🇺🇸Трамп подал в суд на экс-сотрудника MI6 из-за компромата на него
🔸Экс-президент США Дональд Трамп подал в суд на бывшего британского разведчика Кристофера Стила, который составил на него досье с компроматом, сообщает Independent со ссылкой на Высокий суд Лондона. Иск подан из-за нарушения закона о защите персональных данных.

💡Сферы применения инструментов для обезличивания данных
🔸На сегодняшний день инструменты для обезличивания данных становятся все более распространенными и популярными в различных сферах. С ростом важности защиты данных и повышения осведомленности о приватности организации и предприятия все чаще обращают внимание на необходимость обезличивания данных.

⚖️Zoom грозит штраф до 18 млн ₽ за повторный отказ локализовать данные россиян в РФ
🔸Мировой судья в Москве 12 октября рассмотрит протокол в отношении видеосервиса Zoom по делу о повторном отказе локализовать данные граждан России на территории РФ, сообщили "Интерфаксу" в столичном Таганском суде. Zoom Video Communications Inc. вменяется повторное невыполнение обязательства о локализации персональных данных граждан РФ в базах данных, находящихся на территории России (ч. 9 ст. 13.11 КоАП РФ, штраф 6-18 млн ₽).
🔸12 октября тот же мировой судья рассмотрит протокол в отношении киберспортивной платформы FACE IT LIMITED (FACEIT). Компании вменяется первичный отказ локализовать данные россиян в РФ (ч. 8 ст. 13.11 КоАП РФ). Возможный штраф за такое правонарушение составляет от 1 до 6 млн ₽.

🇨🇳Администрация киберпространства КНР (Cyberspace Administration of China, CAC) опубликовала проект нормативного документа, предусматривающего ослабление контроля за передачей персональных данных (ПД) граждан за границу.
🔸Документ предусматривает отмену требования о проведении обязательного анализа регулятором большого объёма данных, связанных с повседневной деятельностью компаний и физических лиц. Сейчас CAC решает, представляет ли передача подобной информации за границу угрозу безопасности КНР. South China Morning Post считает, что, делая послабления, Китай стремится повысить инвестиционную привлекательность страны для транснациональных компаний.
🔸Инициатива, в частности, предусматривает, что экспорт данных, сгенерированных посредством торговой, научной, трансграничной промышленной и маркетинговой деятельностью, больше не должен подвергаться анализу регулятора на предмет обеспечения безопасности и защиты ПД. Предлагается ослабить соответствующий контроль в области трансграничных покупок, переводов, приобретения авиабилетов, бронирования гостиниц, передачи ПД, связанных с трудовыми договорами и сведениями о здоровье.

🇺🇸Управление генерального инспектора (Office of the Inspector General, OIG) Министерства внутренней безопасности США (Department of Homeland Security, DHS) раскритиковало практику DHS в области сбора биометрических данных и работы с ними.
🔸В частности, надзор за биометрическими данными министерства децентрализован, а ответственность [за работу с биометрией] распределена по подразделениям ведомства. Кроме того, OIG выявило «критические пробелы в области корректного сбора и использования биометрических данных в DHS».
🔸В подразделении DHS, Office of Biometric Identity Management (OBIM), расположено крупнейшее государственное хранилище биометрических данных. Там используется устаревшая автоматизированная система биометрической идентификации IDENT, которую вопреки планам пока так и не получилось модернизировать, отмечает Nextgov/FCW.
🔸DHS собирает данные о радужной оболочке глаз, отпечатках пальцев, изображениях лиц – как американцев, так и иностранных граждан. Помимо министерства системой IDENT пользуются «другие агентства», федеральные и местные правоохранительные органы, а также «международные партнёры».

🇪🇺Федеральный административный суд Австрии постановил, что субъекты данных не могут добиваться назначения DPO
🔸Федеральный административный суд (BVwG) в своем решении от 03.08.2023 г. частично подтвердил решение австрийского органа по защите данных (DSB), касающееся права доступа, права на неприкосновенность частной жизни и права требовать назначения ответственного за защиту данных (DPO) заявителя в соответствии с GDPR.
🔸По словам заявителя, его право на доступ было нарушено ответчиком - неназванным университетом. Университет направил электронное письмо о предполагаемом нарушении заявителем своих служебных обязанностей в несколько департаментов. Кроме того, когда заявитель запросил доступ к своим данным, он получил документ объемом более 800 страниц, в котором не было ни одной ссылки на него. Кроме того, BVwG заявила, что, по мнению заявителя, ответ на запрос о доступе должен был дать DPO, а не декан университета.
🔸Суд установил, что университет нарушил право заявителя на конфиденциальность, отправив вышеупомянутое электронное письмо и письмо, которое было раскрыто другим лицам. В отношении рассмотрения вопроса о назначении DPO, суд постановил, что, хотя назначение DPO представляет собой обязанность контроллера данных, оно не влечет за собой права субъекта данных требовать назначения DPO. В свете вышеизложенного BVwG частично удовлетворил жалобу и отклонил апелляцию.

🇪🇺Генеральный адвокат Суда ЕС постановил, что хранение и доступ к гражданским идентификационным данным, связанным с IP-адресом, разрешены, если это необходимо для расследования нарушений авторских прав в Интернете
🔸28.09.2023 Суд Европейского Союза (CJEU) опубликовал пресс-релиз, содержащий краткое изложение заключения генерального адвоката (AG) Мацея Шпунара по делу C-470/21 La Quadrature du Net и другие. CJEU пояснил, что заключение было вынесено в контексте возобновления производства по данному делу и что AG впервые высказал свое мнение в октябре 2022 года.
🔸Запрос на вынесение предварительного решения поступил от Государственного совета Франции после судебного разбирательства, возбужденного четырьмя ассоциациями по защите прав и свобод в Интернете. В ходе судебного разбирательства оспаривался принятый в 2010 г. декрет, позволяющий Высшему органу Франции по распространению произведений и защите прав в Интернете (Hadopi) требовать от операторов электронных коммуникаций предоставления гражданских идентификационных данных пользователя, которому присвоен IP-адрес, используемый для совершения нарушения авторских прав.
🔸AG посчитал, что законодательство ЕС не препятствует требованию к провайдерам услуг электронных коммуникаций хранить IP-адреса и соответствующие гражданские идентификационные данные, а также не препятствует административному органу, ответственному за защиту авторских прав, получать доступ к таким адресам и данным. В этой связи AG посчитал, что IP-адрес, гражданская идентификация лица, имеющего право на доступ в Интернет, и информация, касающаяся соответствующих действий, не позволяют сделать точные выводы о частной жизни лица, предположительно нарушившего авторские права. По мнению AG, все, что было выявлено, - это просмотр контента в определенное время, что само по себе не позволяет составить подробный профиль лица, просматривавшего контент.
🔸AG высказал мнение, что сохранение и доступ к гражданским идентификационным данным, связанным с используемым IP-адресом, должны быть разрешены в случаях, когда эти данные являются единственным средством расследования, позволяющим идентифицировать нарушителей авторских прав, совершенных исключительно в Интернете. Механизм поэтапного реагирования, принятый Hadopi в соответствии с оспариваемым постановлением, совместим с требованиями законодательства ЕС в области защиты персональных данных.

В Калифорнии приняли закон о защите персональных данных в медицине

Законопроект №345, вносящий уточнения в регламент оказания медицинских услуг подписан губернатором Калифорнии. Закон запрещает собирать, использовать, раскрывать или хранить персональные данные человека, который находится в центре планирования семьи или в пределах точной геолокации от него, за исключением случаев, когда это необходимо для оказания услуг.

Закон также запрещает продажу или совместное использование подобной информации, уполномочивает потерпевшее физическое или юридическое лицо возбуждать гражданский иск за нарушение этих положений и преследовать их в судебном порядке, а также определяет ущерб и расходы, которые разрешено возмещать.

Новая норма не распространяется на поставщиков медицинских услуг или подрядчиков.

Изображение: RSpectr, Adobe Stock

🏛️Роскомнадзор пояснил, что требования в отношении рекомендательных технологий не распространяются на сайты, информационные системы, и (или) программы для электронных вычислительных машин, на которых пользователям предоставляется информация исключительно по итогам обработки заданных пользователем поисковых параметров, в том числе с применением фильтров, настраиваемых самим пользователем.

Сегодня вступает в силу мой закон о рекомендательных сервисах. Напомню, основное его требование – это прозрачность. Владельцы сайтов и приложений, использующих механизм рекомендаций, теперь должны объяснять пользователю, по каким принципам он работает, какие данные собирает, как их обрабатывает. Всё это должно быть отражено в правилах, написанных простым и понятным русским языком (или в виде инфографики, это также допустимо).

Понятно, что эти правила не должны быть спрятаны где-то глубоко в недрах сайта или приложения. Регулятор будет за этим следить, как и за наличием информационного сообщения о применении рекомендательных технологий. Думаю, в большинстве случаев такое сообщение будет оформляться как гиперссылка, ведущая пользователя к правилам.

Хочу обратить внимание, что закон содержит серьезные меры ответственности для тех, кто откажется информировать пользователей о применении рекомендательных технологий или решит использовать их в противоправных целях. В этом случае Роскомнадзор имеет право получить доступ к программно-техническим средствам того или иного ресурса, чтобы провести оценку работы рекомендательного сервиса. Отказ может привести к блокировке.

Конечно, мы будем внимательно наблюдать за правоприменительной практикой. За три года разработки законопроекта мы подробно обсудили с отраслю все нюансы, и я не думаю, что для российских ИТ-компаний обеспечение прозрачности своих рекомендательных механизмов станет проблемой.

💡Обновлена презентация 'Трансграничная передача ПД из РФ с 01.03.2023' с учетом правоприменительной практики и разъяснений Роскомнадзора за весну-лето 2023г.

🏛️Сенаторы предлагают Министерству здравоохранения, Минэкономразвития и Минцифры РФ внедрить процедуру получения согласия пациента на использование его рентгеновских снимков и результатов других исследований без указания персональных данных для развития цифровых сервисов. Соответствующая рекомендация содержится в решении секции "Искусственный интеллект" Совета по развитию цифровой экономики при Совете Федерации.
🔸Как пояснил зампред Совета по цифровизации, сенатор Артем Шейкин, в связи с развитием цифровых сервисов в медицине возникает все большая необходимость в использовании инструмента анализа результатов обследований на основе большого массива имеющихся данных. "Например, речь идет о программах, сравнивающих снимки пациентов с патологиями с обследуемыми пациентами для более быстрой обработки результатов исследований и постановки диагнозов. Но для того, чтобы снимки пациентов попадали в базу информационной системы, их необходимо обезличить, то есть удалить из рентгенограммы имя пациента", - сказал сенатор.
🔸При этом, отметил парламентарий, чтобы избежать путаницы, на снимке можно оставить номер медицинской карты пациента, таким образом данные будут обезличены, потому что "определить субъекта персональных данных можно будет только сопоставив номер карты на снимке и номер карты в картотеке". "В таком случае целесообразно, чтобы субъект персональных данных понимал и давал согласие на то, что его снимки будут храниться в информационной системе, будут обезличены и для анализа доступ к ним будет осуществляться только в обезличенном виде", - сказал Шейкин.
🔸Он подчеркнул, что необходимость совершенствования регулирования в сфере обезличенных персональных данных уже назрела.

⚡Бизнес предложил поднимать штраф компаниям за утечку персональных данных
🔸Российский бизнес предложил увеличивать оборотный штраф компаниям за каждый повторный факт утечки с их стороны персональных данных клиентов, следует из письма бизнес-сообщества, отправленного председателю Государственной Думы РФ Вячеславу Володину.
🔸"Законопроект не позволяет определить, при каких обстоятельствах применяется тот или иной размер оборотного штрафа... Вместе с тем, полагаем, что размер штрафа за повторное нарушение за утечку персональных данных граждан в обязательном порядке должен учитывать как количественный показатель, так и состав утекших персональных данных", - говорится в документе от "Опоры России", "Деловой России", Российского союза промышленников и предпринимателей и Торгово-промышленной палаты.
🔸Авторы письма предложили рассчитывать оборотный штраф за повторную утечку таким образом: размер предыдущего штрафа умножается на порядковый номер правонарушения. Например, если юрлицо совершило третье повторное административное правонарушение, а размер последнего штрафа составил 15 миллионов рублей, то новый штраф составит 45 миллионов рублей и так далее. При этом для "бесконечно нарушающих" требования компаний должна быть предусмотрена уголовная ответственность.
🔸Кроме того, предлагается привязать размер штрафа к чистой прибыли компании за календарный год, а не к сумме всей выручки за тот же период. В случае отсутствия прибыли нужно установить фиксированный размер штрафа.
🔸Также в письме предложили ввести термин "умышленная информационная атака" для случаев, когда в утечке данных виновата не компания, а злоумышленник, категории для каждой группы нарушений, основанные на степени тяжести произошедшего события, которое позволяет определить сумму штрафа.
🔸Предлагается разработать меры поддержки, которые стимулировали бы компании инвестировать средства в обеспечение информационной безопасности, и разработать механизмы смягчения ответственности, при которых оператор может выплатить компенсацию пострадавшему, при этом не выплачивая штраф за утечку персональных данных.

🤔Экспертно-аналитический центр (ЭАЦ) ГК InfoWatch выпустил отчёт по результатам исследования утечек сведений ограниченного доступа в мире и в России за первое полугодие 2023 года.
🔸Как сказано в документе, в мировом масштабе в первом полугодии 2023 года ЭАЦ зарегистрировал 5532 утечки информации, что на 141,2% (в 2,4 раза) больше по сравнению с аналогичным периодом 2022. При этом в России инцидентов, приведших к компрометации данных, стало меньше на 17,5%.
🔸В 2022 году во всём мире утекло более 20,4 миллиарда записей персональных данных (включая платёжную информацию). При этом второе полугодие оказалось в пять с лишним раз «урожайнее», чем первое. В первой половине 2023 было скомпрометировано почти столько же записей персональных данных, сколько за весь прошлый год — около 18,3 миллиарда. В России количество скомпрометированных ПД в последнее время неуклонно растет. Даже несмотря на снижение количества утечек, объем «слитых» данных вырос более чем на 72% и составил 705 миллионов записей.

🏛️Двухфакторная аутентификация на «Госуслугах» стала обязательной с 1 октября

🇪🇺💡🏛⚖️ #gdpr #ес #аналитика
Обновлена презентация 'Механизмы и специфика применения GDPR' (1057 слайдов, 44 МБ):
🔸Обзор контекста принятия и механизмов GDPR
🔸Персональные данные, принципы обработки и права субъектов
🔸Accountability и демонстрация соответствия
🔸Records of processing activities и сроки хранения данных
🔸Прозрачность обработки данных и повышение осведомленности
🔸Processing grounds and Legitimate Interests Assessment
🔸Data Protection (Privacy) by Design and by Default
🔸Data Protection Impact Assessment
🔸Data Breach Management
🔸Data Protection Officer
🔸Соглашения об обработке и защите данных
🔸Интернет-ресурсы, профилирование и прямой маркетинг (реклама)
🔸Обработка данных персонала и соискателей
🔸Биометрические данные и видеонаблюдение
🔸Обработка данных несовершеннолетних лиц
🔸Большие данные, искусственный интеллект, машинное обучение и блокчейн
🔸Автоматизация Privacy и Data Protection
🔸Технические и организационные меры защиты персональных данных
🔸Псевдонимизация и анонимизация
🔸Территориальная сфера действия GDPR
🔸Трансграничная обработка данных и Transfer Impact Assessment
🔸EU-US Data Privacy Framework
🔸Рекомендации, руководства и практические пособия
🔸Международные стандарты
🔸Правоприменительная практика
🔸Штрафы – базы дел и аналитика
🔸Штрафы – интересные кейсы
🔸Иные санкции и меры принуждения
🔸Судебная практика – базы решений и интересные ситуации
🔸Влияние GDPR на бизнес
🔸Итоги применения GDPR в 2018-2022гг. и дальнейшие перспективы
🔸Законодательные инициативы о персональных данных в ЕС и США
🔸Эра пост-GDPR в Великобритании
🔸Подборка ресурсов по GDPR
🔸Модернизация Конвенции 108 и влияние GDPR на РФ

🥳 Презентация перевалила за тысячу слайдов, а это означает скорую встречу между прайвасистами! Следите за анонсами на канале ;-)

На ярмарке вакансий RPPA опубликованы четыре новые позиции:
🔸Начальник отдела мониторинга и контроля обработки персональных данных (compliance) в Россельхозбанк
🔸Заместитель начальник отдела мониторинга и контроля обработки персональных данных (compliance) в Россельхозбанк
🔸Заместитель начальника отдела организации и обеспечения обработки персональных данных (методолог) в Россельхозбанк
🔸Главный специалист отдела организации и обеспечения обработки персональных данных (compliance) в Россельхозбанк
🇷🇺⚡️👨‍💻 #вакансия #privacy #bank

Одной из первых цифровых платформ, разместивших у правила работы своих рекомендательных алгоритмов, стала торговая площадка площадка Wildberries. Ссылка-уведомление о том, что на сайте применяются рекомендательные алгоритмы, присутствует внизу каждой страницы.

Теперь каждый пользователь Wildberries осведомлен, какие платформа собирает о нём данные (и этот список не ограничивается IP-адресом, геопозицией и информацией об устройстве). Кроме того, площадка раскрыла перечень технологий, используемых для анализа этих данных. На мой взгляд, некоторые из них широкой аудитории непонятны и нуждаются в расшифровке.

Рассчитываю, что в ближайшее время и другие ведущие цифровые платформы выполнят новые и очень важные для всех российских пользователей требования законодательства.

В метро Москвы стартовало тестирование привязки карты москвича к биометрии

Пассажирам с льготным проездом не нужно будет прикладывать карту к турникетам в метро и на МЦК, достаточно будет воспользоваться специальным стикером.

В тестировании принимают участие 100 добровольцев. Система является полностью российской разработкой, имеет банковский уровень защиты, а все данные зашифрованы, заверили в столичном Дептрансе.

«Новой функцией сможет воспользоваться любой желающий. Пользоваться биометрией или нет – решает только сам пассажир», – уточнил заместитель мэра Москвы по вопросам транспорта Максим Ликсутов.

Чтобы подключить биометрию, нужно сдать биометрические данные и привязать банковскую карту в приложении «Метро Москвы». На данный момент поездка по биометрии стоит 36 рублей по совместной акции с «Миром».

🏛️Председатель Государственной Думы Вячеслав Володин 3 октября в своих соцсетях предложил гражданам принять участие в опросе относительно необходимости ужесточить ответственность за утечку персональных данных.

👮‍♂️В Адыгее трех сотрудников полиции подозревают в преступном сговоре с ритуальным агентством. По данным республиканского следственного управления СКР, сотрудники полиции за вознаграждение передавали похоронщикам персональные данные умерших граждан.
🔸Незаконное сотрудничество длилось с 2021 по 2022 год. Вознаграждение стражи порядка получали посредством безналичного перевода на личные карты. Следователи продолжают устанавливать все обстоятельства совершения преступлений.