⚡Управлением Роскомнадзора по Республике Башкортостан результате проведенного мероприятия без взаимодействия с контролируемым лицом в отношении АО «СпутникТелеком» выявлены признаки нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
🔸Установлено, что на официальном сайте АО «СпутникТелеком» отсутствует документ, определяющий политику в отношении обработки персональных данных, осуществляется сбор персональных данных физических лиц без их согласия на обработку персональных данных. Помимо этого, выявлено использование интернет-сервиса «Яндекс.Метрика», посредством которого также осуществляется обработка персональных данных посетителей интернет-ресурса, без их согласия.
🔸Установлено, что на официальном сайте АО «СпутникТелеком» отсутствует документ, определяющий политику в отношении обработки персональных данных, осуществляется сбор персональных данных физических лиц без их согласия на обработку персональных данных. Помимо этого, выявлено использование интернет-сервиса «Яндекс.Метрика», посредством которого также осуществляется обработка персональных данных посетителей интернет-ресурса, без их согласия.
🏛️ Управление Роскомнадзора по Тюменской области, ХМАО-ЮГРЕ и ЯНАО считает, что в случае использования captcha (Google) под формами обратной связи на сайте необходимо соблюдать требования о локализации персональных данных согласно ч.5 ст.18 152-ФЗ
🔸Управление в сентябре 2023 года проведело 5 мероприятий по контролю. Данные мероприятия проведены без взаимодействия с контролируемыми лицами.
🔸Проведена оценка соответствия деятельности требованиям законодательства Российской Федерации о персональных данных 20 сайтов в отношении следующих категорий операторов: предприятия общественного питания; медицинские организации; организации, оказывающие услуги парикмахерских и салонов красоты; фитнес-центры; операторы связи.
🔸У всех операторов были выявлены нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе:
- отсутствие возможности посетителями сайтов дать согласие на обработку персональных данных при заполнении форм обратной связи, предполагающих внесение персональных данных;
- отсутствие под формами сбора персональных данных документа, определяющего политику оператора в отношении обработки персональных данных;
- отсутствие согласий субъектов персональных данных для распространения их персональных данных на сайтах операторов;
- использование captcha (Google) под формами обратной связи, что может указывать на осуществление трансграничной передачи персональных данных пользователей сайта;
- несоблюдение требований по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (в случае использования captcha (Google) под формами связи);
- записи о нескольких операторах отсутствуют в Реестре операторов, осуществляющих обработку персональных данных, либо данные, содержащиеся в Реестре, не соответствуют фактической деятельности организаций, собирающих данные с помощью сайтов.
🔸Управление в сентябре 2023 года проведело 5 мероприятий по контролю. Данные мероприятия проведены без взаимодействия с контролируемыми лицами.
🔸Проведена оценка соответствия деятельности требованиям законодательства Российской Федерации о персональных данных 20 сайтов в отношении следующих категорий операторов: предприятия общественного питания; медицинские организации; организации, оказывающие услуги парикмахерских и салонов красоты; фитнес-центры; операторы связи.
🔸У всех операторов были выявлены нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе:
- отсутствие возможности посетителями сайтов дать согласие на обработку персональных данных при заполнении форм обратной связи, предполагающих внесение персональных данных;
- отсутствие под формами сбора персональных данных документа, определяющего политику оператора в отношении обработки персональных данных;
- отсутствие согласий субъектов персональных данных для распространения их персональных данных на сайтах операторов;
- использование captcha (Google) под формами обратной связи, что может указывать на осуществление трансграничной передачи персональных данных пользователей сайта;
- несоблюдение требований по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (в случае использования captcha (Google) под формами связи);
- записи о нескольких операторах отсутствуют в Реестре операторов, осуществляющих обработку персональных данных, либо данные, содержащиеся в Реестре, не соответствуют фактической деятельности организаций, собирающих данные с помощью сайтов.
Forwarded from РСпектр: ИТ, связь, медиа
H&M оштрафовали в Швеции из-за жалоб на неправомерную обработку персональных данных
Шведское управление по защите данных (IMY) инициировало расследование против ритейлера одежды H&M в связи с жалобами частных лиц, которые возражали против обработки компанией их персональных данных.
Жалобы поступили от жителей Польши и Италии, но были переданы в IMY, поскольку штаб-квартира H&M находится в Швеции.
H&M нарушила нормы Общего регламента по защите данных (GDPR) ЕС, не прекратив обрабатывать персональные данные заявителей, несмотря на их возражения, посчитало IMY.
Ведомство наложило на компанию административный штраф в размере 350 тыс. шведских крон (около 28,5 тыс. евро).
Шведское управление по защите данных (IMY) инициировало расследование против ритейлера одежды H&M в связи с жалобами частных лиц, которые возражали против обработки компанией их персональных данных.
Жалобы поступили от жителей Польши и Италии, но были переданы в IMY, поскольку штаб-квартира H&M находится в Швеции.
H&M нарушила нормы Общего регламента по защите данных (GDPR) ЕС, не прекратив обрабатывать персональные данные заявителей, несмотря на их возражения, посчитало IMY.
Ведомство наложило на компанию административный штраф в размере 350 тыс. шведских крон (около 28,5 тыс. евро).
📱 Чтобы никакие личные фотографии не достались сотруднику сервисного центра. Google работает над режимом Repair Mode для Android
🔸Речь о режиме, который пригодится любому пользователю, если придётся сдавать смартфон в сервисный центр. Это будет работать следующим образом: пользователь включит этот режим, используя выбранный метод аутентификации, и смартфон скроет учётную запись и все данные пользователя.
🔸Вместо этого сотрудники сервисного центра получат аппарат с чистой операционной системой без какой-либо учётной записи и доступа к скрытым файлам. После того как пользователь заберёт смартфон из сервиса, ему достаточно будет отключить режим Repair Mode, используя тот же метод аутентификации, который был использован при активации режима.
🔸Речь о режиме, который пригодится любому пользователю, если придётся сдавать смартфон в сервисный центр. Это будет работать следующим образом: пользователь включит этот режим, используя выбранный метод аутентификации, и смартфон скроет учётную запись и все данные пользователя.
🔸Вместо этого сотрудники сервисного центра получат аппарат с чистой операционной системой без какой-либо учётной записи и доступа к скрытым файлам. После того как пользователь заберёт смартфон из сервиса, ему достаточно будет отключить режим Repair Mode, используя тот же метод аутентификации, который был использован при активации режима.
На ярмарке вакансий RPPA опубликованы две новые позиции:
🔸Эксперт по data privacy в compliance Яндекс 360
🔸Ведущий юрисконсульт по персональным данным в Отдел правового сопровождения IP и технологий Сбера
🇷🇺⚡️👨💻 #вакансия #privacy #sber #yandex
🔸Эксперт по data privacy в compliance Яндекс 360
🔸Ведущий юрисконсульт по персональным данным в Отдел правового сопровождения IP и технологий Сбера
🇷🇺⚡️👨💻 #вакансия #privacy #sber #yandex
⚡Банки высказались против законопроекта, который предусматривает прямой доступ силовиков к базам данных клиентов для корректировки сведений о сотрудниках спецслужб. Банкиры считают, что такая инициатива нарушает конституционные права россиян, антиотмывочное законодательство и информационную безопасность банков.
🔸Это следует из письма Ассоциации банков России (АБР), которое направлено в Минцифры и председателю комитета Госдумы по информационной политике, информационным технологиям и связи Александру Хинштейну.
🔸Это следует из письма Ассоциации банков России (АБР), которое направлено в Минцифры и председателю комитета Госдумы по информационной политике, информационным технологиям и связи Александру Хинштейну.
Forwarded from РСпектр: ИТ, связь, медиа
Есть вопросы к DPO
Что сейчас обсуждают специалисты по защите персональных данных
Сфера персональных данных (ПД) все больше усложняется, в ней возникает ряд новых направлений, которые требуют осмысления и обмена опытом между участниками рынка. Как обеспечить законное распространение личной информации, является ли адрес электронной почты персданными, как наказывают за утечки сведений в разных странах и многое другое обсудили на прошедшем 19-20 октября Евразийском конгрессе по защите данных (Eurasian Data Protection Congress). Подробности – в материале RSpectr.
Что сейчас обсуждают специалисты по защите персональных данных
Сфера персональных данных (ПД) все больше усложняется, в ней возникает ряд новых направлений, которые требуют осмысления и обмена опытом между участниками рынка. Как обеспечить законное распространение личной информации, является ли адрес электронной почты персданными, как наказывают за утечки сведений в разных странах и многое другое обсудили на прошедшем 19-20 октября Евразийском конгрессе по защите данных (Eurasian Data Protection Congress). Подробности – в материале RSpectr.
💡Цифровое alter ego: Как распределенная идентификация личности изменит нашу повседневную жизнь
🔸Цифровое alter ego постепенно становится полноценной заменой бумажных документов, удостоверяющих личность. Уже сейчас поведение человека в интернете является критерием оценки его платежеспособности для получения финансовых услуг. Но как объединить и, самое главное, защитить весь массив данных и кто будет им управлять? Решением может стать распределенная идентификация личности.
🔸Цифровых следов и документов у каждого человека множество, все они хранятся в различных местах и не связаны между собой. У них нет свойства портируемости, т. е. человек не может воспользоваться всеми своими данными и документами в том месте, где ему необходимо.
🔸Решением могли бы стать подходы из децентрализованной идентификации, в частности суверенная личность (sovereign identity), когда данные пользователя хранятся децентрализованно, не требуют единого реестра и полностью контролируются им самим. При этом соблюдаются юридическая значимость и доказуемая верифицируемость таких данных и документов. Основным инструментом управления своей суверенной личностью мог бы стать так называемый идентификационный кошелек (identity wallet), связывающий различные документы – как государственные.
🔸Цифровое alter ego постепенно становится полноценной заменой бумажных документов, удостоверяющих личность. Уже сейчас поведение человека в интернете является критерием оценки его платежеспособности для получения финансовых услуг. Но как объединить и, самое главное, защитить весь массив данных и кто будет им управлять? Решением может стать распределенная идентификация личности.
🔸Цифровых следов и документов у каждого человека множество, все они хранятся в различных местах и не связаны между собой. У них нет свойства портируемости, т. е. человек не может воспользоваться всеми своими данными и документами в том месте, где ему необходимо.
🔸Решением могли бы стать подходы из децентрализованной идентификации, в частности суверенная личность (sovereign identity), когда данные пользователя хранятся децентрализованно, не требуют единого реестра и полностью контролируются им самим. При этом соблюдаются юридическая значимость и доказуемая верифицируемость таких данных и документов. Основным инструментом управления своей суверенной личностью мог бы стать так называемый идентификационный кошелек (identity wallet), связывающий различные документы – как государственные.
🤔Применение искусственного интеллекта (ИИ) приносит компаниям миллиарды рублей. «Сбер» зарабатывает 6,7 руб. с каждого потраченного на ИИ рубля, сказал первый зампред банка Александр Ведяхин. При этом обучение моделей нейросетей требует больших данных, которые зачастую формируются обезличенными данными. Власти уже несколько лет обсуждают необходимость приравнять их к персональным данным, поскольку с применением технологий информацию можно деобезличить. Юристы рассказали, как развивалось регулирование отрасли и какие препятствия сохраняются.
🔸PS От автора канала - будьте осторожны при чтении, в статье есть эпизоды "обжигающей правды", например:
Хотя 152-ФЗ приняли еще 17 лет назад, реально работать он начал с 2016 г., когда Роскомнадзор наделили полномочиями по контролю за его исполнением. Впрочем, развитие регулирования ПД начало вызывать обеспокоенность у крупных корпораций только к 2018 г.
🔸PS От автора канала - будьте осторожны при чтении, в статье есть эпизоды "обжигающей правды", например:
Хотя 152-ФЗ приняли еще 17 лет назад, реально работать он начал с 2016 г., когда Роскомнадзор наделили полномочиями по контролю за его исполнением. Впрочем, развитие регулирования ПД начало вызывать обеспокоенность у крупных корпораций только к 2018 г.
Privacy Advocates
⚡Банки высказались против законопроекта, который предусматривает прямой доступ силовиков к базам данных клиентов для корректировки сведений о сотрудниках спецслужб. Банкиры считают, что такая инициатива нарушает конституционные права россиян, антиотмывочное…
🏛️Замечания банкиров о доступе силовиков к клиентским базам обсудят в Госдуме
🔸При рассмотрении внесенного Правительством законопроекта ИТ-Комитет Госдумы обсудит замечания банков, хотя далеко не со всеми претензиями можно согласиться, написал в своей социальной сети Александр Хинштейн. «В частности, вопреки заявлению Ассоциации банков России, в законопроекте не идет речи о доступе силовиков к персональным данным россиян. Он касается исключительно самих сотрудников спецслужб и силовых ведомств, сведения о которых можно будет корректировать или закрывать; причем не во всех информсистемах и базах данных, а лишь в тех, которые внесут в специальный реестр. И не абы как, а в соответствии со специальным порядком, который предстоит утвердить Правительству», — отметил депутат. Он подчеркнул, что это делается для защиты безопасности сотрудников и их зашифровки, а не для контроля или сбора данных.
🔸При рассмотрении внесенного Правительством законопроекта ИТ-Комитет Госдумы обсудит замечания банков, хотя далеко не со всеми претензиями можно согласиться, написал в своей социальной сети Александр Хинштейн. «В частности, вопреки заявлению Ассоциации банков России, в законопроекте не идет речи о доступе силовиков к персональным данным россиян. Он касается исключительно самих сотрудников спецслужб и силовых ведомств, сведения о которых можно будет корректировать или закрывать; причем не во всех информсистемах и базах данных, а лишь в тех, которые внесут в специальный реестр. И не абы как, а в соответствии со специальным порядком, который предстоит утвердить Правительству», — отметил депутат. Он подчеркнул, что это делается для защиты безопасности сотрудников и их зашифровки, а не для контроля или сбора данных.
😱 Свалку с документам «Сбербанка» обнаружили братчане в лесу около приюта для животных "Гранд Мухтар" в Братске
🔸Из документов следует, что бумаги вывезены из отделения на улице Обручева, 27а. По данным «2ГИС», этот филиал временно не работает. «Вы совершали какие-то операции на Обручева, 27а? Сведения о них могут сейчас лежать в лесу вместе с вашими персональными данными. Были клиентом другого отделения? Вероятно, сведений о свалке с вашими документами еще нет в Сети, но преступные элементы уже вполне могли ее обнаружить», — спрашивают авторы паблика «Братчане».
🔸Из документов следует, что бумаги вывезены из отделения на улице Обручева, 27а. По данным «2ГИС», этот филиал временно не работает. «Вы совершали какие-то операции на Обручева, 27а? Сведения о них могут сейчас лежать в лесу вместе с вашими персональными данными. Были клиентом другого отделения? Вероятно, сведений о свалке с вашими документами еще нет в Сети, но преступные элементы уже вполне могли ее обнаружить», — спрашивают авторы паблика «Братчане».
🏛️Роскомнадзор (РКН) с начала 2023 года составил 122 протокола по административным делам об утечках персональных данных. Судами по итогам их рассмотрения уже назначены штрафы на сумму около ₽3,7 млн. Было проведено 39 внеплановых проверок, и из них в 37 случаях факты утечек подтвердились.
🔸За 2023 год РКН проверил порядка 5,8 тыс. сайтов, из них почти у 4 тыс. были выявлены отклонения от обязательных требований закона, при этом административных протоколов по этим эпизодам было составлено (всего) 15.
🔸За 2023 год РКН проверил порядка 5,8 тыс. сайтов, из них почти у 4 тыс. были выявлены отклонения от обязательных требований закона, при этом административных протоколов по этим эпизодам было составлено (всего) 15.
😱В Краснодарском крае активисты пытаются спасти документы, в которых отражена история целого поколения земляков. Архивы участников Великой Отечественной войны десятки лет хранились в местном военкомате, а потом вдруг оказались на свалке.
🔸Военные билеты, паспорта, карточки учета военнослужащих. Есть даже списки участников Сталинградской битвы и Курской дуги. Все это Виктор Николаевич вместе с другими станичниками нашил на сельской свалке. Среди документов оказалась и «Памятка по обращению с носителями сведений, составляющую государственную тайну».
🔸Военные билеты, паспорта, карточки учета военнослужащих. Есть даже списки участников Сталинградской битвы и Курской дуги. Все это Виктор Николаевич вместе с другими станичниками нашил на сельской свалке. Среди документов оказалась и «Памятка по обращению с носителями сведений, составляющую государственную тайну».
💡Вопрос: Правомерно ли использовать работодателем камеры и микрофона для прослушивания на рабочих местах сотрудников?
🏛️ Роструд: Работодатель может устанавливать системы видеонаблюдения при условии, что фото- и видеосъемка осуществляется в установленных трудовым законодательством целях, а именно исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества только в случаях, когда использование такой формы контроля закреплено любым локальным нормативным актом работодателя, с которым работники ознакомлены под роспись, и когда работники дали письменное согласие работодателю на обработку их персональных данных.
🔸Часть 1 ст. 23 Конституции РФ закрепляет право каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Согласно ч. 1 ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
🔸В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
🔸Правила защиты персональных данных работника установлены гл. 14 ТК РФ. Статья 86 ТК РФ устанавливает, что обработка персональных данных работника может осуществляться исключительно в следующих целях:
- обеспечение соблюдения законов и иных нормативных правовых актов;
- содействие работникам в трудоустройстве;
- получение образования и продвижение по службе;
- обеспечение личной безопасности работников;
- контроль количества и качества выполняемой работы и обеспечения сохранности имущества.
🏛️ Роструд: Работодатель может устанавливать системы видеонаблюдения при условии, что фото- и видеосъемка осуществляется в установленных трудовым законодательством целях, а именно исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества только в случаях, когда использование такой формы контроля закреплено любым локальным нормативным актом работодателя, с которым работники ознакомлены под роспись, и когда работники дали письменное согласие работодателю на обработку их персональных данных.
🔸Часть 1 ст. 23 Конституции РФ закрепляет право каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Согласно ч. 1 ст. 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
🔸В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
🔸Правила защиты персональных данных работника установлены гл. 14 ТК РФ. Статья 86 ТК РФ устанавливает, что обработка персональных данных работника может осуществляться исключительно в следующих целях:
- обеспечение соблюдения законов и иных нормативных правовых актов;
- содействие работникам в трудоустройстве;
- получение образования и продвижение по службе;
- обеспечение личной безопасности работников;
- контроль количества и качества выполняемой работы и обеспечения сохранности имущества.
Forwarded from РСпектр: ИТ, связь, медиа
Глава Роскомнадзора рассказал о возможном подходе к работе с обработчиками персональных данных
Для повышения уровня защиты персональных данных граждан для начала нужно оценить, насколько действующая система с дачей согласий на обработку такой информации эффективна, отметил руководитель Роскомнадзора Андрей Липов на форуме СПЕКТР-2023.
«Технологии очень быстро развиваются, количество сервисов растет, львиная доля отношений перешла в онлайн. Насколько гражданин теперь осознанно дает бесчисленные согласия, запоминает, кому и на что их дал, способен проверить взятые обработчиком обязательства? Да и так ли уж обоснована тем же бизнесом обработка всего перечня персданных, которые он требует у пользователей», – обратил внимание Андрей Липов в беседе с RSpectr.
Возможно, стоит по-другому взглянуть на существующий уведомительный характер обработки персданных, предусмотренный действующим законом, рассуждает он. «И в первую очередь для обработчиков существенных объемов персональных данных можно было бы обсудить необходимость предварительной проверки адекватности защиты ими своих систем учета [данных]», — сказал руководитель Роскомнадзора.
По его словам, у государства должны быть крупные доверенные партнеры в информационном пространстве, которые способны обеспечить защиту больших объемов персданных.
«Сейчас человек зачастую оказывается в ситуации один-на-один с операторами персданных. Для того, чтобы помочь россиянам мы создали Центр правовой помощи гражданам в цифровой среде, который бесплатно защищает их интересы в гражданской правовых взаимоотношениях с бизнесом по вопросам, возникающим при обработке персональных данных», — напомнил Андрей Липов.
Для повышения уровня защиты персональных данных граждан для начала нужно оценить, насколько действующая система с дачей согласий на обработку такой информации эффективна, отметил руководитель Роскомнадзора Андрей Липов на форуме СПЕКТР-2023.
«Технологии очень быстро развиваются, количество сервисов растет, львиная доля отношений перешла в онлайн. Насколько гражданин теперь осознанно дает бесчисленные согласия, запоминает, кому и на что их дал, способен проверить взятые обработчиком обязательства? Да и так ли уж обоснована тем же бизнесом обработка всего перечня персданных, которые он требует у пользователей», – обратил внимание Андрей Липов в беседе с RSpectr.
Возможно, стоит по-другому взглянуть на существующий уведомительный характер обработки персданных, предусмотренный действующим законом, рассуждает он. «И в первую очередь для обработчиков существенных объемов персональных данных можно было бы обсудить необходимость предварительной проверки адекватности защиты ими своих систем учета [данных]», — сказал руководитель Роскомнадзора.
По его словам, у государства должны быть крупные доверенные партнеры в информационном пространстве, которые способны обеспечить защиту больших объемов персданных.
«Сейчас человек зачастую оказывается в ситуации один-на-один с операторами персданных. Для того, чтобы помочь россиянам мы создали Центр правовой помощи гражданам в цифровой среде, который бесплатно защищает их интересы в гражданской правовых взаимоотношениях с бизнесом по вопросам, возникающим при обработке персональных данных», — напомнил Андрей Липов.
Forwarded from Цифровое право
Роскомнадзор за ужесточение политики в области персональных данных
В рамках выступления на форуме СПЕКТР-2023 руководитель Роскомнадзора Андрей Липов заявил о том, что для повышения уровня защиты персональных данных граждан для начала нужно оценить, насколько действующая система с дачей согласий на обработку такой информации эффективна.
Как заявил Липов: «В первую очередь для обработчиков существенных объемов персональных данных можно было бы обсудить необходимость предварительной проверки адекватности защиты ими своих систем учета».
В рамках выступления на форуме СПЕКТР-2023 руководитель Роскомнадзора Андрей Липов заявил о том, что для повышения уровня защиты персональных данных граждан для начала нужно оценить, насколько действующая система с дачей согласий на обработку такой информации эффективна.
Как заявил Липов: «В первую очередь для обработчиков существенных объемов персональных данных можно было бы обсудить необходимость предварительной проверки адекватности защиты ими своих систем учета».