Privacy Advocates
12.9K subscribers
491 photos
25 videos
145 files
3.58K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
Privacy Advocates
primer_zapolnenija_uvedomlenija_TPdn.pdf
🇷🇺🏛️ #роскомнадзор #уведомление #трансграничка #мнение
Мнение Михаила Емельянникова:
Чем дальше в лес... РКН опубликовал на своем портале уполномоченного образец заполнения уведомления о трансграничной передаче. Закону опять не соответствует. Адреса оператора, даты и номера ранее направленного уведомления о намерении осуществлять обработку персональных данных нет, зато есть ИНН, регион регистрации и адрес электронной почты, не предусмотренные ч.4 ст.12 в новой редакции. Указано две разных цели, а в законе - слово цель в единственном числе. А мы помним, как надо составлять документы, когда слово в единственном числе. Про дальнейшую обработку переданных персональных данных - ни слова.
А теперь немного отсебятины (т.е. отменятины). Есть цели - командировки и обучение. Новая форма основного уведомления с разблюдовкой по целям предполагаем максимальное укрупнение целей. В данном случае - реализация трудовых отношений. Отдельные цели для трангранички порождают неизбежный вопрос о соответствии основного уведомления и дополнительного, а также о содержании локальных актов, где цели указаны. Маячит обычная при проверках ст.19.7 о несоответствии уведомления фактическому состоянию дел.
Вот такой экспресс-анализ.
🇷🇺‼️🏛️ #роскомнадзор #уведомление #трансграничка #запрет
Некоторые новации проекта постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

🔶Роскомнадзор может запросить у российских операторов сведения из ч.5 ст.12 152-ФЗ «О персональных данных» в следующих случаях:
🔸отсутствие у Роскомнадзора сведений о наличии уполномоченного органа по ПД в иностранном государстве, где находится зарубежный получатель ПД;
🔸планируется трансграничная передача биометрических ПД, специальных категорий ПД, обезличенных ПД, ПД несовершеннолетних лиц;
🔸поступление в Роскомнадзор жалобы на зарубежного получателя ПД.

🔶Роскомнадзор будет запрещать российским операторам трансграничную передачу ПД (ч.8 ст.12 152-ФЗ «О персональных данных») в следующих случаях:
🔸зарубежным получателем ПД не принимаются меры по защите передаваемых ПД, а равно не определены условия прекращения их обработки;
🔸зарубежный получатель ПД является организацией, запрещенной судом РФ;
🔸зарубежный получатель ПД включен в перечень иностранных и международных неправительственных организаций, деятельность которых нежелательна в РФ;
🔸трансграничная передача и дальнейшая обработка переданных ПД не совместима с целями сбора ПД;
🔸трансграничная передача ПД не предусмотрена ч.1 ст.6 152-ФЗ «О персональных данных».
🇷🇺🏛️ #роскомнадзор #уведомление #152фз #реформа
Согласно письму Роскомнадзора от 19.08.2022 № 08-75348, работодатель теперь обязан подавать в Роскомнадзор уведомление в отношении обработки данных работников, если данные сотрудников необходимы работодателю для стандартных трудовых отношений, как-то: заключение трудового договора, выплата заработной платы, передача в ПФР и ФСС информации о работниках согласно действующему законодательству, наделение работников полномочиями представителя (оформление доверенности на сотрудника в интересах организации), оформление пропусков для входа на территорию работодателя и т.д.
2022_09_29_Вебинар РКН.pdf
1.1 MB
🇷🇺🏛️ #роскомнадзор #уведомление #152фз #реформа
Презентация с вебинара Роскомнадзора от 29.09.2022.
Семинар РКН по 266-ФЗ_29.09.2022.pdf
1 MB
🇷🇺🏛️ #роскомнадзор #уведомление #152фз #реформа
@KZyubanov подготовил свою версию конспекта тезисов представителей Роскомнадзора с вебинара от 29.09.2022.
🇷🇺💡🏛️ #реформа #152фз #уведомление #ркн
🔸Должны ли организаторы общего собрания собственников МКД уведомлять Роскомнадзор о намерении обрабатывать ПД участников собрания?
🔸Очевидно, что инициатор ОСС, а также секретарь и счетная комиссия на ОСС обрабатывают ПД собственников (согласия самих собственников на это не требуется). И если эти данные будут храниться, например, в Exel, то такая обработка ПД будет производиться с использованием средств автоматизации, а это, возможно, влечет необходимость заранее уведомить Роскомнадзор о начале обработки ПД
🔸Согласно позиции ведомства, изложенной в ответ на вопрос физического лица – не ИП, – инициатору ОСС, действительно, надлежит направить Уведомление о намерении обрабатывать ПДн в адрес территориального управления Роскомнадзора по месту нахождения МКД, в котором предполагается проведение общего собрания собственников.
🇪🇺🏛️⚖️ #gdpr #edpb #инциденты #уведомление
🔸Европейский совет по защите данных (EDPB) опубликовал Руководство 9/2022 по уведомлению о нарушении безопасности персональных данных, открытое для публичных консультаций до 29.11.2022, в качестве обновленной версии предыдущего руководства WP250 (rev.01).
🔸Сам документ, в целом, не претерпел существенных изменений, за исключением параграфа 73, который представлен в следующей редакции: "Однако простое присутствие представителя [иностранного контролера] в государстве-члене ЕС не приводит в действие систему "одного окна". По этой причине о нарушении необходимо будет уведомить каждый орган [DPA] государства-члена ЕС, в котором проживают затронутые нарушением субъекты данных. Это уведомление должно быть сделано в соответствии с мандатом, данным контролером своему представителю, и под ответственность контролера."
🔸Иначе говоря, иностранному контролеру (в т.ч. из РФ) придется уведомлять об утечке персональных данных европейцев не только надзорный орган по месту нахождения представителя контролера, но во всех странах, затронутых утечкой.
Ответ РКН.pdf
180.3 KB
🇷🇺🤷‍♂️🏛️ #ркн #уведомление #реестр
🔸Вопрос: каким образом необходимо уведомить Роскомнадзор об обработке ПД группе физических лиц, образовавших общественное объединение без государственной регистрации и приобретения прав юридического лица (абз.4 ст.3 Федерального закона от 19.05.1995 № 82-ФЗ «Об общественных объединениях»)?
🔸Ответ РКН: общественному объединению необходимо стать юридическим лицом.
🔸Комментарий: "Подумала сова и говорит: Мыши, станьте ежами!"
🇮🇪🤦💻 #утечки #инциденты #уведомление #gdpr
🔸94 000 пациентов и 18 200 сотрудников Службы здравоохранения Ирландии (HSE), чьи персональные данные были похищены в результате кибератаки, получат уведомления только к апрелю 2023 года.
🔸В мае 2022 года компьютерная сеть HSE подверглась атаке вируса-шифровальщика. Пострадала большая часть данных в сети, часть данных была украдена. Кроме того, из-за атаки возникли сбои в системе здравоохранения, наиболее серьезные — в рентгенологии. Прямые потери от атаки оцениваются в €70 млн, но они могут вырасти до €100 млн.
CBT.png
265 KB
Подготовил англоязычную версию схемы по уведомлению Роскомнадзора о трансграничной передаче персональных данных из России с 01.03.2023.
🇷🇺💡👨‍💻 #роскомнадзор #уведомление #трансграничка #схема
Data incident.png
456.7 KB
Подготовил англоязычную версию схемы по алгоритму уведомления об инцидентах с ПД.
🇷🇺💡👨‍💻 #152_фз #реформа #уведомление #инциденты #утечки
Зарегистрирован и опубликован приказ Роскомнадзора от 14.11.2022 № 187 "Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных".
🇷🇺🏛️ #ркн #инциденты #утечки #уведомление
🔸Федеральная комиссия по связи США (Federal Communications Commission, FCC) предложила обязать интернет-провайдеров и операторов связи информировать о любых утечках конфиденциальных данных потребителей и федеральные правоохранительные структуры «незамедлительно».
🔸Согласно действующим нормам FCC от 2007 года, операторы, количество клиентов которых превышает пять тысяч, должны извещать правоохранительные агентства об утечках персональных данных в течение семи дней. Компании с меньшим количеством абонентов — в течение 30 дней.
🔸Теперь об утечке данных операторы должны будут уведомлять абонентов, FCC, ФБР и Секретную службу (United States Secret Service) сразу же после выявления подобного факта, если иное не предусмотрено федеральными властями.
🔸FCC также предложила расширить определение «утечки», включив в него неумышленный несанкционированный доступ к клиентской информации, а также её использование и раскрытие. Сейчас регулятор считает утечкой получение внешним агентом несанкционированного доступа к конфиденциальной информации.
🇺🇸🏛️ #fcc #утечки #инциденты #уведомление
РКН_15.02.2023.pdf
180.5 KB
🔸Вопрос: надо ли уведомлять о трансграничной передаче ПД российскому обработчику, осуществляющему такую передачу по поручению иностранного оператора?
🔸Ответ Роскомнадзора: если операторами, зарегистрированными на территории Российской Федерации, осуществляется трансграничная передача ПД, независимо от договорных отношений в части договора-поручения, им необходимо направить в уполномоченный орган по защите прав субъектов ПД уведомления об осуществлении трансграничной передачи ПД.
🙏Благодарим Кирилла Зюбанова, которой любезно поделился ответом Роскомнадзора.
🇷🇺💡🏛️ #ркн #трансграничка #уведомление
С 1 марта вступают в силу новые правила трансграничной передачи персональных данных (ПД), которые изменят бизнес-процессы почти всех российских организаций. Эксперты призывают не откладывать подготовку перехода на новый формат, скорректировать все операции, в том числе рутинные, и донести до сотрудников актуальные требования. О том, чего категорически нельзя делать в этой ситуации и каковы наиболее типичные заблуждения операторов ПД, – в материале RSpectr.
🇷🇺💡🏛️ #ркн #трансграничка #уведомление