Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
🔸В период с 02.03.2023 по 06.03.2023 Управлением Роскомнадзора по Сибирскому федеральному округу проведено мероприятие по контролю без взаимодействия с контролируемыми лицами на предмет выявления признаков нарушений законодательства в области персональных данных в отношении фитнес центров на территории Новосибирской области.
🔸По результатам проведенного мероприятия выявлены нарушения в области персональных данных в деятельности ООО «ЭДЖ ПРЕМИУМ ФИТНЕС» и ООО «ФИТНЕСС - КЛУБ «ЕВРОПА». В адрес операторов направлены требования об устранении выявленных нарушений.
🔸В целях информирования операторов, осуществляющих обработку персональных данных сообщаем, что при сборе персональных данных посредством электронных форм типа «Обратная связь», «Оплатить», «Оставить отзыв», «Написать нам», «Задать вопрос», «Оформить заявку» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку персональных данных. Также необходимо разместить на сайте документ, определяющий политику организации в отношении обработки персональных данных.
🇷🇺👻🏛️ #ркн #сопд #web #политика
🔸Свердловский областной суд отказался блокировать видео портала Е1.ru о массовой аварии в Екатеринбурге с участием автомобилей BMW, Lada Vesta и рейсового автобуса. Об этом сообщили в пресс-службе суда. Иск подал виновник ДТП Тимофей, который попал на видео, на котором он участвовал в драке с другими участниками инцидента.
🔸ДТП произошло еще в мае 2022 года. После того, как Е1.ru опубликовали видео, мужчина обратился в Роскомнадзор с требованием о его блокировке. Тимофей отмечал, что его персональные и биометрические данные распространялись без разрешения, а в опубликованных материалах были сцены насилия и ненормативная лексика.
🔸Ведомство отказалось ограничивать доступ к видео, поскольку на нем была маркировка «18+», а видео не содержало персональных данных мужчины.
🔸Мужчину отказ не устроил, и он обратился в Железнодорожный районный суд Екатеринбурга, требуя отменить решение Роскомнадзора, однако ему вновь отказали. Апелляция также была отклонена.
🇷🇺👨‍💻⚖️ #суд #ркн #биометрия #видео
🇷🇺🏛️📲 #ркн #банки #мессенджеры
Использование иностранных мессенджеров: ответы Роскомнадзора на вопросы

1. Распространяется ли запрет на SWIFT, EBICS, CIPS и иные международные платежные системы (например, UnionPay)?
Ответ: Не распространяется. Запрет касается только иностранных мессенджеров. Перечень размещен на сайте: https://rkn.gov.ru/news/rsoc/news74672.htm.

2. Распространяется ли запрет на системы и программы, правообладателями которых являются лица из дружественных стран, включая страны ЕАЭС?
Ответ: Запрет распространяется на использование мессенджеров, принадлежащих любым иностранным юридическим лицам и (или) иностранным гражданам.

3. Распространяется ли запрет на иностранные операционные системы (Windows, MacOS, Android и т.п. интеграционные платформы, средства виртуализации, позволяющие создавать виртуальные сервера, рабочие места), программы, обеспечивающие информационную безопасность, системы управления базами данных (например, ORACLE) и т.п.?
Ответ: Не распространяется при условии, что в них не «встроены» мессенджеры, используемые для коммуникаций с клиентом. Перечень иностранных мессенджеров размещен на сайте: https://rkn.gov.ru/news/rsoc/news74672.htm

4. Запрет использования иностранных программ для ЭВМ касается только тех мессенджеров, которые включены в перечень, размещенный на официальном сайте Роскомнадзора в интернете?
Ответ: Да, запрет распространяется на иностранные мессенджеры, которые включены Роскомнадзором в перечень. Перечень размещен на сайте: https://rkn.gov.ru/news/rsoc/news74672.htm. Он будет актуализироваться по мере выявления иностранных мессенджеров.

5. Запрещается ли использовать иностранные мессенджеры для направления клиентам ссылок для перехода на сайт банка с целью получения информации и/или в систему банк-клиент и/или мобильное приложение для проведения аутентификации?
Ответ: Не запрещено.

6. Правильно ли мы понимаем, что не являются нарушением и не подпадают под действие закона следующие частные случаи:
- Банк отправляет клиенту в иностранный мессенджер уведомление о факте совершения финансовой операции без указания реквизитов, суммы операции, текущего баланса клиента иных персональных данных;
- Банк запрашивает номер телефона клиента в личном диалоге с клиентом в иностранном мессенджере. Клиент подтверждает возможность отправки мессенджером своего номера телефона и никнейма в личном диалоге с банком;
- Банк предоставляет клиенту доступ к управлению своими банковскими счетами и данными о финансовых операциях в интерфейсе банковского сайта, который выводится в отдельном окне браузера, встроенного в иностранный мессенджер.
Ответ: Перечисленные случаи, за исключением первого, имеют признаки передачи персональных данных с использованием иностранного мессенджера, поэтому рекомендовали бы воздержаться от такого использования мессенджеров.

7. Можно ли банкам использовать информационные системы передачи сообщений, принадлежащие иностранным лицам, если в рамках такого использования персональные данные и сведения о платежах, переводах, счетах в такие информационные системы не передаются?
Ответ: Такие действия не запрещены законом.

8. Могут ли банки коммуницировать с клиентом в мессенджере, не передавая персональные данные, например, направлять ему подборку страховых компаний, объявления с витрины с одобренными предложениями под ипотеку, информирование о статусе заявки и так далее?
Ответ: Такие действия не запрещены законом.

9. Распространяются ли ограничения на запрет использования мессенджеров, если государство косвенно владеет компанией (более 51%)?
Ответ: Запрет распространяется на мессенджеры, принадлежащие иностранным юридическим лицам и (или) иностранным гражданам, независимо от прямого или косвенного участия государства в качестве совладельца.

10. Если сам клиент направит свои персональные данные в компанию через иностранные мессенджеры, что должна делать компания в такой ситуации?
Ответ: В таком случае эти персональные данные клиентов не должны приниматься в обработку и должны быть уничтожены компанией.
🔸В адрес Управления Роскомнадзора по Южному федеральному округу поступило обращение гр. Ф. о незаконном размещении ООО УК «КЛЕВЕР» на официальном интернет-сайте информации, содержащей персональные данные гр. Ф. в объеме: адрес с указанием города, улицы, дома, номера квартиры и суммы задолженности. При рассмотрении обращения сотрудниками Управления факт размещения персональных данных Заявителя был подтвержден.
🔸С целью соблюдения законодательства в области персональных данных в адрес ООО УК «КЛЕВЕР» было направлено требование об устранении нарушения и необходимости строгого соблюдения действующего законодательства в сфере обработки персональных данных.
🔸В соответствии с поступившей информацией и в результате проведенного анализа интернет-сайта установлено, что ООО УК «КЛЕВЕР» устранило нарушение и приняло меры по недопущению аналогичных нарушений в будущем.
🇷🇺👻🏛️ #ркн #сопд #распространение
🔸Правительство установило возможность проведения плановых проверок до 2030 года только в отношении объектов контроля, отнесённых к категориям чрезвычайно высокого и высокого риска причинения вреда, а также опасных производственных объектов и гидротехнических сооружений II класса опасности.
🔸Также рекомендую ознакомиться с критериями отнесения объектов федерального государственного контроля (надзора) за обработкой ПД к определенной категории риска согласно постановлению Правительства РФ от 29.06.2021 № 1046.
🇷🇺🏛️ #надзор #проверки #ркн #мораторий
🔸Управлением Роскомнадзора по Южному федеральному округу проведены мероприятия по контролю без взаимодействия с контролируемыми лицами на предмет соблюдения требований законодательства в сфере обработки персональных данных.
🔸По итогам анализа официального интернет-ресурса МАОУ СОШ № 71 - https://school71.centerstart.ru/ были выявлены признаки нарушения ч. 1 ст. 6, ст. 10.1 и ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
🔸По итогам анализа официального интернет-ресурса ООО «ЮЖНЫЙ ТЕЛЕКОМ» - https://ugtel.ru были выявлены признаки нарушения ч. 1 ст. 6 и ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", а также п. 7 Постановления Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
🇷🇺👻🏛️ #ркн #сопд #web #политика #пп687
🇷🇺💡🏛️ #ркн #нпа #pia #аналитика
Некоторые инсайты из комментариев Роскомнадзора к предложениям, поступивших в рамках общественного обсуждения проекта приказа «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (приказ Роскомнадзора от 27.10.2022 № 178).
🔷Оператор вправе самостоятельно определять:
🔸случаи проведения оценки вреда субъектам ПД применительно к видам осуществляемой деятельности, а также к каждой ИСПД либо в их совокупности;
🔸методику (условия) осуществления оценки вреда;
🔸объект, причины, срок или периода проведения оценки вреда;
🔸требования к составу и порядку образования комиссии по оценке вреда;
🔸соотношение вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ.
🔷Приказ РКН устанавливает требования к оценке вреда применительно к деятельности оператора по обработке ПД и не затрагивает вопросы, связанные с обеспечением безопасности ПД, регулирование которых отнесено к компетенции ФСБ и ФСТЭК.
🇷🇺💡🏛️ #ркн #нпа #уничтожение #аналитика
Некоторые инсайты из комментариев Роскомнадзора к предложениям, поступивших в рамках общественного обсуждения проекта приказа «Об утверждении Требований к подтверждению уничтожения персональных данных» (приказ Роскомнадзора от 27.10.2022 № 179):
🔸выгрузка из журнала регистрации событий в ИСПД является подтверждением уничтожения ПД, обрабатываемых с использованием средств автоматизации, и не подменяет собой необходимость составления акта об уничтожении ПД;
🔸сведения, которые технически не могут быть реализованы в выгрузке из журнала регистрации событий в ИСПД, могут быть отражены оператором в акте об уничтожении ПД;
🔸указание ФИО субъектов ПД в акте об уничтожении ПД является обязательным при наличии у оператора таких ФИО;
🔸указание в акте об уничтожении ПД «иной информации, относящейся к определенному (ым) физическому (им) лицу (ам), чьи персональные данные были уничтожены» (конкретные идентификаторы (атрибуты), относящиеся к конкретному физическому лицу) отнесено к тем случаям, когда у оператора отсутствует ФИО субъекта ПД;
🔸действие приказа РКН не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПД документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ.
Обновлен перечень ссылок на полезные материалы для операторов ПД, опубликованные Роскомнадзором и его территориальными органами.
🇷🇺💡🏛️ #ркн #рекомендации #аналитика
🔸В адрес Управления Роскомнадзора по Южному федеральному округу поступило обращение гр. С. о незаконной обработке персональных данных со стороны ООО «СДЭК-ГЛОБАЛ», выразившейся в направлении в адрес Заявителя писем, содержащих персональные данные третьих лиц.
🔸При рассмотрении обращения сотрудниками Управления было установлено, что офис-партнер ООО «СДЭК-ГЛОБАЛ» при формировании накладных в программе в графе «контрагент» указал персональные данные Заявителя вместо персональных данных третьего лица, чьи фамилия, имя и отчество полностью совпадают с Заявителем.
🔸С целью соблюдения законодательства в области персональных данных в адрес ООО «СДЭК-ГЛОБАЛ» было направлено требование об устранении нарушения и необходимости строгого соблюдения действующего законодательства в сфере обработки персональных данных.
🔸В соответствии с поступившей информацией установлено, что ООО «СДЭК-ГЛОБАЛ» устранило нарушение и приняло меры по недопущению аналогичных нарушений в будущем.
🇷🇺⚡️🏛 #ркн #надзор #пд #сдэк