Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
🔸Более трети (37%) опрошенных россиян считают, что из-за развития цифровых технологий полностью избежать утечек персональных данных невозможно, следует из результатов опроса, проведенного банком "Открытие" и страховой компанией "Росгосстрах" к Международному дню защиты персональных данных (отмечается ежегодно 28 января).
🔸73% респондентов считают, что защитой персональных данных должны совместными усилиями заниматься сам человек, компании и банки, а также государство.
🔸51% опрошенных дают организациям согласие на обработку персональных данных только тогда, когда этого требует закон. Еще 17% респондентов дают такое согласие редко, 1% - никогда. При этом 31% россиян соглашаются на обработку персональных данных всегда, когда их об этом просят.
🇷🇺🎤👨‍💻 #пд #опрос #утечки #сопд
🇷🇺🏛️ #сопд #цб #ркн #микрофинансы
Тезисы из письма Банка России от 19.09.2022 № 59-3-2/40817 "О получении микрофинансовыми организациями согласия заемщиков на обработку их персональных данных":
🔸Правовая конструкция Закона № 152-ФЗ предусматривает возможность предоставления согласия на обработку персональных данных конкретному оператору и не содержит указания на возможность предоставления согласия группе операторов или неопределенному кругу лиц. Кроме того, такая практика не учитывает требования частей 1 и 4 статьи 9 Закона № 152-ФЗ и не может быть одобрена по причине невозможности осуществления заемщиком действий по отказу в предоставлении согласия на обработку персональных данных конкретному оператору.
🔸Положения части 3 статьи 6 Закона № 152-ФЗ, устанавливающие правовые основания поручения третьему лицу действий по обработке персональных данных, содержат формулировку о необходимости получения оператором согласия, предусматривающего возможность осуществления обработки персональных данных конкретным третьим лицом, что также исключает возможность получения согласия, содержание которого сформулировано по групповому признаку.
Опубликован проект постановления Правительства РФ "Об утверждении правил получения согласия физического лица ‎на размещение биометрических персональных данных в региональном сегменте единой биометрической системы, их передачу и обработку в единой биометрической системе, а также согласия физического лица ‎на обработку персональных данных и биометрических персональных данных в целях проведения аутентификации в соответствии с пунктом 10 части 5 статьи 26 Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" и формы согласия физического лица на размещение биометрических персональных данных в региональном сегменте единой биометрической системы".
🔸Спойлер: согласие на размещение биометрических ПД ‎в региональном сегменте ЕБС дается сразу двум операторам и "...действует со дня его подписания до дня его отзыва..." (очередной пламенный привет как "буквальному толкованию" Роскомнадзором п.3 ч.4 ст.9 152-ФЗ, где "оператор указан в единственном числе", а также требованию Роскомнадзора указывать в согласиях конкретный срок действия).
🇷🇺🏛️ #биометрия #ебс #проект #нпа #сопд
🔸Управлением Роскомнадзора по Южному федеральному округу в отношении администрации муниципального образования Темрюкский район проведено мероприятие по контролю без взаимодействия с контролируемыми лицами на предмет соблюдения требований законодательства в сфере обработки персональных данных.
🔸По итогам мониторинга официального интернет-сайта Администрации - https://temryuk.ru установлено, что на данном сайте используется метрическая программа «Яндекс. Метрика», однако, отсутствует механизм информирования посетителей о сборе информации посредством вышеуказанной метрической программы.
🔸Также размещенное на сайте Администрации согласие на обработку персональных данных не соответствует требованиям ч. 1 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
🔸Администрация приняла меры по приведению деятельности в соответствие с требованиями законодательства в области персональных данных.
🇷🇺👻🏛️ #ркн #сопд #web
🔸В феврале 2023 года Управлением Роскомнадзора по Дальневосточному федеральному округу проведены мероприятия по контролю без взаимодействия с контролируемым лицом в отношении категории операторов «Образовательные учреждения» и «Организации, осуществляющие перевозки легковым такси» на территории Приморского края, на предмет выявления признаков нарушений законодательства Российской Федерации в области персональных данных.
🔸На Интернет-сайтах операторов осуществляется сбор персональных данных с использованием информационно-телекоммуникационных сетей Интернет, однако отсутствует форма получения согласия на обработку персональных данных. Также, на сайтах отсутствует политика обработки персональных данных. По итогам проведения мероприятия по контролю без взаимодействия Операторам направлены требования об уточнении, блокировании или уничтожении недостоверных персональных данных.
🇷🇺👻🏛️ #ркн #сопд #web
🔸Управлением Роскомнадзора по Республике Башкортостан в результате проведенного мероприятия без взаимодействия с контролируемым лицом в деятельности КПК «ФинансистЪ» были выявлены признаки нарушения требований ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
🔸В частности, установлено, что на сайте организации выявлено использование интернет-сервиса «Яндекс.Метрика», посредством которого также осуществляется обработка персональных данных посетителей ресурса без их согласия.
🇷🇺👻🏛️ #ркн #сопд #web
СОПД_для_внутреннего_рекрутмента.pdf
2.5 MB
Марина Юфа и Владислав Симоненко подготовили материал: Cогласие на обработку персональных данных для внутреннего рекрутмента в холдинге
▫️Вправе ли работодатель получать от работника согласие строго по определенному образцу?
▫️Может ли работодатель в одностороннем порядке поменять в согласии перечень третьих лиц, которым передаются данные работника?
▫️На что обращать внимание при разработке шаблона согласия для того или иного HR-процесса?
🇷🇺🔥👨‍💻 #privacy #сопд #hr #статья
🔸В период с 10.02.2023 по 16.02.2023 Управлением Роскомнадзора по Сибирскому федеральному округу проведено 2 мероприятия по контролю без взаимодействия с контролируемыми лицами на предмет выявления признаков нарушений законодательства в области персональных данных в отношении организаций осуществляющих туроператорскую и турагентскую деятельность, медицинских организаций на территории Новосибирской области.
🔸По результатам проведенных мероприятий выявлены нарушения в области персональных данных в деятельности ООО туристического агентства «Глобус-тур», ООО «Эрси Медикал» и ООО «Стоматология Новосибирск». В адрес операторов направлены требования об устранении выявленных нарушений.
🔸В целях информирования операторов, осуществляющих обработку персональных данных сообщаем, что при сборе персональных данных посредством электронных форм типа «Обратная связь», «Оплатить», «Оставить отзыв», «Написать нам», «Задать вопрос», «Оформить заявку» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку персональных данных. Также необходимо разместить на сайте документ, определяющий политику организации в отношении обработки персональных данных.
🇷🇺👻🏛️ #ркн #политика #сопд #web
🔥 Новая статья Дэниела Дж. Солоува
«Туманное согласие»: Подход к фикциям согласия в законодательстве о неприкосновенности частной жизни
🔸Согласие играет важную роль почти во всех законах о неприкосновенности частной жизни. Как метко сказала профессор Хайди Херд, согласие творит "моральную магию" - оно превращает вещи, которые были бы незаконными и аморальными, в законные и легитимные действия. Что касается конфиденциальности, согласие санкционирует и узаконивает широкий спектр сбора и обработки данных.
🔸В законодательстве о неприкосновенности частной жизни существует два подхода к согласию. В Соединенных Штатах преобладает подход "уведомление и выбор", когда организации размещают уведомление о своей практике конфиденциальности, и считается, что люди дали согласие, если они продолжают вести дела с организацией или не отказались от участия. В Европейском союзе в Общем регламенте по защите данных (GDPR) используется подход явно выраженного согласия, когда люди должны добровольно и утвердительно дать свое согласие.
🔸Оба подхода не работают. При подходе, основанном на уведомлении и выборе, доказательств фактического согласия не существует. На людей часто оказывают давление или манипулируют ими, что подрывает действительность их согласия. Подход, основанный на прямом согласии, также страдает от этих проблем - люди плохо подготовлены к принятию решений о своей конфиденциальности, и даже эксперты не могут полностью понять, что алгоритмы будут делать с персональными данными. Явно выраженное согласие также крайне непрактично; оно заваливает людей запросами на согласие от тысяч организаций. Явное согласие не может масштабироваться.
🔸Я считаю, что в большинстве случаев согласие на обработку данных является фиктивным. Законодательство о приватности должно использовать новый подход к согласию, который я называю "туманным согласием". Традиционно согласие было бинарным - переключатель "вкл/выкл", но туманное согласие существует в теневом промежуточном пространстве между полным согласием и отсутствием согласия. Туманное согласие признает тот факт, что согласие в частной жизни в значительной степени является набором фикций и в лучшем случае весьма сомнительно.
🔸Полный отказ от согласия в большинстве ситуаций, связанных с приватностью, подразумевает принятие правительством большинства решений, касающихся персональных данных. Но такой подход будет проблематичным, поскольку он подразумевает обширный правительственный контроль и микроуправление, а также ограничение самостоятельности людей. Закон должен предоставлять людям пространство для самостоятельности в принятии решений, даже если эти решения глубоко ошибочны. Таким образом, закон должен стремиться к достижению золотой середины, предоставляя песочницу для свободной игры, но с сильными ограждениями для защиты от вреда.
🔸Поскольку в концепции согласие по большей части фиктивно, туманное согласие признает отсутствие легитимности. Возвращаясь к аналогии Херда, туманное согласие - это согласие без магии. Вместо того чтобы предоставлять широкую легитимность и власть, туманное согласие должно разрешать только очень ограниченную и слабую возможность использования данных. Это позволит обеспечить определенную степень индивидуальной автономии, но с мощными ограждениями для ограничения эксплуататорского и вредного поведения организаций, собирающих и использующих персональные данные. В статье я предлагаю некоторые ключевые защитные механизмы, которые следует использовать при нечетком согласии.
🇺🇲🇪🇺💡👨‍💻 #аналитика #сопд #privacy
🔸Управлением Роскомнадзора по Южному федеральному округу в отношении ГАУ КК «МФЦ КК» проведено мероприятие по контролю без взаимодействия с контролируемыми лицами на предмет соблюдения требований законодательства в сфере обработки персональных данных.
🔸По итогам мониторинга официального интернет-сайта ГАУ КК «МФЦ КК» - https://e-mfc.ru/ были выявлены признаки нарушения ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в части отсутствия согласия на обработку персональных данных в соответствии с ч. 1 ст. 9 Федерального закона при наличии формы сбора персональных данных.
🇷🇺👻🏛️ #ркн #сопд #web
Компания «Мегафон» обновила мобильное приложение и решила передавать персональные данные (ПД) клиентов компаниям по выдаче микрозаймов и кредитов. Разработчики скрыли галочку «не согласен» в тексте нового соглашения. Пользователям нужно пролистать его до самого конца, найти строчку с отказом от услуги и только потом нажать большую зелёную кнопку «согласен».
🇷🇺🤬📱 #сопд #мегафон #optout #мнение
🔸В феврале 2023 года специалистами Управления Роскомнадзора по Дальневосточному федеральному округу проведены мероприятия по контролю без взаимодействия с контролируемым лицом в отношении категории операторов «Фитнес-центры» на территории Приморского края, на предмет выявления признаков нарушений законодательства Российской Федерации в области персональных данных.
🔸При проведении мероприятий по контролю без взаимодействия, должностным лицом Управления в отношении Операторов были выявлены ряд нарушений (признаки нарушения) требований законодательства Российской Федерации в области персональных данных.
🔸На Интернет-сайтах операторов осуществляется сбор персональных данных с использованием информационно-телекоммуникационных сетей Интернет, однако отсутствует форма получения согласия на обработку персональных данных. Также, на сайтах отсутствует политика обработки персональных данных. По итогам проведения мероприятия по контролю без взаимодействия Операторам направлены требования об уточнении, блокировании или уничтожении недостоверных персональных данных.
🇷🇺👻🏛️ #ркн #сопд #web #политика
🔸В период с 02.03.2023 по 06.03.2023 Управлением Роскомнадзора по Сибирскому федеральному округу проведено мероприятие по контролю без взаимодействия с контролируемыми лицами на предмет выявления признаков нарушений законодательства в области персональных данных в отношении фитнес центров на территории Новосибирской области.
🔸По результатам проведенного мероприятия выявлены нарушения в области персональных данных в деятельности ООО «ЭДЖ ПРЕМИУМ ФИТНЕС» и ООО «ФИТНЕСС - КЛУБ «ЕВРОПА». В адрес операторов направлены требования об устранении выявленных нарушений.
🔸В целях информирования операторов, осуществляющих обработку персональных данных сообщаем, что при сборе персональных данных посредством электронных форм типа «Обратная связь», «Оплатить», «Оставить отзыв», «Написать нам», «Задать вопрос», «Оформить заявку» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку персональных данных. Также необходимо разместить на сайте документ, определяющий политику организации в отношении обработки персональных данных.
🇷🇺👻🏛️ #ркн #сопд #web #политика
🔸В адрес Управления Роскомнадзора по Южному федеральному округу поступило обращение гр. Ф. о незаконном размещении ООО УК «КЛЕВЕР» на официальном интернет-сайте информации, содержащей персональные данные гр. Ф. в объеме: адрес с указанием города, улицы, дома, номера квартиры и суммы задолженности. При рассмотрении обращения сотрудниками Управления факт размещения персональных данных Заявителя был подтвержден.
🔸С целью соблюдения законодательства в области персональных данных в адрес ООО УК «КЛЕВЕР» было направлено требование об устранении нарушения и необходимости строгого соблюдения действующего законодательства в сфере обработки персональных данных.
🔸В соответствии с поступившей информацией и в результате проведенного анализа интернет-сайта установлено, что ООО УК «КЛЕВЕР» устранило нарушение и приняло меры по недопущению аналогичных нарушений в будущем.
🇷🇺👻🏛️ #ркн #сопд #распространение
🔸Минцифры завершило подготовку законопроекта, вводящего оборотные штрафы для компаний, которые допустили утечку персональных данных. Документ планируют внести в Госдуму в апреле.
🔸Подготовленный Минцифры документ вводит отдельный состав административной ответственности за утечку персональных данных, в том числе оборотные штрафы. Будет предусмотрена и уголовная ответственность за кражу данных пользователей, а также за создание сайтов и других каналов для их последующего распространения.
🔸Уже в этом году в парламент могут внести законопроект, предполагающий возможность предоставления и отзыва согласия на обработку персональных данных через портал госуслуг. Такие согласия каждый человек подписывает не раз, когда регистрируется в соцсетях, в различных приложениях, в интернет-магазинах и так далее. Юзер может давно не пользоваться сервисом, а сведения о нем так и будут висеть в базе, и не исключено, что в какой-то момент утекут или их могут передать посторонним, ведь часто об этом написано в согласии на обработку. Если же будет единый реестр согласий, то, во-первых, все они будут на виду, а во-вторых, можно будет в любой момент отозвать свои данные, буквально не вставая с дивана.
🇷🇺🏛️ #утечки #инциденты #законопроект #штрафы #сопд
🔸Заместитель министра здравоохранения России Павел Пугачев заявил, что в целях соблюдения врачебной тайны обеспечивается разграничение доступа к данным пациента. К персональной информации может иметь доступ только лечащий врач либо тот врач, которому такой доступ дал сам пациент.
🔸Поэтому мы совместно с Минцифры в настоящее время создаем сервис по управлению такими согласиями и разрешениями. Это очень чувствительный, важный сервис. Он нужен, чтобы вы, например, получив результаты своих анализов в лаборатории, могли в электронном виде передать их своему участковому терапевту. Либо настроить, чтобы по умолчанию все результаты ваших обследований из различных медицинских организаций попадали к нему с вашего согласия. Мы считаем, что такой сервис должен быть реализован для граждан на портале госуслуг.
🇷🇺🏛️ #здоровье #сопд #управление
🔸Управлением Роскомнадзора по Южному федеральному округу проведены мероприятия по контролю без взаимодействия с контролируемыми лицами на предмет соблюдения требований законодательства в сфере обработки персональных данных.
🔸По итогам анализа официального интернет-ресурса МАОУ СОШ № 71 - https://school71.centerstart.ru/ были выявлены признаки нарушения ч. 1 ст. 6, ст. 10.1 и ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
🔸По итогам анализа официального интернет-ресурса ООО «ЮЖНЫЙ ТЕЛЕКОМ» - https://ugtel.ru были выявлены признаки нарушения ч. 1 ст. 6 и ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", а также п. 7 Постановления Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
🇷🇺👻🏛️ #ркн #сопд #web #политика #пп687
🔸ГБУ города Москвы "Автомобильные дороги Зеленоградского административного округа" по было привлечено к ответственности ч.2 ст.2.1 и 12.32 КоАП РФ в виде штрафа в 100 тыс. рублей из-за того, что допустило к управлению трактором гражданина К., который был лишен водительских прав тремя годами ранее. Этот факт вскрылся уже после принятия на работу, когда документы у водителя проверял сотрудник ГИБДД.
🔸По мнению предприятия, гражданин К., когда нанимался на работу, предъявил работодателю действующее удостоверение тракториста-машиниста, из-за чего подозрений у предприятия не возникло. Суды, рассматривая это дело, признали предприятие виновным, указав на то, что оно могло запросить персональные данные нанимаемого гражданина, предложив подписать ему согласие на обработку его персональных данных с целью истребования необходимых сведений. Несогласное с решениями судебных инстанций ГБУ "Автомобильные дороги ЗелАО" обратилось с жалобой в Конституционный суд России.
🔸КС РФ постановил, что юридические лица могут быть привлечены к ответственности за допуск к управлению машинами водителя без действующих прав только в тех случаях, когда у компании были основания подозревать обман со стороны нанимаемого сотрудника, и она не предприняла никаких мер для проверки документов. Федеральный законодатель вправе конкретизировать обязанности юридических лиц по контролю за документами, следует из постановления КС.
🇷🇺⚖️ #ксрф #суд #сопд #hr