Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
Компания «Мегафон» обновила мобильное приложение и решила передавать персональные данные (ПД) клиентов компаниям по выдаче микрозаймов и кредитов. Разработчики скрыли галочку «не согласен» в тексте нового соглашения. Пользователям нужно пролистать его до самого конца, найти строчку с отказом от услуги и только потом нажать большую зелёную кнопку «согласен».
🇷🇺🤬📱 #сопд #мегафон #optout #мнение
Автопроизводители и бизнес экспериментируют с цифровыми сервисами, а государства лишь начинают разрабатывать и внедрять национальные системы по сбору данных автовладельцев. Собеседники RSpectr считают, что законодательные нормы будут вводиться быстрее при наличии общественного резонанса, который могут создать утечки данных автовладельцев.
В Госдуме хотят изменить закон о гостайне.
В доступе к гостайне, согласно предлагаемым поправкам, может быть отказано:
• При наличии у гражданина или его близких родственников счетов и вкладов в иностранных банках;
• При наличии недвижимости за рубежом;
• При владении и пользовании иностранными финансовыми инструментами. https://www.kommersant.ru/doc/5874058?from=top_main_1
В помощь клиентам (потенциальным и действующим) кредитных и некредитных финансовых организаций, а также работающим с этими организациями privacy-экспертам - информационное письмо Банка России от 21.07.2022 № ИН-010-59/95 "О согласии на получение кредитного отчета".
🇷🇺💡🏛️ #цб #кредит #согласие
🔸Российская компания-разработчик "МойОфис" выпустила защищенную корпоративную почтовую систему "Mailion. Сертифицированный" с действующим сертификатом Федеральной службы по техническому и экспортному контролю (ФСТЭК).
🔸Почтовая система может применяться для защиты информации в значимых объектах критической информационной инфраструктуры, в государственных информационных системах, автоматизированных системах управления производственными и технологическими процессами и информационных системах персональных данных.
🇷🇺🔒📨 #сзи #email #пд
🔸Комиссия Мосгордумы по законодательству в понедельник рекомендовала столичному парламенту поддержать законопроект, фактически отменяющий подачу деклараций для депутатов, работающих на непрофессиональной основе. Кроме того, документ, разработанный для приведения городского законодательства в соответствие с федеральным, разрешает гордуме публиковать вместо сведений о доходах лишь обобщенные сведения об итогах декларационной кампании.
🔸Оппозиционеры выразили опасения, что формулировки федерального и московского законов из-за неоднозначного их толкования могут привести к жалобам на не подавших декларации коллег. Но глава комиссии Александр Семенников заверил, что проблем с этим быть не должно.
🔸При реализации полномочий в сфере защиты персональных данных Управлением Роскомнадзора по Дальневосточному федеральному округу неоднократно выявлялись факты нарушения порядка обработки персональных данных медицинскими учреждениями. Например, использование сотрудниками медицинских учреждений в своей деятельности черновиков материальных носителей, содержащих персональные данные граждан, при распечатке результатов анализов, лабораторных исследований, размещение в свободном доступе у окна регистратуры результатов анализов, результатов амбулаторных обследований лиц, обратившихся в учреждение, и т.д.
🔸Обращаем внимание, что, согласно ч. 2 ст. 5 от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон), обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. В соответствии со ст. 7 Федерального закона операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
🔸Также, согласно ч. 4 ст. 21 Федерального закона, в случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, иным соглашением или положениями законодательства.
🔸Напоминаем, что лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность, в том числе предусмотренную ст. 13.11 КоАП РФ.
🇷🇺💡🏛️ #ркн #мединфо #практика
🔸В феврале 2023 года специалистами Управления Роскомнадзора по Дальневосточному федеральному округу проведены мероприятия по контролю без взаимодействия с контролируемым лицом в отношении категории операторов «Фитнес-центры» на территории Приморского края, на предмет выявления признаков нарушений законодательства Российской Федерации в области персональных данных.
🔸При проведении мероприятий по контролю без взаимодействия, должностным лицом Управления в отношении Операторов были выявлены ряд нарушений (признаки нарушения) требований законодательства Российской Федерации в области персональных данных.
🔸На Интернет-сайтах операторов осуществляется сбор персональных данных с использованием информационно-телекоммуникационных сетей Интернет, однако отсутствует форма получения согласия на обработку персональных данных. Также, на сайтах отсутствует политика обработки персональных данных. По итогам проведения мероприятия по контролю без взаимодействия Операторам направлены требования об уточнении, блокировании или уничтожении недостоверных персональных данных.
🇷🇺👻🏛️ #ркн #сопд #web #политика
🔸В период с 02.03.2023 по 06.03.2023 Управлением Роскомнадзора по Сибирскому федеральному округу проведено мероприятие по контролю без взаимодействия с контролируемыми лицами на предмет выявления признаков нарушений законодательства в области персональных данных в отношении фитнес центров на территории Новосибирской области.
🔸По результатам проведенного мероприятия выявлены нарушения в области персональных данных в деятельности ООО «ЭДЖ ПРЕМИУМ ФИТНЕС» и ООО «ФИТНЕСС - КЛУБ «ЕВРОПА». В адрес операторов направлены требования об устранении выявленных нарушений.
🔸В целях информирования операторов, осуществляющих обработку персональных данных сообщаем, что при сборе персональных данных посредством электронных форм типа «Обратная связь», «Оплатить», «Оставить отзыв», «Написать нам», «Задать вопрос», «Оформить заявку» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку персональных данных. Также необходимо разместить на сайте документ, определяющий политику организации в отношении обработки персональных данных.
🇷🇺👻🏛️ #ркн #сопд #web #политика
💥Конец конфиденциальности цифровой переписки в ЕС
🔸Комиссия ЕС предлагает обязать провайдеров автоматически искать подозрительное содержание во всех частных чатах, сообщениях и электронных письмах - в целом и без разбора. Заявленная цель: преследование материалов о сексуальной эксплуатации детей (CSEM). Результат: Массовая слежка с помощью полностью автоматизированного наблюдения за сообщениями и чатами в режиме реального времени и конец конфиденциальности цифровой переписки.
🔸Другие аспекты предложения включают неэффективную блокировку сетей, проверку личных облачных хранилищ, включая частные фотографии, обязательную проверку возраста, что приведет к прекращению анонимного общения, цензуру в магазинах приложений и исключение несовершеннолетних из цифрового мира.
🇪🇺🤬🏛️ #переписка #цензура #дети
🔸Компания "Уралхим" не будет обжаловать штраф за нарушение закона о персональных данных, намереваясь исправить допущенные нарушения.
🔸Суд в Москве во вторник оштрафовал компанию по ч. 1 ст. 13.11 КоАП РФ ("Обработка персональных данных в случаях, не предусмотренных законодательством РФ") на 60 тыс. рублей.
🇷🇺⚖️ #суд #утечки #инциденты #штраф
🔸Мировой суд Москвы зарегистрировал протокол об административном правонарушении в отношении ООО "Спортмастер" по статье об утечке персональных данных пользователей, судебное заседание назначено на 4 апреля. Это следует из картотеки участка № 52 на портале единого информационного пространства мировых судей города Москвы.
🔸Дело будет рассматриваться по статье "Нарушение законодательства Российской Федерации в области персональных данных" Кодекса об административных нарушениях. По этой статье компании может грозить штраф до 100 тыс. рублей.
🔸В начале января ретейлер "Спортмастер" подтверждал утечку данных клиентов. Тогда компания отмечала, что она не включала платежную информацию покупателей, ретейлер проводил проверку и уведомил Роскомнадзор.
🇷🇺⚖️ #суд #утечки #инциденты
🔸Всемирное антидопинговое агентство (WADA) во время расследования допинговых дел хотело бы обладать правом доступа к персональным данным спортсменов на их электронных носителях, включая телефоны и ноутбуки. Об этом во вторник заявил президент WADA Витольд Банька, выступая на ежегодном симпозиуме организации в Лозанне.
🔸Вместе с тем Банька отметил эффективность работы департамента WADA по разведке и расследованиям, который, по его словам, успешно сотрудничает с Европолом и Интерполом. "Мы в состоянии хорошо расследовать дела ради чистоты спорта", - сказал он.
🔸YouTube неоднократно был замечен в сборе персональных данных юных пользователей, заявила член Общественной палаты РФ, директор Лиги безопасного интернета Екатерина Мизулина. По мнению эксперта, видеохостинг делает это для получения прибыли от таргетированной рекламы, а также чтобы использовать данную информацию для работы алгоритмов, отвечающих за рекомендации контента.
🔸Самая опасная ситуация, по мнению Мизулиной, связана с работой рекомендательных алгоритмов видеохостинга. «В Лигу безопасного интернета обращаются родители и рассказывают о том, что в рекомендуемых видео для детей часто проскакивают видеоролики с деструктивным контентом, связанным с насилием, убийствами, демонстрацией погибших людей и прочей опасной информация для детской психики», — отмечает она.
🇷🇺🇺🇲👶📱 #youtube #дети #мониторинг
🔸Использовать отечественные облачные сервисы полезно не только госструктурам, но и частным компаниям, это повысит безопасность хранения данных, поможет не допускать утечек. Об этом шла речь на круглом столе в Совете Федерации 14 марта.
🔸Большинство утечек персональных данных случается в корпоративном секторе российской экономики, то есть их допускают коммерческие компании, сообщил заместитель председателя Комитета палаты регионов по экономической политике Константин Долгов.
🔸Утечки из госструктур, по его словам, редкость в том числе потому, что за безопасностью государственных информсистем (ГИС) установлен строгий контроль, уже практически везде используются российское оборудование и система «Гособлако». А значит, и бизнесу стоит активнее мигрировать в безопасные отечественные облака, пусть не государственные, а частные, но при поддержке регулятора.
🔥Огонь по штабам: готовится законопроект об уголовной ответственности для глав компаний и государственных ведомств, допустивших утечки данных
🔸Замглавы комитета Госдумы по информполитике Антон Горелкин сообщил о подготовке законопроекта об уголовной ответственности для всех участников торговли персональными данными на черном рынке.
🔸Как отметил парламентарий в среду в беседе с ТАСС, одной из причин утечки персональных данных становится торговля ими на черном рынке, где есть посредники, организаторы и покупатели данных. "Готовится законопроект об уголовной ответственности для всех участников такой криминальной цепочки", - сказал он.
🔸По словам Горелкина, сегодня статья 272 Уголовного кодекса РФ ("Неправомерный доступ к компьютерной информации") применяется в отношении организаторов утечки персональных данных, "но также есть посредники, перепродавцы, покупатели". "Я последовательно выступаю за уголовную ответственность для всех [участников черного рынка по торговле персональными данными]", - добавил он.
🔸Кроме того, парламентарий сообщил, что "готовится законопроект об уголовной ответственности для руководителей компаний и государственных ведомств, допустивших утечки данных".
🇷🇺⚡️🏛 #утечки #инциденты #законопроект
🔸Роскомнадзор получил в 2023 году 460 обращений граждан с требованием к интернет-ресурсам удалить общедоступные персональные данные. Об этом сообщил в среду замглавы комитета Госдумы по информполитике Антон Горелкин.
🔸"Сегодня гражданин, если он понимает ценность персональных данных, может проактивно сам обезопасить себя", - отметил парламентарий, который был одним из авторов соответствующей инициативы. Депутат напомнил, что был принят закон, позволяющий гражданам удалять данные о себе из общедоступных источников. "Закон реально начал работать, я внимательно слежу за правоприменительной практикой, число обращений в Роскомнадзор об удалении тех или иных данных с различных ресурсов в этом году заметно выросло. Уже в этом году таких обращений поступило 460", - добавил он.
🔸По словам депутата, рост числа обращений в Роскомнадзор по этому вопросу свидетельствует о том, что граждане стали понимать ценность своих данных, понимать важнейшие составляющие личной безопасности.
🔸Свердловский областной суд отказался блокировать видео портала Е1.ru о массовой аварии в Екатеринбурге с участием автомобилей BMW, Lada Vesta и рейсового автобуса. Об этом сообщили в пресс-службе суда. Иск подал виновник ДТП Тимофей, который попал на видео, на котором он участвовал в драке с другими участниками инцидента.
🔸ДТП произошло еще в мае 2022 года. После того, как Е1.ru опубликовали видео, мужчина обратился в Роскомнадзор с требованием о его блокировке. Тимофей отмечал, что его персональные и биометрические данные распространялись без разрешения, а в опубликованных материалах были сцены насилия и ненормативная лексика.
🔸Ведомство отказалось ограничивать доступ к видео, поскольку на нем была маркировка «18+», а видео не содержало персональных данных мужчины.
🔸Мужчину отказ не устроил, и он обратился в Железнодорожный районный суд Екатеринбурга, требуя отменить решение Роскомнадзора, однако ему вновь отказали. Апелляция также была отклонена.
🇷🇺👨‍💻⚖️ #суд #ркн #биометрия #видео
⚡️Из значимых законопроектов, которые станут приоритетными на 2023-2024 гг

Ключевое из доклада Максута Шадаева:

«Мы разделили работу по нескольким направлениям: стимулирование появления новых цифровых сервисов и гос. информационные системы; повышение защищенности персданных; обеспечение кибербезопасности; увеличение спроса на российские IT-решения; обеспечение доступности современных и безопасных телекоммуникационных сервисов на территории страны; повышение качества услуги почтовой связи; обеспечение единства информационного пространства для целей гармоничного развития личности», – заявил Министр цифрового развития связи и массовых коммуникаций Максут Шадаев в ходе расширенного заседания ИТ-Комитета.

❗️Законопроект о персданных. Будут введены административная и уголовная ответственности за утечку и кражу персданных.

❗️Новая инициатива о блокировке фишинговых сайтов. Связан с обеспечением функционирования специальной системы межведомственного взаимодействия для оперативной блокировки фишинговых сайтов.

❗️Законопроект о включении в реестр российского ПО продуктов публичных IT-компаний. Также туда включат российские ПАКи, введут определения системно значимых ИТ-компаний.

❗️Законопроект об отнесении центров обработки данных к сооружениям связи.

❗️Законопроект об упрощенном доступе операторов связи в МКД без проведения ОСС с безвозмездным размещениям оборудования
.
🇷🇺🏛️📲 #ркн #банки #мессенджеры
Использование иностранных мессенджеров: ответы Роскомнадзора на вопросы

1. Распространяется ли запрет на SWIFT, EBICS, CIPS и иные международные платежные системы (например, UnionPay)?
Ответ: Не распространяется. Запрет касается только иностранных мессенджеров. Перечень размещен на сайте: https://rkn.gov.ru/news/rsoc/news74672.htm.

2. Распространяется ли запрет на системы и программы, правообладателями которых являются лица из дружественных стран, включая страны ЕАЭС?
Ответ: Запрет распространяется на использование мессенджеров, принадлежащих любым иностранным юридическим лицам и (или) иностранным гражданам.

3. Распространяется ли запрет на иностранные операционные системы (Windows, MacOS, Android и т.п. интеграционные платформы, средства виртуализации, позволяющие создавать виртуальные сервера, рабочие места), программы, обеспечивающие информационную безопасность, системы управления базами данных (например, ORACLE) и т.п.?
Ответ: Не распространяется при условии, что в них не «встроены» мессенджеры, используемые для коммуникаций с клиентом. Перечень иностранных мессенджеров размещен на сайте: https://rkn.gov.ru/news/rsoc/news74672.htm

4. Запрет использования иностранных программ для ЭВМ касается только тех мессенджеров, которые включены в перечень, размещенный на официальном сайте Роскомнадзора в интернете?
Ответ: Да, запрет распространяется на иностранные мессенджеры, которые включены Роскомнадзором в перечень. Перечень размещен на сайте: https://rkn.gov.ru/news/rsoc/news74672.htm. Он будет актуализироваться по мере выявления иностранных мессенджеров.

5. Запрещается ли использовать иностранные мессенджеры для направления клиентам ссылок для перехода на сайт банка с целью получения информации и/или в систему банк-клиент и/или мобильное приложение для проведения аутентификации?
Ответ: Не запрещено.

6. Правильно ли мы понимаем, что не являются нарушением и не подпадают под действие закона следующие частные случаи:
- Банк отправляет клиенту в иностранный мессенджер уведомление о факте совершения финансовой операции без указания реквизитов, суммы операции, текущего баланса клиента иных персональных данных;
- Банк запрашивает номер телефона клиента в личном диалоге с клиентом в иностранном мессенджере. Клиент подтверждает возможность отправки мессенджером своего номера телефона и никнейма в личном диалоге с банком;
- Банк предоставляет клиенту доступ к управлению своими банковскими счетами и данными о финансовых операциях в интерфейсе банковского сайта, который выводится в отдельном окне браузера, встроенного в иностранный мессенджер.
Ответ: Перечисленные случаи, за исключением первого, имеют признаки передачи персональных данных с использованием иностранного мессенджера, поэтому рекомендовали бы воздержаться от такого использования мессенджеров.

7. Можно ли банкам использовать информационные системы передачи сообщений, принадлежащие иностранным лицам, если в рамках такого использования персональные данные и сведения о платежах, переводах, счетах в такие информационные системы не передаются?
Ответ: Такие действия не запрещены законом.

8. Могут ли банки коммуницировать с клиентом в мессенджере, не передавая персональные данные, например, направлять ему подборку страховых компаний, объявления с витрины с одобренными предложениями под ипотеку, информирование о статусе заявки и так далее?
Ответ: Такие действия не запрещены законом.

9. Распространяются ли ограничения на запрет использования мессенджеров, если государство косвенно владеет компанией (более 51%)?
Ответ: Запрет распространяется на мессенджеры, принадлежащие иностранным юридическим лицам и (или) иностранным гражданам, независимо от прямого или косвенного участия государства в качестве совладельца.

10. Если сам клиент направит свои персональные данные в компанию через иностранные мессенджеры, что должна делать компания в такой ситуации?
Ответ: В таком случае эти персональные данные клиентов не должны приниматься в обработку и должны быть уничтожены компанией.