💡Подборка материалов по Data Privacy:
👑 Проект положения об обработке и защите ПД в организации
👑 Определение сведений в качестве ПД
⚡️ Ответственность за нарушения в области ПД: новеллы 2025г.
⚡️Ландшафт административной и уголовной ответственности в области ПД
⚡️ Десять резонансных судебных решений о ПД в 2022-2024гг
⚡️ Актуальные тренды регулирования ПД в РФ
🔥 Диагностика комплаенса ПД на сайте
🔥 Практический комментарий к некоторым положениям 266-ФЗ от 14.07.2022
🔥 Реагирование на утечку: выиграть или не проиграть?
🔥 Риск-ориентированный подход к выполнению требований законодательства о ПД
🔥 Высокоуровневая карта системы комплаенса ПД в организации
🔥 Рамочное межоператорское соглашение о передаче ПД без поручения их обработки (Data Transfer Agreement)
🔥 Рамочное соглашение (Data Processing Agreement) об обработке ПД с поручением их обработки
🔥 Обзор 266-ФЗ от 14.07.2022 о внесении изменений законодательство РФ о ПД
🔥 Легализация распространения ПД в РФ
🔥 Регулирование оборота биометрических ПД в РФ
🔥 Правила обработки биометрии для контроля и управления доступом на территорию
🔥 Способы легализации обработки ПД в контексте трудовых и связанных с ними отношений
🔥 Алгоритм снижения идентифицирующего потенциала данных
🔥 Требования к обезличиванию ПД и методы обезличивания ПД
📌 Новые требования в отношении сбора ПД потребителей
📌 Определение применимости GDPR к обработке ПД
📌 Типология ПД по источникам их получения
📌 Экспресс-схема идентификации баз ПД, подлежащих локализации в России
📌 Квалификация обработки фотографии для управления доступом на территорию
📌 Трансграничная передача ПД из РФ с 01.03.2023
📌 От псевдонимизации к анонимизации ПД в GDPR
📌 Перечень ссылок на полезные материалы для операторов ПД, опубликованные Роскомнадзором и его территориальными органами
📌 Административная и уголовная ответственность за нарушения при обработке и защите ПД
📌 Алгоритм выбора правового основания обработки ПД
📌 Структура локальных актов и иной документации по ПД для организации в РФ
📌 Правовые и практические аспекты надлежащего уничтожения ПД
📌 Вводная презентация о профессии 'прайвасиста'
📌 Регулирование рекомендательных технологий в РФ
📌 Регулирование авторизации пользователей на информационных ресурсах в РФ
📌 Регулирование массовых и (или) автоматических телефонных вызовов в РФ
📌 Правовые режимы информации в РФ
📌 Некоторые аспекты идентификации и аутентификации в РФ
📌 Базовые критерии оценки допустимости обработки ПД
📌 Квалифицирующие свойства согласия субъекта на обработку ПД
📌 Требование к обособлению согласия на обработку ПД
👑 Проект положения об обработке и защите ПД в организации
👑 Определение сведений в качестве ПД
⚡️ Ответственность за нарушения в области ПД: новеллы 2025г.
⚡️Ландшафт административной и уголовной ответственности в области ПД
⚡️ Десять резонансных судебных решений о ПД в 2022-2024гг
⚡️ Актуальные тренды регулирования ПД в РФ
🔥 Диагностика комплаенса ПД на сайте
🔥 Практический комментарий к некоторым положениям 266-ФЗ от 14.07.2022
🔥 Реагирование на утечку: выиграть или не проиграть?
🔥 Риск-ориентированный подход к выполнению требований законодательства о ПД
🔥 Высокоуровневая карта системы комплаенса ПД в организации
🔥 Рамочное межоператорское соглашение о передаче ПД без поручения их обработки (Data Transfer Agreement)
🔥 Рамочное соглашение (Data Processing Agreement) об обработке ПД с поручением их обработки
🔥 Обзор 266-ФЗ от 14.07.2022 о внесении изменений законодательство РФ о ПД
🔥 Легализация распространения ПД в РФ
🔥 Регулирование оборота биометрических ПД в РФ
🔥 Правила обработки биометрии для контроля и управления доступом на территорию
🔥 Способы легализации обработки ПД в контексте трудовых и связанных с ними отношений
🔥 Алгоритм снижения идентифицирующего потенциала данных
🔥 Требования к обезличиванию ПД и методы обезличивания ПД
📌 Новые требования в отношении сбора ПД потребителей
📌 Определение применимости GDPR к обработке ПД
📌 Типология ПД по источникам их получения
📌 Экспресс-схема идентификации баз ПД, подлежащих локализации в России
📌 Квалификация обработки фотографии для управления доступом на территорию
📌 Трансграничная передача ПД из РФ с 01.03.2023
📌 От псевдонимизации к анонимизации ПД в GDPR
📌 Перечень ссылок на полезные материалы для операторов ПД, опубликованные Роскомнадзором и его территориальными органами
📌 Административная и уголовная ответственность за нарушения при обработке и защите ПД
📌 Алгоритм выбора правового основания обработки ПД
📌 Структура локальных актов и иной документации по ПД для организации в РФ
📌 Правовые и практические аспекты надлежащего уничтожения ПД
📌 Вводная презентация о профессии 'прайвасиста'
📌 Регулирование рекомендательных технологий в РФ
📌 Регулирование авторизации пользователей на информационных ресурсах в РФ
📌 Регулирование массовых и (или) автоматических телефонных вызовов в РФ
📌 Правовые режимы информации в РФ
📌 Некоторые аспекты идентификации и аутентификации в РФ
📌 Базовые критерии оценки допустимости обработки ПД
📌 Квалифицирующие свойства согласия субъекта на обработку ПД
📌 Требование к обособлению согласия на обработку ПД
2👍71🔥44❤21
Privacy Advocates pinned «💡Подборка материалов по Data Privacy: 👑 Проект положения об обработке и защите ПД в организации 👑 Определение сведений в качестве ПД ⚡️ Ответственность за нарушения в области ПД: новеллы 2025г. ⚡️Ландшафт административной и уголовной ответственности в области…»
На портале RPPA опубликовано "Руководство по распознаванию лиц" от 28.01.2021 (принято Консультативным комитетом Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108)) - https://rppa.ru/npa/t-pd_2020_03rev4_28.01.2021
Штраф в ЕС за нарушения при распознавании лиц
Кто: Garante per la protezione dei dati personali (Италия)
Кого: Clearview AI, Inc.
Когда: 2022.02
За что: нарушение ст. 5(1)(a), 5(1)(b), 5(1)(e), 6, 9, 12, 13, 14, 15, 27 GDPR
Как: штраф €20,000,000 и несколько предписаний – удалить данные субъектов из Италии; прекратить сбор и дальнейшую обработку персональных данных в системе распознавания лиц; назначить в течение 30 дней представителя в ЕС.
Причина: Clearview AI находится в США и владеет базой данных из 10 миллиардов изображений лиц людей со всего мира, которые извлекаются из общедоступных веб-источников, а также с помощью искусственного интеллекта формирует профили людей с помощью извлеченной из изображений биометрии и связанных с изображениями метаданных.
Персональные данные, включая биометрические данные и информацию о геолокации, были обработаны компанией без надлежащего правового основания, поскольку законный интерес американской компании не может квалифицироваться таким образом. Кроме того, компания нарушила несколько основных принципов GDPR, таких как прозрачность, ограничение цели и ограничение срока хранения; компания не предоставила субъектам данных информацию, указанную в ст.13-14 GDPR, не предоставила по запросам субъектов информацию об обработке персональных данных в соответствии со ст.15 GDPR в установленные сроки, а также не назначила представителя в ЕС.
Первоисточник: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9751362
Кто: Garante per la protezione dei dati personali (Италия)
Кого: Clearview AI, Inc.
Когда: 2022.02
За что: нарушение ст. 5(1)(a), 5(1)(b), 5(1)(e), 6, 9, 12, 13, 14, 15, 27 GDPR
Как: штраф €20,000,000 и несколько предписаний – удалить данные субъектов из Италии; прекратить сбор и дальнейшую обработку персональных данных в системе распознавания лиц; назначить в течение 30 дней представителя в ЕС.
Причина: Clearview AI находится в США и владеет базой данных из 10 миллиардов изображений лиц людей со всего мира, которые извлекаются из общедоступных веб-источников, а также с помощью искусственного интеллекта формирует профили людей с помощью извлеченной из изображений биометрии и связанных с изображениями метаданных.
Персональные данные, включая биометрические данные и информацию о геолокации, были обработаны компанией без надлежащего правового основания, поскольку законный интерес американской компании не может квалифицироваться таким образом. Кроме того, компания нарушила несколько основных принципов GDPR, таких как прозрачность, ограничение цели и ограничение срока хранения; компания не предоставила субъектам данных информацию, указанную в ст.13-14 GDPR, не предоставила по запросам субъектов информацию об обработке персональных данных в соответствии со ст.15 GDPR в установленные сроки, а также не назначила представителя в ЕС.
Первоисточник: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9751362
GPDP
Ordinanza ingiunzione nei confronti di Clearview AI - 10 febbraio 2022 [9751362]
VEDI ANCHE Comunicato stampa del 9 marzo 2022
👍9❤1
Базовый перечень категорий субъектов персональных данных. Печень состоит из 35 категорий субъектов персональных данных, объединенных в 5 макрокатегорий, и будет применим к большинству организаций. Приведённый перечень категорий субъектов не является исчерпывающим и требует адаптации/дополнения в соответствии спецификой деятельности и её регулирования в отношении отдельно взятой организации.
https://rppa.ru/analitika/subekty_pd
https://rppa.ru/analitika/subekty_pd
👍16🔥3
Прочёл очередную новость об отключении российских пользователей от очередного иностранного ИТ-сервиса (https://vc.ru/services/379922-polzovateli-iz-rossii-nachali-soobshchat-ob-udalenii-rabochih-prostranstv-v-slack-eto-zatronulo-komandy-sbera). Не люблю заниматься самоцитированием, но все же приведу отрывок из своей аналитической записки 2014г. для клиентов касаемо 242-ФЗ о локализации БД с ПД российских граждан:
4. Описание политической и правовой ситуации, послужившей фоном для принятия 242-ФЗ
4.1. С учетом роста мировой геополитической напряженности в первой половине 2014 года между РФ и рядом зарубежных стран, а также в условиях взаимных и встречных санкций различного характера, представители российской исполнительной и законодательной власти выступили с целым рядом инициатив по обеспечению национальной безопасности РФ в информационной, финансовой и иных сферах.
4.2. Так, в марте 2014 года, после того как США ввели санкции против РФ в связи с присоединением Крыма к России и международные платёжные системы «Виза» и «МастерКард» во второй раз в истории остановили обслуживание платежных карт нескольких российских банков в торговых точках и банкоматах международной сети, вновь стало актуальным создание в стране национальной системы платёжных карт, независимой от состояния международных отношений. В РФ был принят Федеральный закон от 05.05.2014 № 112-ФЗ, которым внесены изменения, направленные на обеспечение бесперебойности осуществления переводов денежных средств, осуществляемых в рамках платежной системы на территории РФ. Фактически, власти РФ предприняли попытку инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри РФ, то есть операционные центры и платёжные клиринговые центры должны обязательно находиться на территории РФ. Также в законе предусмотрен запрет на передачу и предоставление доступа иностранным государствам к информации о внутрироссийских платёжных транзакциях.
4.3. Схожим образом власти РФ стали действовать для обеспечения «информационного и цифрового» суверенитета РФ, элементом обеспечения которого и стало принятие 242-ФЗ. При принятии 242-ФЗ законодатель указал, предлагаемые изменения соответствуют, в том числе и практике Европейского суда по правам человека: «Так, 13 мая 2014 года Европейский суд по правам человека вынес решение, согласно которому поисковые интернет-сервисы должны принимать во внимание просьбы физических лиц об удалении, открыто размещенной информации с упоминанием их имени из поисковых результатов. При этом, IT-компании, владеющие поисковыми системами в сети «Интернет», обязаны нести ответственность за распространение персональных данных пользователей, опубликованных на сайтах третьих лиц».
4.4. Тем не менее, при анализе норм 242-ФЗ можно прийти к выводу о существовании как минимум еще двух мотивов для властей РФ:
4.4.1. Возникновение у иностранных компаний (например, операторов социальных сетей), осуществляющих свою деятельность в РФ посредством информационно-телекоммуникационной сети «Интернет», обязанности по обеспечению обработки ПДн российских граждан на территории РФ. Таким образом обеспечивается возможность оперативного доступа к указанным ПДн со стороны правоохранительных органов РФ;
4.4.2. Обеспечение непрерывности деятельности российских компаний, являющихся дочерними по отношению к иностранным компаниям или пользующихся ИТ-услугами иностранных компаний. В частности, очень многие «дочки» иностранных компаний пользуются ресурсами ИС, предоставляемыми иностранными компаниями, для обработки ПДн в таких целях как кадровый учет, расчет заработной платы или взаимодействие с контрагентами. Блокировка обработки ПДн в подобных ИС из-за санкций может в кратчайшие сроки нанести серьезный удар по бизнесу компаний-резидентов РФ.
4. Описание политической и правовой ситуации, послужившей фоном для принятия 242-ФЗ
4.1. С учетом роста мировой геополитической напряженности в первой половине 2014 года между РФ и рядом зарубежных стран, а также в условиях взаимных и встречных санкций различного характера, представители российской исполнительной и законодательной власти выступили с целым рядом инициатив по обеспечению национальной безопасности РФ в информационной, финансовой и иных сферах.
4.2. Так, в марте 2014 года, после того как США ввели санкции против РФ в связи с присоединением Крыма к России и международные платёжные системы «Виза» и «МастерКард» во второй раз в истории остановили обслуживание платежных карт нескольких российских банков в торговых точках и банкоматах международной сети, вновь стало актуальным создание в стране национальной системы платёжных карт, независимой от состояния международных отношений. В РФ был принят Федеральный закон от 05.05.2014 № 112-ФЗ, которым внесены изменения, направленные на обеспечение бесперебойности осуществления переводов денежных средств, осуществляемых в рамках платежной системы на территории РФ. Фактически, власти РФ предприняли попытку инфраструктурно и информационно замкнуть процесс осуществления денежных переводов внутри РФ, то есть операционные центры и платёжные клиринговые центры должны обязательно находиться на территории РФ. Также в законе предусмотрен запрет на передачу и предоставление доступа иностранным государствам к информации о внутрироссийских платёжных транзакциях.
4.3. Схожим образом власти РФ стали действовать для обеспечения «информационного и цифрового» суверенитета РФ, элементом обеспечения которого и стало принятие 242-ФЗ. При принятии 242-ФЗ законодатель указал, предлагаемые изменения соответствуют, в том числе и практике Европейского суда по правам человека: «Так, 13 мая 2014 года Европейский суд по правам человека вынес решение, согласно которому поисковые интернет-сервисы должны принимать во внимание просьбы физических лиц об удалении, открыто размещенной информации с упоминанием их имени из поисковых результатов. При этом, IT-компании, владеющие поисковыми системами в сети «Интернет», обязаны нести ответственность за распространение персональных данных пользователей, опубликованных на сайтах третьих лиц».
4.4. Тем не менее, при анализе норм 242-ФЗ можно прийти к выводу о существовании как минимум еще двух мотивов для властей РФ:
4.4.1. Возникновение у иностранных компаний (например, операторов социальных сетей), осуществляющих свою деятельность в РФ посредством информационно-телекоммуникационной сети «Интернет», обязанности по обеспечению обработки ПДн российских граждан на территории РФ. Таким образом обеспечивается возможность оперативного доступа к указанным ПДн со стороны правоохранительных органов РФ;
4.4.2. Обеспечение непрерывности деятельности российских компаний, являющихся дочерними по отношению к иностранным компаниям или пользующихся ИТ-услугами иностранных компаний. В частности, очень многие «дочки» иностранных компаний пользуются ресурсами ИС, предоставляемыми иностранными компаниями, для обработки ПДн в таких целях как кадровый учет, расчет заработной платы или взаимодействие с контрагентами. Блокировка обработки ПДн в подобных ИС из-за санкций может в кратчайшие сроки нанести серьезный удар по бизнесу компаний-резидентов РФ.
vc.ru
Пользователи из России начали сообщать об удалении рабочих пространств в Slack — это затронуло команды «Сбера» — Сервисы на vc.ru
С 12 марта в App Store и Play Store появилось около 60 отзывов об удалении рабочих пространств в Slack.
👍5
«Яндекс.Еда» опровергла утечку данных пользователей сервиса. В компании пояснили, что с 1 марта утечек данных пользователей зафиксировано не было. При этом 22 марта на одном из сайтов были опубликованы данные пользователей сервиса: номер телефона, имя и адрес.
https://www.rbc.ru/business/23/03/2022/623a50439a79470a32c1eff4
https://www.rbc.ru/business/23/03/2022/623a50439a79470a32c1eff4
Роскомнадзор составил на компанию «Яндекс.Еда» административный протокол за утечку персональных данных клиентов. Доступ к карте с пользовательскими данными заблокирован, сообщили в ведомстве. https://www.kommersant.ru/doc/5271448
Коммерсантъ
Роскомнадзор составил протокол на «Яндекс.Еду» из-за утечки данных пользователей
Подробнее на сайте
Forwarded from Раньше всех. Ну почти.
⚡️Роскомнадзор уточняет, не сам сервис, а ресурс с данными утечки из "Яндекс.Еды" внесен в реестр нарушителей прав субъектов персональных данных, доступ к нему ограничен
👍1
Прокуратура объявила предостережения находящимся в Подмосковье компаниям IKEA и OBI под зарубежным управлением, а также производителям Michelin, Grundfos и JCB для недопущения нарушений прав сотрудников. Ранее Генпрокуратура РФ поручила организовать ежедневный мониторинг соблюдения законодательства организациями, находящимися под иностранным влиянием и осуществляющими деятельность на территории Московской области.
Источник: https://tass.ru/ekonomika/14161861
Комментарий: Не стоит переоценивать влияние моратория на проведение плановых проверок юрлиц и ИП в 2022 году, установленного ПП РФ от 10.03.2022 № 336. Даже безотносительно сохранения иных способов осуществления Роскомнадзором контрольно-надзорной деятельности (см. ПП РФ от 29.06.2021 № 1046), органы прокуратуры будут проявлять повышенный интерес к соблюдению законности иностранными компаниями, включая вопросы соблюдения требований законодательства РФ о ПД.
Источник: https://tass.ru/ekonomika/14161861
Комментарий: Не стоит переоценивать влияние моратория на проведение плановых проверок юрлиц и ИП в 2022 году, установленного ПП РФ от 10.03.2022 № 336. Даже безотносительно сохранения иных способов осуществления Роскомнадзором контрольно-надзорной деятельности (см. ПП РФ от 29.06.2021 № 1046), органы прокуратуры будут проявлять повышенный интерес к соблюдению законности иностранными компаниями, включая вопросы соблюдения требований законодательства РФ о ПД.
ТАСС
Прокуратура объявила предостережения приостановившим работу сетям IKEA, OBI
Источник в правоохранительных органах также сообщил, что вскоре объявят предостережение 3М и H&M
👍1