Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
🇷🇺🏛️ #152фз #реформа #уведомление #утечки #роскомнадзор

Опубликована электронная форма подачи уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

🔶Сведения об инциденте
🔸Дата и время выявления инцидента - укажите дату и время, когда оператору стало известно о произошедшем инциденте.
🔸Предполагаемые причины, повлекшие нарушение прав субъектов ПД - укажите предварительные причины неправомерного распространения персональных данных, повлекшего нарушение прав субъектов персональных данных, например, несанкционированный доступ внешнего пользователя, несанкционированный доступ, связанный с уязвимостями программного обеспечения информационной системы и иные.
🔸Характеристики персональных данных - укажите информацию о содержании скомпрометированной базы данных (категории субъектов персональных данных (например, работники, клиенты, контрагенты и др.) примерное количество записей, перечень категорий персональных данных (например, ФИО, дата рождения, данные документа, удостоверяющего личность, сведения об образовании и др.), актуальность базы данных, а также период, в течение которого собраны данные.
🔸Предполагаемый вред, нанесенный правам субъектов ПД - укажите результаты предварительной оценки вреда, который может быть нанесен субъектам персональных данных, в связи с неправомерным распространением персональных данных, а также последствия нанесенного вреда.
🔸Принятые меры по устранению последствий инцидента - укажите перечень принятых оператором организационных и технических мер по устранению последствий инцидента в соответствии со ст.ст. 18.1, 19 Федерального закона «О персональных данных».
🔸Дополнительные сведения - укажите дополнительные сведения о произошедшем инциденте, находящиеся в распоряжении оператора, в том числе об источнике получения информации об инциденте (СМИ, социальные сети, запрос уполномоченного органа и т.д.), ссылки на информационные ресурсы, иное.
🔸Приложение - можете приложить дополнительные материалы, в том числе о подтверждении принятия мер по устранению последствий инцидента.

🔶Контактные данные
🔸ФИО лица, уполномоченного оператором на взаимодействие с Роскомнадзором по инциденту.
🔸Контактные данные лица, уполномоченного на взаимодействие - укажите адрес электронной почты, почтовый адрес, номер телефона лица, ответственного за взаимодействие с Роскомнадзором, по вопросу произошедшего инцидента.

🔶Результаты внутреннего расследования
В случае, если на момент заполнения указанного уведомления проведение внутреннего расследования инцидента не завершено, можно предоставить соответствующие сведения о результатах внутреннего расследования инцидента позднее – в течение 72 часов с момента выявления такого инцидента.
🔸Результаты внутреннего расследования инцидента - укажите итоговую информацию о результатах внутреннего расследования, в том числе:
- о причинах, повлекших неправомерное распространение персональных данных,
- о нанесенном правам субъекта персональных данных вреде,
- об информационной системе, к которой был осуществлен несанкционированный доступ,
- о дополнительных мерах, принятых по результатам внутреннего расследования (по устранению доступа, недопущению подобных инцидентов в будущем и иные),
- о решении оператора (с указанием его реквизитов) о проведении внутренней проверки.
🔸Сведения о лицах, действия которых стали причиной инцидента - в случае, если причиной инцидента стали действия сотрудника оператора, укажите ФИО, должность такого лица. В случае, если причиной инцидента стали действия посторонних лиц, укажите имеющуюся информацию о таком лице (ФИО или наименование, IP-адрес, предполагаемое местонахождение и иное).
🇷🇺🏛️ #152фз #реформа #уведомление #утечки #роскомнадзор

Опубликована электронная форма подачи уведомления об осуществлении трансграничной передачи ПД персональных данных.

🔶Цель трансграничной передачи персональных данных:
🔸Требование указать наименование нормативного правового акта, в рамках которого осуществляется трансграничная передача персональных данных, или предмет договора с субъектом, в рамках которого осуществляется трансграничная передача персональных данных (например, во исполнение пункта …. договора оказания туристических услуг).
🔸Примеры неправильных формулировок цели «Осуществление трансграничной передачи персональных данных», «В рамках трудовых отношений», «В рамках договорных отношений».
🔸Возможность указать в одном уведомлении несколько целей трансграничной передачи персональных данных.

🔶Правовые основания для трансграничной передачи персональных данных:
🔸Набор оснований ограничен (по сравнению с ч.1 ст.6 152-ФЗ):- согласие субъекта ПД (п.1 ч.1 ст.6 152-ФЗ);
- международный договор или закон (п.2 ч.1 ст.6 152-ФЗ);
- участие лица в судопроизводстве (п.3 ч.1 ст.6 152-ФЗ);
- исполнение судебных и иных обязательных к исполнению актов (п.3.1 ч.1 ст.6 152-ФЗ);
- заключение и исполнение договора с субъектом ПД (п.5 ч.1 ст.6 152-ФЗ);
- деятельность журналиста/СМИ или творческая деятельность (п.8 ч.1 ст.6 152-ФЗ);
- статистическая или иная исследовательская деятельность (п.9 ч.1 ст.6 152-ФЗ).
🔸Возможность указать в одном уведомлении несколько правовых оснований трансграничной передачи персональных данных.

🔶Возможность указать в одном уведомлении несколько иностранных государств, на территории которых осуществляется передача персональных данных.
primer_zapolnenija_uvedomlenija_TPdn.pdf
206.1 KB
🇷🇺🏛️ #роскомнадзор #уведомление #трансграничка
Роскомнадзор разместил на Портале ПДн образец заполнения уведомления об осуществлении трансграничной передачи ПДн.
Privacy Advocates
primer_zapolnenija_uvedomlenija_TPdn.pdf
🇷🇺🏛️ #роскомнадзор #уведомление #трансграничка #мнение
Мнение Михаила Емельянникова:
Чем дальше в лес... РКН опубликовал на своем портале уполномоченного образец заполнения уведомления о трансграничной передаче. Закону опять не соответствует. Адреса оператора, даты и номера ранее направленного уведомления о намерении осуществлять обработку персональных данных нет, зато есть ИНН, регион регистрации и адрес электронной почты, не предусмотренные ч.4 ст.12 в новой редакции. Указано две разных цели, а в законе - слово цель в единственном числе. А мы помним, как надо составлять документы, когда слово в единственном числе. Про дальнейшую обработку переданных персональных данных - ни слова.
А теперь немного отсебятины (т.е. отменятины). Есть цели - командировки и обучение. Новая форма основного уведомления с разблюдовкой по целям предполагаем максимальное укрупнение целей. В данном случае - реализация трудовых отношений. Отдельные цели для трангранички порождают неизбежный вопрос о соответствии основного уведомления и дополнительного, а также о содержании локальных актов, где цели указаны. Маячит обычная при проверках ст.19.7 о несоответствии уведомления фактическому состоянию дел.
Вот такой экспресс-анализ.
🇷🇺‼️🏛️ #роскомнадзор #уведомление #трансграничка #запрет
Некоторые новации проекта постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

🔶Роскомнадзор может запросить у российских операторов сведения из ч.5 ст.12 152-ФЗ «О персональных данных» в следующих случаях:
🔸отсутствие у Роскомнадзора сведений о наличии уполномоченного органа по ПД в иностранном государстве, где находится зарубежный получатель ПД;
🔸планируется трансграничная передача биометрических ПД, специальных категорий ПД, обезличенных ПД, ПД несовершеннолетних лиц;
🔸поступление в Роскомнадзор жалобы на зарубежного получателя ПД.

🔶Роскомнадзор будет запрещать российским операторам трансграничную передачу ПД (ч.8 ст.12 152-ФЗ «О персональных данных») в следующих случаях:
🔸зарубежным получателем ПД не принимаются меры по защите передаваемых ПД, а равно не определены условия прекращения их обработки;
🔸зарубежный получатель ПД является организацией, запрещенной судом РФ;
🔸зарубежный получатель ПД включен в перечень иностранных и международных неправительственных организаций, деятельность которых нежелательна в РФ;
🔸трансграничная передача и дальнейшая обработка переданных ПД не совместима с целями сбора ПД;
🔸трансграничная передача ПД не предусмотрена ч.1 ст.6 152-ФЗ «О персональных данных».
🇷🇺🏛️ #роскомнадзор #уведомление #152фз #реформа
Согласно письму Роскомнадзора от 19.08.2022 № 08-75348, работодатель теперь обязан подавать в Роскомнадзор уведомление в отношении обработки данных работников, если данные сотрудников необходимы работодателю для стандартных трудовых отношений, как-то: заключение трудового договора, выплата заработной платы, передача в ПФР и ФСС информации о работниках согласно действующему законодательству, наделение работников полномочиями представителя (оформление доверенности на сотрудника в интересах организации), оформление пропусков для входа на территорию работодателя и т.д.
2022_09_29_Вебинар РКН.pdf
1.1 MB
🇷🇺🏛️ #роскомнадзор #уведомление #152фз #реформа
Презентация с вебинара Роскомнадзора от 29.09.2022.
Семинар РКН по 266-ФЗ_29.09.2022.pdf
1 MB
🇷🇺🏛️ #роскомнадзор #уведомление #152фз #реформа
@KZyubanov подготовил свою версию конспекта тезисов представителей Роскомнадзора с вебинара от 29.09.2022.
🇷🇺💡🏛️ #реформа #152фз #уведомление #ркн
🔸Должны ли организаторы общего собрания собственников МКД уведомлять Роскомнадзор о намерении обрабатывать ПД участников собрания?
🔸Очевидно, что инициатор ОСС, а также секретарь и счетная комиссия на ОСС обрабатывают ПД собственников (согласия самих собственников на это не требуется). И если эти данные будут храниться, например, в Exel, то такая обработка ПД будет производиться с использованием средств автоматизации, а это, возможно, влечет необходимость заранее уведомить Роскомнадзор о начале обработки ПД
🔸Согласно позиции ведомства, изложенной в ответ на вопрос физического лица – не ИП, – инициатору ОСС, действительно, надлежит направить Уведомление о намерении обрабатывать ПДн в адрес территориального управления Роскомнадзора по месту нахождения МКД, в котором предполагается проведение общего собрания собственников.
🇪🇺🏛️⚖️ #gdpr #edpb #инциденты #уведомление
🔸Европейский совет по защите данных (EDPB) опубликовал Руководство 9/2022 по уведомлению о нарушении безопасности персональных данных, открытое для публичных консультаций до 29.11.2022, в качестве обновленной версии предыдущего руководства WP250 (rev.01).
🔸Сам документ, в целом, не претерпел существенных изменений, за исключением параграфа 73, который представлен в следующей редакции: "Однако простое присутствие представителя [иностранного контролера] в государстве-члене ЕС не приводит в действие систему "одного окна". По этой причине о нарушении необходимо будет уведомить каждый орган [DPA] государства-члена ЕС, в котором проживают затронутые нарушением субъекты данных. Это уведомление должно быть сделано в соответствии с мандатом, данным контролером своему представителю, и под ответственность контролера."
🔸Иначе говоря, иностранному контролеру (в т.ч. из РФ) придется уведомлять об утечке персональных данных европейцев не только надзорный орган по месту нахождения представителя контролера, но во всех странах, затронутых утечкой.
Ответ РКН.pdf
180.3 KB
🇷🇺🤷‍♂️🏛️ #ркн #уведомление #реестр
🔸Вопрос: каким образом необходимо уведомить Роскомнадзор об обработке ПД группе физических лиц, образовавших общественное объединение без государственной регистрации и приобретения прав юридического лица (абз.4 ст.3 Федерального закона от 19.05.1995 № 82-ФЗ «Об общественных объединениях»)?
🔸Ответ РКН: общественному объединению необходимо стать юридическим лицом.
🔸Комментарий: "Подумала сова и говорит: Мыши, станьте ежами!"
🇮🇪🤦💻 #утечки #инциденты #уведомление #gdpr
🔸94 000 пациентов и 18 200 сотрудников Службы здравоохранения Ирландии (HSE), чьи персональные данные были похищены в результате кибератаки, получат уведомления только к апрелю 2023 года.
🔸В мае 2022 года компьютерная сеть HSE подверглась атаке вируса-шифровальщика. Пострадала большая часть данных в сети, часть данных была украдена. Кроме того, из-за атаки возникли сбои в системе здравоохранения, наиболее серьезные — в рентгенологии. Прямые потери от атаки оцениваются в €70 млн, но они могут вырасти до €100 млн.
CBT.png
265 KB
Подготовил англоязычную версию схемы по уведомлению Роскомнадзора о трансграничной передаче персональных данных из России с 01.03.2023.
🇷🇺💡👨‍💻 #роскомнадзор #уведомление #трансграничка #схема