🏛️Прокуратура в ходе проверки официальных интернет-ресурсов органов власти и подведомственных организаций ряда субъектов РФ выявила нарушения в области обработки персональных данных
🔸Прокуратура в ходе проверки официальных интернет-ресурсов органов власти и подведомственных организаций ряда субъектов РФ, в том числе Москвы, Санкт-Петербурга и Московской области, выявила ряд нарушений. Об этом сообщил первый заместитель председателя комитета Совфеда по конституционному законодательству и госстроительству Артем Шейкин.
🔸"В рамках рассмотрения моих обращений по вопросам соблюдения законодательства о защите персональных данных генеральной прокуратурой были организованы проверки в ряде регионов, включая Москву, Санкт-Петербург и Московскую область. <...> Проведенные мероприятия подтвердили наличие отдельных нарушений в работе официальных интернет-ресурсов органов власти и подведомственных организаций", - сказал Шейкин.
🔸В Московской области выявлено 95 нарушений, внесено 84 представления, 32 сотрудника привлечены к дисциплинарной ответственности. В Санкт-Петербурге направлено 66 представлений, в Москве - 61 представление в адрес муниципалитетов, отметил сенатор.
🔸"Основные замечания связаны с неполным соблюдением требований информирования пользователей о сборе персональных данных, отсутствием уведомлений Роскомнадзора о трансграничной передаче, а также использованием сторонних аналитических сервисов, расположенных за пределами России", - сказал Шейкин.

💡Только треть работников в РФ не готовы делиться данными прежнего работодателя
🔸40% российских работников считают возможным использование «чувствительной» информации, полученной в ходе работы на своего прежнего работодателя, на новом месте работы. Среди топ-менеджеров готовы к такой практике большинство (67%), среди линейных специалистов — 37%. С учетом роста текучки на нынешнем рынке труда это может потребовать от компаний более эффективного контроля за информационной безопасностью.
🔸Как следует из ответов респондентов, абсолютное большинство (93%) не сталкивалось с просьбой предоставить рабочие документы, клиентские кейсы или коммерческие предложения с прошлого места работы при трудоустройстве на новую позицию. О факте таких запросов упомянули только 5%. При этом топ-менеджерам предлагают поделиться информацией чаще, чем рядовым сотрудникам,— среди первых с подобными запросами сталкивались 11%, среди вторых — только 3%.
🔸Большинство сотрудников (79%) перед уходом из компании не сохраняли у себя рабочую информацию, 3% сделали это случайно или по привычке, 4% забрали данные специально. У 14% сотрудников остались файлы в почте, облаке, на личных устройствах. При этом о полной блокировке доступа к информации прежнего работодателя сообщила треть респондентов (33%), 11% сохраняли его некоторое время.

💡🇷🇺 Эксперты RPPA [РФ] подготовили аналитический материал об определении личности субъекта персональных данных при обращении к оператору. Основные выводы материала:

1️⃣ Чтобы верно установить набор сведений, необходимых для решения задачи подтверждения тождественности, следует учитывать контекст обработки ПД.

2️⃣ Если установленные законом требования к обращению не исполнены, ни отказ в удовлетворении, ни исполнение требования субъекта сами по себе не будут нарушением.

3️⃣ При решении задачи подтверждения тождественности нужно исходить из целесообразности принятия дополнительных мер и уровня риска для прав субъекта при удовлетворении требования отправителя.

4️⃣ При оценке указанной целесообразности и уровня риска необходимо учитывать, в частности, объем данных в обращении, возможное влияние исполнения требования на обработку и (или) права субъекта.

💡В дополнение к материалу АЦ RPPA: Принципиальная схема определения личности субъекта ПД при обращении к оператору

🏫 14.04.2025 на факультета права НИУ ВШЭ прошла Всероссийская студенческая научная конференция «Развитие правового регулирования биометрии в России и за рубежом». На мероприятии в рамках двух секций – экспертной и студенческой – встретились ведущие российские специалисты в области защиты биометрических персональных данных и молодые исследователи, изучающие проблематику российского и зарубежного правового регулирования обработки и защиты биометрии.
🔸Все эксперты выразили единодушное мнение, что ст. 11 152-ФЗ требует доработки в связи с веяниями нового времени: развитием специального закона – 572-ФЗ, новых биометрических технологий, появлением новых биометрических метрик.

💡Алексей Мунтян, CEO в компании Privacy Advocates, рассказал на конференции об особенностях правовых понятий идентификации и аутентификации в российском законодательстве, а также раскрыл актуальную проблематику регулирования биометрического установления личности человека:
1️⃣ Оператор должен организовывать и, возможно, осуществлять обработку биометрических данных, т.е. если такие данные обрабатываются исключительно на устройстве пользователя, а оператору сообщаются лишь сведения о результатах идентификации, то нельзя говорить об обработке оператором биометрических данных.
2️⃣ В ст.11 152-ФЗ «О персонально данных» прямо не указано, что с помощью биометрических персональных данных оператор может не только установить (идентифицировать) личность субъекта данных, но и удостоверить/подтвердить (аутентифицировать) личность.
3️⃣ В ст.11 152-ФЗ «О персонально данных» отсутствует квалифицирующий критерий применения специальных технических средств (средств автоматизации) для получения эталонных образцов биометрических данных физического лица и последующего автоматизированного (автоматического) сопоставления эталонных образцов с получаемыми/предъявляемыми биометрическими данными.
4️⃣ В законодательстве РФ не указывается на достоверную идентификацию субъекта как на необходимый признак биометрических данных, хотя наличие ошибок идентификации неизбежно. Все биометрические технологии характеризуются таким параметрами, как False Accept Rate (процент ошибочного разрешения доступа) и False Reject Rate (процент ошибочного отказа в доступе).

🏛️Расследующий утечки данных бизнес могут освободить от уголовной ответственности
🔸Минцифры обсуждает с отраслью и профильными ведомствами выведение из-под уголовной ответственности расследование утечек персональных данных. Согласно предварительной версии поправок в Уголовный кодекс (ст.272.1) и закон «О персональных данных», на крупные ИБ-компании и те организации, что ведут расследования на предмет компрометации информации своих клиентов, не будет распространяться действие уголовной статьи за хранение незаконно полученных данных.
🔸Сейчас бизнес работает с утечками, но на свой страх и риск, констатируют участники рынка. ИБ-компании приветствуют возможные послабления, хотя и опасаются, что они защитят только крупный бизнес.
🔸Случаи, которые сейчас попали в «серую зону», — это расследования ИБ-подразделениями принадлежности компании к конкретной утечке, мероприятия по защите клиентов, данные которых скомпрометированы, выполнение обязанности по уведомлению Роскомнадзора в случае, если факт утечки подтвержден, тестирование на проникновение, перечисляют в АБД. «Сейчас обсуждается конструкция, в рамках которой такую деятельность может вести только бизнес со зрелой информационной безопасностью или ИБ-компании. У регулятора должно быть понимание, кто именно имеет право на это, при условии, что контур ИБ таких компаний соответствует установленным требованиям» — подчеркнули в АБД.

🇷🇺👨‍💻🔥 #пд #privacy #нпа #инициативы #регулирование
Дайджест значимых событий за предыдущие 2 недели, влияющих на регулирование персональных данных в РФ.

🔸Добавлены пункты (отмечены как New):
10. Приказ Минздрава от 20.03.2025 № 139н "Об утверждении Порядка обезличивания сведений о лицах, которым оказывается медицинская помощь, а также о лицах, в отношении которых проводятся медицинские экспертизы, медицинские осмотры и медицинские освидетельствования"
16. Законопроект о применении биометрии в телемедицине
17. Законопроект о предоставлении доступа к данным умерших организаторам похорон
18. Законопроект об освобождении от уголовной ответственности при расследовании утечки данных
24. Проект постановления Правительства о порядке формирования составов обезличенных персональных данных и о порядке предоставления доступа к составам таких данных
25. Проект постановления Правительства о требованиях к обезличиванию персональных данных, методов и правил обезличивания персональных данных
44. Событие наложения на банк штрафа в ₽200 тыс. за пересылку персональных данных в WhatsApp
45. Инициатива ограничения числа организаций, хранящих данные граждан
46. Инициатива создания "единого окна" для управления согласиями на обработку персональных данных
47. Инициатива проверки работодателем данных из резюме с помощью государственных информсистем
48. Инициатива перехода от свободы обращения персональных данных к их суверенитету

🇨🇵Франция потребовала от мессенджеров предоставить бэкдор – Дуров
🔸Полиция Франции «три дня назад» выступила в поддержку идеи обязать мессенджеры предоставить правоохранительным органам бэкдоры, сообщил в понедельник основатель Telegram Павел Дуров в своём канале.
🔸Основатель Telegram отметил, что власти Франции в прошлом месяце практически запретили шифрование – Сенат (верхняя палата парламента) одобрил законопроект, требующий от мессенджеров предоставить бэкдор сотрудникам полиции для доступа последних к частной переписке. Однако Национальное собрание (нижняя палата парламента страны) не пропустила законопроект.
🔸В этой связи Дуров заявил, что созданная им платформа за 12 лет существования «не раскрыла ни единого байта частных сообщений». По решению суда Telegram раскрывает только IP-адреса и номера телефонов подозреваемых в совершении преступлений.

🏛В РКН заявили об игнорировании бизнесом принципов работы с персональными данными
🔸Бизнес игнорирует принципы работы с персональными данными: компании зачастую собирают излишние объемы личных данных россиян и не удаляют их по достижении цели сбора, заявил замглавы Роскомнадзора Милош Вагнер.
🔸Он призвал компании сообщить об имевших место утечках до 30 мая, когда вступит в силу закон об оборотных штрафах за утечки данных: в таком случае можно рассчитывать на меньшие штрафы.

На ярмарке вакансий RPPA опубликована новая позиция:
🔸Специалист по защите персональных данных (DPO) в Леста Игры
🇷🇺⚡️👨‍💻 #вакансия #privacy #legal #dpo

🇪🇺🇺🇸 ЕК решила оштрафовать Apple и Meta на €700 млн
🔸Еврокомиссия (ЕК) решила оштрафовать технологические гиганты Apple и Meta (признана в РФ экстремистской и запрещена) за нарушение антимонопольного законодательства на €500 млн и на €200 млн, соответственно. Об этом сообщила пресс-служба ЕК.
🔸"Сегодня Еврокомиссия установила, что Apple нарушила свое обязательство в соответствии с Законом о цифровых рынках (DMA), а Meta нарушила обязательство DMA предоставить потребителям выбор сервиса, который использует меньше их персональных данных. Поэтому Еврокомиссия оштрафовала Apple и Meta на €500 млн €200 млн соответственно", - отмечается в заявлении. В нем подчеркивается, что "оба решения были приняты после обширного диалога с заинтересованными компаниями, позволившего им подробно изложить свои взгляды и аргументы".

🫣 Количество кибератак на организации здравоохранения в первом квартале 2025 года увеличилось на 24% по сравнению с аналогичным периодом прошлого года. На фармацевтические компании пришлось 40% всех инцидентов, сообщают эксперты Positive Technologies и RED Security SOC.
🔸Основными целями злоумышленников стали персональные данные пациентов и сотрудников, а также требования выкупа. Около 20% атак на медучреждения носили критический характер. В январе был зафиксирован пик активности — почти половина квартальных инцидентов.
🔸Аналитики отмечают рост интереса хакеров к аптечным сетям: в 2024 году в даркнете появились базы данных клиентов с 1,2 млн записей. Эксперты связывают эту тенденцию с меньшим уровнем защиты в отрасли.

⚖️ Сотрудницу полиции осудили за разглашение данных девушки, задержанной за проституцию
🔸Мосгорсуд утвердил приговор сотруднице полиции, которая переслала в служебный чат объяснение девушки, задержанной за занятие проституцией. Снимки оказались в интернете и запустили волну травли. Разбирательство длилось несколько лет, сопровождаясь сменой квалификации и отменой первого приговора.
🔸Следственные органы квалифицировали действия сотрудницы полиции как халатность (ч. 1 ст. 293 УК РФ). Сотрудница полиции настаивала, что переслала протокол коллегам исключительно с рабочей целью — для получения консультации в рамках проверки законности отказа в возбуждении дела. Она подчеркивала, что снимок был направлен в закрытую служебную группу, состоящую только из сотрудников угрозыска.
🔸В 2021 году Никулинский суд Москвы назначил обвиняемой штраф в размере 80 тыс. рублей. Апелляционная инстанция согласилась. Однако Второй кассационный суд пришел к выводу о неверной квалификации действий осужденной. Кассация отметила, что фото делались осознанно, а рассылка служебной информации через мессенджер нарушала внутренние приказы МВД, что делает квалификацию по ст. 293 некорректной (халатность — это преступление по неосторожности). Второй КСОЮ направил дело в апелляционную инстанцию, оттуда оно вернулось в Никулинский суд, а затем в прокуратуру.
🔸Полицейской предъявили новое обвинение — по ч. 2 ст. 137 УК РФ: нарушение неприкосновенности частной жизни с использованием служебного положения. Суд первой инстанции назначил наказание в виде штрафа в размере 150 тыс. рублей с запретом работать в правоохранительных органах на два года. В апелляционной жалобе адвокат осужденной, среди прочего, утверждал, что потерпевшая, занимаясь проституцией, не может претендовать на защиту персональных данных в полном объеме. Мосгорсуд отверг этот довод. Приговор оставлен в силе.

#privacy #dataprotection #пд #философия #юмор

💡Ассоциация больших данных (АБД) совместно с компаниями Guardora и Privacy Advocates выпустила аналитический доклад «Конфиденциальные вычисления и доверенные среды исполнения. Federated Learning», посвященный применению федеративного обучения, как наиболее эффективного метода безопасного использования данных для обучения моделей машинного обучения.
🔸Документ освещает потенциал FL для улучшения качества моделей машинного обучения за счёт использования в обучении и инференсе ML-моделей конфиденциальных данных с соблюдением норм действующего законодательства и внутренних норм компаний о защите данных.
🔸CEO Privacy Advocates Алексей Мунтян обращает внимание: «Широкое распространение ИИ-систем создает дополнительные потребности в качественных датасетах для обучения ML-моделей, в том числе на основе имеющихся у компаний персональных данных. Технологии федеративного обучения позволяют обеспечить необходимый уровень защиты персональных данных и отсутствия доступа со стороны третьих лиц, тем самым способствуя развитию современных отечественных ИИ-технологий».

🏛️ МВД: мошенники могут похищать данные граждан под видом трудоустройства
🔸Мошенники для своей преступной деятельности могут не только использовать украденные или утерянные паспорта, но и похищать паспортные данные под предлогом трудоустройства или во время ксерокопирования.
🔸В МВД отметили, что злоумышленники часто в своей преступной деятельности используют утерянные или похищенные паспорта или их ксерокопии. Мошеннические действия с использованием паспорта часто маскируют под трудоустройство, говорится в материалах. Так, соискателя выгодной вакансии просят на время оставить "работодателям" документы для оформления в штат. При этом используют его по своему усмотрению.

🇳🇬 Власти Нигерии оставили штраф Meta на $220 млн за нарушение законов
🔸Федеральная Комиссия по конкуренции и защите потребителей Нигерии отвергла апелляцию и оставила в силе ранее наложенный ею штраф на $220 млн в отношении американской компании Meta (признана в РФ экстремистской) за нарушение законов о правах потребителей, защите данных и частной информации.
🔸Комиссия оштрафовала Meta 19 июля 2024 года за нарушение правил использования персональных данных. Meta также была уличена в дискриминационной практике и злоупотреблении доминирующим положением на рынке.

🏛️ Опубликовано постановление Правительства РФ от 24.04.2025 № 538 об определении случаев формирования составов обезличенных ПД. Предложено формировать составы данных в следующих случаях:
🔸при угрозе возникновения или возникновении чрезвычайных ситуаций природного и техногенного характера для защиты населения и территорий;
🔸при выработке и реализации государственной политики в области противодействия терроризму;
🔸в случае введения чрезвычайного положения на всей территории РФ или в её отдельных местностях;
🔸в случае введения ограничительных мероприятий (карантина) на территории одного или нескольких субъектов РФ для предупреждения распространения инфекционных заболеваний и массовых неинфекционных заболеваний (отравлений);
🔸при проведении статистических или иных исследований в целях выработки и реализации государственной политики в сфере туризма;
🔸при проведении исследований в экономической и социальной сферах для реализации государственной миграционной политики РФ;
🔸при проведении статистических, научных или иных исследований в области обеспечения санитарно-эпидемиологического благополучия населения для прогнозирования санитарно-эпидемиологической обстановки, направлений её изменения в соответствии с федеральным законом «О санитарно-эпидемиологическом благополучии населения».

🇺🇸 Американский регулятор пообещал разрешить использовать ПД для обучения ИИ-систем без согласия граждан
🔸Федеральная торговая комиссия США (Federal Trade Commission, FTC) выступила против «избыточного регулирования» в области ИИ-разработок, по мнению представителя FTC Мелиссы Хоулиоук (Melissa Holyoak), обеспечение комиссией выполнения правил в области конфиденциальности данных не должно сказываться на возможностях компаний развивать технологии искусственного интеллекта.
🔸Хоулиоук прямо заявила, что согласие граждан на доступ к персональным данным (ПД) для компаний, разрабатывающих ИИ-системы, необязательно. По её словам, требование для компаний получать согласие физических лиц на использование их данных для обучения ИИ может негативно отразиться на небольших фирмах, поскольку потребителям такие компании известны меньше, чем крупные.