"... в нарушение требований пункта 3 части 2 ст. 19 ФЗ "О персональных данных", пункта 9, подпункта "б" пункта 7 приказа ФСБ России от 10.07.2014 N 378, пунктов 13, 14 Требований к защите персональных данных представители Новосибирского филиала АНО "Сохнут" в г. Омске осуществляли передачу информации, содержащей персональные данные граждан РФ, по каналам связи сети Интернет без использования сертифицированных средств криптографической защиты информации (СКЗИ), предназначенные для шифрования передаваемых сообщений электронной почты"

Канал о новеллах правовой защиты информации

Коллеги, хотим поделиться с вами каналом «Листок бюрократической защиты информации» - в нем автор, практикующий специалист в области информационной безопасности, делится новостями и мнением по публикуемым новеллам правовой защиты информации и документам по организационной защите информации.

На канале можно найти информацию по:

— обеспечению безопасности критической информационной инфраструктуры РФ;
— организации обработки и защиты персональных данных;
— защите информации ограниченного доступа;
— общим основам и теории защиты информации;
— понятийному аппарату в области информационной безопасности;
— использованию средств криптографической защиты информации.

Рекомендуем подписаться, чтобы иметь еще один источник информации, которому можно доверять.

В прошлом году состоялась самая масштабная конференция по персональным данным в бизнесе Privacy Forum, организованная Infobip и Forbes, дайджест и полную версию просмотрели ~100 000 раз.

25 ноября 2022 года совместно с РБК в формате бизнес-завтрака пройдет очередной Privacy Forum, посвященный персональным данным в ИТ.

Форум поддержит Центр правовой помощи гражданам в цифровой среде (на базе ФГУП «ГРЧЦ» при Роскомнадзоре), выступив с докладом.

На пленарной дискуссии сразу три бывших сотрудника структуры Роскомнадзора, а ныне международные DPO: Денис Лукаш, Денис Садовников, Сергей Носуля.

Онлайн участие бесплатное, регистрация здесь, программа будет обновляться.

Очное участие в бизнес - завтраке, дающее возможность кулуарно познакомится и поговорить с каждым спикером, по личным приглашениям из-за ограничения мест.

Если Вы руководитель/DPO/CISO крупной компании, заявку на очное участие в бизнес-завтраке можно прислать на denis.lukash@infobip.com.

Некоторые полезности для своих ЛНА, которые можно подчеркнуть из (проекта) пакета документов об обработке персональных данных в центральном аппарате Роскомнадзора:

1. Иногда Роскомнадзор указывает перечень ПД не детально, например “Номер контактного телефона или сведения о других способах связи.”, “Сведения, содержащиеся в страховом свидетельстве”.

2. Перечень ПД, обрабатываемых на сайте, Роскомнадзор указывает в следующем виде “Иные сведения, которые представлены пользователем официального сайта Роскомнадзора в информационно-телекоммуникационной сети «Интернет».” (т.е. не детально).

3. Для обработки ПД на сайте Роскомнадзор использует следующую цель “организации доступа к информации о деятельности Роскомнадзора, размещаемой в информационно-телекоммуникационной сети «Интернет»”.

4. Обозначение сроков хранения ПД возможно ссылкой на НПА (не указанием конкретных сроков).

5. Удаление персональных данных описано с оговоркой “если иное не предусмотрено Федеральным законом «О персональных данных»".

6. Возможность доступа сотрудников к персональным данным не разбивается по целям / категориям субъектов ПД / перечню ПД.

Можно пользоваться рекомендациями Яндекса по легализации сбора персональных данных с использованием Яндекс.Метрика.

На странице сайта Роскомнадзора стало недоступным разъяснение, в котором указывалось на возможность брать согласия на измерение температуры человека конклюдентными действиями.

Ранее действовал адрес https://rkn.gov.ru/news/rsoc/news72206.htm с датой публикации статьи 10.03.2020.

Как выглядело разъяснение можно найти на других ресурсах (копировалось неоднократно).

Относительно новости о взыскании по 5000 р. с Яндекс.ЕДА.

Наибольший интерес для экспертов представляют тексты документов. Сами решения на данный момент не опубликованы.
Отсылки к делам (где позже можно проверить публикацию решений) можно найти на официальном портале судов общей юрисдикции г. Москвы. Несколько исков к "Яндекс.Еда" и "Яндекс" с записью от 08.11.2022 "Удовлетворено частично" и "Отказано в удовлетворении".

Из ответа Банка России от 27.10.22:

- "срок хранения отдельных документов, связанных с конфликтом интересов работников, составляет 5 лет"

- "кредитные организации вправе дополнительно определить сведения, в отношении которых служащие кредитной организации обязаны хранить тайну, при условии, что это не противоречит федеральному закону"

- "при осуществлении перевода денежных средств по распоряжению клиента сведения, составляющие банковскую тайну, предоставляются, по сути, самим клиентом
в целях составления распоряжения и осуществления непосредственно перевода денежных средств, что допустимо рассматривать в качестве прямого волеизъявления клиента на использование и передачу указанной информации."

Спасибо Кириллу Зюбанову за письмо.

Текст приговора Октябрьского районного суда г. Томска за использование компьютерной программы Vipole.

Согласно текста приговора суда с помощью данной программы "были нейтрализованы средства защиты компьютерной информации, выразившиеся в невозможности однозначной идентификации пользователя ... и его сетевой активности в сети «Интернет», в том числе провайдером ПАО «Ростелеком»".

Согласно описанию программы, которое встречается в Интернете, Vipole мессенжер, который работает с использованием end-to-end шифрования и маскировки IP.

Из пресс-релиза по результатам интервью с Жанной Николаевой, начальником отдела мониторинга и анализа Центра правовой помощи гражданам в цифровой среде ФГУП "ГРЧЦ" (при Роскомнадзоре):

"Некоторые сервисы или учреждения собирают избыточные персональные данные, не требующиеся для выполнения условий договора. Гражданам нужно занимать активную позицию в деле защиты собственных персональных данных..."

"В пользовательских соглашениях или договорах очень часто прописано условие передачи персональных данных третьим лицам (см. примечание ниже)... Гражданин имеет полное право настаивать на исключении такого условия."

Примечание: в записи говорилось о третьих лицах в контексте передачи персональных данных непоименованному в договоре кругу лиц.

Роскомнадзор по жалобе гражданина направил оператору ПД требование по изменению содержания политики ПД.

Обновить политику в отношении персональных данных❗️

РКН начал обращать внимание не только на факт публикации на сайтах политик, но и на "структурно-содержательное наполнение документа".

Такое внимание вызвано сентябрьскими изменениями в ст. 18.1 Закона №152-ФЗ.

В частности, локальные акты должны определять для каждой цели обработки:
1️⃣категории и перечень обрабатываемых ПД,
2️⃣категории субъектов, ПД которых обрабатываются,
3️⃣способы, сроки их обработки и хранения,
4️⃣порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований.

Помним, что объем ПД не должен быть избыточным по отношению к заявленной цели.

Поэтому, проверяем свою политику. Если нужной информации еще нет, то к каждой цели определяем необходимый объем и прочее.
Кстати, удобнее рисовать схемы, datamap — любой визуал в принципе. Потом все вдумчиво вносим в новую редакцию политики и публикуем на сайте.

Пока такое внимание РКНа вызвано жалобой бдительного гражданина, но кто его знает...

#ПД

Статья Михаила Емельянникова о трансграничной передаче ПД https://emeliyannikov.blogspot.com/2022/11/1.html

Из определения от 6 сентября 2022 г. по делу N 88-13416/2022 Седьмого кассационного суда общей юрисдикции :

“Его непосредственное руководство объяснило ему, что воспрепятствование трудовой деятельности законно, поскольку он не дал своего согласия на обработку биометрических персональных данных (папиллярных узоров пальцев)... “

“...В ответ на уведомление о предоставлении объяснений о причинах не предоставления им биометрических персональных данных (дактилоскопия) истец предоставил письменные объяснения, в которых указал, что причиной является отсутствие его добровольного согласия на обработку биометрических персональных данных. “

“...20 мая 2021 года он ознакомился с приказом о расторжении трудового договора, который считает незаконным.”

В итоге:
- Суд первой инстанции поддержал работодателя
- Апелляция поддержала работника (признано незаконным расторжение трудового договора)
- Кассация направила на новое рассмотрение

Спасибо Валерию Комарову за ссылку на дело.

Статья Михаила Емельянникова о Приказе Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"»

https://emeliyannikov.blogspot.com/2022/12/blog-post.html

Опубликован черновой вариант решения Еврокомиссии по "адекватности" передачи персональных данных ЕС-США.

P.S. Спасибо Александру Тюльканову за ссылку.

Noyb, которую возглавляет Макс Шремс (Max Schrems), опубликовало заявление, оспаривающее проект решения об адекватности.

Выдержка из заявления в переводе:

"Сегодня Европейская комиссия опубликовала новое решение об адекватности, заменившее решение "Privacy Shield", которое ранее было признано недействительным Судом ЕС (CJEU) из-за слежки США. CJEU требовал (1), чтобы наблюдение со стороны США было соразмерным по смыслу статьи 52 Хартии основных прав (CFR) и (2), чтобы был доступ к судебному возмещению, как того требует статья 47 CFR. Обновленный закон США (Executive Order 14086), по-видимому, не соответствует обоим требованиям, поскольку он не меняет ситуацию по сравнению с ранее применявшимся PPD-28. Существует непрерывное "массовое наблюдение" и "суд", который не является настоящим судом. Следовательно, любое "решение ЕС об адекватности", основанное на Executive Order 14086, скорее всего, не удовлетворит CJEU."