🏛️ ВСС: страхование операторов персданных от утечек должно быть добровольным
🔸Операторы персданных должны нести финансовую ответственность в случае утечек, заявил на форуме ITSEC 2024 заместитель генерального директора, директор по рискам СК «Сбербанк страхование» Владимир Новиков.
🔸По его словам, каждый гражданин должен быть защищен и мог получить финансовую компенсацию за потерю данных. Поэтому владелец персональных данных должен иметь возможность выбрать защиту из: банковской гарантии, собственных средств или страхования.
🔸«Однако в разработке такого страхового продукта есть сложности. Как оценить стоимость персданных и как обеспечить объективный механизм фиксации фактов утечки и последствий для физ. лица?» — отметил эксперт.
🔸По его словам, Всероссийский союз страховщиков (ВСС) занимается созданием удобного и современного механизма урегулирования убытков, получения страховой выплаты и защиты от мошенников с обеих сторон. Результаты создания такого продукта будут представлены в конце 2024 года.

💡Вопрос: В соответствии с п.8 приказа Роскомнадзора №179 от 28.10.2022 акт об уничтожении ПД и выгрузка из журнала регистрации событий в ИСПД подлежат хранению в течение 3 лет с момента уничтожения ПД. Перечень ТУАД (утв. приказом Росархива №236 от 20.12.2019) не упоминает таких документов.
🔸Следует ли рассматривать установленный приказом Роскомнадзора №179 срок в 3 года как срок архивного хранения?
🔸Если указанный срок в 3 года не является сроком архивного хранения, то в течение какого срока следует хранить вышеупомянутые документы по истечении указанных 3 лет?

🏛️ Росархив: Приказ Роскомнадзора №179 не распространяется на документы, подлежащие архивному хранению (см. п.2 ч.2 152-ФЗ от 27.07.2006 «О персональных данных»). При определении сроков хранения актов об уничтожении ПД и выгрузки из журнала регистрации событий в ИСПД следует руководствоваться п.8 приказа Роскомнадзора №179, что не противоречит ч.1 ст.21.1 125-ФЗ об архивном деле.

🏦 Гражданам разрешат сдавать данные через банковские приложения
🔸Российские власти согласились разрешить банкам собирать биометрические данные клиентов через мобильные приложения — сейчас это можно сделать только при визите в банк. Для того чтобы нововведение состоялось, придется подкорректировать законодательство и доработать банковские приложения по жестким стандартам. Проблемой может стать то, что клиентам ряда санкционных банков приходится использовать web-приложения, которые могут не обеспечивать криптографическую защиту российскими алгоритмами.
🔸По данным ЦБ, в настоящее время семь банков имеют собственные коммерческие биометрические системы (КБС), аттестованные Минцифрой. При этом любой банк может создать собственную КБС при условии, что система будет соответствовать требованиям законодательства.

🏛️ ФСБ сможет получать сведения о гражданах из ЗАГСов
🔸ФСБ разработала проект постановления правительства о получении сведений о гражданах из ЗАГСов. Речь идет о государственной регистрации рождения и смерти, расторжении брака, смене имени, установлении отцовства и о внесении иных изменений в записи актов гражданского состояния. Доступ ФСБ к данным ЗАГСов о гражданах планируют добавить в постановление правительства № 1746 от 29 декабря 2018 года.

🏛️Персональные данные идущих на выборы участников СВО просят закрыть
🔸Избирательная кампания в единый день голосования 8 сентября 2024 года привела немало бывших участников СВО на выборы разного уровня по всей стране. Кандидатами стали люди, чьи лица и адреса начиная с февраля 2022 года тщательно скрывались. Но, баллотируясь в депутаты, по закону они были обязаны указать все свои персональные данные и сведения о доходах и имуществе. Некоторым это создало проблемы, когда сведения «утекли».
🔸Петербургские депутаты хотят предупредить подобные ситуации на будущее. Они разработали поправки в закон о гарантиях избирательных прав и предлагают закрыть персональные данные кандидатов, которые еще недавно защищали интересы России на новых территориях. В Госдуме к инициативе относятся с уважением, но считают, что ее нужно серьезно обсудить с ЦИК, юристами и ветеранскими организациями.

🏛️Управление Роскомнадзора по Приволжскому федеральному округу с начала 2024 года провело 237 профилактических визитов с подконтрольными субъектами — операторами персональных данных, операторами связи и средствами массовой информации, отметившими пользу такой формы взаимодействия проверяемого лица с надзорным органом.
🔸Однако 46% (200) контролируемых лиц воспользовались своим правом и отказались от проведения профилактических визитов.

🏛️Управлением Роскомнадзора по Тюменской области, ХМАО-ЮГРЕ и ЯНАО в III квартале 2024 года проведено 12 мероприятий по контролю без взаимодействия с контролируемыми лицами в отношении следующих категорий операторов:
- образовательные учреждения;
- МФЦ;
- образовательные учреждения;
- финансово-кредитные организации;
- интернет-магазины;
- организации в сфере ЖКХ;
- платформы дистанционной торговли в сети «Интернет» (маркетплейсы);
- организации по перевозке пассажиров легковым такси;
- организации, осуществляющие туроператорскую и турагентскую деятельность;
- предприятия общественного питания;
- фитнес-центры;
- медицинские организации;
- органы государственной власти субъектов РФ и муниципальные органы;
- организации, оказывающие услуги парикмахерских и салонов красоты;
- транспортные компании.

🔸В рамках мероприятий произведена оценка соответствия информации 50 сайтов операторов в сети «Интернет» требованиям законодательства Российской Федерации о ПД. В действиях 42 операторов выявлены признаки нарушений требований Федерального закона от 27.07.2006 № 152-ФЗ «О ПД». Наиболее частыми выявляемыми нарушениями являются:
- обработка ПД в случаях, не предусмотренных Федеральным законом «О ПД»;
- несоблюдение контролируемым лицом обязательных требований по наличию согласия субъекта ПД, разрешенных субъектом ПД для распространения, отдельно оформленного от иных согласий на обработку его ПД;
- непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
- неуведомление оператором уполномоченного органа по защите прав субъектов ПД о своем намерении осуществлять обработку ПД;
- непредставление в уполномоченный орган сведений о прекращении обработки ПД или об изменении информации, содержащейся в уведомлении об обработке ПД.

#privacy #dataprotection #пд #152фз #duralex #юмор

⚡В 2024-м в Сеть попало 286 млн номеров россиян
🔸С начала 2024-го в интернет утекло 286 млн телефонных номеров и 96 млн имейл-адресов — вдвое больше, чем за такой же период в прошлом году. Об этом говорится в исследовании сервиса разведки утечек данных DLBI.
🔸Лидерами по числу «сливов» в этом году стал сектор электронной коммерции (39%). На втором месте по числу скомпрометированной информации — аптеки и медицинские сервисы (10%). Третье место заняли финансовые услуги (9%), а четвертое — ритейлеры (8%).
🔸Вместе с тем, как сообщили в Роскомнадзоре, число инцидентов снизилось — со 145 случаев в январе–сентябре 2023 года до 110 случаев за тот же период нынешнего.

💡На Finopolis обсудили конфиденциальные вычисления и приватность данных
🔸Разработчики, поставщики и заказчики технологий конфиденциальных вычислений обсудили, где они применяются уже сейчас, что необходимо для их развития и каким будет будущее приватности данных. Эксперты видят потенциал конфиденциальных вычислений в разных областях, но пока соглашаются с тем, что технология требует доработки.
🔸На сегодняшний день конфиденциальные вычисления активно тестируются в финансовом секторе и здравоохранении. Первый пример – скоринговая межбанковская инфраструктура на дебетовых счетах. К проекту подключились уже шесть банков. Они могут совместно использовать данные друг друга, кратно увеличивая их аналитический потенциал. При этом банки не обмениваются данными между собой, не консолидируют их у третьих сторон и неукоснительно следуют всем коммерческим и регуляторным ограничениям, рассказал Емельянов.
🔸Второй проект, где уже сегодня используются конфиденциальные вычисления, – зарплатная аналитика. Bloomtech решила построить систему зарплатной аналитики, к которой также будут подключаться компании и контрибутить зарплатные данные. Основополагающие принципы системы – оперативность, автоматизация и конфиденциальность. «Последнее, конечно, самое интересное, потому что компании, которые подключаются к системе и предоставляют в нее свои данные, должны быть уверены, что эти данные не будут использованы, например, для адресного хантинга. Решать эту проблему мы будем с помощью алгоритма конфиденциального вычисления, причем похожего на тот, который мы использовали в нашем банковском проекте», – объяснил генеральный директор Bloomtech.
🔸Третий проект – статистические исследования медицинских данных. Медицинские данные охраняются достаточного строго, так как существует врачебная тайна. Однако конфиденциальные вычисления на них позволяют делать выводы и открытия, важные для человечества в целом, не затрагивая эту тайну.

💡ВЦИОМ: более трети россиян относятся к биометрии положительно
🔸Более трети (41%) участников опроса, проведенного Всероссийским центром изучения общественного мнения (ВЦИОМ), относятся к подтверждению личности по биометрии положительно.
🔸Если в 2023 г. в обществе преобладал нейтрально-негативный настрой, то сегодня - позитивный. Четверо из десяти россиян относятся к подтверждению личности по биометрии в той или иной степени положительно (41%, 2023 г. - 27%), трое из десяти - отрицательно (29%, 2023 г. - 32%), каждый четвертый - нейтрально (25%, 2023 г. - 34%).
🔸Опрос показал, что в вопросах хранения и обработки биометрии респонденты в большей степени доверяют государственным, нежели коммерческим учреждениям (42% против 2%), никому не доверяют 44%. По мнению 40% опрошенных, кража биометрии столь же опасна, как и утечка традиционных персональных данных (паспорт, ИНН, СНИЛС и др).

⚡Вред от утечек снижается – ПД уже разграблены
🔸Количество утечек растёт, объём украденных данных тоже, «а их опасность для пользователей падает», сообщает в понедельник сервис разведки утечек данных и мониторинга даркнета DLBI по итогам трёх кварталов 2024 года.
🔸Вывод о том, что теперь утечки стали менее опасны, DLBI основывает на том, что «…сейчас чаще всего утекают телефонные номера или e-mail, не сопровождаемые критичными данными и пригодные в основном для спама и для обогащения других баз, основная часть таких утечек – данные небольших интернет-магазинов или даже данные, собранные парсингом, которые можно рассматривать как открытые».

🏥 Cтандарт цифровых медицинских двойников появится в России
🔸Проект национального стандарта цифрового двойника в здравоохранении разработали в Сеченовском университете и Санкт-Петербургском Политехе. Цифровой двойник — это виртуальные копии, например органов, которые могут использоваться для улучшения диагностики и лечения пациентов. В проект ГОСТа включат требования к точности, доступности, аналитической и клинической валидации таких данных.

🏛️ Роскомнадзор: операторы злоупотребляют правами перед субъектами персданных
🔸«Мораторий на проверки контрольно-надзорных органов почему-то воспринимается операторами персональных данных как возможность осуществлять свою деятельность без оглядки на права человека. Это – неправильный посыл от государственного регулирования», — заявил сегодня заместитель руководителя Роскомнадзора Милош Вагнер на конференции «Евразийский конгресс по защите данных». По его словам, именно несовершенство законодательства создает такую иллюзию.
🔸Милош Вагнер рассказал, что в Роскомнадзор ежегодно обращается около 40 тыс. человек, и в 93% случаев операторы персданных уверяют, что обработка таких данных осуществлялась на законных основаниях. «Информация о гражданах должна быть только у операторов, которые способны защитить эти данные, а также провести полноценный анализ того, для чего они собираются и какие меры нужно принять, чтобы минимизировать риски», — подчеркнул эксперт.

#privacy #dataprotection #пд #право #юмор

🏛️ Роскомнадзор предложил ограничить сбор персональных данных
🔸Роскомнадзор предлагает разработать и закрепить на законодательном уровне обязательные стандарты работы с персональными данными, которым должны будут следовать все участники оборота таких данных. Эта инициатива пока в стадии предложения.
🔸Организации смогут собирать только те данные, которые действительно нужны для выполнения конкретных задач, и сбор будет возможен только на основании закона, а не по согласию граждан, как это происходит сейчас. Вместо того чтобы получать данные напрямую от граждан, организации будут получать их от уполномоченных органов, если это необходимо.

🏛️ Законопроект об охране голоса отправили на доработку
🔸Совет при президенте РФ по кодификации и совершенствованию гражданского законодательства не поддержал законопроект, предусматривающий правовое регулирование использования голоса гражданина.
🔸Согласно заключению Совета, предлагаемые изменения могут приводить к излишнему ограничению прав граждан на использование голосовых данных. "Например, в условиях развития технологий может возникнуть необходимость использования голосовых записей в различных сферах, таких как медицина, образование и сфера услуг. Ограничение на их использование может негативно сказаться на инновациях и развитии гражданского общества", - добавил глава Совета.
🔸Законопроект затрагивает вопросы интеллектуальной собственности и защиты персональных данных. "Поэтому необходима интеграция предложенных изменений в действующее законодательство. Непосредственное влияние на такие сферы, как авторское право и охрана личных данных должно быть детально проанализировано во избежание конфликтов норм", - прокомментировал он.
🔸Совет отметил, что проект содержит неясные определения некоторых терминов, таких как "голос гражданина", не проводится необходимого разграничения между понятиями "голос" и "речь". В результате этого остается неясным, по каким характеристикам следует индивидуализировать голос и определять его принадлежность гражданину.

🇮🇪 Ирландия оштрафовала LinkedIn Ireland на €310 млн за нарушение обработки персональных данных
🔸Ирландский регулятор оштрафовал компанию LinkedIn (американская социальная сеть, заблокированная на территории РФ) Ireland на €310 млн за нарушение правил использования личных данных. Об этом говорится в заявлении ирландской Комиссии по защите данных (DPC).
🔸Согласно сообщению, они выявлены в ходе расследования относительно "обработки персональных данных пользователей в целях поведенческого анализа, а также целевой рекламы".
🔸По словам заместителя главы DPC Грэма Дойла, "обработка персональных данных без соответствующей правовой основы является явным и серьезным нарушением основополагающего права субъектов на их защиту".