Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
Источник, который уже "сливал" информацию «СберЛогистики» (сервис «Shiptor»), образовательного портала «GeekBrains», службы доставки «Delivery Club» и многих других, утверждает, что он получил доступ к данным онлайн-платформы правовой помощи «СберПраво» (sberpravo.ru). 🔥

В выложенных в открытый доступ трех файлах содержится:

🌵 ФИО
🌵 телефон (115 тыс. уникальных номеров)
🌵 адрес эл. почты (72 тыс. уникальных адресов)
🌵 дата рождения
🌵 дата создания записи (с 07.09.2020 по 08.02.2023)

Судя по информации из файлов, данные были получены не ранее 08.02.2023.

С нетерпением ожидаем официальные сообщения в СМИ про "компиляции старых баз", "мы успешно отражаем любые атаки" и т.п. 🤣
ЦБ планирует создание оператора автоматизированной информационной системы страхования

Администрированием АИС будет заниматься АО «Национальная страховая информационная система».

Система объединит в себе всю информацию об осуществлении страхования, за исключением информации об ОМС, обязательном государственном страховании и сведений, которые относятся к государственной тайне.

АИС начнет свою работу с 30 марта 2023 года и позволит участникам рынка страхования оперативно взаимодействовать друг с другом.
🔸Норвежский орган по защите данных ("Datatilsynet") 01.03.2023 опубликовал предварительное решение об использовании Google Analytics компанией Telenor ASA. Сайт норвежской компании Telenor был одним из тех сайтов, на которые была направлена жалоба компании None of Your Business ("NOYB"), утверждавшей о незаконности передачи персональных данных в США через Google Analytics.
🔸Datatilsynet пришел к предварительному выводу о том, что использование компанией Telenor системы Google Analytics было осуществлено в нарушение положений о трансграничной передаче данных в соответствии с GDPR. На момент подачи жалобы на сайте Telenor использовался Google Analytics 3, поэтому Datatilsynet уточнил, что его расследование касается исключительно этой версии Google Analytics. Однако Datatilsynet считает, что Google Analytics 4 не обязательно устраняет проблемы, присущие Google Analytics 3.
🇪🇺🇺🇸‼️🏛️ #ес #gdpr #трансграничка #google
На ярмарке вакансий RPPA опубликована обновленная позиция:
Старший юрист по работе с персональными данными в Иннотех
🔸В крупном российском ИТ Холдинге открыта вакансия старшего юриста по работе с персональными данными. Это позиция уровня senior, зарплата хорошая. Трудоустройство в аккредитованную Минцифрой компанию. Предполагается отсрочка от мобилизации.
🔸Новый сотрудник совместно с DPO, главным юристом по персональным данным, будет заниматься всеми вопросами по юридическому сопровождению работы с персональными данными.
🇷🇺👨‍💻 #вакансия #privacy #legal
Privacy Advocates
Источник, который уже "сливал" информацию «СберЛогистики» (сервис «Shiptor»), образовательного портала «GeekBrains», службы доставки «Delivery Club» и многих других, утверждает, что он получил доступ к данным онлайн-платформы правовой помощи «СберПраво» (sberpravo.ru).…
🔸Платформа «СберПраво» заявила, что проверяет информацию об утечке данных пользователей. Такие сообщения обычно связаны с «мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных».
🔸Роскомнадзор проверит информацию о возможной утечке персональных данных пользователей онлайн-платформы правовой помощи "СберПраво", однако уведомления о произошедшем пока не поступало.
Федеральная торговая комиссия (ФТК) США запросила у руководства компании Twitter данные об увольнении сотрудников, внутреннюю переписку и сведения о журналистах, составлявших "досье Twitter(Twitter files). Представители ФТК с момента приобретения Twitter Илоном Маском в октябре прошлого года направили компании 12 запросов о предоставлении разного рода сведений. Представители комиссии заинтересовались тем, как проводимая Маском политика может отразиться на усилиях компании по защите личных данных пользователей соцсети.
🇺🇸🏛️ #twitter #ftc #privacy
Дело 05-0490_422_2022.doc
68 KB
💥Незаконный сбор ПД из телефонной книги мобильным приложением.
🔸Мобильное приложение «NumBuster» заявлено его оператором (Gilraen ltd) как "социальный рейтинг доверия к номерам телефона и инструмент оперативного обнаружения атак телефонных мошенников, злоумышленников и непрошенной рекламы".
🔸По мнению Роскомнадзора, в мобильном приложении осуществлялась неправомерная обработка персональных данных (фамилия, имя, отчество, дата рождения, номер телефона) третьих лиц, не являющихся пользователями этого приложения. Указанные данные были незаконно получены оператором приложения из телефонной книги пользователя приложения.
🔸Согласно позиции Gilraen ltd, информация, содержащаяся в записных книжках на мобильных устройствах связи пользователей, в отзывах (комментариях) зарегистрированных пользователей, является субъективной, в связи с чем не может быть признана персональными данными.
🔸Суд поддержал позицию Роскомнадзора и назначил оператору приложения штраф по ч.1 ст.13.11 КоАП РФ.
🇷🇺📱⚖️ #суд #mobile #пд #штраф
🔸Google представил службу мониторинга даркнета, которая поможет пользователям отслеживать свою личную информацию в Интернете. Служба доступна только для пользователей из США. Бесплатный сервис будет сканировать даркнет в поисках личных данных пользователя – имя, адрес, адрес электронной почты, номер телефона и номер социального страхования (SSN).
🔸Если информация будет найдена – Google уведомит об этом пользователя и предоставит инструкцию по защите своих данных, например, сообщить о краже информации правоохранительным органам или подписаться на службу кредитного мониторинга.
🔸Поскольку спутниковые данные являются строительными блоками, используемыми нашими телефонами для определения того, где мы находимся, они не всегда отключаются, а также не собираются и не обрабатываются так же, как данные о местоположении.
🔸 Когда вы думаете о данных о местоположении на своем мобильном телефоне, планшете или ноутбуке, что приходит на ум? Почтовые адреса? Почтовые индексы? Эти данные указывают, где вы живете, где работаете и какие места посещаете. В сочетании с другими типами данных с течением времени компании и правительства используют их для анализа моделей вашего потребления, рода занятий, образования, здоровья и финансового положения.
🔸Отключение служб определения местоположения только предотвращает получение приложениями для смартфонов данных о местоположении. Смартфоны по-прежнему могут быть обнаружены вышками сотовой связи и беспроводными сетями, когда службы определения местоположения отключены.
🔸Поскольку спутниковые данные являются строительными блоками, используемыми нашими телефонами для определения того, где мы находимся, они не всегда отключаются, а также не собираются и не обрабатываются так же, как данные о местоположении. Смартфоны определяют местоположение несколькими способами.
💥Не пойман – не вор: обнаружение документов с ПД на свалке, само по себе, не является доказательством утечки
🔸28.07.2021 членами экологической ассоциации «Чистый Регион» в городе Пятигорск на свалке отходов были обнаружены документы, содержащие персональные данные (заявления застрахованных лиц о переходе из одного негосударственного пенсионного фонда в другой негосударственный пенсионный фонд, заявления застрахованного лица о переходе в Пенсионный фонд РФ из негосударственного пенсионного фонда, поручения застрахованных лиц, коп паспортов, копии СНИЛС, подписанные согласия на обработку персональных данных граждан, договоры об обязательном пенсионном страховании между негосударственным пенсионным фондом и застрахованным лицом). Из текста обнаруженных документов следует, что оператором указанных выше персональных данных является НПФ «Русский стандарт».
🔸Экологическая ассоциация «Чистый регион» обратилась в Роскомнадзор, который посчитал НПФ «Будущее», как правопреемника НПФ «Русский Стандарт», виновным в нарушении требований п.15 постановления Правительства РФ от 15.09.2008 № 687 и подлежащим наказанию согласно ч.6 ст.13.11 КоАП РФ.
🔸НПФ «Будущее» заявило, что не является оператором по обработке персональных данных представленных физических лиц. Бланки договоров об обязательном пенсионном страховании размещены в свободном доступе на сайтах негосударственных пенсионных фондах. В представленных в материалы дела образцах договоров об обязательном пенсионном страховании и согласий на обработку персональных данных отсутствует подпись и печать фонда заполнены только со стороны физических лиц. Само по себе заполнение с одной стороны договора не повлекло возникновение правоотношений между сторонами фондом и физическим лицом. Документы, свидетельствующие о заключении договоров между НПФ и указанными физическими лицами, не представлены Роскомнадзором.
🔸Суд пришел к выводу о том, что отсутствуют безусловные доказательства, позволяющие установить вину АО «НПФ «Будущее», материалы дела не содержат. Обнаружение персональных данных неустановленных физических лиц, само по себе не подпадает под состав административного правонарушения.
🇷🇺📄⚖️ #суд #нпф #пп687 #инциденты #утечки
Василеостровский районный суд Санкт-Петербурга отклонил иск двух граждан к ООО «Яндекс.Еда». Истцы требовали компенсации морального вреда из-за утечки своих персональных данных. Причины отказала в удовлетворении иска озвучены не были.
🇷🇺⚖️ #суд #утечки #инциденты #яндекс #иск
Согласно опросам, уровень доверия граждан к государственным инициативам по цифровизации (цифровой паспорт и т.п.) падает. Основная причина снижения доверия - утечки персданных, низкий уровень кибербеза в государственных информационных системах и неумение государства коммуницировать с гражданами, объясняя свои решения и замалчивая утечки ПДн.

ЗЫ. Мне кажется, некоторые из озвученных причин могут стать барьером для цифровизации и в корпоративной среде, что в очередной раз ставит вопрос о том, что ИБ - это не только и не столько вопрос технологий.

ЗЗЫ. Думаю, надо выложить видео своего выступления по внутреннему маркетингу ИБ.
🔸В 2021 году истец купил на «Озоне» товар, который оказался некачественным, но вернуть деньги покупатель не смог – никаких сведений о продавце, кроме названия ИП и ИНН, указано не было. Покупатель написал в техподдержку «Озона» с просьбой предоставить данные продавца, но получил отказ в связи с тем, что это персональные данные.
🔸Покупатель подал в суд на ООО «Интернет Решения» и попросил обязать маркетплейс предоставить полную информацию о продавце в течение семи рабочих дней со дня вступления решения в законную силу. В случае просрочки исполнения возложенной обязанности – взыскать судебную неустойку в размере 150 рублей за каждый день первого месяца просрочки, а также взыскать с ответчика компенсацию морального вреда в размере 2 тыс. ₽.
🔸Суд установил, что, сокрыв информацию о продавце, маркетплейс нарушил закон «О защите прав потребителей». Без этих данных пользователи лишены возможности отстаивания своих интересов в суде. Свердловский областной суд обязал Ozon предоставить информацию о продавцах, а также взыскал с маркетплейса деньги в пользу истца.
🇷🇺✌️⚖️ #суд #ozon #ззопп #потребитель #маркетплейс
🔸В открытом доступе появились данные пользователей программы «СберСпасибо». Архив оказался в распоряжении журнала «Компания».
🔸По ее данным, в архиве хранятся два файла. Первый имеет размер 820 мегабайт и включает в себя 6 335 994 строки, содержащие номера телефонов, адреса электронной почты, даты рождения, даты регистрации, хэши карт и другую служебную информацию. В нем 1 089 420 уникальных e-mail-адресов и 1 448 281 уникальный телефонный номер. Архив охватывает период с 1 апреля 2017-го по 7 февраля 2022 года.
🔸Второй файл весит почти 13 гигабайт. В нем содержатся 48 387 008 строк, из которых 132 749 уникальных email-адресов и 4 557 584 уникальных номера телефонов.
🔸Роскомнадзор проведет проверку в связи с информацией о возможной утечке персональных данных в Высшей школе экономики (ВШЭ).
🔸Ранее в университете журналистам рассказали, что его почтовые сервисы подверглись атаке злоумышленников. В Telegram-каналах также сообщалось, что были украдены сканы паспортов выпускников и сотрудников ВШЭ, и, в частности, списки сотрудников, имеющих отсрочку от мобилизации.
🇷🇺🤬 #инциденты #утечки #вшэ
Искусственный интеллект конкурирует с родителями в воспитании, дети становятся жертвами информационных войн, а парасоциальные связи с блогерами вытесняют реальное общение. «Ростелеком» как один из учредителей Альянса по защите детей в цифровой среде представил летом 2022г. результаты исследования «Технологии защиты детей в интернете», в котором спрогнозированы киберриски ближайшего будущего.
🇷🇺👶📱 #privacy #дети #исследование
🔸Госдума приняла закон об упрощенном порядке онлайн-покупок в иностранных магазинах. Если раньше, оформляя заказ в интернет-магазине (не зарегистрированном в РФ), нужно было проходить идентификацию, а именно вводить свои личные данные, в том числе и ИНН, то теперь этот этап можно опустить, но только если сумма менее 15 тысяч рублей.
🔸Изменения внесены в статью 7 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Соответствующий документ опубликован на сайте Государственной думы.
🔸Администрация общего обслуживания (General Services Administration, GSA) США заработала миллионы долларов на предоставлении ведомствам нестандартного сервиса аутентификации Login.gov.
🔸Чиновники GSA в течение нескольких лет включали в текст межведомственных договоров утверждение о том, что их услуги отвечают стандартам Национального института стандартов и технологий (National Institute of Standards and Technology, NIST). GSA собрали с других агентств свыше 10 миллионов долларов за пользование сервисом Login.gov, который, как подразумевалось, также отвечал стандартам безопасности NIST.
Обновил свою презентацию Регулирование оборота биометрических ПД в РФ:
🔸 Определение биометрических данных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных»
🔸 Сведения о физиологических и биологических особенностях человека
🔸 ГОСТ Р 54412-2019
🔸 Нейросеть определяет имя человека по фото
🔸 Австралийская полиция будет определять внешность подозреваемых по ДНК
🔸 Сведения позволяют установить личность человека
🔸 Судебная практика про фотоизображение
🔸 Роскомнадзор: фотоизображение не содержит информации, являющейся биометрической по своей сути…
🔸 Компоненты биометрической системы общего вида (ГОСТ Р 54412-2019)
🔸 ГОСТ ISO/IEC 2382-37-2016 и комплекс стандартов ISO/IEC 19794
🔸 Сведения используются для установления личности субъекта данных
🔸 Идентификация, аутентификация и установление личности субъекта ПД
🔸 Проблемы терминологии
🔸 Apple запатентовала технологию, которая позволит AirPods узнавать человека по уху
🔸 В тюрьму на 13 лет благодаря фотографии в соцсетях: полиция считала с нее отпечатки пальцев
🔸 Итальянского мафиози нашли спустя 20 лет благодаря фото на Google Maps
🔸 Более 2,7 тыс. преступников задержали с помощью системы распознавания лиц в метро Москвы
🔸 SAP совместно с партнерами Facemetric, Cisco Systems, Konica Minolta и Skybuffer разработала систему автоматического измерения температуры и распознавания лиц
🔸 Единая биометрическая система - описание
🔸 Единая биометрическая система и 572-ФЗ
🔸 Первичная идентификация
🔸 Проведение удаленной идентификации клиента (по закону)
🔸 Письмо Минцифры России от 17.07.2020 № ОП-П24-070-19433
🔸 Письмо Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059 «О методических рекомендациях для общеобразовательных организаций по вопросам обработки ПД»
🔸 Письмо Роскомнадзора от 29.08.2022 № 08-78032 об отнесении фотоизображения к биометрическим персональным данным
🔸 Комментарии к письму Роскомнадзора от 29.08.2022 № 08-78032
🔸 Письмо Роскомнадзора от октября 2022г. (частично дезавуирует письмо № 08-78032)
🔸 Административная ответственность за нарушения в области биометрической идентификации и/или аутентификации
🔸 Уголовная ответственность за внесение в ЕСИА и ЕБС заведомо недостоверных сведений
🔸 Запрет понуждения к предоставлению биометрических ПД
🔸 Федеральный закон 29.12.2022 № 572-ФЗ
🔸 Заметки о 572-ФЗ
🔸 Некоторые из подзаконных актов, связанных с 572-ФЗ
🔸 Квалификация обработки фотографии для управления доступом на территорию
🔸 Подборка российской судебной за 2017-2022гг. по биометрии
🇷🇺💡👨‍💻 #биометрия #видео #фото #аналитика #572фз
🔸 Индивидуальный предприниматель (ИП) осуществлял обработку биометрических персональных данных несовершеннолетних лиц, обучающихся в образовательных учреждениях, путем оказания услуг с использованием системы контроля и управления доступом с функцией распознавания лиц (система «ХРОНОС»).
🔸 Постановлением Управления Роскомнадзора по Кемеровской области и Кузбассу от 29.03.2022 такая обработка признавалась незаконной, а ИП было направлено требование о её прекращении. ИП был осуществлен демонтаж биометрических терминалов, ранее установленных в образовательных учреждениях, осуществлено уничтожение биометрических персональных данных несовершеннолетних.
🔸 ИП обратился в суд с иском о признании недействительным ненормативного акта Роскомнадзора. В качестве третьих лиц были привлечены 20 вышеуказанных образовательных учреждений. Суд не стал отменять акт Роскомнадзора, но мотивировочная часть судебного решения оказалась весьма занятной:
🔅 Суд отклонил доводы ИП о том, что при использовании системы «ХРОНОС» не происходит обработка биометрических персональных данных, поскольку при обработке биометрическими терминалами цифрового кода получаемого из фотоизображения несовершеннолетнего при входе и выходе из здания, аналитические алгоритмы могут выявить совпадение кодов исходного и анализируемого видеоизображения, лишь с определенной долей вероятности, то есть идентификация личности не производится;
🔅 Сопоставление изображения лица с цифровым кодом позволяет произвести его идентификацию с теми персональными данными, которые имеются в образовательном учреждении и предоставлены оператору (включая фамилию, имя, отчество), то есть направлено на установление личности субъекта персональных данных. Получение цифрового кода путем обработки фотографий, характеризующей физиологические и биологические особенности человека (относящейся к биометрическим персональным данным), является обработкой персональных данных. Использование фотографий для создания цифрового кода подпадает под понятие обработки персональных данных (Определение Верховного Суда РФ от 05.03.2018 № 307-КГ18-101 по делу № А42-342/2017);
🔅 Согласия родителей были предоставлены на обработку их персональных данных и персональных данных их несовершеннолетних детей путем осуществления любых необходимых действий, включая обезличивание и распространение. Из буквального содержания согласия, не следует, что родителем дано согласие именно на обработку биометрических персональных данных. Приказом Роскомнадзора от 24.02.2021 № 18 установлено, что согласие на обработку персональных данных должно содержать категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных. В данном случае представленные согласия не содержат указания на категорию персональных данных - биометрические персональные данные. Таким образом, обработка ИП биометрических персональных данных не соответствует требованиям ч.4 ст.9 и ч.2 ст.11 152-ФЗ;
🔅 Ссылка Управления Роскомнадзора на правовую позицию, изложенную в письме Минцифры России от 17.07.2020 № ОП-П24-070-19433, "О рассмотрении обращения", письме Роскомнадзора от 10.02.2020 № 08АП-6782 "О направлении информации по протоколу совещания", пункте 13 Методических рекомендаций, утв. письмом Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, относительно возможности использования биометрических персональных только согласия самого субъекта, подлежит отклонению. Указанные акты не являются нормативно-правовыми и не носят обязательного характера для неограниченного круга лиц. При этом прямой запрет на использование биометрических персональных данных
несовершеннолетних 152-ФЗ не установлен. Вместе с тем данное обстоятельство не привело к принятию незаконного требования.
🇷🇺👨‍💻⚖️ #суд #биометрия #дети #согласие
Опубликовано постановление Правительства РФ от 09.03.2023 № 367, наделяющее Минцифры дополнительными полномочиями, связанными с работой с единой биометрической системой (ЕБС).
Соответствующие изменения вносятся в положение о министерстве цифрового развития, связи и массовых коммуникаций РФ.
🇷🇺🏛️ #биометрия #ебс #нпа