Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
🔸Французский орган по защите данных ("CNIL") 19.12.2022 оштрафовал компанию Microsoft Ireland Operations Limited на €60,000,000 за то, что в нарушение ст.82 Закона №78-17 от 06.01.1978 "Об обработке данных, файлах данных и свободах личности" при посещении пользователями сайта bing.com на пользовательские устройства без их согласия помещались файлы cookie, которые использовались с несколькими целями, включая противодействие рекламному мошенничеству, а когда пользователи продолжали использовать поисковую систему Bing, на их устройство помещался файл cookie с рекламной целью, опять же без получения согласия пользователей. Кроме того, CNIL указала, что, хотя поисковая система предлагала веб-баннер с кнопкой для немедленного принятия файлов cookie, она не предложила эквивалентного решения (кнопку для отказа или другое), чтобы пользователь мог так же легко отказаться от них.
🔸В связи с вышеизложенным, CNIL приняла решение о наложении штрафа в вышеуказанном размере на компанию Microsoft, а также о вынесении судебного запрета, предписывающего Microsoft в течение трех месяцев изменить методы сбора согласия пользователей, находящихся во Франции, на использование файлов cookie, предложив им такое же простое средство отказа, как и механизм, предусмотренный для их принятия, а также предусматривающего наложение дополнительных штрафов в размере €60,000 за каждый день несоблюдения требований по истечении этого периода.
🇪🇺🇫🇷🏛️ #cnil #cookies #microsoft #штраф
Новый штраф наложен на Meta за нарушение GDPR (теперь общий размер штрафов, наложенных на Meta, составляет €1,3 млрд)
🔸Кто: Data Protection Commission (Ирландия)
🔸Кого: Meta Platforms Ireland Limited (владеет социальными сетями Facebook и Instagram, мессенджером WhatsApp; признана в России экстремистской организацией и запрещена)
🔸Когда: 2023.01
🔸За что: нарушение ст. 5(1)(a), 6, 12, 13(1)(c) GDPR
🔸Как: штрафы €210,000,000 (за нарушения Facebook) и €180,000,000 (за нарушения Instagram), предписание устранить нарушения GDPR за 3 месяца
🔸Причина: пользователи Facebook и Instagram не имели достаточной ясности в отношении того, какие операции по обработке выполнялись с их персональными данными, с какой целью (целями) и на каком равовом основании. Кроме того, Meta не имела права полагаться на правовую основу в виде "договора" (пользовательского соглашения) в связи с применением поведенческой рекламы в рамках своих сервисов Facebook и Instagram.
🇪🇺🇮🇪🏛️ #gdpr #соцсети #meta #штраф
🔸Кто: Commission nationale de l'informatique et des libertés (Франция)
🔸Кого: Apple Distribution International Ltd.
🔸Когда: 2022.12
🔸За что: нарушение ст.82 Закона №78-17 от 06.01.1978 "Об обработке данных, файлах данных и свободах личности"
🔸Как: штраф €8,000,000
🔸Причина: настройки персонализированной рекламы на устройствах Apple активированы по умолчанию, и это не позволяют пользователям дать действительное согласие на целевую рекламу.
CNIL установила, что идентификаторы Apple, имеющие несколько целевых назначений, в том числе персонализированной рекламы, по умолчанию автоматически обрабатываются на устройствах Apple. Такие идентификаторы не являются строго необходимыми для предоставления услуги по использованию App Store и не должны обрабатываться Apple без предварительного согласия пользователей.
CNIL подчеркнула, что для успешной деактивации таких настроек по умолчанию пользователи должны были выполнить несколько действий, поскольку такая возможность не была интегрирована в процесс инициализации устройств Apple. Такой процесс деактивации не соответствует требованиям по получению предварительного согласия пользователей на обработку с рекламными целями.
🇪🇺🇨🇵🏛️ #apple #id #реклама #аналитика #штраф
🔸Кто: Tietosuojavaltuutetun toimisto (Финляндия)
🔸Кого: Viking Line Oy Abp
🔸Когда: 2022.12
🔸За что: нарушение ст. 5(1)(a), 5(1)(d), 12(3), 13, 15, 25(1) GDPR
🔸Как: штраф €230,000
🔸Причина: бывший работник компании Viking Line не получил все свои персональные данные, хранящиеся в компании, несмотря на то, что подал запрос на доступ. Кроме того, компания хранила данные о его здоровье в течение 20 лет и что некоторые хранившиеся сведения о диагнозе были неточными. Viking Line должна была хранить данные о состоянии здоровья работников отдельно от других персональных данных, а данные о здоровье должны были быть удалены сразу после того, как необходимость в их хранении отпала.
🇪🇺🇫🇮🏛️ #gdpr #здоровье #штраф
🔸В Перми бывший оперуполномоченный, имея доступ к секретным сведениям, в частности, к информации, содержащейся в банке данных информационного центра ГУ МВД России, по просьбе своих друзей предоставлял им сведения о персональных данных нужных им людей для решения вопросов в личных целях.
🔸Суд оштрафовал бывшего полицейского на 600 тыс. рублей за разглашение сведений частной жизни. Его также лишили права занимать должности на государственной и муниципальной службе. Уголовное дело было рассмотрено в особом порядке. Бывший сотрудник полиции свою вину полностью признал и раскаялся.
🇷🇺⚖️ #пд #раскрытие #суд #штраф #криминал
🔸Судебные приставы начали наказывать банкиров за непозволительные сообщения должникам в мессенджерах. Например, в Калужской области некий банк оштрафован на 50 тысяч ₽ за то, что писал своей должнице слишком часто и недостаточно вежливо.
🔸Судебные приставы начали активно штрафовать банкиров и коллекторов, распространяющих личные данные должников. Закон сегодня суров: даже шепнуть на ушко соседу информацию, что жильцов рядом душат кредиты, уже будет нарушением. Недавно в Красноярском крае был оштрафован на 50 тысяч ₽ некий банк, чьи сотрудники рассекретили перед соседями должницу.
🇷🇺👍🏦 #банки #штраф #коллекторы #фссп
Ирландская Комиссия по защите данных оштрафовала компанию, ответственную за работу мессенджера WhatsApp (принадлежит корпорации Meta, которая признана в РФ экстремистской), на €5,5 млн за нарушение правил конфиденциальности Евросоюза при работе с личными данными.
🇮🇪🏛️ #gdpr #штраф #мессенджеры
🔸Кто: Commission nationale de l'informatique et des libertés (Франция)
🔸Кого: VOODOO SAS
🔸Когда: 2023.01
🔸За что: нарушение нарушение ст.82 Закона №78-17 от 06.01.1978 "Об обработке данных, файлах данных и свободах личности"
🔸Как: штраф €3,000,000 + предписание в течение 3 месяцев устранить нарушение (доп. штраф €20,000 просрочки исполнения предписания)
🔸Причина: в период с августа 2021 года по июль 2022 года было проведено несколько проверок сайта voodoo.io и различных мобильных приложений компании VOODOO (например, игра Helix Jump). Когда издатель размещает приложение в App Store, Apple Inc. предоставляет ему систему технической идентификации "IDentifier For Vendors" ("IDFV"), которая позволяет издателю отслеживать использование его приложений пользователями, что позволяет персонализировать рекламу. VOODOO использовала IDFV без явного и свободного согласия пользователей, которые не дали своего согласия на эту операцию через окно в приложении.
🇪🇺🇨🇵🏛️ #apple #id #реклама #аналитика #штраф
В Госдуме предложено принять в первом чтении законопроект о внесении изменений в КоАП РФ в отношении установления ответственности за противоправное распространение сведений, содержащихся в ЕГРН.
🇷🇺🏛️ #законопроект #егрн #штраф
🔸Комиссия по защите персональной информации Республики Корея решила наложить на компанию Meta (признана в РФ экстремистской, владеет запрещенными в России Facebook и Instagram) штраф за политику по сбору информации о поведении пользователей Facebook и Instagram на сторонних платформах. Было решено наложить штраф в размере 6,6 млн вон ($5,2 тыс.).
🔸Под данными о поведении на сторонних платформах подразумевается история посещения других сайтов и использования приложений иных компаний, информация о покупках и поисковых запросах, интересах пользователя.
🇰🇷📱 #штраф #слежка #meta
Privacy Advocates
🔸Комиссия по защите персональной информации Республики Корея решила наложить на компанию Meta (признана в РФ экстремистской, владеет запрещенными в России Facebook и Instagram) штраф за политику по сбору информации о поведении пользователей Facebook и Instagram…
Компанию Meta Platforms (признанна в РФ экстремистской и террористической организацией, ее деятельность запрещена на территории РФ) оштрафовали в Корее за сбор избыточных данных пользователей и работу алгоритмов рекомендаций. Комиссия по защите персональных данных (PIPC) подтвердила нарушение закона о защите персональных данных. Meta обязали выплатить 6,6 млн вон ($5,2 тыс.).
🇰🇷📱🏛️ #штраф #слежка #meta
💥 Пятикратное привлечение DPO к административной ответственности
🔸В 2022 году на сайте www.dom.gosslugi.ru управляющей организацией ООО "СЕРВИСГРАД" были размещены в свободном доступе пять договоров управления многоквартирным домом, содержащие персональные данные, без наличия соответствующего правового основания.
🔸Никулинская межрайонная прокуратура города Москвы вынесла пять постановлений об административном правонарушении по ч.1 ст.13.11 КоАП РФ в отношении заместителя генерального директора вышеуказанной организации, на которого ранее приказом генерального директора этой организации была возложена ответственность «за обеспечение защиты персональных данных в организации».
🔸Заместитель генерального директора полностью признал вину в совершении указанных правонарушений.
🔸Мировой судья судебного участка № 414 Алексеевского района г. Москвы 19.04.2022 признал заместителя генерального директора виновным в совершении административного правонарушении по ч.1 ст.13.11 КоАП РФ по всем пяти эпизодам (дела № 05-0454/414/2022, 05-0473/414/2022 – 05-0476/414/2022) и назначил ему пять административных штрафов.
🔸Аналогичные судебные решения были также вынесены в отношении самой организации (т.е. к административной ответственности были привлечены как сам оператор, так и его должностное лицо).
▪️https://mos-sud.ru/414/cases/docs/content/91afbb08-0efa-4473-b103-257e2b65062a
▪️https://mos-sud.ru/414/cases/docs/content/6f5ce354-d8f1-44b9-8c31-9d0037629935
▪️https://mos-sud.ru/414/cases/docs/content/9971f347-98a8-4761-81a0-2de5773e8714
▪️https://mos-sud.ru/414/cases/docs/content/06efbd24-1d3b-404a-ac74-db95016d0944
▪️https://mos-sud.ru/414/cases/docs/content/730fdd3a-63ca-49d8-a21e-c52e926b238e
🇷🇺👨‍💻⚖️#dpo #суд #штраф #прокуратура
💥Прокурорская проверка обработки персональных данных при поддержке ФСБ и Росгвардии. Итог - привлечение DPO к ответственности
🔸ООО «Савёлкинский проезд, д.4» осуществлял пропускной режим в здание управление бизнес-центром «Зеленоград». 20.01.2022 года прокуратурой Зеленоградского административного округа г. Москвы, в связи с обращением гражданки была проведена проверка исполнения законодательства о персональных данных указанным юридическим лицом. К проведению проверки в качестве специалистов были привлечены сотрудники территориального отдела ФСБ и Отдела лицензионно-разрешительной работы Росгвардии по Зелкноградскому АО.
🔸В ходе проверки был установлен факт хранения с 02.10.2021 года на компьютерах, используемых администраторами ООО «Савёлкинский проезд, д. 4», 170-и фотографий учащихся ООО «***» (Центр Компьютерного Обучения и дополнительного образования) с указанием фамилий, имен и отчеств каждого ребенка (биометрические персональные данные - исходя из Определения ВС РФ от 05.03.2018 № 307-КГ18-101 и письма Минцифры России от 17.07.2020 № ОП-П24-070-19433). Через несколько минут после осмотра компьютеров обнаруженные файлы были удалены из компьютеров кем-то из сотрудников ООО «Савелкинский проезд, д.4».
🔸Должностное лицо - старший администратор ООО «Савёлкинский проезд, д.4» - на основании приказа руководителя организации является лицом, ответственным за обработку персональных данных субъектов при оформлении электронных карт доступа. Таким образом, старший администратор ООО «Савёлкинский проезд, д.4» осуществлял незаконную обработку персональных данных 170-и учащихся ООО «*», то есть совершил административное правонарушение, предусмотренное ч.2 ст.13.11 КоАП РФ, так как письменные согласия родителей на обработку персональных данных их детей в управляющей компании и ООО «*» отсутствовали.
🔸Решением мирового судьи судебного участка №2 района Савёлки г. Москвы 18.04.2022 старшему администратору ООО «Савёлкинский проезд, д.4» был назначен административный штраф в 20,000 ₽ по ч.2 ст.13.11 КоАП РФ. Зеленоградский районный суд Москвы 23.06.2022 оставил указанное решение в силе.
▪️https://mos-sud.ru/2/cases/docs/content/bcc05db1-05cb-4ced-b951-f6f8bf88a0eb
▪️ https://судебныерешения.рф/68670025/extended
🇷🇺👨‍💻⚖️#dpo #суд #штраф #биометрия #прокуратура
🔸В адрес Управления Роскомнадзора по Южному федеральному округу поступило обращение гр. О. о фактах возможного нарушения законодательства Российской Федерации в области персональных данных со стороны ООО «Даймэкс».
🔸В рамках возложенных на Управление Роскомнадзора по Южному федеральному округу полномочий, руководствуясь п. 1 ч. 3 ст. 23 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», в адрес ООО «Даймэкс» был направлен запрос о предоставлении информации.
🔸По факту непредставления вышеуказанной организацией сведений, представление которых предусмотрено законом и необходимо для осуществления деятельности Управления Роскомнадзора по Южному федеральному округу, был составлен протокол об административном правонарушении, предусмотренный ст. 19.7 КоАП РФ.
🔸Постановлением мирового судьи судебного участка № 233 Западного внутригородского округа города Краснодара ООО «Даймэкс» признано виновным в совершении административного правонарушения, предусмотренного ст. 19.7 КоАП РФ, назначено административное наказание в виде административного штрафа в размере 3 000 ₽.
🇷🇺👻🏛️ #ркн #запрос #штраф
Сервис "Туту.ру" оштрафован на 60 тыс. ₽ за утечку данных пользователей, компания не планирует его оспаривать. В июле прошлого года "Туту.ру" подвергся хакерской атаке из-за рубежа. В ограниченном доступе оказалась таблица, содержащая часть данных о заказах на автобусные билеты.
🇷🇺⚖️ #штраф #утечки #инциденты #суд
Дело 05-0490_422_2022.doc
68 KB
💥Незаконный сбор ПД из телефонной книги мобильным приложением.
🔸Мобильное приложение «NumBuster» заявлено его оператором (Gilraen ltd) как "социальный рейтинг доверия к номерам телефона и инструмент оперативного обнаружения атак телефонных мошенников, злоумышленников и непрошенной рекламы".
🔸По мнению Роскомнадзора, в мобильном приложении осуществлялась неправомерная обработка персональных данных (фамилия, имя, отчество, дата рождения, номер телефона) третьих лиц, не являющихся пользователями этого приложения. Указанные данные были незаконно получены оператором приложения из телефонной книги пользователя приложения.
🔸Согласно позиции Gilraen ltd, информация, содержащаяся в записных книжках на мобильных устройствах связи пользователей, в отзывах (комментариях) зарегистрированных пользователей, является субъективной, в связи с чем не может быть признана персональными данными.
🔸Суд поддержал позицию Роскомнадзора и назначил оператору приложения штраф по ч.1 ст.13.11 КоАП РФ.
🇷🇺📱⚖️ #суд #mobile #пд #штраф
🔸Компания "Уралхим" не будет обжаловать штраф за нарушение закона о персональных данных, намереваясь исправить допущенные нарушения.
🔸Суд в Москве во вторник оштрафовал компанию по ч. 1 ст. 13.11 КоАП РФ ("Обработка персональных данных в случаях, не предусмотренных законодательством РФ") на 60 тыс. рублей.
🇷🇺⚖️ #суд #утечки #инциденты #штраф
🔸Кто: Datatilsynet (Норвегия)
🔸Кого: Argon Medical Devices, Inc.
🔸Когда: 2023.03
🔸За что: нарушение ст. 33(1) GDPR
🔸Как: штраф €220,000
🔸Причина: Компания Argon Medical Devices, расположенная в США, пострадала от инцидента кибербезопасности, после чего Datatilsynet получил сообщение от юридической фирмы от имени Argon Medical Devices, в котором говорилось, что последняя столкнулась с инцидентом, затрагивающим персональные данные всех сотрудников Argon Medical Devices в Европе, включая одного сотрудника в Норвегии. Argon Medical Devices стало известно о нарушении персональных данных не менее чем за 67 календарных дней до отправки уведомления в Datatilsynet.
Отчет компании Argon Medical Devices о том, как она справилась с нарушением и как она будет справляться с нарушениями в целом, выявил некоторые из возможных первопричин неадекватности предпринятых компанией мер. Например, Argon Medical Devices систематически и в значительной степени полагается на внешних консультантов, чтобы определить, следует ли сообщать о нарушении персональных данных в Европе. Такая модель соблюдения требований обычно замедляет процесс уведомления о нарушении, в частности, если она не сопровождается четкими инструкциями внешним консультантам о сроках проведения оценки, которые обязательно должны быть короче 72 часов, чтобы компания могла уложиться в срок, предусмотренный ст.33(1) GDPR.
🇪🇺🏛️ #gdpr #утечки #инциденты #штраф
🔸 На участке около поселка Коркодино в Верхнем Уфалее местные жители обнаружили свалку отходов с коробкой, в которой хранились результаты флюорографического обследования пациентов за 2020 год. На медицинских документах были размещены персональные данные — имена и фамилии, даты рождения, места рождения и работы, также заключение врача.
🔸Фотография находки распространилась в социальных сетях, после чего этой ситуацией заинтересовались в прокуратуре Верхнего Уфалея. В результате проверки выяснилось, что в одной из больниц города в ходе ремонта действительно вывезли на свалку флюорографии пациентов.
🔸Указанная информация стала доступна неопределенному кругу лиц, в связи с чем в отношении должностного лица медицинского учреждения возбуждено дело об административном правонарушении по статье 13.14 КоАП РФ — «Разглашение информации с ограниченным доступом». Виновное лицо привлечено к ответственности в виде штрафа в размере 40 тысяч рублей, — сообщили в пресс-службе прокуратуры Челябинской области.
🇷🇺🏛️ #мединформация #коап #штраф
🇷🇺⚖️#локализация #штраф #суд
🔸Суд оштрафовал по ч. 8 ст. 13.11 КоАП РФ на ₽1,5 млн сообщество дайверов Padi Americas Inc. (дело 05-0685/422/2023) и на ₽1 млн агентство для дайверов и инструкторов International Training (дело № 05-0713/422/2023) за нарушение законодательства РФ в области персональных данных. Организации находятся в США.
🔸Согласно материалам дела, претензии к International Training возникли у Роскомнадзора из-за использования личных данных россиян при заполнении платежной формы на сайте агентства. Представители компании не присутствовали в суде.
🔸В протоколе в отношении PADI указывалось, что компания использует не локализованные в РФ персональные данные россиян у себя на сайте, в частности, при регистрации пользователей и использовании ими личного кабинета.
🔸Защита PADI просила прекратить разбирательство, указав на процессуальные нарушения. Они заявили, что компания сделала все возможное, чтобы не собирать персональные данные россиян, в том числе заблокировала доступ на сайт под российским IP-адресом.