Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
💥 Пятикратное привлечение DPO к административной ответственности
🔸В 2022 году на сайте www.dom.gosslugi.ru управляющей организацией ООО "СЕРВИСГРАД" были размещены в свободном доступе пять договоров управления многоквартирным домом, содержащие персональные данные, без наличия соответствующего правового основания.
🔸Никулинская межрайонная прокуратура города Москвы вынесла пять постановлений об административном правонарушении по ч.1 ст.13.11 КоАП РФ в отношении заместителя генерального директора вышеуказанной организации, на которого ранее приказом генерального директора этой организации была возложена ответственность «за обеспечение защиты персональных данных в организации».
🔸Заместитель генерального директора полностью признал вину в совершении указанных правонарушений.
🔸Мировой судья судебного участка № 414 Алексеевского района г. Москвы 19.04.2022 признал заместителя генерального директора виновным в совершении административного правонарушении по ч.1 ст.13.11 КоАП РФ по всем пяти эпизодам (дела № 05-0454/414/2022, 05-0473/414/2022 – 05-0476/414/2022) и назначил ему пять административных штрафов.
🔸Аналогичные судебные решения были также вынесены в отношении самой организации (т.е. к административной ответственности были привлечены как сам оператор, так и его должностное лицо).
▪️https://mos-sud.ru/414/cases/docs/content/91afbb08-0efa-4473-b103-257e2b65062a
▪️https://mos-sud.ru/414/cases/docs/content/6f5ce354-d8f1-44b9-8c31-9d0037629935
▪️https://mos-sud.ru/414/cases/docs/content/9971f347-98a8-4761-81a0-2de5773e8714
▪️https://mos-sud.ru/414/cases/docs/content/06efbd24-1d3b-404a-ac74-db95016d0944
▪️https://mos-sud.ru/414/cases/docs/content/730fdd3a-63ca-49d8-a21e-c52e926b238e
🇷🇺👨‍💻⚖️#dpo #суд #штраф #прокуратура
Forwarded from РоскомнадZор
⚠️ Вниманию российских организаций, использующих иностранные сервисы

1 марта 2023 года вступают в силу ч. 8-10 ст. 10 закона «Об информации, информационных технологиях и о защите информации».

Закон устанавливает запрет для ряда российских организаций на использование иностранных мессенджеров (принадлежащих иностранным лицам информационных систем и программ для ЭВМ, которые предназначены и (или) используются для обмена сообщениями исключительно между их пользователями, при котором отправитель определяет получателей сообщений и не предусматривается размещение интернет-пользователями общедоступной информации в интернете).

По состоянию на 1 марта 2023 года к таким сервисам могут быть отнесены:
1. Discord;
2. Microsoft Teams;
3. Skype for Business;
4. Snapchat;
5. Telegram;
6. Threema;
7. Viber;
8. WhatsApp;
9. WeChat.

Просим российские организации учитывать новые обстоятельства при планировании своей деятельности.
🔸На каждого сотрудника кадровики заводят папку с документами, которая хранится много лет. Уменьшить канцелярские горы помогает переход на электронный документооборот, который начался в России в 2021 году. А с 1 марта приказ Минтруда утвердил единые требования к составу и форматам кадровых документов, которые будут оформлять только в электронном виде, не дублируя на бумаге.
🔸Как говорится в приказе Минтруда, электронный кадровый документ должен состоять из основной части — это PDF-файл, — а также приложений в текстовых, табличных, графических и структурированных форматах, электронной подписи, если она есть, машиночитаемой доверенности для подписи и описания электронного документа в формате XML.
🔸В списке — 124 документа, разделенных на группы. К примеру, это все, что касается приема на работу, трудовой договор, заявление об отсутствии трудовой книжки, соглашение о продлении срочного трудового договора. Также это документы, регламентирующие рабочее время и отдых, такие как извещение о времени начала отпуска или заявление работника о предоставлении отпуска без сохранения заработной платы. В этом же списке персональные данные, договор о материальной ответственности, документы об оплате и охране труда, об образовании работника, изменениях условий трудового договора и многие другие.
🇷🇺🏛️ #нпа #минтруд #пд #эдо
🔸Правила о трансграничной передаче персональных данных россиян вступают в силу.
🔸Запрет на передачу личных данных из ЕГРН без согласия собственника вступил в силу.
🔸В России вступил в силу новый порядок учета медицинских и фармацевтических работников.
🔸Вступил в силу закон о публикации деклараций депутатов и сенаторов в обезличенном виде.
Privacy Advocates
«СберЛогистика» начала проверку по факту утечки данных пользователей и сотрудников. Об этом RSpectr сообщили в пресс-службе компании. Там отметили, что мошенники часто пытаются продать компиляции старых баз данных под видом оригинальных. «Мы проверяем информацию…
Информация об утечке данных пользователей Сбербанка не соответствует действительности. «На хакерских ресурсах в интернете представлены различные данные, имеющие отношение к клиентам Сбербанка. Это компиляции различных баз данных, полученные в результате взлома компаний-подрядчиков дочерних компаний «Сбера». Никакой чувствительной финансовой информации в них нет», — сообщили в пресс-службе компании.
💥Прокурорская проверка обработки персональных данных при поддержке ФСБ и Росгвардии. Итог - привлечение DPO к ответственности
🔸ООО «Савёлкинский проезд, д.4» осуществлял пропускной режим в здание управление бизнес-центром «Зеленоград». 20.01.2022 года прокуратурой Зеленоградского административного округа г. Москвы, в связи с обращением гражданки была проведена проверка исполнения законодательства о персональных данных указанным юридическим лицом. К проведению проверки в качестве специалистов были привлечены сотрудники территориального отдела ФСБ и Отдела лицензионно-разрешительной работы Росгвардии по Зелкноградскому АО.
🔸В ходе проверки был установлен факт хранения с 02.10.2021 года на компьютерах, используемых администраторами ООО «Савёлкинский проезд, д. 4», 170-и фотографий учащихся ООО «***» (Центр Компьютерного Обучения и дополнительного образования) с указанием фамилий, имен и отчеств каждого ребенка (биометрические персональные данные - исходя из Определения ВС РФ от 05.03.2018 № 307-КГ18-101 и письма Минцифры России от 17.07.2020 № ОП-П24-070-19433). Через несколько минут после осмотра компьютеров обнаруженные файлы были удалены из компьютеров кем-то из сотрудников ООО «Савелкинский проезд, д.4».
🔸Должностное лицо - старший администратор ООО «Савёлкинский проезд, д.4» - на основании приказа руководителя организации является лицом, ответственным за обработку персональных данных субъектов при оформлении электронных карт доступа. Таким образом, старший администратор ООО «Савёлкинский проезд, д.4» осуществлял незаконную обработку персональных данных 170-и учащихся ООО «*», то есть совершил административное правонарушение, предусмотренное ч.2 ст.13.11 КоАП РФ, так как письменные согласия родителей на обработку персональных данных их детей в управляющей компании и ООО «*» отсутствовали.
🔸Решением мирового судьи судебного участка №2 района Савёлки г. Москвы 18.04.2022 старшему администратору ООО «Савёлкинский проезд, д.4» был назначен административный штраф в 20,000 ₽ по ч.2 ст.13.11 КоАП РФ. Зеленоградский районный суд Москвы 23.06.2022 оставил указанное решение в силе.
▪️https://mos-sud.ru/2/cases/docs/content/bcc05db1-05cb-4ced-b951-f6f8bf88a0eb
▪️ https://судебныерешения.рф/68670025/extended
🇷🇺👨‍💻⚖️#dpo #суд #штраф #биометрия #прокуратура
💥Прокуратура потерялась в ст.10 152-ФЗ, но попыталась выправить ситуацию в ходе судебного заседания.
🔸По постановлению Никулинского межрайонного прокурора города Москвы от 20.10.2021 генеральный директор ООО ЧОП «Булгак» привлекается к административной ответственности за обработку персональных данных без согласия в письменной форме субъекта персональных данных. В соответствии с приказом ЧОП ответственным лицом за обработку персональных данных в организации является генеральный директор.
🔸Сотрудниками ЧОП, осуществляющими охрану здания, ведется «Журнал учета и регистрации посетителей», в которых указываются дата и время прибытия посетителей здания, фамилия, имя, отчество, время убытия, а также профессия («лифтёр», «лифт», «полиция», «МЧС», «прокуратура»). Защитник пояснил, что сотрудниками ЧОП записывались только фамилии и инициалы посетителей, что не является идентификатором конкретного физического лица, указываемая в журнале профессия не входит в исчерпывающий перечень персональных данных, охраняемых федеральным законом. Указывая в «Журнале учета и регистрации посетителей» инициалы посетителей, сотрудники ЧОП обезличивали их персональные данные, в результате чего идентифицировать по ним конкретное лицо невозможно. При этом даже если допустить возможность идентификации лица по каким-либо указанным прокурором сведениям, именно письменного согласия, как указано в санкции ч.2 ст.13.11 КоАП, для этих данных не требуется, все случаи необходимости получения письменного согласия перечислены в ч.1, 2, ст.10 Закона № 152-ФЗ «О персональных данных».
🔸Копию страницы журнала, содержащая персональные данных ряда лиц, мировой судья признает недопустимым и неотносимым доказательством, так как из формы и структуры представленного на данной фотографии журнала усматривается, что это какой-то иной журнал, при этом в отсутствии обложки журнала, наименования колонок, указания организации, которая ведет журнал, печати организации и иных сведений, невозможно сделать вывод о том, что это за журнал, и кем (какой организацией) он ведется. Защитник ведение обществом данного журнала отрицал, указав, что все журналы были изъяты прокуратурой в ходе проверки и представить какие-либо оригиналы не представляется возможным. Помощники прокурора в судебном заседании также затруднились пояснить, изображение какого журнала представлено на данной фотографии, кем, когда и при каких обстоятельствах оно было сделано. При этом сведения о ведении привлекаемым лицом каких-либо иных журналов не отражены в рапорте помощника прокурора, составленного по результатам проверки, в постановлении о возбуждении дела об административном правонарушении, либо в каких-либо иных материалах дела.
🔸Мировой судья не принял довод прокурора о том, что в случае отсутствия состава, предусмотренного ч.2 ст.13.11 КоАП, генеральный директор может быть привлечен к ответственности по ч.1 ст.13.11 КоАП, так как ведение охранным предприятием журналов регистрации посетителей нельзя признать действиями, не соответствующими целям и смыслу охранной деятельности.
🔸По мнению мирового судьи, указание фамилий посетителей с инициалами без каких-либо паспортных или иных контактных данных позволяющих персонифицировать посетителя, не требуют согласия посетителей на обработку персональных данных в письменной форме. Фамилия и инициалы гражданина относятся к персональным данным субъекта. Однако без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных невозможно. Записи вида «дата и время прибытия» - «полиция», «МЧС», «прокуратура» вообще не содержат сведений о конкретном субъекте персональных данных, в связи с чем данные записи нельзя признать содержащими персональные данные. Таким образом, в действиях генерального директора отсутствует состав административного правонарушения.
▪️https://mos-sud.ru/390/cases/docs/content/b97dfe8f-3c6f-422a-8c33-1a48258752c8
🇷🇺👨‍💻⚖️#dpo #суд #чоп #прокуратура
РКН_01.03.2023.pdf
180.9 KB
🔸В ожидании и предвкушении сегодняшнего мероприятия Роскомнадзора обратимся к его ответу на животрепещущий вопрос: являются ли сведения о модификации человеческого тела (татуировки, пирсинг, тоннели в мочках ушей, губах, щеках, перманентный макияж и т.п.) персональными данными?
🔸Ответ Роскомнадзора: сведения о модификации человеческого тела (татуировки, пирсинг, тоннели в мочках ушей, губах, щеках, перманентный макияж и т.п.) будут являться персональными данными исключительно в совокупности с дополнительной информацией, позволяющей отнести ее к конкретному физическому лицу.
🇷🇺💡🏛️ #ркн #пд #тело
С сентября 2022 года в Роскомнадзор поступило более 150 уведомлений об утечках персональных данных.

Об этом на вебинаре РКН сообщил заместитель руководителя ведомства Милош Вагнер.

По его словам, реформа законодательства о защите персональных данных, прошедшая в 2022 году закрепила принцип экстерриториальности. Это означает, что требования закона распространяются на обработку персональных данных российских граждан, даже если такая обработка происходит за пределами РФ, пояснил представитель Роскомнадзора.

«Также более сбалансированными стали отношения ''человек и оператор ПД’’. Срок ответа на требования гражданина сокращен до 10 дней, а в договора теперь нельзя включать ряд условий, которые дискриминируют или понуждают человека к предоставлению своих ПД», – отметил Милош Вагнер.

По его словам, третья группа изменений касается трансграничной передачи персданных. «Оператор при передаче ПД за границу должен убедиться, что они будут защищены, а граждане РФ не будут поражены в правах», - подчеркнул он.

Для исполнения обновленного закона «О персональных данных» Роскомнадзор во второй половине прошлого года выпустил пять приказов:
1. В приказе №128 от 05.08.2022 г. перечислены 89 стран (в том числе Китай и Индия), которые обеспечивают адекватную защиту прав субъектов ПД. В них можно передавать данные не дожидаясь решения РКН по уведомлению о намерении осуществлять трансграничную передачу данных.
2. Приказ №178 от 27.10.2022 г. задает ориентир для операторов ПД как структурировать свою деятельность через модель риска нарушения прав граждан. Например, как в результате внутреннего аудита можно отнести те или иные обработки ПД к высокому, среднему или низкому уровню риска для прав граждан.
3. Приказ №179 от 29.10.2022 г. определяет допустимые способы подтверждения, документирования уничтожения ПД. «Одним из важнейших условий защиты ПД и их дальнейшей некомпрометации является их уничтожение по достижению целей обработки. Чем, к сожалению, сейчас часто пренебрегают операторы ПД», – подчеркнул Милош Вагнер.
4. Приказ №180 от 28.10.2022 г. утвердил новые формы уведомлений о намерении осуществлять обработку ПД. Такие уведомления теперь нужно отправлять большему количеству операторов персданных. «Теперь набор сведений и данных, обработку и перечень действий нужно привязывать к каждой цели. Это нужно для того, чтобы и оператор и мы смогли оценить, на сколько собираемый объем ПД соответствует цели обработки данных», – подчеркнул представитель РКН.
5. Приказ №187 от 14.11. 2022 г. определяет, в какой последовательности и какую информацию нужно направить в Роскомнадзор если стало известно о компрометации персданных – если оператор обнаружил признаки утечки ПД из собственных баз данных.
«К сожалению, последняя норма оказалась очень востребованной, с сентября прошлого года в Роскомнадзор поступило более 150 таких уведомлений», – рассказал Милош Вагнер.
Privacy Advocates
РКН_2023.03.01.pdf
Вебинар РКН от 01.03.2023.pdf
1.9 MB
Конспект вебинара Роскомнадзора 01.03.2023 от @KZyubanov
🇷🇺💡🏛️ #ркн #пд #дод
Минцифры высказалось по поводу штрафов за утечки персональных данных.

Текущие размеры штрафов операторов персональных данных (ПД), допустивших утечки – до 100 тыс. рублей за первое нарушение, до 300 тыс. рублей при повторном – несоразмерны потенциальному вреду субъектам ПД. Об этом на вебинаре Роскомнадзора заявила заместитель директора Департамента обеспечения кибербезопасности Минцифры РФ Айсалу Бадягина.

«Мы стремимся найти взвешенное решение, которое с одной стороны обеспечит безопасность наших граждан, а с другой будет побуждать операторов ПД соблюдать требования по обработке персданных», – сказала Айсалу Бадягина.

По ее словам, в настоящее время Минцифры в рамках исполнения поручений президента РФ прорабатывает изменения в Кодекс об административных правонарушениях (КоАП) о штрафах за утечки баз данных, содержащих ПД.

Ответственность будет зависеть от количества пострадавших субъектов ПД, строк в базах данных, а также от чувствительности скомпрометированных данных. За утечку биометрических данных или данных, относящихся к спецкатегориям ответственность будет выше, подчеркнула представитель Минцифры.

«Важный пункт – это установление фиксированного штрафа за первичную утечку и оборотного за повторное нарушение. Также прорабатывается вопрос о введении верхней и нижней границ для оборотных штрафов», – рассказала Айсалу Бадягина. Предполагаемые размеры штрафов за утечки персданных сейчас обсуждаются, но пока Минцифры не готово их озвучить, добавила она.

Предложения в КоАП содержат ряд смягчающих и отягчающих обстоятельств, причем одно из смягчающих – это добровольная сертификация, а одно из отягчающих – неуведомление РКН.

Дополнительно в КоАП будет внесено предложение об отдельном составе за неуведомление об утечке, добавила представитель Минцифры.

Изменения в КоАП повлекут изменения в закон «О персональных данных», в том числе добровольную сертификацию и возможность Роскомнадзора привлекать аккредитованных экспертов для расследования утечек, отметила Айсалу Бадягина.

«Один из дискуссионных вопросов – это вопрос компенсации вреда гражданам, пострадавшим от утечек. Мы хотели бы призвать операторов, возможно на уровне локальных актов, предусмотреть в своих правилах добровольную компенсацию субъектам ПД», – сказала она.
Forwarded from РоскомнадZор
М_Э_Вагнер_«Новеллы_законодательства».pdf
451 KB
📑 1 марта Роскомнадзор провел вебинар, посвященный теме персональных данных. О результатах работы ведомства за 2022 год и нововведениях в сфере ПД рассказал заместитель руководителя Роскомнадзора Милош Вагнер.

В прошлом году Роскомнадзор утвердил 5 приказов, необходимых для реализации новых положений Федерального закона «О персональных данных». Это базовый закон о ПД. И его необходимо обновлять с учетом развития технологий и перехода к цифровой форме коммуникаций.

Итак, приказы, которые утвердили в 2022 году:

1️⃣ Первый приказ определяет перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных. В него включены 89 стран, в том числе Китай и Индия.

2️⃣ Второй приказ объясняет операторам, как структурировать свою работу через модель рисков нарушения прав граждан.

3️⃣ Третий приказ определяет допустимые способы подтверждения уничтожения персональных данных. Это важно, ведь оператор ПД должен не только правильно обрабатывать, хранить, но и уничтожать полученные сведения после достижения цели обработки.

4️⃣ Четвертый приказ утверждает новые формы уведомлений о намерении обрабатывать персональные данные. Это позволит оценить и самому оператору, и Роскомнадзору соответствие объема обрабатываемых персональных данных заявленным целям.

5️⃣ Пятый приказ определяет, как, в какой последовательности и какую информацию нужно направить в Роскомнадзор, если оператору стало известно о компрометации персональных данных, находящихся в его распоряжении. Речь об утечках персональных данных.

Что еще сделали в 2022 году? Провели:

113 плановых проверок, по результатам которых выявлено 380 нарушений;

91 внеплановую проверку, 78 из них — по признакам утечек персональных данных;

более 2300 обязательных профилактических визитов. Даны разъяснения, как лучше организовать работу по обработке персональных данных;

более 3000 мероприятий без взаимодействия с контролируемыми лицами. Эксперты ведомства выявили нарушения в работе более 50% интернет-сайтов.
💥Суд постановил, что использование адреса электронной почты для рассылки сообщений подтверждает обработку персональных.
🔸Управлением Роскомнадзора по ЦФО было рассмотрено обращение гражданки по вопросу нарушения её прав в части прекращения обработки персональных данных. В своем обращении гражданка сообщила, что на её электронную почту приходила рассылка от ГКУ ЦЗН. Вместе с тем, ранее гражданкой в адрес ГКУ ЦЗН через МФЦ было подано заявление об отзыве согласия на обработку персональных данных.
🔸Использование адреса электронной почты заявителя для продолжающейся рассылки сообщений подтверждает продолжение обработки персональных данных заявителя. Согласия на осуществление рассылки заявитель не предоставляла. В связи с обращением заявителя была проведена проверка ГКУ ЦЗН, было выявлено нарушение законодательства о персональных данных со стороны ГКУ ЦЗН, так как заявителю поступают сообщения в целях продвижения работ (услуг) после отзыва согласия на обработку персональных данных.
🔸Согласно ч.1 и ч.2 ст.15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
🔸Действия ГКУ ЦЗН мировой судья квалифицировал как административное нарушение по ч.1 ст.13.11 КоАП. ГКУ ЦЗН 30.05.2022 назначен штрафа в размере 60,000 ₽. Впоследствии, это решение было обжаловано, но текст решения районного суда от 14.07.2022 недоступен.
▪️ https://mos-sud.ru/410/cases/docs/content/20e8ae5e-08f8-48c4-a3bc-c686ff994275
▪️ https://mos-gorsud.ru/rs/meshchanskij/services/cases/appeal-admin/details/4e5b63a0-e65a-11ec-8a83-db6dc3ed35fe?uid=77MS0010-01-2022-001427-32
🇷🇺👨‍💻⚖️#реклама #суд #пд #email
Команда Comply ищет в свою Privacy практику джун и мидл консультантов.

🔷 ТРЕБОВАНИЯ есть, и от их уровня зависит итоговый грейд
— Опыт работы в сфере privacy (больше — лучше, но без жестких рамок)
— Жажда новых проектов и развития
— Обязательно хотя бы базовое понимание работы IT-технологий
— Soft skills & творческая проактивность & внимательность, пожалуйста 🙏
— Ю кэн холд эн интервью ин Инглиш, кан’т ю?

🔷 УСЛОВИЯ понятные и приятные
— Удаленная работа и flexible-график комфортный даже для кочевников
— Конкурентная оплата
— Стек задач зависит от грейда и тебя лично — с уклоном в IT или project-менеджмент
— Нет типовых проектов — каждый раз это deep dive в бизнес клиента

🔷 ПРОФИТЫ в наличии
— При желании участие в разработке privacy-tech продуктов
— Крупнейшие компании-клиенты в РФ и (все еще) международные проекты
— Столько ответственности и свободы, сколько комфортно осилишь
— Поощрение за новых клиентов и лидов
— Полный набор возможностей для развития твоего личного бренда

И главное — амбициознейшая, сильнейшая и очаровательнейшая команда на рынке ☺️

Если интересно, пиши [email protected].