💡Ужесточение регулирования сферы информационной безопасности, начавшееся в 2022 году, продолжится и в текущем
🔸Наблюдаемое сегодня ужесточение регуляторики в ближайшее время продолжится, считают эксперты. «Нас ожидает дальнейшее "затягивание гаек", введение дополнительной ответственности, ужесточение ее. Государство непрозрачно намекает на токсичность любой трансграничной активности, а также на обязательность для бизнеса регулирования, связанного с информационной безопасностью»,— говорит Ольга Звагольская.

🏛️ Российские власти усиливают цифровизацию государственных услуг для граждан и бизнеса. Однако при этом повышаются риски утечки персональных данных и служебной информации.
🔸По мнению экспертов, в настоящее время крупные федеральные ИТ-проекты являются ключевыми инструментами современной государственной деятельности и позволяют решать множество задач, связанных с управлением страной, контролем над бизнесом и гражданами.

🇪🇺Штраф в €300,000 за неправомерные маркетинговые практики и использование темных паттернов
🔸Кто: Garante per la protezione dei dati personali (Италия)
🔸Кого: Ediscom S.p.a.
🔸Когда: 2023.04
🔸За что: нарушение ст. 5(1)(a), 5(1)(b), 5(1)(c), 5(2), 6, 6(1)(a), 7, 7(2), 14, 24, 25 GDPR
🔸Как: штраф €300,000 + несколько предписаний и запретов
🔸Причина: неправомерные маркетинговые практики компании Ediscom при проведении рекламных кампаний посредством SMS-сообщений, электронных писем и автоматических звонков, в рамках которой использовалась база данных, содержащая персональные данные 21 миллиона человек. Она состояла из данных, собранных непосредственно Ediscom через различные онлайн-порталы (с помощью новостей, призовых конкурсов, тривиалов, кулинарных рецептов), а также из персональной информации, приобретенной у брокеров данных.
На некоторых своих порталах компания Ediscom использовала темные паттерны (dark patterns), которые с помощью соответствующим образом оформленных графических интерфейсов и других потенциально вводящих в заблуждение методов завлекали пользователей дать свое согласие на обработку данных в маркетинговых целях и на передачу данных третьим лицам с той же целью.

⚖️ В Туле суд приговорил к штрафам и колонии фигурантов дела о передаче данных об умерших
🔸Суд признал виновным бывшего сотрудника полиции, главного врача городской больницы Тулы и четырех сотрудников ритуальных агентств за взяточничество и передачу данных об умерших жителях Тульской области. Экс-полицейского приговорили к трем годам лишения свободы в колонии общего режима, бывшему главврачу назначили штраф в размере 3 млн рублей, сотрудников ритуальных фирм оштрафовали на суммы до 700 тыс. рублей.

🇺🇸 В США представлен законопроект о запрете пользоваться соцсетями несовершеннолетним без согласия родителей
🔸Американские сенаторы внесли на рассмотрение законопроект о защите детей в социальных сетях (The Protecting Kids on Social Media Act); документ предусматривает запрет лицам, не достигшим 18 лет, пользоваться соцсетями без согласия родителей. Законопроект также предусматривает запрет на использование алгоритмов для формирования контента, рассчитанного на несовершеннолетних. Доступ к соцсетям будет закрыт для тех, кто младше 13 лет.
🔸Документ предлагает запуск пилотной программы по разработке нового возрастного идентификатора для предоставления доступа к платформам. Предполагается, что отвечать за программу будет Минторг США. Он должен разработать новый «высокозащищённый механизм аутентификации, основанный на выданных правительством документах, которые, будучи выданными один единственный раз, можно было бы использовать для верификации возраста пользователя при входе в соцсети».

🏛️ В 1 квартале 2023 года Управлением Роскомнадзора по Приволжскому федеральному округу было проведено 13 мероприятий государственного контроля за обработкой персональных данных в отношении администраторов Интернет-ресурсов в Республике Марий Эл без взаимодействия с контролируемыми лицами. По итогам был выявлен 51 признак нарушения законодательства Российской Федерации в сфере защиты персональных данных. Перечень выявленных нарушений:
🔸нарушения ч. 1 ст. 6 Закона (43%) - отсутствие возможности волеизъявления субъекта персональных данных на обработку его персональных данных при сборе персональных данных с использованием сети Интернет, текст согласия в формах сборах персональных данных не является конкретным, предметным, информированным, сознательным и однозначным, также отсутствует конкретная цель обработки персональных данных, обрабатываемых с помощью данных форм сбора;
🔥нарушения ч. 2 ст. 18.1 Закона (43%) - в документе, регламентирующем политику в отношении обработки персональных данных, не перечислены все обрабатываемые оператором категории персональных данных в рамках каждой из категорий субъектов персональных данных, не указаны все категории субъектов персональных данных, чьи персональные данные обрабатываются отдельно в рамках обозначенных целей обработки, а также правовых оснований обработки персональных данных (отсутствует структура целеполагания); документ, регламентирующий политику в отношении обработки персональных данных, не размещен на каждой странице сайта, с использованием которой осуществляется сбор персональных данных;
🔸нарушения ст. 10.1 Закона (2%) - отсутствие правовых оснований на предоставление персональных данных неограниченному кругу лиц на интернет-ресурсе;
🔥нарушения ч. 5. ст. 18 Закона (6%) – на интернет-сайте оператора выявлено использование интернет-сервиса «Google Analytics», посредством которого осуществляется обработка персональных данных пользователей сайта с использованием баз данных, находящихся вне территории Российской Федерации, в том числе трансграничная передача персональных данных посредством данного интернет-сервиса;
🔸нарушения п. 1 ч. 4 ст. 12 Закона (6%) – на интернет-сайте оператора выявлен интернет-сервис «Google Analytics», посредством которого осуществляется трансграничная обработка персональных данных пользователей сайта.

🇧🇷 Бразильский суд постановил временно заблокировать Telegram в стране
🔸Федеральный суд в Бразилии предписал интернет-провайдерам временно заблокировать Telegram, а также подготовил соответствующее указание магазинам приложений и операторам связи. Суд счёл, что Telegram передал недостаточно персональных данных пользователей в рамках расследования дела о стрельбе в одной из бразильских школ в ноябре 2022. Тогда вооружённый подросток убил четырёх человек и ранил 13.

🇪🇺Кто: Garante per la protezione dei dati personali (Италия)
🔸Кого: Azienda Sanitaria Locale della Provincia di Bari ('ASL')
🔸Когда: 2023.04
🔸За что: нарушение ст. 5(1)(a), 5(1)(c), 5(1)(f), 9, 25(1), 25(2) GDPR
🔸Как: штраф €50,000
🔸Причина: на странице "О нас говорят" сайта ASL были опубликованы отзывы, полученные ASL от бывших пациентов. Через вышеупомянутую страницу можно было получить доступ к сотням документов о пациентах, что позволяло третьим лицам идентифицировать их авторов, а также получить доступ к содержащимся в них персональным данным, поскольку такая информация была санитизирована ненадлежащим образом (с помощью черного маркера), что не препятствовало прочтению затемненных частей.

Президент России Владимир Путин подписал закон об обязательной дактилоскопии граждан, заключивших контракт с Вооруженными силами и выполняющих задачи, в том числе за пределами РФ

На ярмарке вакансий RPPA опубликована новая позиция:
Ответственный за организацию обработки персональных данных в ООО «1С-Битрикс»
🇷🇺⚡👨‍💻 #вакансия #privacy #dpo

🏛️ Вице-спикер Госдумы предложил увеличить штрафы за утечки данных до 1 млрд рублей
🔸Вице-спикер Госдумы от ЛДПР Борис Чернышов сообщил, что направил письмо главе Минцифры Максуту Шадаеву с предложением увеличить штрафы компаний за утечку персональных данных до миллиарда рублей. По его мнению, такая сумма адекватна, поскольку данные могут затем перепродавать на «теневых форумах».
🔸«В целом речь идет об их продаже сторонним лицам, а также о распространении на так называемых "теневых форумах" Сети. Бизнес должен нести ответственность даже за сам факт утечки — это ситуация, в которой страдают наши граждане, государство должно их защитить»,— считает депутат. Он также отметил, что интересы компаний также должны быть учтены, поэтому он предложил предусмотреть верхний «потолок» штрафа за утечки.

🇪🇺 В Италии вновь стал доступен чат-бот ChatGPT
🔸Работа чат-бота ChatGPT американской компании OpenAI возобновлена в Италии спустя месяц после блокировки местными властями. Возобновление работы состоялось после того, как OpenAI "прояснила и дала ответ" на те вопросы, которые возникли к ней у итальянского ведомства по защите персональных данных. В компании добавили, что отныне будут лучше информировать пользователей об условиях пользования чат-ботом.

🇧🇷 Telegram оспаривает решение суда в Бразилии и отстаивает право на приватность
🔸Основатель мессенджера Telegram, Павел Дуров, заявил в своем канале, что миссия компании заключается в сохранении конфиденциальности и свободы слова по всему миру. Он отметил, что иногда Telegram вынужден покидать рынки, где местные законы противоречат этим принципам или навязывают технологически невозможные требования.
🔸В контексте ситуации в Бразилии, Дуров сообщил, что суд запросил данные, которые технически невозможно получить для Telegram. В связи с этим мессенджер обжалует решение о блокировке и продолжает отстаивать право пользователей на конфиденциальность личной переписки.

✈️ «Аэрофлот» начал миграцию с немецкой ERP-системы SAP на российский аналог на базе «1С»
🔸По расчётам экспертов, миграция займёт около двух лет и обойдётся «Аэрофлоту» примерно в 1 млрд рублей. Российская компания с 2012 года активно использовала SAP. В феврале 2023 года «Аэрофлот» начал миграцию с Microsoft Office на «МойОфис». Этот проект эксперты оценили в 50 млн рублей.
🔸В мае прошлого года СМИ сообщили, что «Аэрофлот» перейдёт на систему бронирования Leonardo от «Ростеха», разработанную «РТ-Транском» (входит в «Ростех») в партнёрстве с «Сирена-Трэвел». Отечественная система должна защитить персональные данные пассажиров и заменить иностранные сервисы бронирования.

Хакеры из DumpForums заявили, что взломали компанию по управлению цифровыми рисками «BI.ZONE». 🤦‍♂️

Судя по опубликованной хакерами информации, можно предположить, что был выгружен SQL-дамп базы данных сайта bi.zone, под управлением CMS «Bitrix», содержащий, как зарегистрированных пользователей (имена, хешированные пароли, адреса эл. почты), так и лиды (имена, телефоны, адреса эл. почты, места работы). 😱

⚡Страны G7 выступили за создание механизмов упрощения передачи трансграничных данных
🔸Страны Группы семи (G7) выступают за создание международных механизмов, способствующих упрощению передачи трансграничных данных. Об этом говорится в совместном заявлении, принятом в воскресенье по итогам состоявшейся в городе Такасаки встречи глав цифровых и технологических ведомств "семерки".
🔸"Мы подчеркиваем необходимость ощутимого прогресса в продвижении концепции DFFT (концепция свободного потока данных на основе доверия) и признаем, что существуют потенциальные пробелы в международном управлении для введения в действие такой системы. В частности, существует потребность в новом механизме объединения правительств и заинтересованных сторон, чтобы мы смогли сотрудничать с целью упрощения трансграничных потоков персональных и других данных", - говорится в документе.

🇧🇾 Центр защиты персональных данных Беларуси займется вопросами видеонаблюдения в домах и на работе
🔸По словам директора центра Андрей Гаев, пока не полностью урегулированы нормы использования видеонаблюдения на рабочих местах и в домах, в отличие от камер, установленных в общественных местах. Сейчас готовятся соответствующие изменения в Гражданский кодекс.
🔸Также центр работает над вопросами сбора информации о несовершеннолетних, в частности — сбора их биометрических данных. В пример Гаев привел ситуации, когда для входа в школы собираются сканы радужной оболочки глаза — а эта информация относится к специальным персональным данным, и законодательство допускает их обработку исключительно в случаях, когда по-другому достичь цели невозможно.
🔸Специалисты центра прорабатывают и вопросы трансграничной передачи персональной информации. Многие белорусские организации взаимодействуют с партнерами за рубежом, им передается информация о наших гражданах — и нужно законодательно определить, в каких случаях персональная информация обязательно должна обрабатываться на территории Беларуси и когда и по каким правилам может передаваться за ее пределы.

👻 Безопасность разложили по центрам: Спрос на коммерческий мониторинг киберугроз вырос вместе с ценами
🔸С ростом числа кибератак и утечек данных российские компании стали чаще обращаться за ранее нишевыми услугами центров мониторинга и контроля кибербезопасности (SOC). Рост спроса составил в первом квартале 25% год к году.
🔸На конец 2022 года участники рынка оценивали его объем в 20 млрд руб. По итогам 2023 года рост может составить до 70%: профильные компании, расширяющие штат и вычислительные мощности, повышают цены.

🚗 Удаленный отступ: автоконцерны ограничивают работу своих приложений в России
🔸Западные автопроизводители ограничили функционал своих приложений для российских пользователей. Проблема коснулась, в частности, владельцев Skoda, Kia, Infiniti, Nissan и Renault. Теперь они не могут дистанционно разблокировать двери автомобиля, запустить двигатель, посмотреть остаток топлива, а также обновить программы, контролирующие работу мотора, ABS и тормозной системы, подтвердили представители отрасли. Кроме того, производители машин оставили дилеров без софта, который позволял узнавать об отзывных кампаниях при выявлении технических недостатков.
🔸Любой автоконцерн, который уходит из России, будет вынужден заблокировать доступ к приложению. Обслуживать мобильное приложение дорого и трудозатратно: оно должно регулярно корректироваться под изменяющееся законодательство, особенно в части сохранности персональных данных. Кроме того, требуется команда специалистов для техподдержки и обновлений, что тоже влечет за собой дополнительные расходы.