона;
🔸работодатель вправе передавать ПД и поручать их обработку третьим лицам в рамках преследования собственного законного интереса, если при этом не нарушаются права и свободы работников как субъектов ПД, т.е. возможность передачи ПД для надлежащего выполнения обязанностей работодателя не может ставиться под условие получения согласия работника, иное приводило бы к существенному ограничению прав работодателя как юридического лица;
🔸хранение документов, в том числе архивное, может осуществляться не только в бумажном, но и в электронном виде, ПД уволенных работников должны сохраняться в течение установленных сроков хранения документов и сведений, в том числе, в электронном виде в информационных системах;
🔸частичная утрата кадровых документов не свидетельствует о нарушении прав работника, т.к. сами по себе копии документов не являются ПД, а выступают, в первую очередь, в качестве источников и материальных носителей ПД - отсутствие бумажных документов не свидетельствует об утрате ПД как таковых.
👍47❤9😢1