⚡General Motors вынужден отказаться от передачи персональных данных водителей брокерам данных LexisNexis Risk Solutions и Verisk для продажи страховым компаниям
🔸Решение General Motors (G.M.) связано с недавним расследованием New York Times и иска в суд водителей, которые ничего об этом не знали.
🔸Если бы сама процедура информирования о сборе данных и согласии на их получение была бы сделана в соответствии с общими принципами защиты персональных данных, то поток данных, который лился из General Motors к брокерам данных и затем страховщикам, сразу бы превратился в маленький «ручеек», высказал мнение соучредитель сообщества профессионалов в области приватности (Russian Privacy Professionals Association, RPPA) Алексей Мунтян.
🔸Эксперт объяснил, что с экономической точки зрения пока нет очевидных доказательств, что данные – это новая «нефть». Пока мы видим, что это скорее токсичный актив, которые компании не научились монетизировать и вынуждены «скидывать» за небольшие доходы. Для автогиганта получение «нескольких миллионов долларов» – очень скромный доход при высоких репутационных издержках.
🔸В этой истории, как раз компании, которые предоставляют страховые продукты и могут профилировать каждого человека, оказываются в выигрыше, пояснил Алексей Мунтян. «Отрадно видеть, что иск был не только против автопроизводителя, но и против его контрагентов, которые как раз осуществляли дальнейшую обработку этих данных и целевое использование. Это справедливо, поскольку основную прибыль получал не GM, а его контрагенты».

👮‍♂️ Прокуратура Саратовской области в ГАУ СО «МФЦ» выявила нарушения законодательства о защите информации и персональных данных. Перечень выявленных нарушений:
🔸на жестких дисках автоматизированных рабочих мест (АРМ) обнаружены файлы, содержащие пароли и парольные фразы средств криптографической защиты информации, а также файлы закрытой части ключа электронно-цифровой подписи;
🔸одно из АРМ не оборудовано средствами контроля на предмет его вскрытия;
🔸отсутствует журнал поэкземплярного учета средств криптографической защиты информации.
⚠️ В отношении курирующего заместителя директора ГАУ СО «МФЦ» дело об административном правонарушении по ч. 6 ст. 13.12 КоАП РФ.

🏛️ ФСБ и МВД узнают о пассажирах всё: на усовершенствование информсистемы транспортной безопасности Минтранс планирует потратить ₽2,5 млрд. до 2026 года
🔸Объем данных россиян, передаваемых в Единую государственную информационную систему обеспечения транспортной безопасности ЕГИС ОТБ (включает в себя автоматизированные централизованные базы персональных данных о пассажирах и персонале транспортных средств), в ближайшие три года увеличится с 6 элементов до 22.
🔸С 1 сентября этого года помимо данных паспорта и билета пассажиров, перевозчиков хотят обязать передавать в единую базу информацию, указанную пассажиром при бронировании и покупке билета. В том числе сведения о телефонах, адресах электронной почты и пароли учетных записей.
🔸Также собирать хотят данные учетной записи на сайте или в приложении перевозчика, а также IP-адрес и номер порта, с которого передавалась информация. В случае оплаты бронирования банковской картой перевозчик должен будет передать четыре последние цифры карты и наименование банка, а также стоимость билета и класс обслуживания. Храниться такие данные будут в течение семи лет.

👮‍♂️Полиция в Санкт-Петербурге пресекла получение взяток сотрудниками подразделения МВД в Красногвардейском районе города за предоставление сведений из базы данных учета пребывания иностранных мигрантов.
🔸"Установлено, что должностные лица районного подразделения получают денежное вознаграждение за предоставление сведений из базы данных учета пребывания иностранных граждан. В настоящее время устанавливаются все лица, причастные к противоправной деятельности", - говорится в сообщении ГУ МВД России по Санкт-Петербургу и Ленинградской области..

🏛️ В Москве на велосипедах курьеров могут появиться номера: это позволит выявлять нарушения с помощью камер
🔸По словам руководителя проектов новой мобильности Дептранса Москвы, необходимо создать единую систему. "Чтобы курьеры проходили какую-то идентификацию, обучение. И вторая история как раз с велосипедами. Мы хотим сделать аналогично, наверное, во многом похоже на сервисы такси, чтобы в наших системах были и персональные данные курьеров, и треки поездок на этих велосипедах, чтобы на них также появилось ограничение скорости, медленные зоны, выделять для них специальные парковочные места, чтобы они не стояли поперек тротуара, перегораживая проход пешеходам", - пояснила представитель профильного департамента.
🔸Кроме того, операторы кикшеринга, департамент транспорта и департамент информационных технологий (ДИТ) столицы прорабатывают возможность подключения сервисов, предположительно, к базам данных сайта мэра и правительства Москвы (mos.ru) или другим способам идентификации пользователей, в том числе с целью ограничения возможности управлять электросамокатами для несовершеннолетних. "Чтобы показать людям, что за самокатами есть контроль, это не какая-то серая зона, это вполне себе понятный и контролируемый вид транспорта", - резюмировала руководитель проектов.

🚗 Автомобили обвинили в краже персональных данных: к 2030 году 95 процентов автомобилей будут подключены к интернету
🔸Машины будут обмениваться данными друг с другом, но также и собирать избыточную информацию о пользователях. Старший аналитик Counterpoint Парв Шарма уже обвинил автопроизводителей в краже персональных данных. По его словам, настройки конфиденциальности часто спрятаны глубоко в прошивке автомобиля. Компаниям выгодно собирать информацию о клиентах — так, в отчете McKinsey за 2021 год говорится, что на продаже данных о водителях третьим лицам компании могут зарабатывать от 250 до 400 миллиардов долларов.

На ярмарке вакансий RPPA опубликованы две новые позиции:
🔸Главный эксперт по работе с персональными данными в Альфа-Банк
🔸Младший специалист по работе с персональными данными в Ситидрайв
🇷🇺⚡️👨‍💻 #вакансия #privacy #compliance

#events #privacy #dataprotection

🔸Кто: Privacy Advocates и Comply
🔸Что: Вебинар. In-house privacy-комплаенс
🔸Дата: 11 апреля, 12:00 (по мск)
🔸Формат: онлайн, YouTube

Адженда:
✅ С чего начинать на новом месте? План на первые 100 дней
✅ Прайваси-чемпионы или как выстраиваивать privacy-менеджмент на местах?
✅ Критерии приоритизации работы: KPI? Штрафы? Карта рисков/матрица?
✅ Как выстраивать коммуникацию с другими юнитами в компании и демонстрировать достижения?
✅ Автоматизация учета обработок данных и иное - надо ли или как?
✅ Как уничтожать ПД и не сойти с ума?

В эфире:
🔵 Михаил Ратушный, DPO, Ozon
🔵 Екатерина Липова, DPO, Yandex Cloud
🔵 Алексей Мунтян, СЕО, Privacy Advocates
🔵 Артём Дмитриев, управляющий партнер, Comply

Язык: русский
Детали и регистрация: здесь

🏛️💡 Статья ведущего специалиста-эксперта отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления Роскомнадзора по Самарской области "Правовая природа политики приватности: практический аспект". Автор статьи предлагает, помимо прочего:
🔸ввести административную ответственность за ненадлежащее оформление оператором содержания Политики приватности;
🔸дополнить ст. 18.1 152-ФЗ «О персональных данных» положениями об обязанности оператора обеспечить оформление Политики приватности в краткой, прозрачной, понятной и легкодоступной форме;
🔸разработать официальный конструктор (генератор) Политик приватности под эгидой Роскомнадзора.

🏛️ Опубликовано постановление Правительства РФ от 23.03.2024 № 367 об актуализации отдельных актов Правительства, предусматривающих использование ЕБС
🔸Изменения внесены в целях приведения актов Правительства в соответствие с положениями Федерального закона № 572-ФЗ. Также скорректирован состав сведений, размещаемых в ЕБС: теперь в ней подлежат размещению в том числе страховой номер индивидуального лицевого счета физлица, представившего в МФЦ отказ от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации (в случае отсутствия отзыва такого отказа); информация о виде электронной подписи, которой подписано согласие на размещение и обработку персональных данных в единой системе идентификации и аутентификации и биометрических персональных данных в единой биометрической системе, в том числе на передачу векторов ЕБС; векторы ЕБС.

🏛️ Ткачев: Заселение в отели по биометрии позволит защитить персональные данные
🔸Первый зампред Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Ткачев, комментируя «Парламентской газете» нововведение, отметил, что правильная, прогрессивная и комфортная для клиентов мера, позволяющая к тому же быстрее получить услугу. Он отметил, что такая система сейчас активно применяется в банках — можно оплатить покупку или взять кредит без паспорта, потому что «паспортом» является лицо.
🔸«Когда человек сдает биометрию, оператор — отель или турбаза — не берет никаких персональных данных, он по факту производит сверку с Единой биометрической информационной системой. Максимум, что остается у оператора — это слепок подтверждения того, что данные, предоставленные человеком, совпадают с данными, которые находятся в ЕБС. И это большой плюс с точки зрения безопасности оборота персональных данных граждан», — сказал депутат.
🔸Регистрироваться в гостиницах, пансионатах и других средствах размещения, а также в медицинских организациях и учреждениях уголовно-исполнительной системы теперь можно будет не только по паспорту, но и биометрическим данным. Соответствующее постановление Правительства вступает в силу 30 марта.

🏛️ В Московском парламентском центре состоялось заседание круглого стола на тему «Биометрия: вызовы времени. Угрозы и риски для человека» 
🔸По итогам заседания участники круглого стола сформулировали ряд рекомендаций. В частности, предлагается государственным органам, владеющим информационными системами, обеспечивающими аутентификацию физических лиц с использованием векторов единой биометрической системы, и (или) осуществляющим функции их оператора, предупреждать граждан о сборе персональных биометрических данных, информировать о возможности отказа от предоставления таких данных. Депутатам Государственной Думы ФС РФ рекомендовано внести изменения в уголовное законодательство РФ, предусматривающие санкции за передачу персональных биометрических данных третьим лицам.
🔸По мнению участников круглого стола, Правительству РФ целесообразно инициировать проведение оценки эффективности и финансово-экономической целесообразности масштабного внедрения дорогостоящих систем сбора (хранения, использования) персональных биометрических данных. Также предложено Министерству обороны РФ, Федеральной службе безопасности РФ, Генеральной прокуратуре РФ проанализировать риски, связанные с несанкционированной утечкой персональных биометрических данных. Предложения в проект резолюции принимаются в течение недели.

🇺🇸 Оператор связи США AT&T сообщил об утечке личных данных 73 млн пользователей
🔸"AT&T начал тщательное расследование с привлечением внутренних и внешних экспертов по кибербезопасности. Согласно нашим предварительным данным, [попавший в даркнет] набор данных содержал сведения начиная с 2019 года или ранее. Это коснулось примерно 7,6 млн нынешних и около 65,4 млн бывших пользователей AT&T", - говорится в заявлении компании.
🔸Информация, включая имена и номера социального страхования клиентов, попала в теневой сегмент интернета примерно две недели назад, но источник утечки еще не обнаружен. Компания заявила, что пока инцидент не влияет на ее работу.

🇰🇿 "Казахтелеком" и Air Astana привлечены к ответственности за утечку данных
🔸Ранее на ресурсе GitHub неизвестные опубликовали материалы одной из хакерских группировок, где в том числе содержались персональные данные казахстанцев, датированные 2019-2022 годом. В опубликованной утечке фигурировали сведения казахстанских операторов связи со служебной информацией об абонентах, а также упоминались АО "Казахтелеком", АО "Единый накопительный пенсионный фонд", АО "Air Astana".
🔸Министерством цифрового развития Казахстана совместно с Комитетом национальной безопасности и АО "Государственная техническая служба" был проведен анализ состояния информационной безопасности операторов мобильной связи.
🔸Также были проведены внеплановые проверки на предмет соответствия требованиям по информационной безопасности в отношении АО "Казахтелеком", АО "Единый накопительный пенсионный фонд", АО "Air Astana". В результате АО "Казахтелеком" и АО "AirAstana" привлечены к административной ответственности по пункту 2 части 1 статьи 641 Кодекса РК "Об административных правонарушениях", выданы предписания со сроком на один год для устранения нарушений. Примечательно, что в АО "ЕНПФ" нарушений не выявлено.

🇷🇺👨‍💻🔥 #рф #нпа #инициативы #регулирование
Обновление дайджеста значимых событий (за предыдущие 2 недели), влияющих на регулирование персональных данных в РФ.

🔸Добавлены пункты (отмечены как New):
8. Постановление Правительства РФ от 20.03.2024 № 341 о заселении в отели по биометрии
9. Постановление Правительства РФ от 20.03.2024 № 342 об обязанности ОРИ хранить информацию о геолокации и способе платежа
10. Постановление Правительства РФ от 23.03.2024 № 367 об актуализации отдельных актов Правительства, предусматривающих использование ЕБС
27. Законопроект о расширении перечня сведений в Едином регистре населения
28. Законопроект об ужесточении административной ответственности за спам-звонки
39. Проект приказа Минцифры о консолидации данных учащихся в регионах в федеральную систему «Моя школа»
55. Инициатива обязать компании иметь резерв для выплаты компенсаций за утечки данных
56. Инициатива о введении уголовной санкции за передачу персональных биометрических данных третьим лицам

#privacy #dataprotection #пд #юмор #1апреля

🏛️ Кабмин предложил уточнить штрафы в законопроекте об ужесточении санкций за утечку данных
🔸Правительство РФ предлагает во втором чтении законопроекта о введении штрафов за нарушение отдельных требований законодательства в области персональных данных внести уточнения, касающиеся "соразмерности и возможности исполнения такого наказания".
🔸"Проектируемые размеры административных штрафов нуждаются в уточнении на предмет соразмерности и возможности исполнения такого наказания лицами, привлеченными к административной ответственности, что необходимо для достижения целей административного наказания", - указано в проекте отзыва.
🔸По мнению кабмина, предлагаемую административную ответственность за утечку персональных данных специальной категории требуется дифференцировать в зависимости от характера административного правонарушения и степени общественного вреда.
🔸"В качестве смягчающего административную ответственность обстоятельства следует предусмотреть осуществление оператором денежной компенсации предполагаемого вреда, нанесенного правам субъектов персональных данных, а также осуществление оператором существенных ежегодных расходов в течение не менее трех лет, предшествующих правонарушению, на мероприятия по обеспечению информационной безопасности персональных данных", - следует из документа.
🔸Кроме того, кабмин предлагает включить в перечень обстоятельств, отягчающих административную ответственность по проектируемым нормам, совершение административного правонарушения, предусмотренного статьей 13.6 КоАП. Речь идет об использовании средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям. "С учетом изложенного правительство Российской Федерации поддерживает законопроект при условии его доработки с учетом указанных замечаний", - указано в проекте отзыва.

⚡Источник заявил об отсутствии фактов взлома баз ФСИН
🔸Фактов взлома систем и баз Федеральной службы исполнения наказаний России не зафиксировано. Об этом ТАСС сообщил источник, близкий к ФСИН.
🔸Ранее телеканал CNN сообщил, что хакеры атаковали компьютерную систему ФСИН, похитили базу данных о заключенных, а также взломали интернет-магазин для заключенных под стражу и осужденных. "Фактов взлома баз ФСИН не зафиксировано. Идет проверка озвученной информации", - сказал собеседник агентства. Он также пояснил, что ФСИН-магазин является юридическим лицом, которое не имеет непосредственного отношения к ведомству.

🇺🇸 Google удалит миллиарды записей, содержащих личную информацию о более чем 136 млн жителей США, пользующихся веб-браузером Chrome
🔸Компания согласилась на уничтожение данных в рамках судебного процесса: в отношении цифрового гиганта подан коллективный иск. Его обвиняют в незаконной слежке за пользователями – в частности, в отслеживании интернет-активности пользователей Chrome, даже когда они переключили браузер в режим «Инкогнито».
🔸Иск, направленный против системы контроля конфиденциальности Google, был подан в июне 2020 г., но благодаря работе адвокатов Google судебный процесс не начинался на протяжении трех лет. В конце 2023 г. Google и адвокаты истцов сообщили, что судебный процесс разрешен. Отмечается, что истцы не получат никаких выплат.