Privacy Advocates
16.8K subscribers
525 photos
27 videos
165 files
3.89K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
• Канал включён перечень РКН: clck.ru/3EYGVJ
👨🏻‍💻@actuaris
Download Telegram
🇷🇺🏛️ #утечка #штраф #ростелеком
🔸По факту проверки компании "Ростелеком" были выявлены нарушения российского законодательства в сфере персональных данных. В отношении компании Роскомнадзор составил и передал в суд административный протокол по ч. 1 ст. 13.11 КоАП РФ за обработку персональных данных с нарушением законодательства, приведшим к утечке данных клиентов.
🔸6 июня в телеграм-канале "Утечки информации", который администрирует основатель и технический директор DeviceLock DLP Ашот Оганесян, появилось сообщение, что в открытый доступ "слили" таблицу внутренних аккаунтов компании "Ростелеком".
🇷🇺🎙️📰 #утечки #штрафы #аналитика
👉 Как операторы данных будут избегать наказания за утечки
Незрелость бизнес-процессов приводит к потере персональных данных (ПД). Но подобные инциденты не особенно печалят операторов, если утраченная информация напрямую не наносит финансового ущерба, отмечают эксперты. Как помогут оборотные штрафы за утечку ПД привести компании в чувство и какие схемы уклонения от ответственности уже появились.
🇷🇺🔥👨‍💻 #рф #нпа #инициативы #регулирование
Еженедельное обновление дайджеста значимых событий и инициатив (общее количество за неделю 50→52), влияющих на регулирование защиты ПД в РФ.

Добавлены пункты (отмечены как New):
→ 16. Постановление Правительства РФ от 12.07.2022 № 1237
→ 18. Распоряжение Правительства РФ от 15.07.2022 № 1956-р
→ 33. Проект приказа Роскомнадзора об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных
→ 44. Инициатива по созданию единого государственного оператора персональных данных

Обновлены пункты (отмечены как Update):
→ 12. Указ Президента РФ от 01.05.2022 № 250
→ 20. Законопроект об отнесении контактных данных к специальной категории данных
🇺🇸✌️⚖️ #утечка #иск #возмещение
🔸Американский оператор связи T-Mobile согласился выплатить $500 млн для урегулирования коллективного иска, связанного с утечкой в 2021 году, которая раскрыла данные около 76,6 млн жителей США.
🔸Компания потратит $350 млн на фонд оплаты услуг юристов и компенсации пострадавшим.
🔸Ещё $150 млн T-Mobile обязалась вложить в «безопасность данных и связанные с ней технологии» в 2022-2023 гг.
🇷🇺🏛️ #законопроект #реклама #privacy
🔸Володин анонсировал доработку законопроекта о едином операторе цифровой рекламы. Он также пояснил, что регистрация в России работающих на данном рынке компаний необходима, так как этот вопрос имеет отношение к персональным данным.
🔸15.07.2022 в первом чтении был принят законопроект о появлении в России должен появиться единый оператор цифровых рекламных конструкций (речь идет о рекламных конструкциях в электронной форме, а также электронных досках объявлений в транспорте), который обеспечивает как соблюдение утвержденных требований информационной безопасности и защиту персональных данных, размещенных в информационном ресурсе, так и обезличивает, блокирует, удаляет, уничтожает персональные данные физических лиц по мотивированным запросам уполномоченных органов власти.
🇷🇺‼️ #утечка #штраф #гемотест
Мировой судебный участок района Новогиреево в Москве оштрафовал на 60 тысяч рублей компанию "Гемотест" за утечку 300 гигабайт данных с персональной информацией о клиентах, сообщили РИА Новости в суде.
🇷🇺💡🏛️ #госдума #152фз #privacy #аналитика
Госдума: как закон обеспечивает сохранность персональных данных россиян
Используя электронное пространство, оставляя персональные данные на сайтах магазинов, мы хотим, чтобы информация о нас была надежно защищена. Для регулирования этой сферы в России принимаются специальные законы.
🇪🇺‼️🏛️ #ес #трансграничка #google #запрет
🔸Министерство образования Нидерландов ввело ограничение на использование Chrome OS и браузера Chrome до августа 2023 года. Чиновники обеспокоены приватностью данных студентов и не до конца понимают, как компания использует персональные данные.
🔸Образовательные учреждения и школы, которые всё равно хотят продолжать использовать сервисы Google, должны будут выполнить рекомендации SURF. В частности, отключить такие службы, как автоматический перевод веб-сайтов и проверка орфографии, которые могут привести к утечке пользовательских данных. Кроме того, географическое расположение для хранения данных Google Cloud должно быть установлено на Европу, а пользователям нельзя изменять настройку. Наконец, персонализация рекламы должна быть отключена, встраивание YouTube должно использоваться в «режиме повышенной конфиденциальности», а поисковая система Google должна быть полностью исключена.
🇪🇺💡🏛️ #ес #cctv #cnil #разъяснения
Французский надзорный орган CNIL опубликовал разъяснения о разнице между видеонаблюдением с использованием биометрии и "дополненным" видеонаблюдением, которое оснащено ПО с искусственным интеллектом. Например, видеофиксация общественного шоссе для подсчета в реальном времени различных видов участников движения (пешеходы, автомобили, велосипеды) или подсчет и классификация (пол, возраст и т.д.) людей, посещающих торговый центр, чтобы адаптировать содержание рекламы или расположение вывесок или товаров.
🇷🇺❗️🏛 #утечка #роскомнадзор #билайн
🔸Роскомнадзор запросил у компании "Билайн" детальную информацию о возможно произошедшей утечке персональных данных клиентов сервиса.
🔸При этом оператор в своем официальном Telegram-канале опроверг информацию об утечке данных абонентов. После проверки данных специалисты оператора пришли к выводу, что опубликованная информация датирована 2015 годом. С тех пор были предприняты дополнительные меры для защиты данных абонентов, добавили в "Билайн".
🇷🇺❗️🏛 #утечка #ozon #увольнение
Сотрудника Ozon, опубликовавшего скриншоты переписки клиентов маркетплейса со службой поддержки, уволят, сейчас компания также принимает решение о передаче информации в правоохранительные органы для возбуждения уголовного дела.
🔸Ранее во вторник на анонимном форуме появились скриншоты из CRM-системы маркетплейса. Всего было опубликовано 12 скриншотов, содержащих фрагменты переписки службы поддержки (одного и того же специалиста, от чьего имени был осуществлен вход в CRM-систему) с клиентами. Уточнялось, что, судя по датам на фото, они делались на протяжении месяца.
🇷🇺🏦 #биометрия #ебс #банки #проблемы
🔸Передача биометрии клиентов, собранной в рамках собственных программ банков, в Единую биометрическую систему (ЕБС) сталкивается с целым рядом сложностей.
🔸Кредитные организации располагают уже десятками миллионов образцов, но стандартам качества ЕБС соответствуют только около 10% данных — это всего лишь 4–5 млн уникальных слепков.
🔸Остальные по действующим нормам должны быть удалены, хотя власти разрешили банкам их использовать, но даже импорт этого относительно небольшого объема слепков в ЕБС может начаться не раньше чем через полгода.
🇷🇺🥸🏛️ #152фз #печаль #юмор
К сегодняшнему дню рождения 152-ФЗ от 27.07.2006 "О персональных данных"...
Интересно, как на эту новость отреагирует РКН (и отреагирует ли вообще)?

Из прочитанного можно сделать вывод, что система на основе распознавания лица работника (даже через средства индивидуальной защиты) будет устанавливать его личность, соответствующую табельному номеру, и разрешённые для этой личности полномочия. Прямое попадание в определение биометрических ПДн (см. ст. 11 152-ФЗ).
Однако, по словам представителя Росатома, эта информация будет, во-первых, подвергаться математическим преобразованиям (хешированию?) и, во-вторых, ее обработка будет осуществляться на неких клиентских устройствах, поэтому 152-ФЗ к такой обработке не применим.

Вспомним, что по существу ГОСТ 54412-2019 биометрические системы и так работают с преобразованными биометрическими ПДн, а также, дополнительно, что ранее на своих публичных мероприятиях представители надзорного органа обращали внимание, что хеширование не является способом обезличивания (собственно, при нынешней законодательной базе обезличиванием в принципе могут заниматься только государственные органы, да и сами обезличенные ПДн не перестают быть ПДн). Кроме того, затруднительно представляется, как перенесение обработки ПДн на клиентские устройства позволяет выйти из под действия 152-ФЗ. Как следствие, выводы представителя Росатома остаются непонятными.

Справедливости ради стоит отметить, что новость эта довольно сумбурная и рождает больше вопросов, чем ответов. Делать какие-то окончательные выводы преждевременно.
Вполне возможно, что в рассматриваемой новости не в полной мере или недостаточно точно раскрыт (или передан) секрет, как отскочить от биометрии, чтобы не попасть на все новые нюансы, связанные с обработкой таких персональных данных (Про грядущие нюансы обработки биометрии здесь).
Два крупных российских банка, вслед за рядом других ключевых игроков, расширяют собственную систему идентификации клиента за пределы только финансовых услуг: Тинькофф-банк и Альфа-банк. В теории это призвано увеличить привлечение клиентов, обеспечить более глубокий анализ их транзакционной активности, увеличить кросс-продажи и даже получить прямые доходы от предоставления услуги сторонним организациям.
В Тинькофф-банке полагают, что партнеры смогут от использования ID увеличить свою конверсию на 3–5%. В Альфа-банке отмечают, что ID обеспечит «легитимный обмен данными между банком и партнерами для актуализации данных и увеличения KYC».
🇷🇺💡🏛️ #надзор #пп1046 #риски
Статья Алёны Геращенко Рискориентированный подход к разработке локальных актов о персональных данных
Год назад принцип федерального государственного контроля (надзора) за обработкой персональных данных кардинально изменился (см. постановление Правительства РФ №1046 от 29.06.2021). Теперь регулятор оценивает риски неправомерной обработки персональных данных и использует оценку для выявления тех операторов, к которым нужно прийти с проверкой:
🔸Обновлённая методология отнесения оператора персональных данных ко группам риска
🔸Категория высокого риска
🔸Категория низкого риска
🔸Как часто проводятся проверки с учётом категории риска?
🔸Роль нового подхода в развитии комплаенса
🔸Приоритетные темы для российского регулятора в области персональных данных
🔸Каковы цели к 2026 году?
🇷🇺💸⚖️ #штраф #суд #коап #локализация
Несколько инсайтов решения мирового судьи судебного участка Таганского района Москвы о привлечении компании Ookla к административной ответственности (штраф 1М ₽) за нелокализацию баз с ПД граждан РФ (ч.8 ст.13.11 КоАП РФ) в рамках сервиса «Speedtest»:

🔸хотя сервис прямо не направлен на российскую аудиторию (отсутствуют русскоязычная версия пользовательского интерфейса, Политика конфиденциальности на русском языке, возможность осуществления расчетов в российской валюте и доставки каких-либо товаров на территории РФ), но на сайте speedtest.net отсутствуют какие-либо ограничения для прохождения процедуры регистрации российских пользователей, поэтому суд посчитал применимыми требования о локализации

🔸требования 248-ФЗ от 31.07.2020 «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» и Постановления Правительства РФ от 10.03.2022 № 336 не применяются в отношении лиц, находящихся за пределами территории РФ

🔸под требование о локализации попадает информация о сетевой активности, идентификаторы устройства, файлы Cookie, которая получается в процессе мониторинга поведения пользователя сервиса «Speedtest»

🔸если для регистрации учетной записи на сайте достаточно лишь предоставления пользователем только адреса электронной почты, который в дальнейшем нельзя будет использовать для повторной регистрации, то такой адрес электронной почты является уникальным идентификатором пользователя и его ПД
🇷🇺💸⚖️ #штраф #суд #коап #локализация
Итак, подведем итог сегодняшнего марафона решений мирового судьи судебного участка Таганского района Москвы о привлечении компаний к ответственности за нелокализацию баз с ПД граждан РФ (ч.8 и ч.9 ст.13.11 КоАП РФ):
🔸WhatsApp - 18М ₽ (ч.9) https://mos-sud.ru/422/cases/admin/details/e5540c4d-34a6-4cf8-9907-803bf05200ff
🔸Match Group (Tinder) - 2М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/a0e120cb-c51c-4339-b5e7-411ff9e5edf1
🔸Snapchat - 2М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/b43e43bf-95e8-4d2b-b91f-099c4da708e2
🔸Spotify - 0,5М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/bf2de9fd-ab39-451c-be99-c07d6adbefa4
🔸Hotels_com - 1М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/bfadfaa9-8da9-4eac-878c-2821da82262f
🔸Freelancer_com - отложено до 16.08 (ч.8) https://mos-sud.ru/422/cases/admin/details/c110fc77-3113-4977-89b4-cfde9c7abe4f

Напомним, что ранее в 2022г. были вынесены следующие решения о привлечении компаний к ответственности за нелокализацию баз с ПД граждан РФ:
🔸MyHeritage - 1,5М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/931a35a7-f43a-4a78-bdc8-b74055884666
🔸Likee - 1,5М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/dcaf4ef6-72bc-4759-952c-753e284f83e5
🔸Pinterest - 2М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/dfb6a5b7-8b20-4838-895b-c87b04d14a51
🔸Twitch - 2М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/faa4c146-da2b-4f67-844c-7bb66f5296fe
🔸Airbnb - 2М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/c1ace93c-3de4-4319-9cb5-da6a68e5cc66
🔸UPS - 1М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/1c367a6f-8e0a-431a-8798-7330c30b821e
🔸Ookla - 1М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/1f243086-db97-464c-9d44-833a8636d021
🔸Zoom - 1М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/919275a9-b97d-4109-9018-e3b22c8b37d2
🔸Apple - 2М ₽ (ч.8) https://mos-sud.ru/422/cases/admin/details/f956d444-2930-46ae-8290-3fba0a148384
🔸Google - 15М ₽ (ч.9) https://mos-sud.ru/422/cases/admin/details/f443504a-b6e5-4a08-808a-e1abefdb4782