🏛️ Второй пакет поправок в законодательство, направленных на борьбу с мошенничеством предполагает возможность россиян давать, проверять и отзывать свои согласия на обработку ПД на портале «Госуслуги»
🔸Нововведения готовятся, в частности, в законы «О связи», «О персональных данных», «Об информации», «Об оперативно-разыскной деятельности» и «Об электронной подписи».
🔸Поправки в закон «О персональных данных» предполагают, что на портале «Госуслуги» появится форма управления персональными данными россиян. Через портал пользователь сможет ознакомиться с согласиями, которые он дал на обработку персональной информации, предоставить их какой-либо организации или отозвать.
🔸Кроме того, планируется изменить основание для получения согласия на обработку персональных данных у россиян. Сейчас все организации могут брать согласие на обработку личной информации по своему усмотрению. Новые поправки предусматривают, что это станет возможным, только «если законом предусмотрена такая обязанность».
🔸Документ подготовлен Минцифры на основе предложений заинтересованных ведомств и разослан в федеральные органы исполнительной власти. В случае принятия закон должен вступить в силу 1 марта 2026 года за исключением отдельных положений документа.
🔸Председатель комитета по информполитике Госдумы Сергей Боярский заметил, что второй пакет антифрод-мер будет согласован внутри правительства до конца лета, и тогда комитет сможет рассмотреть законопроект в рамках осенней сессии.
🔸Поправка в закон «О персональных данных», ограничивающая случаи получения согласия на обработку личной информации только теми случаями, когда это прямо предусмотрено законом, призвана минимизировать огромный объем таких согласий, указывает эксперт по защите персональных данных и соучредитель RPPA.pro Алексей Мунтян. Однако сократить объем не всегда нужных согласий можно и другими способами, например внеся поправки в Трудовой кодекс, считает он.
🔸Создание платформы для управления согласиями на портале «Госуслуги» сужает набор опций, который мог бы быть и у бизнеса, и у граждан, отмечает Алексей Мунтян. По его мнению, у такой платформы должны быть альтернативы, например ранее обсуждалось создание доверенных посредников.

🏛️ Бизнесу могут запретить создавать цифровые профили клиентов без их согласия
🔸Минцифры подготовило законопроект, запрещающий операторам персональных данных автоматически создавать профили клиентов — анализировать их личность, предугадывать интересы, поведение и предпочтения без прямого согласия. Документ, разработанный по поручению вице-премьера Дмитрия Григоренко, затронет банки, маркетплейсы и операторов связи.
🔸Поправки в ст. 5 закона «О персональных данных» (№152-ФЗ) запретят прогнозирование экономического положения, состояния здоровья, местоположения или личных характеристик алгоритмами. Согласие можно будет дать только через оператора персональных данных или ЕСИА (также отзыв). Операторы обязаны фиксировать в ЕСИА факт сбора данных. Санкции за нарушения пока не предусмотрены.
🔸Установление требований при профилировании, поясняет представитель Минцифры, направлено на минимизацию собираемых ПД и защиту прав граждан. «Любое исследование наборов данных было и будет осуществляться при строгом соблюдении всех правил безопасности, а вся информация – надежно защищена», – добавил он. Он не стал рассказывать о подробностях до принятия документа.

🇫🇷 Порносайты во Франции прекратили работу из-за требования проверять возраст посетителей
🔸Пара крупных порносайтов на неопределённый срок прекратила работу во Франции из-за требования проверять возраст посетителей. Власти Франции приветствовали решение сайтов прекратить работу и пожелали им «всего наилучшего».
🔸В январе Франция ввела новые правила, согласно которым все французские порносайты и площадки за пределами ЕС должны были внедрить механизмы проверки возраста пользователей. Позже требования распространились и на порнографов, базирующихся в Евросоюзе.
🔸Возраст пользователей проверяется по предъявлении кредитных карт, предоставления удостоверяющего личность документа. Помимо этого, сайты для взрослых должны предоставлять посетителям возможность проверки возраста без раскрытия идентифицирующих данных. Используемый для этого метод в публикации не описывается.
🔸Администраторы порносайтов заявили, что требования могут повлечь проблемы с обеспечением конфиденциальности пользователей, а проверять возраст должны не они, а [мобильные] устройства и операционные системы.

🏛️ Опубликован законопроект о новой редакции ст.13 572-ФЗ от 29.12.2022, регулирующей осуществление биометрической идентификации и (или) аутентификации при проходе на территорию государственных органов, органов местного самоуправления, ЦБ РФ и организаций

🔸Расширение субъектного состава и уточнение объектов
🔹Было: упор на организации ОПК, атомной, химической, транспортной и др. сферы, критическую инфраструктуру и режимные объекты.
🔹Стало: чётко включены государственные органы, органы местного самоуправления, госкорпорации, ЦБ РФ и помещения с гостайной. Таким образом, статья стала шире по охвату и точнее по терминологии.

🔸Дифференцированный подход по категориям объектов
🔹Новая редакция вводит классификацию объектов критической информационной инфраструктуры по категориям значимости (1-я, 2-я, 3-я, без категории) и устанавливает различные требования к биометрической аутентификации в зависимости от этой категории.
🔹Ранее подобной градации в тексте не было — объекты просто перечислялись обобщённо.

🔸Явное закрепление права использовать собственные и дочерние ИС
🔹Госкорпорации и ЦБ РФ прямо наделены правом использовать свои или дочерние информационные системы для биометрической аутентификации, и указано, что это возможно при соблюдении условий владения объектами и аккредитации.

🔸Формализация случаев использования региональных сегментов ЕБС
🔹Если в действующей редакции это допускалось в «установленных случаях», то новая редакция подробно описывает, когда и кем может использоваться региональный сегмент ЕБС — в зависимости от вида субъекта и категории объекта.

🫣 Приложение Meta* AI — это катастрофа для конфиденциальности
🔸Это похоже на начало фильма ужасов XXI века: история вашего браузера всё это время была общедоступной, а вы и не подозревали. Примерно так сейчас обстоят дела в новом автономном приложении Meta AI, где множество людей публикуют свои якобы личные беседы с чат-ботом.
🔸Когда вы задаёте ИИ вопрос, у вас есть возможность нажать кнопку «Поделиться» и увидеть предварительный просмотр публикации. Затем вы можете опубликовать её. Однако некоторые пользователи, кажется, не осознают, что делятся своими текстовыми сообщениями, аудиозаписями и изображениями со всем миром.
🔸В приложении Meta AI люди просили помочь с уклонением от уплаты налогов, спрашивали, будут ли арестованы члены их семей за причастность к преступлениям «белых воротничков», или как написать рекомендательное письмо для сотрудника, у которого возникли проблемы с законом, указав его имя и фамилию. Некоторые, например эксперт по безопасности Рэйчел Тобак, находили примеры с домашними адресами людей и конфиденциальной информацией из судебных протоколов, а также другую личную информацию.
🔸Meta не сообщает пользователям, какие у них настройки конфиденциальности при публикации или даже о том, куда они публикуют. Таким образом, если вы входите в Meta AI через Instagram и ваш аккаунт общедоступен, то общедоступны и ваши поисковые запросы.
*Meta и её продукты (Instagram, Facebook) запрещены на территории РФ

#privacy #dataprotection #пд #152фз #регуляторика #профилирование #юмор

🇺🇸 Законодатели в США заподозрили Palantir в незаконном использовании ПД американцев
🔸Американские законодатели заподозрили IT-подрядчика Пентагона Palantir в незаконном использовании персональных данных (ПД) граждан США и направили в адрес главы компании письмо с утверждениями о том, что Palantir «обеспечивает условия и зарабатывает на тяжких нарушениях федерального закона администрацией Дональда Трампа».
🔸Законодатели ссылаются на сведения газеты The New York Times. Из них следует, что сотрудничество Palantir с администрацией началось с создания единой базы данных с возможностью поиска в интересах Налоговой службы США (The U.S. Internal Revenue Service, IRS). Позже проект был расширен до централизованной платформы, содержащей данные об американцах, которыми смогут обмениваться федеральные агентства.
🔸Утверждается, что контракт Palantir с IRS нарушает законы страны (Privacy Act), в части требований к правительству извещать общественность об использовании данных американцев в повседневной деятельности, а также раскрывать деятельность и политику агентств в отношении хранения и удаления сведений об американцах.

🫣 Хакеры слили в Сеть 16 млрд паролей от аккаунтов Apple, Google и Telegram, в т.ч. 455 млн строк связаны с Россией
🔸Хакеры слили в открытый доступ 16 млрд логинов и паролей от аккаунтов Apple, Google, GitHub, Telegram, Instagram, Facebook (последние два принадлежат компании Meta, которая признана в России экстремистской и запрещена) и других популярных сервисов, сообщает портал Cybernews.
🔸По словам специалистов, большая часть этих данных ранее нигде не публиковалась. Это не повторное использование старых баз, а совершенно новые массивы данных. В списке — учетные записи пользователей социальных сетей, корпоративных платформ и порталов разработчиков.
🔸Все слитые данные представлены в стандартной для хакеров форме: URL-адрес, за которым идут логин и пароль. В некоторых случаях также добавлены cookie-файлы, токены и другие метаданные, необходимые для автоматического входа.
🔸Все базы данных находились в открытом доступе лишь короткое время — достаточно, чтобы специалисты успели их заметить, но недостаточно, чтобы выяснить, кто именно их разместил. Многие из них были найдены в незащищенных хранилищах Elasticsearch.

🇰🇿 В Казахстане возбуждено уголовное дело по факту утечки персональных данных
🔸Заместитель генерального прокурора Казахстана Галымжан Койгельдиев 19 июня 2025 года заявил, что по факту утечки персональных данных граждан возбуждено уголовное дело.
🔸16 июня 2025 года в Казнете появилась информация о том, что в открытый доступ утекли 16,3 млн записей с персональными данными жителей Казахстана. 17 июня в Центре анализа и расследования кибератак (ЦАРКА) заявили, что идет расследование со стороны государства. 18 июня вице-министр юстиции Бекболат Молдабеков отметил, что в связи с этими событиями перевыпускать ИИН или удостоверение личности бессмысленно.

🏛️ Подписан закон, позволяющий использовать биометрию при сделках с недвижимостью
🔸Президент России Владимир Путин подписал разработанный Росреестром закон, предлагающий новую меру по защите электронных сделок от мошенничества. Изменения позволят гражданам использовать Единую биометрическую систему (ЕБС) для подачи документов на регистрацию объектов недвижимости в режиме онлайн.

🏛️ Минцифры опубликовало новую версию поправок, согласно которым силовые органы смогут получать информацию от маркетплейсов и классифайдов
🔸Предыдущая версия была опубликована в мае и разрешала силовикам запрашивать личные данные и информацию о покупках. Сейчас перечень предлагается расширить данными об устройстве, сетевых подключениях и местоположении пользователя этих сервисов. Данные будут запрашиваться через систему межведомственного электронного взаимодействия (СМЭВ, с ее помощью обмениваются информацией федеральные и региональные ведомства, МФЦ, «Госуслуги» и некоторые коммерческие организации).
🔸В Минцифры указывают, что регулятор учел предложения заинтересованных ведомств и отрасли. Силовики не получат данные о геолокации всех пользователей маркетплейсов, заявили в Минцифры. Данные будут запрашиваться при подозрении на мошенничество.

🇷🇺👨‍💻🔥 #пд #privacy #нпа #инициативы #регулирование
Дайджест значимых событий за предыдущие 4 недели, влияющих на регулирование персональных данных в РФ.

🔸Добавлены пункты (отмечены как New):
23. Законопроект о защите данных ФЛ и ИП в Реестре операторов персональных данных
25. Законопроект о втором пакете мер по противодействию телефонному и кибермошенничеству (Антифрод-2)
26. Законопроект об исключении из реестра собственников помещений в домах персональных данных
27. Законопроект о локализации и запрете трансграничной передачи персональных данных клиентов экспедиторов
28. Законопроект о новой редакции ст.13 572-ФЗ от 29.12.2022, регулирующей осуществление биометрической идентификации и (или) аутентификации при проходе на территорию организаций
29. Законопроект о праве родителей получать данные об открытых на несовершеннолетних детей счетах и картах
61. Инициатива обязать юрлица в РФ маркировать созданный ИИ контент
62. Инициатива запрашивать данные о судимости и долгах перед заключением брака

🔸Обновлены пункты (отмечены как Update):
5. Федеральный закон от 07.06.2025 № 133-ФЗ о защите электронных сделок с недвижимостью с
помощью биометрических данных
9. Постановление Правительства РФ от 22.05.2025 №740 о правилах проверки пользователей ГИС для обработки обезличенных персональных данных
10. Постановление Правительства РФ от 28.05.2025 №740 о ГИС для обработки обезличенных персональных данных
24. Законопроект об отдельном оформлении согласий на обработку персональных данных и создании «многофункционального сервиса обмена информацией»

💡Вопрос: Будет ли правомерным осуществлять распространение ПД работника на основе предварительно полученного у работника согласия на распространение его ПД согласно положениям ч.6 ст.10.1 152-ФЗ и с учетом требований приказа Роскомнадзора от 24.02.2021 №18, если согласие было дано работником работодателю не в письменной форме (согласно ст.88 ТК РФ), а непосредственно работодателю с использованием соответствующей информационной системы?

🏛️ Роскомнадзор: В соответствии с ч. 9 ст. 9 152-ФЗ требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, устанавливаются уполномоченным органом по защите прав субъектов ПД. Указанные требования утверждены приказом Роскомнадзора от 24.02.2021 № 18. С учетом изложенного в рассматриваемом случае согласие должно соответствовать требованиям, установленным приказом Роскомнадзора от 24.02.2021 № 18, и быть предоставлено в порядке, установленном ст. 10.1 152-ФЗ.

🇸🇯 Норвежский надзорный орган Datatilsynet пришёл к выводу, что информация о посещении пользователем разделов сайта nhi.no, содержащих медицинский контент (например, страницы об эпилепсии, мигрени и других диагнозах), относится к специальным категориям персональных данных в смысле статьи 9 GDPR.
🔸Даже если пользователь не вводил данные напрямую, само его поведение — выбор и просмотр определённых страниц — позволяет сделать обоснованный вывод о состоянии его здоровья. Передача таких сведений через Meta Pixel третьей стороне (Meta/Facebook) без получения явного и информированного согласия нарушает требования ст. 6 и 9 GDPR. Данная позиция учитывает решения CJEU: C-184/20, Vyriausioji tarnybinės etikos komisija; C-252/21, Bundeskartellamt; C-21/23, Lindenapotheke.
🔸Datatilsynet подчеркнул, что согласие, полученное через cookie-баннер, не было действительно добровольным и осознанным, поскольку использовались «тёмные паттерны» и вводящие в заблуждение формулировки. В результате владелец сайта получил официальное предупреждение и обязана запрашивать валидное согласие при последующем использовании трекеров.