🇷🇺💡👨💻 #биометрия #роскомнадзор #фото #комментарий
Комментарий от Кирилла Зюбанова (@KZyubanov):
Что произошло? Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 августа 2022 г. N 08-78032 “О рассмотрении обращения”
Что это значит? Из ответа РКН можно сделать несколько занятных выводов:
1) К биометрическим персональным данным (БПДн) многие, исходя из буквального толкования ч. 1 ст. 11 152-ФЗ, относят данные, которые (1) характеризуют физиологические и биологические особенности человека, (2) могут быть использованы для установления личности субъекта ПДн, (3) используются для установления личности субъекта ПДн. Теперь РКН прямо указал, что применяются только критерии (1) и (2). Но на этом дело не кончилось...
2) РКН указал, что дополнительным критерием "возможности отнесения к БПДн" является указание на такую возможность в том или ином НПА. Вместе с этим, РКН сослался на ГОСТ Р ИСО/МЭК 19794-5-2013 как на источник толкования 152-ФЗ.
3) РКН, развивая мысль, описанную в п. 2 выше, прямо указал, что требования ч. 4 ст. 9 152-ФЗ при обработке фотографий (данный тезис можно распространить и на видеозаписи) следует соблюдать только в случаях, когда такие фотографии "законодательным актом Российской Федерации отнесены к БПДн", в остальных случаях достаточного любого основания из ст. 6 152-ФЗ.
Что в сухом остатке? Если фотография обрабатывается в случае, для которого законом прямо не предусмотрено ее отнесение к БПДн и исходя из сущности обработки ПДн нельзя однозначно сказать, что происходит биометрическая идентификация / аутентификация, возможно заявлять о том, что обработка допустима с использованием любого из оснований, предусмотренных ст. 6 152-ФЗ.
PS от Privacy Advocates:
1. Заявленная РКН позиция в отношении ГОСТ Р ИСО/МЭК 19794-5-2013 не является принципиально новой, озвучивалась им ранее и в некоторых случаях находила подтверждение в контрольно-надзорной практике.
2. Если обратиться к письмам Минцифры России от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782 и определению ВС РФ от 05.03.2018 № 307-КГ18-101, то в них возможность квалификации фотоизображения в качестве БПД не привязывается к её формату.
3. Приказ Минцифры России от 10.09.2021 № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в ЕБС..." также не содержит прямого указания на ГОСТ Р ИСО/МЭК 19794-5-2013.
Резюме: к сожалению, письмо РКН не прояснило, а лишь больше запутало ситуацию.
Комментарий от Кирилла Зюбанова (@KZyubanov):
Что произошло? Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 августа 2022 г. N 08-78032 “О рассмотрении обращения”
Что это значит? Из ответа РКН можно сделать несколько занятных выводов:
1) К биометрическим персональным данным (БПДн) многие, исходя из буквального толкования ч. 1 ст. 11 152-ФЗ, относят данные, которые (1) характеризуют физиологические и биологические особенности человека, (2) могут быть использованы для установления личности субъекта ПДн, (3) используются для установления личности субъекта ПДн. Теперь РКН прямо указал, что применяются только критерии (1) и (2). Но на этом дело не кончилось...
2) РКН указал, что дополнительным критерием "возможности отнесения к БПДн" является указание на такую возможность в том или ином НПА. Вместе с этим, РКН сослался на ГОСТ Р ИСО/МЭК 19794-5-2013 как на источник толкования 152-ФЗ.
3) РКН, развивая мысль, описанную в п. 2 выше, прямо указал, что требования ч. 4 ст. 9 152-ФЗ при обработке фотографий (данный тезис можно распространить и на видеозаписи) следует соблюдать только в случаях, когда такие фотографии "законодательным актом Российской Федерации отнесены к БПДн", в остальных случаях достаточного любого основания из ст. 6 152-ФЗ.
Что в сухом остатке? Если фотография обрабатывается в случае, для которого законом прямо не предусмотрено ее отнесение к БПДн и исходя из сущности обработки ПДн нельзя однозначно сказать, что происходит биометрическая идентификация / аутентификация, возможно заявлять о том, что обработка допустима с использованием любого из оснований, предусмотренных ст. 6 152-ФЗ.
PS от Privacy Advocates:
1. Заявленная РКН позиция в отношении ГОСТ Р ИСО/МЭК 19794-5-2013 не является принципиально новой, озвучивалась им ранее и в некоторых случаях находила подтверждение в контрольно-надзорной практике.
2. Если обратиться к письмам Минцифры России от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782 и определению ВС РФ от 05.03.2018 № 307-КГ18-101, то в них возможность квалификации фотоизображения в качестве БПД не привязывается к её формату.
3. Приказ Минцифры России от 10.09.2021 № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в ЕБС..." также не содержит прямого указания на ГОСТ Р ИСО/МЭК 19794-5-2013.
Резюме: к сожалению, письмо РКН не прояснило, а лишь больше запутало ситуацию.
base.garant.ru
Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29.08.2022 N 08-78032…
Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 августа 2022 г. N 08-78032 "О рассмотрении обращения". К биометрическим персональным данным относятся сведения, которые характеризуют физиологические…
🇷🇺⚡💻 #утечки #статистика #privacy
🔸В Group-IB зафиксировали двукратное увеличение за лето "слива" баз данных компаний РФ.
🔸Всего за три месяца раскрыто оказалось 140 баз: в июне их было - 23, в июле - 17 и в августе - 100.
🔸В Group-IB зафиксировали двукратное увеличение за лето "слива" баз данных компаний РФ.
🔸Всего за три месяца раскрыто оказалось 140 баз: в июне их было - 23, в июле - 17 и в августе - 100.
🇮🇩⚡🏛️ #privacy #законопроект #индонезия
🔸В Индонезии принят законопроект о защите персональных данных.
🔸На рабочей встрече с участием представителей Комиссии I Палаты представителей, Министерства связи и информации, Министерства внутренних дел и Министерства юстиции и прав человека было решено вынести результаты обсуждения законопроекта о защите персональных данных на пленарное заседание для ратификации.
🔸В Индонезии принят законопроект о защите персональных данных.
🔸На рабочей встрече с участием представителей Комиссии I Палаты представителей, Министерства связи и информации, Министерства внутренних дел и Министерства юстиции и прав человека было решено вынести результаты обсуждения законопроекта о защите персональных данных на пленарное заседание для ратификации.
Красная весна
В Индонезии принят законопроект о защите персональных данных
Вынести проект закона о защите персональных данных на пленарное заседание для его ратификации договорились члены Комиссии I Палаты представителей Республики Индонезия совместно Министерством связи и информации, 7 сентября сообщает MediaIndonesia.
🇷🇺⚡🏛️ #privacy #мнение #разглашение
🔸Москалькова считает смешным наказание за разглашение персональных данных.
🔸Каждый человек должен иметь возможность распоряжаться данными о себе, чтобы никто ни при каких условиях без его согласия не мог придавать публичности даже достоверные данные о нём. При этом на сегодняшний день в России ответственность за разглашение персональных данных смешная. Об этом на полях Восточного экономического форума уполномоченный по правам человека в России Татьяна Москалькова.
🔸Москалькова считает смешным наказание за разглашение персональных данных.
🔸Каждый человек должен иметь возможность распоряжаться данными о себе, чтобы никто ни при каких условиях без его согласия не мог придавать публичности даже достоверные данные о нём. При этом на сегодняшний день в России ответственность за разглашение персональных данных смешная. Об этом на полях Восточного экономического форума уполномоченный по правам человека в России Татьяна Москалькова.
ИА REGNUM
Москалькова считает смешным наказание за разглашение персональных данных
Каждый человек должен иметь возможность распоряжаться данными о себе, чтобы никто ни при каких условиях без его согласия не мог придавать публичности даже до...
Forwarded from Цифровое право
В Калифорнии одобрен законопроект о защите детей в интернете
Законопроект обязывает сайты и приложения защищать от вреда в интернете пользователей до 18 лет.
ИТ-компании должны будут оценивать потенциальный вред, который их услуги могут нанести несовершеннолетним, и минимизировать его.
Законопроект регулирует базовые настройки конфиденциальности для детей, доступ к порнографии и использование техник для манипулирования детьми.
Напомним, что в Великобритании был принят схожий документ - Кодекс этики онлайн сервисов. Основная цель британских правил - защита детей, использующих цифровые сервисы, и обеспечение детям безопасной среды для учебы и развития.
Законопроект обязывает сайты и приложения защищать от вреда в интернете пользователей до 18 лет.
ИТ-компании должны будут оценивать потенциальный вред, который их услуги могут нанести несовершеннолетним, и минимизировать его.
Законопроект регулирует базовые настройки конфиденциальности для детей, доступ к порнографии и использование техник для манипулирования детьми.
Напомним, что в Великобритании был принят схожий документ - Кодекс этики онлайн сервисов. Основная цель британских правил - защита детей, использующих цифровые сервисы, и обеспечение детям безопасной среды для учебы и развития.
🇷🇺💡🧬 #privacy #генетика #аналитика
🔸Гены нуждаются в защите - почему назрел вопрос регулирования персональных генетических данных.
🔸Доступность персональных генетических данных людей может привести к дискриминации, так как у работодателей и страховщиков возникнет соблазн распределять своих сотрудников и клиентов на группы в зависимости от состояния здоровья.
🔸Гены нуждаются в защите - почему назрел вопрос регулирования персональных генетических данных.
🔸Доступность персональных генетических данных людей может привести к дискриминации, так как у работодателей и страховщиков возникнет соблазн распределять своих сотрудников и клиентов на группы в зависимости от состояния здоровья.
Rspectr
Гены нуждаются в защите - RSpectr
Почему назрел вопрос регулирования персональных генетических данных
🇺🇳🤝👨💻 #оон #цод #privacy
🔸Сегодня встретился в Малайзии с директором и другими сотрудниками UNDP (Программа развития ООН) Global Shared Services Centre (GSSC) для обмена опытом по глобальному обеспечению Data Privacy.
🔸 GSSC - это глобальный комплекс из семи центров передового опыта (см. карту), который предоставляет различные сервисы по управлению персоналом более чем 40,000 сотрудникам ООН из агентств, фондов и программ всей системы Организации Объеденных Наций.
🔸Сегодня встретился в Малайзии с директором и другими сотрудниками UNDP (Программа развития ООН) Global Shared Services Centre (GSSC) для обмена опытом по глобальному обеспечению Data Privacy.
🔸 GSSC - это глобальный комплекс из семи центров передового опыта (см. карту), который предоставляет различные сервисы по управлению персоналом более чем 40,000 сотрудникам ООН из агентств, фондов и программ всей системы Организации Объеденных Наций.
🇷🇺🤔🏛️ #законопроект #санитизация #анонимизация #минцифры
🔸В новой версии законопроекта, регулирующего работу Национальной системы управления данными (НСУД), Минэкономики вводит понятие санитизации данных — отделение информации ограниченного доступа, например составляющей тайну связи, банковскую или налоговую.
🔸Это призвано упростить процедуру обмена данными между госструктурами, а компаниям позволит использовать информацию из госсистем для обучения искусственного интеллекта и построения бизнес-моделей.
🔸Но эксперты предупреждают, что при обогащении такой информации другими данными она может оказаться скомпрометирована.
🔸В новой версии законопроекта, регулирующего работу Национальной системы управления данными (НСУД), Минэкономики вводит понятие санитизации данных — отделение информации ограниченного доступа, например составляющей тайну связи, банковскую или налоговую.
🔸Это призвано упростить процедуру обмена данными между госструктурами, а компаниям позволит использовать информацию из госсистем для обучения искусственного интеллекта и построения бизнес-моделей.
🔸Но эксперты предупреждают, что при обогащении такой информации другими данными она может оказаться скомпрометирована.
Коммерсантъ
Тайну вызвали в НСУД
Перед использованием данные пройдут санобработку
🇪🇺⚡🏛️ #ес #надзор #бюджет
🔸Интересная статистика от EDPB по динамике за 2020-2022г. бюджетного и кадрового обеспечения работы европейских надзорных органов в области защиты персональных данных.
🔸Для справки: бюджет всего Роскомнадзора (для которого функция надзора в сфере ПД являются далеко не единственной) составляет ₽19,453 млрд. на 2022г.
🔸Интересная статистика от EDPB по динамике за 2020-2022г. бюджетного и кадрового обеспечения работы европейских надзорных органов в области защиты персональных данных.
🔸Для справки: бюджет всего Роскомнадзора (для которого функция надзора в сфере ПД являются далеко не единственной) составляет ₽19,453 млрд. на 2022г.
🇪🇺🇺🇸‼️⚖️ #ес #сша #gdpr #трансграничка #google
🔸Американские дочерние компании могут предлагать услуги SaaS в ЕС.
🔸Высший региональный суд Карлсруэ (Oberlandesgericht Karlsruhe) отменил решение VG Baden Württemberg, который утверждал, что простой риск доступа властей США к персональным данным, хранящимся в ЕС, будет представлять собой передачу данных, не соответствующую GDPR.
🔸OLG Karlsruhe рассудил, что суды, выносящие решения в отношении участников процесса закупок, не могут отказать участнику торгов только на основании предположения, что участник торгов или его субпроцессоры нарушат свои собственные договорные обязательства по хранению данных в ЕС в случае запроса доступа со стороны властей США.
🔸Американские дочерние компании могут предлагать услуги SaaS в ЕС.
🔸Высший региональный суд Карлсруэ (Oberlandesgericht Karlsruhe) отменил решение VG Baden Württemberg, который утверждал, что простой риск доступа властей США к персональным данным, хранящимся в ЕС, будет представлять собой передачу данных, не соответствующую GDPR.
🔸OLG Karlsruhe рассудил, что суды, выносящие решения в отношении участников процесса закупок, не могут отказать участнику торгов только на основании предположения, что участник торгов или его субпроцессоры нарушат свои собственные договорные обязательства по хранению данных в ЕС в случае запроса доступа со стороны властей США.
oberlandesgericht-karlsruhe.justiz-bw.de
Kein Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens…
🇷🇺⚡👨💻 #рф #вакансия #privacy
На ярмарке вакансий RPPA опубликована новая позиция:
Эксперт по Data Privacy в Yandex Cloud.
Мы в Yandex Cloud уделяем огромное внимание приватности данных и информационной безопасности: и c технической, и с процессной, и с правовой точки зрения. Одно из важных направлений работы нашей команды — защита приватности наших пользователей и их клиентов. Мы ищем Privacy-эксперта, который будет вместе с нами развивать процессы обеспечения приватности, а также Privacy-сервисы для пользователей.
На ярмарке вакансий RPPA опубликована новая позиция:
Эксперт по Data Privacy в Yandex Cloud.
Мы в Yandex Cloud уделяем огромное внимание приватности данных и информационной безопасности: и c технической, и с процессной, и с правовой точки зрения. Одно из важных направлений работы нашей команды — защита приватности наших пользователей и их клиентов. Мы ищем Privacy-эксперта, который будет вместе с нами развивать процессы обеспечения приватности, а также Privacy-сервисы для пользователей.
🇷🇺👨💻🔥 #рф #нпа #инициативы #регулирование
Еженедельное обновление дайджеста значимых событий и инициатив (общее количество за неделю 73→74), влияющих на регулирование защиты ПД в РФ.
Добавлены пункты (отмечены как New):
35. Законопроект о закреплении в законе процедуры санитизации данных ограниченного доступа
Еженедельное обновление дайджеста значимых событий и инициатив (общее количество за неделю 73→74), влияющих на регулирование защиты ПД в РФ.
Добавлены пункты (отмечены как New):
35. Законопроект о закреплении в законе процедуры санитизации данных ограниченного доступа
Яндекс Диск
Дайджест-2022.docx
Посмотреть и скачать с Яндекс Диска
dpa_2022.09.12.docx
82.6 KB
🇷🇺💡👨💻 #152фз #реформа #dpa #поручение #образец
🔸Опубликовал проект типового рамочного соглашения (Data Processing Agreement - DPA) об обработке персональных данных (с поручением их обработки), включающим дополнение о трансграничной передаче персональных данных - с учетом новой редакции 152-ФЗ о ПД.
🔸Проект DPA может быть взят за основу при структурировании договорных отношений в части поручения обработки персональных данных между контрагентами как внутри РФ, так и при трансграничной передаче персональных данных из РФ в иностранные государства.
🔸Опубликовал проект типового рамочного соглашения (Data Processing Agreement - DPA) об обработке персональных данных (с поручением их обработки), включающим дополнение о трансграничной передаче персональных данных - с учетом новой редакции 152-ФЗ о ПД.
🔸Проект DPA может быть взят за основу при структурировании договорных отношений в части поручения обработки персональных данных между контрагентами как внутри РФ, так и при трансграничной передаче персональных данных из РФ в иностранные государства.
🇷🇺⚡👨💻 #рф #вакансия #privacy
На ярмарке вакансий RPPA опубликована новая позиция:
Chief Data Protection Officer в Qiwi Group.
Одна из обязанностей: обеспечить соблюдение применимого законодательства по приватности Группой компаний в России, странах СНГ (Беларусь, Казахстан, Молдавия) и иных странах (Великобритания, Кипр, Испания, ОАЭ).
На ярмарке вакансий RPPA опубликована новая позиция:
Chief Data Protection Officer в Qiwi Group.
Одна из обязанностей: обеспечить соблюдение применимого законодательства по приватности Группой компаний в России, странах СНГ (Беларусь, Казахстан, Молдавия) и иных странах (Великобритания, Кипр, Испания, ОАЭ).
primer_zapolnenija_uvedomlenija_TPdn.pdf
206.1 KB
🇷🇺⚡🏛️ #роскомнадзор #уведомление #трансграничка
Роскомнадзор разместил на Портале ПДн образец заполнения уведомления об осуществлении трансграничной передачи ПДн.
Роскомнадзор разместил на Портале ПДн образец заполнения уведомления об осуществлении трансграничной передачи ПДн.
🇷🇺❗🏛️ #утечки #роскомнадзор #статистика #законопроект
🔸Порядка 60 крупных утечек персональных данных с начала года привели к тому, что в сети оказались более 230 млн записей с личной информацией россиян.
🔸"Необходима криминализация действий и тех, кто крадет, и тех, кто продает персональные данные. Действий тех, чей умысел очевиден...", - подчеркнули в Роскомнадзоре.
🔸Для тех, кто допустил компрометацию законно собранных персональных данных, должен быть увеличили размер административного наказания. При этом фактический размер штрафа должен зависеть от того, направил ли оператор уведомление об обработке данных, сообщил ли своевременно об утечке в уполномоченные органы, а также от того, как он отвечал на жалобы и претензии россиян и какие меры принял для снижения ущерба тем, кто пострадал от утечки.
🔶Право обработки значительных массивов персональных данных законодательно должно быть только у тех организаций, которые могут доказать способность обеспечивать надежную защиту данных, а также надлежащий доступ к ним с соблюдением требований конфиденциальности. Безопасность персональных данных может быть повышена, если оператор будет подтверждать госорганам соблюдение необходимых требований еще до начала их обработки, уверены в РКН.
🔸Порядка 60 крупных утечек персональных данных с начала года привели к тому, что в сети оказались более 230 млн записей с личной информацией россиян.
🔸"Необходима криминализация действий и тех, кто крадет, и тех, кто продает персональные данные. Действий тех, чей умысел очевиден...", - подчеркнули в Роскомнадзоре.
🔸Для тех, кто допустил компрометацию законно собранных персональных данных, должен быть увеличили размер административного наказания. При этом фактический размер штрафа должен зависеть от того, направил ли оператор уведомление об обработке данных, сообщил ли своевременно об утечке в уполномоченные органы, а также от того, как он отвечал на жалобы и претензии россиян и какие меры принял для снижения ущерба тем, кто пострадал от утечки.
🔶Право обработки значительных массивов персональных данных законодательно должно быть только у тех организаций, которые могут доказать способность обеспечивать надежную защиту данных, а также надлежащий доступ к ним с соблюдением требований конфиденциальности. Безопасность персональных данных может быть повышена, если оператор будет подтверждать госорганам соблюдение необходимых требований еще до начала их обработки, уверены в РКН.
TACC
РКН сообщил об утечке в сеть более 230 млн записей с личной информацией россиян - ТАСС
В Роскомнадзоре отметили, что зафиксировали порядка 60 крупных утечек