Крупный бизнес переходит на российские решения по управлению персональными данными клиентов. Как заявил на CDI Conf 2024 Алексей Сокольский, начальник управления «Розничный клиент» в ВТБ, после перехода на российское решение по управлению клиентскими данными от HFLabs ручные корректировки клиентских записей в ВТБ уменьшились на треть. Экономия составила более 100 млн руб. в 2024 году. По пути замещения MDM-системы от зарубежного вендора пошел и «Ингосстрах». Сейчас компания внедряет отечественную систему по управлению данными клиентов. Первые результаты уже есть: с помощью CDI компания проанализировала контактные данные клиентов и выявила популярные и массовые телефоны и электронные адреса. Российское решение «Единый клиент» также использует букмекерская компания «Лига ставок». С его помощью компания, например, находит записи-дубли — они возникают в случае, если игрок хочет получить дополнительные бонусы и регистрируется в системе повторно.
Посмотреть записи этих и других выступлений с CDI Conf 2024 и узнать, как крупный российский бизнес работает с персональными данными клиентов, можно в YouTube или Rutube.
Посмотреть записи этих и других выступлений с CDI Conf 2024 и узнать, как крупный российский бизнес работает с персональными данными клиентов, можно в YouTube или Rutube.
YouTube
CDI Conf 2024
Share your videos with friends, family, and the world
👍15👎5❤1
На Евразийском конгрессе по защите персональных данных Региональное Сообщество Профессионалов Приватности (RPPA) анонсировало создание и начало практической деятельности собственного Аналитического Центра.
Компания IDX™ поддержала инициативу Сообщества, передав в управление свой телеграм-канал «Персональные данные» и доступ к его аудитории Аналитическому центру.
Компания IDX™ давно известна на рынке проверки данных как единственный независимый поставщик LegalTech-решений, RPPA - ключевое в ЕврАзЭС экспертное сообщество в сфере приватности. Сложившееся сотрудничество RPPA и IDX™ обеспечит Аналитическому центру Сообщества наибольший охват аудитории среди всех российских “think tank”.
IDX™ видит перспективы сотрудничества с RPPA в развитии рынка решений приватности и защиты данных пользователей Сети и призывает другие компании поддерживать инициативы RPPA.
Компания IDX™ поддержала инициативу Сообщества, передав в управление свой телеграм-канал «Персональные данные» и доступ к его аудитории Аналитическому центру.
Компания IDX™ давно известна на рынке проверки данных как единственный независимый поставщик LegalTech-решений, RPPA - ключевое в ЕврАзЭС экспертное сообщество в сфере приватности. Сложившееся сотрудничество RPPA и IDX™ обеспечит Аналитическому центру Сообщества наибольший охват аудитории среди всех российских “think tank”.
IDX™ видит перспективы сотрудничества с RPPA в развитии рынка решений приватности и защиты данных пользователей Сети и призывает другие компании поддерживать инициативы RPPA.
🔥16👍6
Подписчики! Друзья!
Здорово, что мы провели столько времени вместе и спасибо Вам всем и каждому за Ваше внимание и доверие!
Пришло время сделать вместе что-то большее, чем новостную ленту! Рады, что нашли общее с RPPA и спокойно передаем им бразды политики в этом канале!
Здорово, что мы провели столько времени вместе и спасибо Вам всем и каждому за Ваше внимание и доверие!
Пришло время сделать вместе что-то большее, чем новостную ленту! Рады, что нашли общее с RPPA и спокойно передаем им бразды политики в этом канале!
👍26👎12🤯12🤔5
💡🇧🇾 Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД) и Министерство антимонопольного регулирования (МАРТ) и торговли Республики Беларусь 2025.01.08 издали первые совместные Разъяснения – о том, как обрабатывать персональные данные при направлении рассылок.
🔸Эксперты RPPA [РБ] подготовили аналитическую справку, из которой вы можете узнать:
– основные положения Разъяснений по поводу того, что относится к ПД, что может быть основанием рекламной рассылки и кто будет нести ответственность за её правомерность;
– основные риски, которые могут возникнуть в связи с зафиксированной позицией НЦЗПД и МАРТ;
– варианты интерпретации Разъяснений с учётом указанных рисков и баланса интересов всех участников правоотношений по обработке данных.
🔸Эксперты RPPA [РБ] подготовили аналитическую справку, из которой вы можете узнать:
– основные положения Разъяснений по поводу того, что относится к ПД, что может быть основанием рекламной рассылки и кто будет нести ответственность за её правомерность;
– основные риски, которые могут возникнуть в связи с зафиксированной позицией НЦЗПД и МАРТ;
– варианты интерпретации Разъяснений с учётом указанных рисков и баланса интересов всех участников правоотношений по обработке данных.
👍12❤2
💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал о квалификации владельца облачного хранилища, оказывающего услуги по модели IaaS, в качестве «обработчика» ПД.
🔸Владелец облачного хранилища (провайдер) может выступать в качестве «обработчика» ПД при одновременном выполнении следующих критериев:
1️⃣ долгосрочное размещение ПД (в т.ч. хранение) пользователем и/или уполномоченными им лицами на вычислительных мощностях облачного хранилища;
2️⃣ осведомленность провайдера (когда провайдер знал, мог или должен был знать) о действиях пользователя и/или уполномоченных им лиц по целенаправленному использованию облачного хранилища для размещения ПД;
3️⃣ волеизъявление провайдера и пользователя хранилища на размещение ПД в облачном хранилище путем поручения обработки ПД провайдеру от пользователя хранилища в одной из двух форм, предусмотренных ч.3 ст.6 152-ФЗ (договор или акт), при этом согласованные сторонами условия поручения обработки ПД не обязательно должны содержаться в письменном договоре, но могут указываться, например, в электронной переписке или путем акцепта пользователем своими конклюдентными действиями оферты провайдера.
🔸Владелец облачного хранилища (провайдер) может выступать в качестве «обработчика» ПД при одновременном выполнении следующих критериев:
1️⃣ долгосрочное размещение ПД (в т.ч. хранение) пользователем и/или уполномоченными им лицами на вычислительных мощностях облачного хранилища;
2️⃣ осведомленность провайдера (когда провайдер знал, мог или должен был знать) о действиях пользователя и/или уполномоченных им лиц по целенаправленному использованию облачного хранилища для размещения ПД;
3️⃣ волеизъявление провайдера и пользователя хранилища на размещение ПД в облачном хранилище путем поручения обработки ПД провайдеру от пользователя хранилища в одной из двух форм, предусмотренных ч.3 ст.6 152-ФЗ (договор или акт), при этом согласованные сторонами условия поручения обработки ПД не обязательно должны содержаться в письменном договоре, но могут указываться, например, в электронной переписке или путем акцепта пользователем своими конклюдентными действиями оферты провайдера.
❤20👍15🤔1
💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал об определении личности субъекта персональных данных при обращении к оператору. Основные выводы материала:
1️⃣ Чтобы верно установить набор сведений, необходимых для решения задачи подтверждения тождественности, следует учитывать контекст обработки ПД.
2️⃣ Если установленные законом требования к обращению не исполнены, ни отказ в удовлетворении, ни исполнение требования субъекта сами по себе не будут нарушением.
3️⃣ При решении задачи подтверждения тождественности нужно исходить из целесообразности принятия дополнительных мер и уровня риска для прав субъекта при удовлетворении требования отправителя.
4️⃣ При оценке указанной целесообразности и уровня риска необходимо учитывать, в частности, объем данных в обращении, возможное влияние исполнения требования на обработку и (или) права субъекта.
1️⃣ Чтобы верно установить набор сведений, необходимых для решения задачи подтверждения тождественности, следует учитывать контекст обработки ПД.
2️⃣ Если установленные законом требования к обращению не исполнены, ни отказ в удовлетворении, ни исполнение требования субъекта сами по себе не будут нарушением.
3️⃣ При решении задачи подтверждения тождественности нужно исходить из целесообразности принятия дополнительных мер и уровня риска для прав субъекта при удовлетворении требования отправителя.
4️⃣ При оценке указанной целесообразности и уровня риска необходимо учитывать, в частности, объем данных в обращении, возможное влияние исполнения требования на обработку и (или) права субъекта.
👍19❤11🤔1
Аналитический центр RPPA
💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал об определении личности субъекта персональных данных при обращении к оператору. Основные выводы материала: 1️⃣ Чтобы верно установить набор сведений, необходимых для решения задачи подтверждения тождественности…
💡🇧🇾Эксперты RPPA [РБ] обсудили подготовленный аналитический материал об определении личности субъекта персональных данных при обращении к оператору и пришли к выводу о возможности его использования в практике белорусских privacy-специалистов с рядом уточнений и комментариев:
1. У оператора может не быть информации, необходимой для идентификации обратившегося с запросом лица, — это не является ни нарушением, ни каким-либо исключением из общего правила.
2. Осуществление прямых контактов со всеми субъектами, чьи данные в информационной системе совпадают с данными в запросе (со всеми Иванами Ивановичами Ивановыми), представляется нарушающим принципы минимизации и соразмерности обработки персональных данных.
3. Субъект персональных данных, исходя из системного толкования Закона Республики Беларусь от 07.05.2021 № 99-З "О защите персональных данных" (99-З), — идентифицированное или идентифицируемое физическое лицо, к которому относится обрабатываемая оператором информация, — именно от того, является ли обратившееся лицо субъектом в отношении обрабатываемых оператором персональных данных, зависит возможность оператора способствовать этому лицу в реализации его прав, предусмотренных 99-З.
Например, если единственный из указанных субъектом идентификаторов, входящий в состав собираемой оператором информации, пересекается у 100 других субъектов, попытка выяснить, кто из субъектов — обратившееся лицо, может привести к избыточной обработке и вмешательству в частную жизнь 99 субъектов, не направлявших запрос.
4. Идеальный случай при обработке персональных данных в онлайн-среде — реализация прав непосредственно в интерфейсе сервиса, в его авторизованной зоне, где у оператора уже отсутствует необходимость в идентификации обратившегося лица, в том числе посредством запроса дополнительной информации о нем.
5. Дополнительным основанием для запроса дополнительной информации у обратившегося может быть ссылка на ст. ст. 16-17 99-З, так как оператор обязан обеспечить безопасность обрабатываемых данных и самостоятельно определяет перечень мер защиты: уточнение информации, таким образом, будет служить снижению риска несанкционированного доступа неавторизованных лиц к данным субъекта при условии соблюдения принципов обработки персональных данных, установленных 99-З. Более того, согласно ст. 31 Закона Республики Беларусь от 10.10.2008 № 455-З "Об информации, информатизации и защите информации", обладатель информации, оператор информационной системы обязаны, в частности, обеспечить конфиденциальность информации, то есть, в том числе исключить её предоставление без согласия или иного основания, предусмотренного законом.
6. По мнению экспертов необходимо проработать возможность внесения изменений в 99-З, которые бы позволили обеспечить правовую определенность в отношении права оператора персональных данных при получении запроса субъекта персональных данных по каналу, не используемому при взаимодействии соответствующих субъекта и оператора, принимать дополнительные меры по идентификации отправителя или предлагать альтернативный, доверенный канал для реализации прав субъекта персональных данных.
Например, это может быть достигнуто через внесение изменений в п.2 ст.14 99-З в части дополнения перечня подлежащих указанию данных "идентификатором, используемым во взаимодействии между оператором и субъектом".
1. У оператора может не быть информации, необходимой для идентификации обратившегося с запросом лица, — это не является ни нарушением, ни каким-либо исключением из общего правила.
2. Осуществление прямых контактов со всеми субъектами, чьи данные в информационной системе совпадают с данными в запросе (со всеми Иванами Ивановичами Ивановыми), представляется нарушающим принципы минимизации и соразмерности обработки персональных данных.
3. Субъект персональных данных, исходя из системного толкования Закона Республики Беларусь от 07.05.2021 № 99-З "О защите персональных данных" (99-З), — идентифицированное или идентифицируемое физическое лицо, к которому относится обрабатываемая оператором информация, — именно от того, является ли обратившееся лицо субъектом в отношении обрабатываемых оператором персональных данных, зависит возможность оператора способствовать этому лицу в реализации его прав, предусмотренных 99-З.
Например, если единственный из указанных субъектом идентификаторов, входящий в состав собираемой оператором информации, пересекается у 100 других субъектов, попытка выяснить, кто из субъектов — обратившееся лицо, может привести к избыточной обработке и вмешательству в частную жизнь 99 субъектов, не направлявших запрос.
4. Идеальный случай при обработке персональных данных в онлайн-среде — реализация прав непосредственно в интерфейсе сервиса, в его авторизованной зоне, где у оператора уже отсутствует необходимость в идентификации обратившегося лица, в том числе посредством запроса дополнительной информации о нем.
5. Дополнительным основанием для запроса дополнительной информации у обратившегося может быть ссылка на ст. ст. 16-17 99-З, так как оператор обязан обеспечить безопасность обрабатываемых данных и самостоятельно определяет перечень мер защиты: уточнение информации, таким образом, будет служить снижению риска несанкционированного доступа неавторизованных лиц к данным субъекта при условии соблюдения принципов обработки персональных данных, установленных 99-З. Более того, согласно ст. 31 Закона Республики Беларусь от 10.10.2008 № 455-З "Об информации, информатизации и защите информации", обладатель информации, оператор информационной системы обязаны, в частности, обеспечить конфиденциальность информации, то есть, в том числе исключить её предоставление без согласия или иного основания, предусмотренного законом.
6. По мнению экспертов необходимо проработать возможность внесения изменений в 99-З, которые бы позволили обеспечить правовую определенность в отношении права оператора персональных данных при получении запроса субъекта персональных данных по каналу, не используемому при взаимодействии соответствующих субъекта и оператора, принимать дополнительные меры по идентификации отправителя или предлагать альтернативный, доверенный канал для реализации прав субъекта персональных данных.
Например, это может быть достигнуто через внесение изменений в п.2 ст.14 99-З в части дополнения перечня подлежащих указанию данных "идентификатором, используемым во взаимодействии между оператором и субъектом".
❤7👍3
RPPA.pro | RPPAedu.pro | CC
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
rppa_ac-ru_lia.pdf
154 KB
💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал о методологии оценки применимости законного интереса как основания обработки персональных данных. Основные выводы материала:
1️⃣ Использование законного интереса как правового основания предусмотрено российским законодательством (п. 7 ч. 1 ст. 6 152-ФЗ).
2️⃣ До осуществления оценки применимости законного интереса (ОПЗИ) остальные атрибуты обработки должны быть определены и уже должны соответствовать требованиям закона, включая соблюдение принципов обработки. Цель должна быть конкретной и законной. Обработка – безусловно необходимой для ее достижения. Атрибутивный состав и объем данных, срок и действия по их обработке – минимально необходимыми для достижения цели. Информация об обработке должна быть зафиксирована оператором в удобном для актуализации формате. Такая обработка уже полностью соответствует 152-ФЗ во всем, что не касается правового основания обработки ПД.
3️⃣ Среди случаев обработки ПД, предусмотренных п. 7 ч. 1 ст. 6 152-ФЗ, наибольшей правовой определенностью характеризуется обработка ПД, необходимая для осуществления права оператора. В этой связи для более последовательного и предсказуемого применения этого основания рекомендуется опираться на конкретное субъективное право оператора.
4️⃣ Оценка заключается в прохождении трех ступеней оценки. Во-первых, ЗИ безусловно не является применимым в ряде случаев, прямо указанных в законе. Во-вторых, ЗИ должен опираться на субъективное право со ссылкой на норму закона, предоставляющую такое субъективное право оператору персональных данных. В-третьих, необходимо исключить высокорисковые для субъектов сценарии обработки, список которых может отличаться в зависимости от того, является ли та или иная обработка исключительно необходимой для осуществления основной деятельности оператора ПД.
5️⃣ Бремя доказывания наличия ЗИ в качестве основания обработки ПД лежит на операторе (ч. 3 ст. 9 152-ФЗ), в связи с чем рекомендуется надлежащим образом документировать проведение ОПЗИ.
1️⃣ Использование законного интереса как правового основания предусмотрено российским законодательством (п. 7 ч. 1 ст. 6 152-ФЗ).
2️⃣ До осуществления оценки применимости законного интереса (ОПЗИ) остальные атрибуты обработки должны быть определены и уже должны соответствовать требованиям закона, включая соблюдение принципов обработки. Цель должна быть конкретной и законной. Обработка – безусловно необходимой для ее достижения. Атрибутивный состав и объем данных, срок и действия по их обработке – минимально необходимыми для достижения цели. Информация об обработке должна быть зафиксирована оператором в удобном для актуализации формате. Такая обработка уже полностью соответствует 152-ФЗ во всем, что не касается правового основания обработки ПД.
3️⃣ Среди случаев обработки ПД, предусмотренных п. 7 ч. 1 ст. 6 152-ФЗ, наибольшей правовой определенностью характеризуется обработка ПД, необходимая для осуществления права оператора. В этой связи для более последовательного и предсказуемого применения этого основания рекомендуется опираться на конкретное субъективное право оператора.
4️⃣ Оценка заключается в прохождении трех ступеней оценки. Во-первых, ЗИ безусловно не является применимым в ряде случаев, прямо указанных в законе. Во-вторых, ЗИ должен опираться на субъективное право со ссылкой на норму закона, предоставляющую такое субъективное право оператору персональных данных. В-третьих, необходимо исключить высокорисковые для субъектов сценарии обработки, список которых может отличаться в зависимости от того, является ли та или иная обработка исключительно необходимой для осуществления основной деятельности оператора ПД.
5️⃣ Бремя доказывания наличия ЗИ в качестве основания обработки ПД лежит на операторе (ч. 3 ст. 9 152-ФЗ), в связи с чем рекомендуется надлежащим образом документировать проведение ОПЗИ.
❤23👍6
rppa_ac-by_res.pdf
122.3 KB
💡🇧🇾 Эксперты RPPA [РБ] подготовили аналитический материал об административной, уголовной и дисциплинарной ответственности за нарушения республиканского законодательства о персональных данных. Результаты анализа представлены в виде схемы.
Для составов нарушений, где применимо, указаны различные размеры штрафных санкций — с учетом изменения базовой величины в Республике Беларусь в 2026 году.
Несмотря на немногочисленность публичной информации о республиканских правоприменительной и тем более судебной практике в области персональных данных, схема содержит ссылки на десятки кейсов, которые помогут лучше понять основные тренды и направления развития практики.
Мы продолжаем с интересом наблюдать за развитием республиканского законодательства о персональных данных, так как оно во многом представляет собой реализацию лучших мировых практик регулирования отношений по поводу обработки персональных данных.
Особенное спасибо хотим выразить Е. Казачковской за систематизацию большого количества теоретических и практических сведений в схему.
Для составов нарушений, где применимо, указаны различные размеры штрафных санкций — с учетом изменения базовой величины в Республике Беларусь в 2026 году.
Несмотря на немногочисленность публичной информации о республиканских правоприменительной и тем более судебной практике в области персональных данных, схема содержит ссылки на десятки кейсов, которые помогут лучше понять основные тренды и направления развития практики.
Мы продолжаем с интересом наблюдать за развитием республиканского законодательства о персональных данных, так как оно во многом представляет собой реализацию лучших мировых практик регулирования отношений по поводу обработки персональных данных.
Особенное спасибо хотим выразить Е. Казачковской за систематизацию большого количества теоретических и практических сведений в схему.
❤9👍4