🏛️ Роскомнадзор (РКН) может получить разрешение на проведение без поручения прокуратуры внеплановых проверок компаний в связи с информацией об утечках данных. Такие проверки позволят своевременно выявлять причины возникновения утечек и предотвращать новые. Соответствующий законопроект комитет по информационной политике, информационным технологиям и связи планирует внести в Госдуму до конца декабря. Об этом сообщил председатель комитета Александр Хинштейн.
🔸«У уполномоченных органов должна быть возможность для проведения проверки. В нашем законопроекте предусматривается, что сам факт наличия информации об утечке будет являться основанием для проверки вне рамок моратория [на внеплановые проверки бизнеса]», – заявил Хинштейн.
🔸«У уполномоченных органов должна быть возможность для проведения проверки. В нашем законопроекте предусматривается, что сам факт наличия информации об утечке будет являться основанием для проверки вне рамок моратория [на внеплановые проверки бизнеса]», – заявил Хинштейн.
⚡РЖД совместно с профильными ведомствами прорабатывают возможность посадки в поезд по предъявлению QR-кода из мобильного приложения "Госуслуги".
🔸Ранее в ходе форума "Цифровая трансформация" заместитель министра транспорта РФ Дмитрий Баканов отметил, что Минтранс обсуждает вопрос посадки в поезд по биометрии с РЖД, но тенденции к огромным очередям в вагоны поездов дальнего следования нет.
🔸Ранее в ходе форума "Цифровая трансформация" заместитель министра транспорта РФ Дмитрий Баканов отметил, что Минтранс обсуждает вопрос посадки в поезд по биометрии с РЖД, но тенденции к огромным очередям в вагоны поездов дальнего следования нет.
Forwarded from Горелкин
Вместе с коллегами по ИТ-комитету Госдумы внесли законопроект, который призван ускорить реагирование на утечки данных. Мы предлагаем вывести Роскомнадзор из-под моратория на внеплановые проверки ИТ-компаний. Практика расследования самых громких утечек этого года показала, что мораторий, введенный для защиты малого и среднего бизнеса в условиях санкций, нередко используется недобропорядочными компаниями для того, чтобы уйти от ответственности за киберинциденты.
Что немаловажно, основанием для проведения внеплановых проверок наравне с требованием прокурора или соответствующими поручениями органов власти станет факт поступления в Роскомнадзор информации об утечках персональных данных. Эта инициатива позволит регулятору реагировать более оперативно, снизит риск распространения слитой информации, и, следовательно, потенциал её использования против наших граждан.
Что немаловажно, основанием для проведения внеплановых проверок наравне с требованием прокурора или соответствующими поручениями органов власти станет факт поступления в Роскомнадзор информации об утечках персональных данных. Эта инициатива позволит регулятору реагировать более оперативно, снизит риск распространения слитой информации, и, следовательно, потенциал её использования против наших граждан.
🏛 На regulations.gov.ru выложили проект Приказа Минцифры, вносящего изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных.
🔸Список дополняется пунктом 4:
"Выявление контролирующим органом в течение календарного года двух и более фактов непредставления контролируемым лицом, являющимся владельцем сайта и (или) страницы сайта в сети «Интернет», программы для электронных вычислительных машин, на которых применяются рекомендательные технологии, информации, связанной с применением рекомендательных технологий, а также доступа к программно-техническим средствам рекомендательных технологий по запросу контролирующего органа".
🔸Список дополняется пунктом 4:
"Выявление контролирующим органом в течение календарного года двух и более фактов непредставления контролируемым лицом, являющимся владельцем сайта и (или) страницы сайта в сети «Интернет», программы для электронных вычислительных машин, на которых применяются рекомендательные технологии, информации, связанной с применением рекомендательных технологий, а также доступа к программно-техническим средствам рекомендательных технологий по запросу контролирующего органа".
🇷🇺👨💻🔥 #рф #нпа #инициативы #регулирование
Обновление дайджеста значимых событий (+9 за прошедшие 2 недели, всего 181 событие за 2023г.), влияющих на регулирование персональных данных в РФ.
Добавлены пункты (отмечены как New):
12. New Федеральный закон от 12.12.2023 № 588-ФЗ об авторизации на российских сайтах
13. Федеральный закон от 12.12.2023 № 589-ФЗ о штрафах за нарушения при использовании биометрии и за незаконную обработку персональных данных без письменного согласия
59. Письмо Росреестра от 29.08.2023 № 13-7906-АБ/23 о предоставлении персональных данных правообладателя объекта недвижимости в составе общедоступной выписки из ЕГРН по запросу бывшего супруга (супруги) такого правообладателя
94. Законопроект о запрете сайтам ограничивать доступ к информации при отказе от предоставления персональных данных
95. Законопроект о проведении Роскомнадзором без поручения прокуратуры внеплановых проверок компаний в связи с информацией об утечках данных
114. Проект приказа Минцифры о дополнении перечня риск-факторов контроля (надзора) за обработкой персональных данных
180. Инициатива о ведении на Госуслугах реестра согласий на обработку персональных данных
181. Инициатива о регулировании обработки персональных данных для рынка курьерских услуг
Обновлены пункты (отмечены как Update):
135. Инициатива по созданию Цифрового кодекса для защиты прав граждан в цифровой сфере
Обновление дайджеста значимых событий (+9 за прошедшие 2 недели, всего 181 событие за 2023г.), влияющих на регулирование персональных данных в РФ.
Добавлены пункты (отмечены как New):
12. New Федеральный закон от 12.12.2023 № 588-ФЗ об авторизации на российских сайтах
13. Федеральный закон от 12.12.2023 № 589-ФЗ о штрафах за нарушения при использовании биометрии и за незаконную обработку персональных данных без письменного согласия
59. Письмо Росреестра от 29.08.2023 № 13-7906-АБ/23 о предоставлении персональных данных правообладателя объекта недвижимости в составе общедоступной выписки из ЕГРН по запросу бывшего супруга (супруги) такого правообладателя
94. Законопроект о запрете сайтам ограничивать доступ к информации при отказе от предоставления персональных данных
95. Законопроект о проведении Роскомнадзором без поручения прокуратуры внеплановых проверок компаний в связи с информацией об утечках данных
114. Проект приказа Минцифры о дополнении перечня риск-факторов контроля (надзора) за обработкой персональных данных
180. Инициатива о ведении на Госуслугах реестра согласий на обработку персональных данных
181. Инициатива о регулировании обработки персональных данных для рынка курьерских услуг
Обновлены пункты (отмечены как Update):
135. Инициатива по созданию Цифрового кодекса для защиты прав граждан в цифровой сфере
Яндекс Диск
Дайджест-2023.docx
Посмотреть и скачать с Яндекс Диска
🏛 Россияне смогут получить кредит только после предоставления ИНН, сообщил глава комитета Госдумы по финансовому рынку Анатолий Аксаков. По его словам, это необходимо, чтобы банки могли проверить наличие самозапрета на кредиты.
🤔 Принудительное согласие: может ли пользователь отказаться передавать персональные данные в интернете: как закон регламентирует сбор данных в интернете и как его трактует бизнес
🇺🇸 Федеральная торговая комиссия США (Federal Trade Commission, FTC) предложила внести новые нормы в рамках закона о защите конфиденциальности детей в Интернете (COPPA) для ограничения сбора и использования персональных данных (ПД) несовершеннолетних IT-фирмами, в частности, для ведения таргетированных рекламных кампаний.
🔸Так, технологические компании не должны будут предоставлять детям младше 13 лет возможность получать таргетированные рекламные сообщения по умолчанию. Для передачи ПД несовершеннолетних сторонним организациям IT-компаниям потребуется «отдельное верифицируемое родительское согласие».
🔸Предлагается запретить организациям прекращать предоставлять услуги несовершеннолетним в случае отказа детей от передачи данных для адресной рекламы.
🔸FTC помимо прочего намерена запретить технологическим компаниям использовать определённую информацию для отправки push-сообщений несовершеннолетним с призывом запустить то или иное приложение.
🔸Кроме того, ПД детей нельзя будет хранить неопределённо долго, сбор ПД образовательными компаниями предложено вести при согласии учебных заведений, а коммерческое использование подобных ПД — запретить.
🔸Так, технологические компании не должны будут предоставлять детям младше 13 лет возможность получать таргетированные рекламные сообщения по умолчанию. Для передачи ПД несовершеннолетних сторонним организациям IT-компаниям потребуется «отдельное верифицируемое родительское согласие».
🔸Предлагается запретить организациям прекращать предоставлять услуги несовершеннолетним в случае отказа детей от передачи данных для адресной рекламы.
🔸FTC помимо прочего намерена запретить технологическим компаниям использовать определённую информацию для отправки push-сообщений несовершеннолетним с призывом запустить то или иное приложение.
🔸Кроме того, ПД детей нельзя будет хранить неопределённо долго, сбор ПД образовательными компаниями предложено вести при согласии учебных заведений, а коммерческое использование подобных ПД — запретить.
⚖️ В Курской области будут судить работника фирмы, подозреваемого в краже коммерческой информации со старого места работы. Уголовное дело по ст. 183 УК РФ и 272 УК РФ направлено в суд для рассмотрения и вынесения законного решения.
🔸В отдел полиции в Курском районе обратились представители коммерческой организации. Они сообщили, что неизвестные используют защищаемую информацию о деятельности фирмы, хранящуюся в специальной системе. Доступ к документам имеет ограниченный круг лиц.
🔸Оперативники установили, что к сливу данных причастен бывший сотрудник организации. 42-летний обвиняемый устроился на работу в другую фирму. Но, имея персональные данные, необходимые для входа в специализированную электронную систему, дистанционно скопировал из нее важные коммерческие документы и информацию, которые использовал уже на новом месте работы.
🔸Полицейские инициировали компьютерно-технические, почерковедческие экспертизы, подтвердившие причастность мужчины к противоправным действиям. После предъявления доказательств фигурант признался в содеянном.
🔸В отдел полиции в Курском районе обратились представители коммерческой организации. Они сообщили, что неизвестные используют защищаемую информацию о деятельности фирмы, хранящуюся в специальной системе. Доступ к документам имеет ограниченный круг лиц.
🔸Оперативники установили, что к сливу данных причастен бывший сотрудник организации. 42-летний обвиняемый устроился на работу в другую фирму. Но, имея персональные данные, необходимые для входа в специализированную электронную систему, дистанционно скопировал из нее важные коммерческие документы и информацию, которые использовал уже на новом месте работы.
🔸Полицейские инициировали компьютерно-технические, почерковедческие экспертизы, подтвердившие причастность мужчины к противоправным действиям. После предъявления доказательств фигурант признался в содеянном.
🇪🇺 Еврокомиссия 19.12.2023 опубликовала проект надлежащих принципов использования файлов cookie. Комиссия заявила, что при разработке проекта принципов залога cookie она консультировалась с Европейским советом по защите данных (EDPB), а окончательный вариант принципов будет представлен в апреле 2024 года. EDPB подчеркнул, что соблюдение организациями принципов не равнозначно соблюдению ими GDPR или Директивы ePrivacy, и что органы по защите данных остаются компетентными для осуществления своих полномочий в случае необходимости.
В проекте принципов зафиксировано, что:
🔸запросы на согласие не должны содержать информацию о так называемых технически необходимых файлах cookie, а также ссылки на собираемые данные, основанные на законных интересах;
🔸если контент сайта/приложения хотя бы частично финансируется за счет рекламы, это должно объясняться заранее, когда пользователи впервые заходят на сайт/приложение;
🔸цели и сценарии использования cookie должны быть описаны в краткой, ясной и легкой для выбора форме, включая четкое объяснение последствий принятия или непринятия cookie;
🔸в тех случаях, когда предполагается реклама на основе отслеживания или платный доступ, у пользователей должен быть дополнительный выбор менее навязчивой формы рекламы;
🔸согласие на использование cookies в рекламных целях не должно быть необходимым для каждого отдельного трекера, а более подробная информация о типах cookies, используемых в рекламных целях, должна предоставляться на втором уровне, с возможностью более гибкого выбора;
🔸не должно требоваться отдельного согласия на cookies, используемых для управления моделью показа рекламы, выбранной пользователем;
🔸пользователей не следует вновь просить предоставить согласие на использование файлов cookie в течение года с момента последнего запроса такого согласия, а файлы cookie должны фиксировать отказ потребителя;
🔸владельцам сайтов/приложений необходимо фиксировать уведомления от специализированного ПО, предоставляющего пользователям возможность заранее зафиксировать свои предпочтения в отношении файлов cookie.
В проекте принципов зафиксировано, что:
🔸запросы на согласие не должны содержать информацию о так называемых технически необходимых файлах cookie, а также ссылки на собираемые данные, основанные на законных интересах;
🔸если контент сайта/приложения хотя бы частично финансируется за счет рекламы, это должно объясняться заранее, когда пользователи впервые заходят на сайт/приложение;
🔸цели и сценарии использования cookie должны быть описаны в краткой, ясной и легкой для выбора форме, включая четкое объяснение последствий принятия или непринятия cookie;
🔸в тех случаях, когда предполагается реклама на основе отслеживания или платный доступ, у пользователей должен быть дополнительный выбор менее навязчивой формы рекламы;
🔸согласие на использование cookies в рекламных целях не должно быть необходимым для каждого отдельного трекера, а более подробная информация о типах cookies, используемых в рекламных целях, должна предоставляться на втором уровне, с возможностью более гибкого выбора;
🔸не должно требоваться отдельного согласия на cookies, используемых для управления моделью показа рекламы, выбранной пользователем;
🔸пользователей не следует вновь просить предоставить согласие на использование файлов cookie в течение года с момента последнего запроса такого согласия, а файлы cookie должны фиксировать отказ потребителя;
🔸владельцам сайтов/приложений необходимо фиксировать уведомления от специализированного ПО, предоставляющего пользователям возможность заранее зафиксировать свои предпочтения в отношении файлов cookie.
💡⚖️ ₽130 млн штрафов в 2023г. за нелокализацию баз с ПД граждан РФ (ч.8 и ч.9 ст.13.11 КоАП РФ) назначено мировыми судьями Таганского района Москвы:
🔸Сообщество дайверов Padi Americas Inc. - 1,5М ₽ (ч.8)
🔸Агентство для дайверов и инструкторов International Training - 1М ₽ (ч.8)
🔸Дайвинговое агентство SNSI (Scuba and Nirox Safety International) - 2М ₽ (ч.8)
🔸Twitch - 13М ₽ (ч.9)
🔸Match Group (Tinder) - 10М ₽ (ч.9)
🔸Zoom Video Communications Inc. - 15М ₽ (ч.9)
🔸Киберспортивная платформа Faceit Limited - 1М ₽ (ч.8)
🔸Ookla - 6М ₽ (ч.9)
🔸Интернет-магазин для дайверов Molchanovs Pte Ltd. - 0,5М ₽ (ч.8)
🔸MyHeritage - 6М ₽ (ч.9)
🔸Agoda Company Pte. (дочерняя структура Booking Holdings) - предупреждение (ч.8)
🔸Airbnb - 6М ₽ (ч.9)
🔸Spotify - 6М ₽ (ч.9)
🔸United Parcel Service (UPS) - 3М ₽ (ч.9)
🔸Coinbase Ireland Limited - 1М ₽ (ч.9)
🔸Google - 15М ₽ (ч.9)
🔸Proxima Beta (издатель видеоигры PUBG Mobile) - 1М ₽ (ч.8)
🔸Freelancer.com - 3М ₽ (ч.9)
🔸Apple Inc. - 12М ₽ (ч.9)
🔸Pinterest Inc. - 12М ₽ (ч.9)
🔸Snap Inc. - 9М ₽ (ч.9)
🔸Hotels.com, L.P. - 6М ₽ (ч.9)
🔸Сообщество дайверов Padi Americas Inc. - 1,5М ₽ (ч.8)
🔸Агентство для дайверов и инструкторов International Training - 1М ₽ (ч.8)
🔸Дайвинговое агентство SNSI (Scuba and Nirox Safety International) - 2М ₽ (ч.8)
🔸Twitch - 13М ₽ (ч.9)
🔸Match Group (Tinder) - 10М ₽ (ч.9)
🔸Zoom Video Communications Inc. - 15М ₽ (ч.9)
🔸Киберспортивная платформа Faceit Limited - 1М ₽ (ч.8)
🔸Ookla - 6М ₽ (ч.9)
🔸Интернет-магазин для дайверов Molchanovs Pte Ltd. - 0,5М ₽ (ч.8)
🔸MyHeritage - 6М ₽ (ч.9)
🔸Agoda Company Pte. (дочерняя структура Booking Holdings) - предупреждение (ч.8)
🔸Airbnb - 6М ₽ (ч.9)
🔸Spotify - 6М ₽ (ч.9)
🔸United Parcel Service (UPS) - 3М ₽ (ч.9)
🔸Coinbase Ireland Limited - 1М ₽ (ч.9)
🔸Google - 15М ₽ (ч.9)
🔸Proxima Beta (издатель видеоигры PUBG Mobile) - 1М ₽ (ч.8)
🔸Freelancer.com - 3М ₽ (ч.9)
🔸Apple Inc. - 12М ₽ (ч.9)
🔸Pinterest Inc. - 12М ₽ (ч.9)
🔸Snap Inc. - 9М ₽ (ч.9)
🔸Hotels.com, L.P. - 6М ₽ (ч.9)
⚡Яндекс сегодня запускает второй конкурс «Охоты за ошибками» для усиления защиты данных:
— Этичным хакерам нужно искать ошибки и уязвимости типа XSS.
— За счет таких уязвимостей злоумышленники могут атаковать аккаунты пользователей и совершать действия на сайтах от их имени.
— В сервисах Яндекса есть специальная политика защиты контента (Content Security Policy) для борьбы с такими атаками.
— Во время конкурса награда за все типы XSS-уязвимостей увеличена в несколько раз.
— Максимальная награда составит 500 тысяч рублей.
— Конкурс продлится до 31 января.
— Участники должны использовать только собственные тестовые аккаунты.
— Этичным хакерам нужно искать ошибки и уязвимости типа XSS.
— За счет таких уязвимостей злоумышленники могут атаковать аккаунты пользователей и совершать действия на сайтах от их имени.
— В сервисах Яндекса есть специальная политика защиты контента (Content Security Policy) для борьбы с такими атаками.
— Во время конкурса награда за все типы XSS-уязвимостей увеличена в несколько раз.
— Максимальная награда составит 500 тысяч рублей.
— Конкурс продлится до 31 января.
— Участники должны использовать только собственные тестовые аккаунты.
Please open Telegram to view this post
VIEW IN TELEGRAM
🙃 В единой биометрической системе (ЕБС) хранятся десятки миллионов образцов лица и голоса россиян. При этом каждый день в базе самостоятельно регистрируется несколько тысяч граждан. В этом году тестируется оплата взглядом в магазинах, а также на маркетплейсе Wildberries и в сервисах «Яндекса». В следующем году число проектов будет расширяться: планируется запустить проход по взгляду в казанском метро, а также пропилотировать посадку в поезда дальнего следования без паспорта.
🔸Какие новые биометрические образцы могут включить в ЕБС и как система справляется с хакерскими атаками — в интервью Владислава Поволоцкого, генерального директора Центра биометрических технологий (ЦБТ).
🔸Какие новые биометрические образцы могут включить в ЕБС и как система справляется с хакерскими атаками — в интервью Владислава Поволоцкого, генерального директора Центра биометрических технологий (ЦБТ).
🏛️Законопроекты об оборотных штрафах за утечку персональных данных, а также проект закона о развитии креативных индустрий в РФ планируется рассмотреть и принять в ходе весенней сессии российского парламента. Об этом сообщил заместитель председателя комитета Совета Федерации РФ по экономической политике Константин Долгов.
🇰🇿🇷🇺 «Яндекс» завершил перенос серверов yandex.kz в Казахстан - по сообщению министерства цифрового развития инноваций и аэрокосмической промышленности Республики Казахстан.
🔸«Работы велись с августа этого года по плану, согласованному с Минцифры Казахстана. Теперь yandex.kz будет работать на серверах, которые находятся внутри страны», – сказано в сообщении.
🔸В министерстве рассказали, что для этого команда «Яндекса» привезла в Казахстан оборудование и ввела его в эксплуатацию. После успешного нагрузочного тестирования портал yandex.kz полностью перевели на местные серверы.
🔸«Работы велись с августа этого года по плану, согласованному с Минцифры Казахстана. Теперь yandex.kz будет работать на серверах, которые находятся внутри страны», – сказано в сообщении.
🔸В министерстве рассказали, что для этого команда «Яндекса» привезла в Казахстан оборудование и ввела его в эксплуатацию. После успешного нагрузочного тестирования портал yandex.kz полностью перевели на местные серверы.
🏛️ Минэкономразвития, Минцифры и АО "Центр биометрических технологий" (ЦБТ) проработают возможность внедрения в РФ сервиса обслуживания физлиц в МФЦ с использованием биометрических персональных данных без предъявления документа, удостоверяющего личность.
🎙️Вышел новый выпуск подкаста о приватности "Не для галочки" про цифровую криминалистику.
В этом выпуске есть все: матчасть и профессиональные термины, веселые истории, обиженные сотрудники и даже бонус - объяснение DLP-системы на рыбках.
💡 Apple, Яндекс
🎤 Ведущие выпуска:
🔵 Кристина Боровикова, соучредитель RPPA
🔵 Елизавета Дмитриева, data privacy engineer в российском инхаусе
🔵 Ирина Шурмина, сооснователь WE TALK PRO и руководитель Лаборатории рекламного права
🆕 Гость этого выпуска:
🔵 Олег Безик - основатель и генеральный директор компании «Лаборатория цифровых исследований», Руководитель направления eDiscovery и Digital Forensics в Kept, Преподаватель на кафедре компьютерных экспертиз в МГТУ им. Н.Э.Баумана.
В этом выпуске есть все: матчасть и профессиональные термины, веселые истории, обиженные сотрудники и даже бонус - объяснение DLP-системы на рыбках.
Please open Telegram to view this post
VIEW IN TELEGRAM
👮♂️ Челябинская таможня возбудила дело в отношении экспортера печатной продукции, содержащей персональные данные. «Водители транспортных средств пытались вывезти мешки, наполненные макулатурой. В ходе таможенного досмотра инспекторы обнаружили копии документов, в том числе содержащие персональные данные», — уточнили в пресс-службе.
🔸Экспертиза показала, что груз является бумажными оригиналами и копиями различных документов, не подвергнутых механическому измельчению (шредированию). В отношении экспотера возбуждено дело по части 3 статьи 16.2 КоАП РФ. Санкция статьи для юрлица предусматривает ответственность в виде штрафа от 50 до 300 тысяч рублей.
🔸Экспертиза показала, что груз является бумажными оригиналами и копиями различных документов, не подвергнутых механическому измельчению (шредированию). В отношении экспотера возбуждено дело по части 3 статьи 16.2 КоАП РФ. Санкция статьи для юрлица предусматривает ответственность в виде штрафа от 50 до 300 тысяч рублей.
🏛️ Правительство поручило Минцифры, Минобрнауки и Центру биометрических технологий (ЦБТ) до 12 февраля 2024 г. разработать дорожную карту внедрения сервиса для идентификации по биометрии студентов вузов для проведения дистанционных экзаменов.
🏛️ В Госдуме рассматривают возможность считать смягчающим обстоятельством при назначении штрафа за утечку персональных данных вложения компании в собственную информационную безопасность.
🔸«Проще говоря, будет установлена прямая связь между определенным объемом инвестиций участника рынка в информационную безопасность и наказанием за утечку. Мы не исключаем такого подхода, но считаем, что все должно быть выверено и точно не должно стать лазейкой для ухода недобросовестных участников рынка от ответственности», — отметил Антон Немкин.
🔸Предложение снижать оборотные штрафы, если компании, которые допустили утечки, предусмотрят компенсации пострадавшим поддержано не было. «Администрировать этот процесс невозможно — недобросовестные компании ведь начнут откупаться от пострадавших пользователей купонами на скидку. Нас это устроить не может», — сказал депутат.
🔸«Проще говоря, будет установлена прямая связь между определенным объемом инвестиций участника рынка в информационную безопасность и наказанием за утечку. Мы не исключаем такого подхода, но считаем, что все должно быть выверено и точно не должно стать лазейкой для ухода недобросовестных участников рынка от ответственности», — отметил Антон Немкин.
🔸Предложение снижать оборотные штрафы, если компании, которые допустили утечки, предусмотрят компенсации пострадавшим поддержано не было. «Администрировать этот процесс невозможно — недобросовестные компании ведь начнут откупаться от пострадавших пользователей купонами на скидку. Нас это устроить не может», — сказал депутат.