Privacy Advocates
12.9K subscribers
489 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
😱 Систему анализа поведения покупателей в магазинах разработали в Москве
🔸Искусственный интеллект определяет возраст, пол и направление взгляда покупателей, чтобы выявить потенциально интересные для них товары на полках. Московский производитель электроники разработал систему, анализирующую поведение клиентов с помощью искусственного интеллекта. Тестирование начнется в ближайшее время.
🔸«Аналитика поведения и заинтересованности клиентов — один из важнейших инструментов для всех сегментов ретейла. Благодаря ей можно определить, какие товары привлекают внимание покупателя за счет внешнего вида, как правильно расположить их на полках магазина, а также понять, какие инструменты способствуют увеличению интереса к продукции. Столичная компания “Гаоди” разработала систему, которая анализирует поведение покупателей в ретейле с помощью искусственного интеллекта. В ближайшее время начнется ее тестирование в нескольких крупных офлайн-супермаркетах. В год компания планирует выпускать не менее тысячи таких систем», — отметил руководитель столичного Департамента инвестиционной и промышленной политики Владислав Овчинский.
РКН расширил список иностранных компаний, подлежащих "приземлению"
🔸Эти компании подпадают под действие федерального закона "О деятельности иностранных лиц в сети "Интернет" на территории Российской Федерации". Согласно этому документу, крупные зарубежные IT-компании с суточной аудиторией более 500 тысяч российских пользователей обязаны открыть в России филиал или представительство, а также разместить на своем сайте электронную форму обратной связи с местными пользователями и зарегистрировать личный кабинет на сайте Роскомнадзора для оперативного взаимодействия с властями.
🔸Закон действует с 1 января 2022 года. Первыми в перечень включили 13 компаний, владеющих 22 информационными ресурсами. Среди них — Google, YouTube, Meta Platforms*, Twitter, TikTok, Telegram и другие. На сегодняшний день требование уже выполнили Viber и Apple.
🔸12 добавленных иностранных провайдеров хостинга:
1) Hetzner Online GmbH (hetzner.com);
2) Network Solutions, LLC (networksolutions.com).
3) WPEngine, Inc. (wpengine.com);
4) HostGator.com, LLC (hostgator.com);
5) Ionos Inc. (ionos.com);
6) DreamHost, LLC (dreamhost.com);
7) FastComet, Inc. (fastcomet.com);
8) Amazon Web Services, Inc. (aws.amazon.com);
9) GoDaddy.com LLC (godaddy.com);
10) Bluehost Inc. (bluehost.com);
11) Kamatera Inc. (kamatera.com);
12) DigitalOcean, LLC (digitalocean.com).
🏛️ В Совфеде просят ускорить принятие закона о доступе к обезличенным данным для развития ИИ
🔸Зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин обратился в Минэкономразвития России с просьбой содействовать скорейшей доработке и принятию законопроекта о механизме доступа к обезличенным данным, который позволит развивать технологии искусственного интеллекта (ИИ), обеспечивая сохранность персональных данных.
✌️DuckDuckGo Browser стал доступен для компьютеров на базе Windows: ориентированный на конфиденциальность интернет-обозреватель перешёл в стадию публичной беты.
🇪🇺Штраф за неправомерный Интернет-таргетинг
🔸Кто: Commission nationale de l'informatique et des libertés (Франция)
🔸Кого: Criteo
🔸Когда: 2023.06
🔸За что: нарушение ст. 7(1), 7(3), 12, 13, 15(1), 17(1), 26 GDPR
🔸Как: штраф €40,000,000
🔸Причина: жалоба Privacy International и None of Your Business (NOYB) на компанию Criteo, которая специализируется на "поведенческом ретаргетинге и собирает данные о просмотре сайтов интернет-пользователей с помощью своего трекера (cookie), который размещается на их терминалах при посещении определенных партнерских сайтов.
Трекер Criteo, используемый для таргетированной рекламы, размещался (в т.ч. партнерами Criteo) на пользовательских устройствах без согласия пользователей. Хотя получение согласия является обязанностью партнеров Criteo, которые находятся в непосредственном контакте с интернет-пользователями, Criteo все же обязана проверять и быть в состоянии продемонстрировать, что интернет-пользователи дали свое согласие. Criteo не приняла никаких мер для обеспечения того, чтобы ее партнеры действительно получали согласие интернет-пользователей, данные которых она затем обрабатывала. Контракты, заключенные Criteo и ее партнерами, не содержали никаких положений, обязывающих их предоставлять доказательства наличия согласия интернет-пользователей.
При назначении штрафа CNIL учитывал, что обработка касалась очень большого количества людей и что компания собрала очень большой объем данных, относящихся к поведению потребителей. Кроме того, во внимание был принят тот факт, что обработка данных физических лиц без подтверждения их действительного согласия позволила Criteo необоснованно увеличить число отслеживаемых лиц и, таким образом, финансовые доходы, которые она получает от своей роли рекламного посредника.
🧬 Компанию по генетическому тестированию Vitagene обвинили в обмане клиентов и утечке их персональных данных
🔸Федеральная торговая комиссия США (FTC) заявила, что компания по генетическому тестированию 1Health.io, также известная как Vitagene, вводила в заблуждение людей, когда обещала уничтожить их физические образцы ДНК и собранные данные о здоровье. Кроме того, FTC утверждает, что компания не обеспечивала должной защиты этой информации и вносила изменения в свою политику конфиденциальности без надлежащего уведомления или согласия людей, чьи данные она уже собрала.
💡Что если в ходе обязательного профилактического визита Роскомнадзора в отношении оператора выявлены нарушения законодательства о ПД - будет ли оператор обязательно привлечен к юридической ответственности?

🏛️ Управлением Роскомнадзора по Тюменской области, ХМАО-ЮГРЕ и ЯНАО проведен обязательный профилактический визит в отношении Индивидуального предпринимателя, зарегистрированного на территории Тюменской области и приступившего к осуществлению деятельности в сфере обработки персональных данных в 2022 году.
🔸В ходе анализа, представленного оператором уведомления об обработке (о намерении осуществлять обработку) персональных данных, было установлено, что сведения, содержащиеся в Реестре операторов, осуществляющих обработку персональных данных с учетом осуществляемой деятельности, неполные.
🔸Оператору рекомендовано рассмотреть вопрос об уточнении сведений в Реестре операторов с учетом вступления в силу ч. 3.1 ст. 22 Федерального закона «О персональных данных».
🔸По результату проведенного обязательного профилактического визита индивидуальному предпринимателю даны разъяснения рекомендательного характера с целью соблюдения всех требований законодательства о персональных данных, а также даны разъяснения по применению изменении в законодательство о персональных данных.
⚖️🔥 Выводы из постановления (кассация) Арбитражного суда Московского округа от 30.03.2023 № А40-139096/22 по спору между Роскомнадзором и СК "Арсеналъ":
1️⃣ согласие субъекта на распространение ПД (ст.10.1 152-ФЗ) - частный случай согласия на обработку ПД (п.1 ч.1 ст.6 152-ФЗ), т.е. ПД можно распространять на основании других пунктов ч.1 ст.6 152-ФЗ;
2️⃣ адрес электронной почты и номер телефона, без иных сведений о субъекте, сам по себе не является ПД.
Роскомнадзор подал кассационную жалобу (представление) в Верховный Суд РФ.

🔸Обработка ПД руководителей общества и участников общества способом «распространение»... не требует получения согласия субъекта ПД, поскольку осуществляется на основании п.п. 2 и 11 ч.1 ст.6 Закона о ПД во исполнение законной обязанности общества по раскрытию персональных данных, предусмотренной пп.2 п.6 ст.6 Закона об организации страхового дела, в целях доведения информации до сведения страхователей, застрахованных лиц, выгодоприобретателей, лиц, имеющих намерение заключить договор страхования.
🔸Довод Управления РКН по ЦФО о наличии у общества обязанности по получению у руководителей общества и участников общества отдельного согласия на обработку ПД способом «распространение» для правомерного раскрытия указанных персональных данных на официальном сайте страховщика правомерно отклонен судами, поскольку ст.10.1 Закона о ПД устанавливает порядок обработки персональных данных, разрешенных субъектом ПД к распространению, что является частным случаем обработки ПД «с согласия субъекта ПД». Данный вывод следует как из самого названия ст.10.1 Закона о ПД «Особенности обработки ПД, разрешенных субъектом ПД для распространения», так и из содержания указанной статьи, которой фактически устанавливаются требования к форме и порядку получения согласия на обработку ПД, разрешенных субъектом ПД для распространения. При этом суды правомерно указали, что ни статья 10.1, ни иные положения Закона о персональных данных не предусматривают для оператора обязанности на получение у субъекта ПД согласия на обработку ПД «во исполнение возложенных на оператора законодательством РФ обязанностей» и/или «во исполнение требований федерального законодательства по раскрытию ПД».
🔸Утверждение Управления РКН по ЦФО о том, что адрес электронной почты является ПД лица его зарегистрировавшего, так как обладает «двумя важными свойствами: неизменностью при присвоении и уникальностью», обоснованно признано несостоятельным, поскольку по аналогии с номером телефона, без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит. Более того, суды обоснованно указали, что адрес электронной почты фактически не обладает свойством «абсолютной неизменности», потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам), в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, также, как в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту.
Forwarded from Горелкин
Законопроект о рекомендательных технологиях, разработкой которого я занимался без малого три года, внесен на рассмотрение Государственной Думы. Его главная цель – сделать прозрачными механизмы рекомендаций и не допускать их применения в незаконных целях.

Мы видим, к чему приводит неконтролируемое применение рекомендательных алгоритмов крупными цифровыми платформами. Исследователи фиксируют факты манипуляции: и в маркетинговых, и в политических целях. Психологи диагностируют у своих пациентов нервные расстройства, причиной которых становится так называемая «алгоритмическая тревожность». Именно поэтому тренд на регулирование рекомендательных технологий стал общемировым: все чаще законодатели разных стран говорят о необходимости регламентировать эту сферу.

Мой законопроект обязывает владельцев ресурсов, которые используют рекомендательные алгоритмы, не просто информировать об этом своих пользователей, а довести до них основные правила их работы. Они должны содержать описание механизма рекомендаций и сведений, которые он собирает и использует, с указанием источника их получения.

Сегодня граждане подвергаются дискриминации со стороны цифровых платформ, применяя рекомендательные алгоритмы не столько для повышения пользовательского опыта, сколько для сбора данных, которые потом используются в самых разных целях (в том числе становятся предметом купли-продажи). В окончательной редакции законопроект призван ликвидировать эту дискриминацию.

Следить за соблюдением прав граждан будет Роскомнадзор: документ предусматривает инструментарий для воздействия на ресурсы, которые при помощи рекомендаций вводят в заблуждение, распространяют фейки или еще каким-то образом нарушают российское законодательство, – вплоть до блокировки. Подобные злоупотребления должны пресекаться, мы не можем допустить, чтобы алгоритмы были оружием информационной войны. Планируется, что регулятор получит возможности для воздействия на тех, кто при помощи рекомендательных алгоритмов умышленно нарушает законодательство РФ и не реагирует на предупреждения.

Также рассчитываю, что законопроект заставит разработчиков более ответственно относиться к применению ИИ-технологий, которые также используются для формирования рекомендаций. По сути, это будет первый российский законопроект, направленный на регулирование продукта, созданного искусственным интеллектом.

Во время разработки законопроекта мы провели несколько встреч с российскими ИТ-компаниями в «Институте развития интернета» и в «Фонде развития интернет-инициатив», собрали мнения и пожелания экспертов индустрии. Также на законопроект получено положительное заключение Правительства РФ, и перед внесением мы постарались учесть все замечания по существу.
🇷🇺👨‍💻🔥 #рф #нпа #инициативы #регулирование
Обновление дайджеста значимых событий и инициатив (общее количество за две недели 94→103), влияющих на регулирование защиты ПД в РФ.

Добавлены пункты (отмечены как New):
58. Законопроект об уголовной ответственности за дипфейки
59. Законопроект об ответственности агрегаторов такси за передачу заказов водителям-нелегалам
60. Законопроект о регулировании рекомендательных алгоритмов
97. Инициатива о засекречивании персональных данных аудиторов
98. Инициатива о внеплановых проверках ИТ-компаний в случае утечки персональных данных
99. Инициатива о создании в судебной системе службы защиты от хакеров
100. Инициатива о законопроекте в отношении ИИ
101. Инициатива о передаче операторами связи данных абонентов в банки
102. Инициатива об уголовной ответственности за намеренное распространение ПД
103. Инициатива через "Госуслуги" уведомлять граждан о манипуляциях с медкартами

Обновлены пункты (отмечены как Update):
52. Законопроект об установлении ответственности за незаконное использование иностранных мессенджеров
91. Инициатива о регулировании идентификации в Интернете
🏛️ Президент России Владимир Путин подписал закон об административной ответственности для госслужащих и финансовых организаций, которые используют зарубежные мессенджеры для пересылки данных российских граждан.
🔸Для госслужащих и финансовых организаций, которые используют зарубежные мессенджеры для пересылки чувствительных данных российских граждан вводится штраф, который для должностных лиц составит от 30 до 50 тысяч рублей, для юридических лиц - от 100 до 700 тысяч рублей.
🔔 Рекомендуем дать выходной сотрудникам ИТ-, телеком-компаний и СМИ

Суббота была очень эмоциональным и напряжённым днем. Поэтому рекомендуем даже непрерывно действующим ИТ-компаниям, операторам связи и СМИ, работающим в регионах, которые были вчера в эпицентре событий, дать завтра выходной тем сотрудникам, которые не задействованы в выполнении критически важных функций.

Многие сотрудники Минцифры провели выходные на рабочем месте, поэтому мы тоже приняли такое решение для своих сотрудников.

@mintsifry
Please open Telegram to view this post
VIEW IN TELEGRAM
🏦 Банки уведомляют клиентов о трансфере данных в государственную систему
🔸Клиентов банков, ранее сдавших биометрию, начали уведомлять о переносе данных в государственную Единую биометрическую систему (ГИС ЕБС). Всего в рамках импорта госсистема может получить 75 млн образцов. Однако клиенты вправе отказаться от передачи своих данных, сколько человек этим воспользуется, оценить пока невозможно.
🏛️ Перекрыть слив: в России предложили ужесточить наказания за утечки персональных данных
Виновным в таких преступлениях хотят давать до 10 лет лишения свободы

🔸О разработке новой инициативы сообщают СМИ со ссылкой на заявление члена конституционного комитета Совфеда и зампреда совета по развитию цифровой экономики при палате Артема Шейкина. Предыдущая версия законопроекта предусматривала штрафы до 2 млн рублей и уголовную ответственность до 10 лет лишения свободы в особо тяжких случаях. Теперь же парламентарии предлагают ужесточить эти наказания.
Privacy Advocates
🏛️ Президент России Владимир Путин подписал закон об административной ответственности для госслужащих и финансовых организаций, которые используют зарубежные мессенджеры для пересылки данных российских граждан. 🔸Для госслужащих и финансовых организаций, которые…
Банковский сервис ВТБ перейдет во «Вконтакте» из Telegram с 1 июля
🔸С 1 июля банковский сервис ВТБ перейдет в соцсеть «Вконтакте» из мессенджера Telegram. В банке уточнили, что на новой цифровой платформе «будет все то же самое». «Вся конфиденциальная информация остается на серверах ВТБ»,— отметили в банке.
🔸В январе ВТБ запустил сервисы онлайн-банка в Telegram. Ожидалось, что к концу 2023 года пользователям будут доступны привычные банковские услуги, в том числе переводы, оплата услуг, выпуск цифровых продуктов и другие. Позже Роскомнадзор заявил, что Telegram находится в списке иностранных мессенджеров, из-за чего с 1 марта части российских организаций запретят использовать его для передачи платежных документов и персональных данных.
🇪🇺Штраф за нарушения при оказании услуг ясновидения
🔸Кто: Commission nationale de l'informatique et des libertés (Франция)
🔸Кого: Société KG COM
🔸Когда: 2023.06
🔸За что: нарушение ст. 5(1)(c), 6, 9, 12, 13, 28(3), 32, 33 GDPR и ст.82 Закона №78-17 от 06.01.1978 "Об обработке данных, файлах данных и свободах личности"
🔸Как: штраф €150,000
🔸Причина: компания KG COM управляет несколькими веб-сайтами для предоставления клиентам услуг по ясновидению. Среди нарушений компании:
- систематическая запись телефонных разговор между телефонными операторами и потенциальными клиентами, а также между гадалками и клиентами с целью проверки качества и подтверждения факта заключения договора, без обеспечения минимизации собираемых и обрабатываемых персональных данных;
- хранение данных банковского счета клиента дольше, чем это было необходимо для завершения транзакции, борьбы с мошенничеством и последующих покупок;
- неполучение предварительного согласия от физических лиц на сбор специальных категорий персональных данных, таких как данные о здоровье и сексуальной ориентации;
- использование недостаточно надежных паролей для учетных записей пользователей, необеспечение защищенного доступа к использующим протокол http веб-сайтам, а также использование механизма шифрования банковских данных, который имел уязвимости;
- неуведомление о нарушении безопасности данных, связанного с процессором данных;
- незаключение договоров об обработке данных с несколькими процессорами данных, регулирующие отношения по обработке данных.
😱 Правительство Свердловской области внедрит систему слежки за жителями региона
🔸Министерство цифрового развития и связи Свердловской области запустит новый модуль геоинформационной системы, отслеживающей перемещение жителей региона через телефоны и сим-карты. Систему разрабатывает «Ростелеком» — в компании уверяют, что переданная властям информация будет обезличена.
🔸По словам директора по работе с корпоративным и государственным сегментами «Ростелекома» на Урале Александры Исхизовой, система охватит более 80% населения Свердловской области. В компании уверяют, что не станут передавать персональные данные абонентов. Компания будет фиксировать только нахождение на определенной территории или прохождение по маршруту.
ЕБС может собрать 75 млн образцов биометрических данных россиян

Такое количество слепков лица и голоса могли накопить коммерческие банки, считают в Центре биометрических технологий (ЦБТ), который является оператором Государственной Единой биометрической системы (ЕБС).

На днях ЕБС начала прием данных клиентов банков, ранее предоставивших финансовым структурам изображения лиц и записи голосов. Процесс, в частности, тестируют в Сбере, в ВТБ и Россельхозбанке.

Клиентам уже направляют СМС или push-уведомления с информированием о передаче данных в ЕБС. При этом граждане имеют право отказаться от их передачи, о чем должны уведомить. Если они согласятся, сведения будут перенесены в ЕБС по защищенному каналу в автоматическом режиме.
🤔 Наталья Касперская: нужно ввести уголовную ответственность за утечки данных
🔸Утечка данных в современном мире несет, вообще-то, угрозу жизни. Это совершенно другой риск. И, я считаю, для нас как для страны это вызов. Не случайно Госдума сейчас занимается резким ужесточением законов. Я думаю, что закон будет ужесточен и с точки зрения штрафов, накладываемых на корпорации, допустившие утечки, и с точки зрения личной ответственности лиц, допущенных к данным, которые непосредственно могли быть вовлечены в инцидент. Я считаю, что ответственность должна быть, конечно, в рамках уголовного права. Потому что в противном случае это будет не очень больно. Штрафы в нашей жизни людей не пугают и административная ответственность тоже.
🔸Если вести расследования утечек только в рамках оперативного законодательства, то невозможно провести оперативно-разыскные мероприятия, которые необходимы для глубинного расследования утечек. Эти мероприятия можно провести только в рамках уголовного дела. Поэтому надо начинать уголовные дела и уже там разбираться, что произошло, как произошло.