🇪🇺⚡🏛️ #ес #надзор #бюджет
🔸Интересная статистика от EDPB по динамике за 2020-2022г. бюджетного и кадрового обеспечения работы европейских надзорных органов в области защиты персональных данных.
🔸Для справки: бюджет всего Роскомнадзора (для которого функция надзора в сфере ПД являются далеко не единственной) составляет ₽19,453 млрд. на 2022г.
🔸Интересная статистика от EDPB по динамике за 2020-2022г. бюджетного и кадрового обеспечения работы европейских надзорных органов в области защиты персональных данных.
🔸Для справки: бюджет всего Роскомнадзора (для которого функция надзора в сфере ПД являются далеко не единственной) составляет ₽19,453 млрд. на 2022г.
September 8, 2022
🇪🇺🇺🇸‼️⚖️ #ес #сша #gdpr #трансграничка #google
🔸Американские дочерние компании могут предлагать услуги SaaS в ЕС.
🔸Высший региональный суд Карлсруэ (Oberlandesgericht Karlsruhe) отменил решение VG Baden Württemberg, который утверждал, что простой риск доступа властей США к персональным данным, хранящимся в ЕС, будет представлять собой передачу данных, не соответствующую GDPR.
🔸OLG Karlsruhe рассудил, что суды, выносящие решения в отношении участников процесса закупок, не могут отказать участнику торгов только на основании предположения, что участник торгов или его субпроцессоры нарушат свои собственные договорные обязательства по хранению данных в ЕС в случае запроса доступа со стороны властей США.
🔸Американские дочерние компании могут предлагать услуги SaaS в ЕС.
🔸Высший региональный суд Карлсруэ (Oberlandesgericht Karlsruhe) отменил решение VG Baden Württemberg, который утверждал, что простой риск доступа властей США к персональным данным, хранящимся в ЕС, будет представлять собой передачу данных, не соответствующую GDPR.
🔸OLG Karlsruhe рассудил, что суды, выносящие решения в отношении участников процесса закупок, не могут отказать участнику торгов только на основании предположения, что участник торгов или его субпроцессоры нарушат свои собственные договорные обязательства по хранению данных в ЕС в случае запроса доступа со стороны властей США.
oberlandesgericht-karlsruhe.justiz-bw.de
Kein Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens…
September 8, 2022
🇷🇺⚡👨💻 #рф #вакансия #privacy
На ярмарке вакансий RPPA опубликована новая позиция:
Эксперт по Data Privacy в Yandex Cloud.
Мы в Yandex Cloud уделяем огромное внимание приватности данных и информационной безопасности: и c технической, и с процессной, и с правовой точки зрения. Одно из важных направлений работы нашей команды — защита приватности наших пользователей и их клиентов. Мы ищем Privacy-эксперта, который будет вместе с нами развивать процессы обеспечения приватности, а также Privacy-сервисы для пользователей.
На ярмарке вакансий RPPA опубликована новая позиция:
Эксперт по Data Privacy в Yandex Cloud.
Мы в Yandex Cloud уделяем огромное внимание приватности данных и информационной безопасности: и c технической, и с процессной, и с правовой точки зрения. Одно из важных направлений работы нашей команды — защита приватности наших пользователей и их клиентов. Мы ищем Privacy-эксперта, который будет вместе с нами развивать процессы обеспечения приватности, а также Privacy-сервисы для пользователей.
September 9, 2022
🇷🇺👨💻🔥 #рф #нпа #инициативы #регулирование
Еженедельное обновление дайджеста значимых событий и инициатив (общее количество за неделю 73→74), влияющих на регулирование защиты ПД в РФ.
Добавлены пункты (отмечены как New):
35. Законопроект о закреплении в законе процедуры санитизации данных ограниченного доступа
Еженедельное обновление дайджеста значимых событий и инициатив (общее количество за неделю 73→74), влияющих на регулирование защиты ПД в РФ.
Добавлены пункты (отмечены как New):
35. Законопроект о закреплении в законе процедуры санитизации данных ограниченного доступа
Яндекс Диск
Дайджест-2022.docx
Посмотреть и скачать с Яндекс Диска
September 11, 2022
dpa_2022.09.12.docx
82.6 KB
🇷🇺💡👨💻 #152фз #реформа #dpa #поручение #образец
🔸Опубликовал проект типового рамочного соглашения (Data Processing Agreement - DPA) об обработке персональных данных (с поручением их обработки), включающим дополнение о трансграничной передаче персональных данных - с учетом новой редакции 152-ФЗ о ПД.
🔸Проект DPA может быть взят за основу при структурировании договорных отношений в части поручения обработки персональных данных между контрагентами как внутри РФ, так и при трансграничной передаче персональных данных из РФ в иностранные государства.
🔸Опубликовал проект типового рамочного соглашения (Data Processing Agreement - DPA) об обработке персональных данных (с поручением их обработки), включающим дополнение о трансграничной передаче персональных данных - с учетом новой редакции 152-ФЗ о ПД.
🔸Проект DPA может быть взят за основу при структурировании договорных отношений в части поручения обработки персональных данных между контрагентами как внутри РФ, так и при трансграничной передаче персональных данных из РФ в иностранные государства.
September 12, 2022
🇷🇺⚡👨💻 #рф #вакансия #privacy
На ярмарке вакансий RPPA опубликована новая позиция:
Chief Data Protection Officer в Qiwi Group.
Одна из обязанностей: обеспечить соблюдение применимого законодательства по приватности Группой компаний в России, странах СНГ (Беларусь, Казахстан, Молдавия) и иных странах (Великобритания, Кипр, Испания, ОАЭ).
На ярмарке вакансий RPPA опубликована новая позиция:
Chief Data Protection Officer в Qiwi Group.
Одна из обязанностей: обеспечить соблюдение применимого законодательства по приватности Группой компаний в России, странах СНГ (Беларусь, Казахстан, Молдавия) и иных странах (Великобритания, Кипр, Испания, ОАЭ).
September 13, 2022
primer_zapolnenija_uvedomlenija_TPdn.pdf
206.1 KB
🇷🇺⚡🏛️ #роскомнадзор #уведомление #трансграничка
Роскомнадзор разместил на Портале ПДн образец заполнения уведомления об осуществлении трансграничной передачи ПДн.
Роскомнадзор разместил на Портале ПДн образец заполнения уведомления об осуществлении трансграничной передачи ПДн.
September 13, 2022
🇷🇺❗🏛️ #утечки #роскомнадзор #статистика #законопроект
🔸Порядка 60 крупных утечек персональных данных с начала года привели к тому, что в сети оказались более 230 млн записей с личной информацией россиян.
🔸"Необходима криминализация действий и тех, кто крадет, и тех, кто продает персональные данные. Действий тех, чей умысел очевиден...", - подчеркнули в Роскомнадзоре.
🔸Для тех, кто допустил компрометацию законно собранных персональных данных, должен быть увеличили размер административного наказания. При этом фактический размер штрафа должен зависеть от того, направил ли оператор уведомление об обработке данных, сообщил ли своевременно об утечке в уполномоченные органы, а также от того, как он отвечал на жалобы и претензии россиян и какие меры принял для снижения ущерба тем, кто пострадал от утечки.
🔶Право обработки значительных массивов персональных данных законодательно должно быть только у тех организаций, которые могут доказать способность обеспечивать надежную защиту данных, а также надлежащий доступ к ним с соблюдением требований конфиденциальности. Безопасность персональных данных может быть повышена, если оператор будет подтверждать госорганам соблюдение необходимых требований еще до начала их обработки, уверены в РКН.
🔸Порядка 60 крупных утечек персональных данных с начала года привели к тому, что в сети оказались более 230 млн записей с личной информацией россиян.
🔸"Необходима криминализация действий и тех, кто крадет, и тех, кто продает персональные данные. Действий тех, чей умысел очевиден...", - подчеркнули в Роскомнадзоре.
🔸Для тех, кто допустил компрометацию законно собранных персональных данных, должен быть увеличили размер административного наказания. При этом фактический размер штрафа должен зависеть от того, направил ли оператор уведомление об обработке данных, сообщил ли своевременно об утечке в уполномоченные органы, а также от того, как он отвечал на жалобы и претензии россиян и какие меры принял для снижения ущерба тем, кто пострадал от утечки.
🔶Право обработки значительных массивов персональных данных законодательно должно быть только у тех организаций, которые могут доказать способность обеспечивать надежную защиту данных, а также надлежащий доступ к ним с соблюдением требований конфиденциальности. Безопасность персональных данных может быть повышена, если оператор будет подтверждать госорганам соблюдение необходимых требований еще до начала их обработки, уверены в РКН.
TACC
РКН сообщил об утечке в сеть более 230 млн записей с личной информацией россиян - ТАСС
В Роскомнадзоре отметили, что зафиксировали порядка 60 крупных утечек
September 14, 2022
🇷🇺🫢🧻 #рацуха #утилизация #бумага
🔸В Ханты-Мансийском автономном округе собрались делать туалетную бумагу из секретных документов банков, нефтяных компаний и государственных организаций.
🔸«Наше предприятие уничтожает от 20 до 40 тонн секретных документов в месяц со всего округа. Это конфиденциальные документы банков, нефтяных компаний, государственных ведомств и учреждений. Из них мы сможем производить примерно до 400 000 рулонов туалетной бумаги», — сказал директор ООО «Вневедомственный архив» Ришат Валиев.
🔸В Ханты-Мансийском автономном округе собрались делать туалетную бумагу из секретных документов банков, нефтяных компаний и государственных организаций.
🔸«Наше предприятие уничтожает от 20 до 40 тонн секретных документов в месяц со всего округа. Это конфиденциальные документы банков, нефтяных компаний, государственных ведомств и учреждений. Из них мы сможем производить примерно до 400 000 рулонов туалетной бумаги», — сказал директор ООО «Вневедомственный архив» Ришат Валиев.
ura.news
В ХМАО собрались делать туалетную бумагу из секретных документов
Читайте на URA.RU
September 14, 2022
September 14, 2022
🇰🇷‼️🏛️ #штраф #google #meta #корея
🔸Власти Республики Корея наложили штраф на компании Google и Meta (признана в РФ экстремистской) в размере почти $50 млн и $22 млн соответственно из-за нарушений правил конфиденциальности персональных данных данных пользователей.
🔸Компании собирали и анализировали данные о поведении и интересах пользователей их сервисов, в том числе на сторонних площадках. Полученная информация затем использовалась для персонализированной рекламы.
🔸Google и Meta не предупреждали в явной форме о своих действиях и не получали предварительного согласия со стороны пользователей.
🔸Власти Республики Корея наложили штраф на компании Google и Meta (признана в РФ экстремистской) в размере почти $50 млн и $22 млн соответственно из-за нарушений правил конфиденциальности персональных данных данных пользователей.
🔸Компании собирали и анализировали данные о поведении и интересах пользователей их сервисов, в том числе на сторонних площадках. Полученная информация затем использовалась для персонализированной рекламы.
🔸Google и Meta не предупреждали в явной форме о своих действиях и не получали предварительного согласия со стороны пользователей.
TACC
В Южной Корее оштрафовали Google и Meta - ТАСС
Штрафы составили почти $50 млн и $22 млн соответственно
September 14, 2022
🇷🇺🫣🏛️ #утечки #хинштейн #мнение
🔸Взрывной рост утечек персональных данных в высокой степени связан со специальной военной операцией, убежден глава комитета Госдумы по информполитике Александр Хинштейн.
🔸«Коллеги из Роскомнадзора уверены (и я с ними согласен), что спецслужбы противника ведут системный сбор баз данных россиян для различных военных и специальных задач», — отметил Хинштейн в телеграм-канале.
🔸Взрывной рост утечек персональных данных в высокой степени связан со специальной военной операцией, убежден глава комитета Госдумы по информполитике Александр Хинштейн.
🔸«Коллеги из Роскомнадзора уверены (и я с ними согласен), что спецслужбы противника ведут системный сбор баз данных россиян для различных военных и специальных задач», — отметил Хинштейн в телеграм-канале.
ИА REGNUM
В Госдуме связали взрывной рост утечек персональных данных со СВО
Важно понимать, что такой взрывной рост утечек персональных данных в высокой степени связан со специальной военной операцией, убежден глава комитета Госдумы ...
September 14, 2022
🇷🇺🫣🏛️ #утечки #горелкин #мнение
По мнению депутата Госдумы Антона Горелкина, необходимо вводить практику оборотных штрафов, а параллельно вводить в законодательство понятие оператора «значительных массивов данных». Сейчас любое юрлицо может законно заниматься обработкой любых объемов информации – и не обязано доказывать государству, что способно обеспечить их должную защиту. Право обработки значительных массивов персональных данных нужно оставить только тем организациям, которые подтвердят должный уровень информационной безопасности.
По мнению депутата Госдумы Антона Горелкина, необходимо вводить практику оборотных штрафов, а параллельно вводить в законодательство понятие оператора «значительных массивов данных». Сейчас любое юрлицо может законно заниматься обработкой любых объемов информации – и не обязано доказывать государству, что способно обеспечить их должную защиту. Право обработки значительных массивов персональных данных нужно оставить только тем организациям, которые подтвердят должный уровень информационной безопасности.
Telegram
Горелкин
По оценке Роскомнадзора, с начала года произошло не менее 60 крупных утечек информации, в результате которых были скопрометированы данные миллионов россиян. Злоумышленники получили доступ к именам, фамилиям, адресам, медицинской информации, потребительских…
September 14, 2022
Privacy Advocates
primer_zapolnenija_uvedomlenija_TPdn.pdf
🇷🇺⚡🏛️ #роскомнадзор #уведомление #трансграничка #мнение
Мнение Михаила Емельянникова:
Чем дальше в лес... РКН опубликовал на своем портале уполномоченного образец заполнения уведомления о трансграничной передаче. Закону опять не соответствует. Адреса оператора, даты и номера ранее направленного уведомления о намерении осуществлять обработку персональных данных нет, зато есть ИНН, регион регистрации и адрес электронной почты, не предусмотренные ч.4 ст.12 в новой редакции. Указано две разных цели, а в законе - слово цель в единственном числе. А мы помним, как надо составлять документы, когда слово в единственном числе. Про дальнейшую обработку переданных персональных данных - ни слова.
А теперь немного отсебятины (т.е. отменятины). Есть цели - командировки и обучение. Новая форма основного уведомления с разблюдовкой по целям предполагаем максимальное укрупнение целей. В данном случае - реализация трудовых отношений. Отдельные цели для трангранички порождают неизбежный вопрос о соответствии основного уведомления и дополнительного, а также о содержании локальных актов, где цели указаны. Маячит обычная при проверках ст.19.7 о несоответствии уведомления фактическому состоянию дел.
Вот такой экспресс-анализ.
Мнение Михаила Емельянникова:
Чем дальше в лес... РКН опубликовал на своем портале уполномоченного образец заполнения уведомления о трансграничной передаче. Закону опять не соответствует. Адреса оператора, даты и номера ранее направленного уведомления о намерении осуществлять обработку персональных данных нет, зато есть ИНН, регион регистрации и адрес электронной почты, не предусмотренные ч.4 ст.12 в новой редакции. Указано две разных цели, а в законе - слово цель в единственном числе. А мы помним, как надо составлять документы, когда слово в единственном числе. Про дальнейшую обработку переданных персональных данных - ни слова.
А теперь немного отсебятины (т.е. отменятины). Есть цели - командировки и обучение. Новая форма основного уведомления с разблюдовкой по целям предполагаем максимальное укрупнение целей. В данном случае - реализация трудовых отношений. Отдельные цели для трангранички порождают неизбежный вопрос о соответствии основного уведомления и дополнительного, а также о содержании локальных актов, где цели указаны. Маячит обычная при проверках ст.19.7 о несоответствии уведомления фактическому состоянию дел.
Вот такой экспресс-анализ.
Telegram
Михаил Емельянников
September 14, 2022
This media is not supported in your browser
VIEW IN TELEGRAM
🇷🇺✌️🎉 #rppa #privacy #celebration
Ура, к Russian Privacy Professional Association присоединился 1000-ый участник!
Ура, к Russian Privacy Professional Association присоединился 1000-ый участник!
September 14, 2022
🇷🇺⚡🏛️ #правительство #уведомление #трансграничка
Проекты постановлений Правительства РФ (спасибо @KZyubanov):
🔸О порядке принятия решения о запрещении или ограничении трансграничной передачи по представлению Роскомнадзора
🔸О порядке принятия решения о запрещении или ограничении трансграничной передачи в целях защиты нравственности, здоровья, прав и законных интересов граждан
🔸О случаях, когда уведомление Роскомнадзора о трансграничной передаче не требуется
Проекты постановлений Правительства РФ (спасибо @KZyubanov):
🔸О порядке принятия решения о запрещении или ограничении трансграничной передачи по представлению Роскомнадзора
🔸О порядке принятия решения о запрещении или ограничении трансграничной передачи в целях защиты нравственности, здоровья, прав и законных интересов граждан
🔸О случаях, когда уведомление Роскомнадзора о трансграничной передаче не требуется
September 14, 2022
🇷🇺‼️🏛️ #роскомнадзор #уведомление #трансграничка #запрет
Некоторые новации проекта постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
🔶Роскомнадзор может запросить у российских операторов сведения из ч.5 ст.12 152-ФЗ «О персональных данных» в следующих случаях:
🔸отсутствие у Роскомнадзора сведений о наличии уполномоченного органа по ПД в иностранном государстве, где находится зарубежный получатель ПД;
🔸планируется трансграничная передача биометрических ПД, специальных категорий ПД, обезличенных ПД, ПД несовершеннолетних лиц;
🔸поступление в Роскомнадзор жалобы на зарубежного получателя ПД.
🔶Роскомнадзор будет запрещать российским операторам трансграничную передачу ПД (ч.8 ст.12 152-ФЗ «О персональных данных») в следующих случаях:
🔸зарубежным получателем ПД не принимаются меры по защите передаваемых ПД, а равно не определены условия прекращения их обработки;
🔸зарубежный получатель ПД является организацией, запрещенной судом РФ;
🔸зарубежный получатель ПД включен в перечень иностранных и международных неправительственных организаций, деятельность которых нежелательна в РФ;
🔸трансграничная передача и дальнейшая обработка переданных ПД не совместима с целями сбора ПД;
🔸трансграничная передача ПД не предусмотрена ч.1 ст.6 152-ФЗ «О персональных данных».
Некоторые новации проекта постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
🔶Роскомнадзор может запросить у российских операторов сведения из ч.5 ст.12 152-ФЗ «О персональных данных» в следующих случаях:
🔸отсутствие у Роскомнадзора сведений о наличии уполномоченного органа по ПД в иностранном государстве, где находится зарубежный получатель ПД;
🔸планируется трансграничная передача биометрических ПД, специальных категорий ПД, обезличенных ПД, ПД несовершеннолетних лиц;
🔸поступление в Роскомнадзор жалобы на зарубежного получателя ПД.
🔶Роскомнадзор будет запрещать российским операторам трансграничную передачу ПД (ч.8 ст.12 152-ФЗ «О персональных данных») в следующих случаях:
🔸зарубежным получателем ПД не принимаются меры по защите передаваемых ПД, а равно не определены условия прекращения их обработки;
🔸зарубежный получатель ПД является организацией, запрещенной судом РФ;
🔸зарубежный получатель ПД включен в перечень иностранных и международных неправительственных организаций, деятельность которых нежелательна в РФ;
🔸трансграничная передача и дальнейшая обработка переданных ПД не совместима с целями сбора ПД;
🔸трансграничная передача ПД не предусмотрена ч.1 ст.6 152-ФЗ «О персональных данных».
September 15, 2022
September 15, 2022
Forwarded from Утечки информации
В свободный доступ был выложен частичный дамп базы данных покупателей интернет-магазина «Интимшоп» (intimshop.ru).
В дампе 126,969 строк, содержащих:
🌵 имя (иногда ФИО)
🌵 адрес эл. почты
🌵 телефон (около 84 тыс. уникальных номеров)
🌵 хешированный (MD5 без соли) пароль
🌵 город
🌵 дата рождения (не у всех)
🌵 дата регистрации и обновления профиля (с 21.07.2003 по 13.09.2022)
🌵 кол-во начисленных бонусов
Из-за использования "слабого" алгоритма хеширования паролей, около 40 тыс. паролей находятся мгновенно. 😱
В дампе 126,969 строк, содержащих:
🌵 имя (иногда ФИО)
🌵 адрес эл. почты
🌵 телефон (около 84 тыс. уникальных номеров)
🌵 хешированный (MD5 без соли) пароль
🌵 город
🌵 дата рождения (не у всех)
🌵 дата регистрации и обновления профиля (с 21.07.2003 по 13.09.2022)
🌵 кол-во начисленных бонусов
Из-за использования "слабого" алгоритма хеширования паролей, около 40 тыс. паролей находятся мгновенно. 😱
September 15, 2022
🇷🇺🤔🏛️ #152фз #реформа #госсопка #нкцки #инцидент
Хотя еще не опубликован проект требований в отношении порядка взаимодействия операторов с ГосСОПКА, включая информирования ФСБ о компьютерных инцидентах (см. ч.12 ст.19 152-ФЗ), но будет не лишним хотя бы базово просветиться на предмет взаимодействия с НКЦКИ.
https://www.youtube.com/watch?v=jKs6hVvizGE
(за ролик спасибо @Alyona_Gerrra)
Хотя еще не опубликован проект требований в отношении порядка взаимодействия операторов с ГосСОПКА, включая информирования ФСБ о компьютерных инцидентах (см. ч.12 ст.19 152-ФЗ), но будет не лишним хотя бы базово просветиться на предмет взаимодействия с НКЦКИ.
https://www.youtube.com/watch?v=jKs6hVvizGE
(за ролик спасибо @Alyona_Gerrra)
YouTube
Взаимодействие с НКЦКИ, Григорий Ревенко, R Vision
September 15, 2022