🇧🇾 Центр защиты персональных данных Беларуси займется вопросами видеонаблюдения в домах и на работе
🔸По словам директора центра Андрей Гаев, пока не полностью урегулированы нормы использования видеонаблюдения на рабочих местах и в домах, в отличие от камер, установленных в общественных местах. Сейчас готовятся соответствующие изменения в Гражданский кодекс.
🔸Также центр работает над вопросами сбора информации о несовершеннолетних, в частности — сбора их биометрических данных. В пример Гаев привел ситуации, когда для входа в школы собираются сканы радужной оболочки глаза — а эта информация относится к специальным персональным данным, и законодательство допускает их обработку исключительно в случаях, когда по-другому достичь цели невозможно.
🔸Специалисты центра прорабатывают и вопросы трансграничной передачи персональной информации. Многие белорусские организации взаимодействуют с партнерами за рубежом, им передается информация о наших гражданах — и нужно законодательно определить, в каких случаях персональная информация обязательно должна обрабатываться на территории Беларуси и когда и по каким правилам может передаваться за ее пределы.

👻 Безопасность разложили по центрам: Спрос на коммерческий мониторинг киберугроз вырос вместе с ценами
🔸С ростом числа кибератак и утечек данных российские компании стали чаще обращаться за ранее нишевыми услугами центров мониторинга и контроля кибербезопасности (SOC). Рост спроса составил в первом квартале 25% год к году.
🔸На конец 2022 года участники рынка оценивали его объем в 20 млрд руб. По итогам 2023 года рост может составить до 70%: профильные компании, расширяющие штат и вычислительные мощности, повышают цены.

🚗 Удаленный отступ: автоконцерны ограничивают работу своих приложений в России
🔸Западные автопроизводители ограничили функционал своих приложений для российских пользователей. Проблема коснулась, в частности, владельцев Skoda, Kia, Infiniti, Nissan и Renault. Теперь они не могут дистанционно разблокировать двери автомобиля, запустить двигатель, посмотреть остаток топлива, а также обновить программы, контролирующие работу мотора, ABS и тормозной системы, подтвердили представители отрасли. Кроме того, производители машин оставили дилеров без софта, который позволял узнавать об отзывных кампаниях при выявлении технических недостатков.
🔸Любой автоконцерн, который уходит из России, будет вынужден заблокировать доступ к приложению. Обслуживать мобильное приложение дорого и трудозатратно: оно должно регулярно корректироваться под изменяющееся законодательство, особенно в части сохранности персональных данных. Кроме того, требуется команда специалистов для техподдержки и обновлений, что тоже влечет за собой дополнительные расходы.

🏛️ В апреле 2023 года специалистами Управления Роскомнадзора по Дальневосточному федеральному округу проведено мероприятие по контролю без взаимодействия с контролируемым лицом в отношении категории операторов «Интернет магазины» на территории Приморского края, на предмет выявления признаков нарушений законодательства в области персональных данных. Были выявлены следующие нарушения (признаки нарушения):
🔸На интернет-сайтах операторов осуществляется сбор персональных данных с использованием информационно-телекоммуникационных сетей интернет, однако отсутствует форма получения согласия на обработку персональных данных.
🔸Также, на сайтах отсутствует политика обработки персональных данных.
🔸В ходе мониторинга сайтов было выявлено, что проверяемые организации при сборе персональных данных используют Yandex.Metrika без формы получения согласия на обработку персональных данных при помощи данной метрической программы.

Сбер объявил о переходе на Единую биометрическую систему. Банк готов исполнять все требования закона о государственной защите биометрических персональных данных (официально 572-ФЗ называется немного иначе, но считайте это авторским наименованием). Сейчас Сбер занимается настройкой необходимой инфраструктуры, обеспечивая свои каналы криптозащитой – это тоже требование закона. Далее стартует перенос на госсервера биометрических данных клиентов, и банк будет обязан получить согласие каждого из них.

К тем же самым процессам пора приступать другим крупным организациям, которые занимались сбором и обработкой биометрических данных. Поэтому ждём подобных заявлений от других игроков рынка. Запрет на обработку биометрии без использования единой госсистемы вступает в силу уже осенью: с 30 сентября хранение этих данных за её пределами будет считаться правонарушением, за которое предусмотрена административная и уголовная ответственность.
Для меня очень важно, что централизованный подход к биометрии граждан России гарантирует им не только высочайший уровень защиты чувствительных данных, но и удобные инструменты контроля. Уже сейчас можно оформить полный запрет на сбор и обработку биометрии через в МФЦ. Скоро на «Госуслугах» появится возможность тонкой настройки доступа к биометрии разных организаций и учреждений: можно будет отозвать данные ранее согласия. Эту функцию Минцифры обещало реализовать с 1 января 2024 года, буду держать это обещание на контроле.

Главная цель 572-ФЗ – навести порядок на рынке биометрических данных. Что, как я не раз говорил, нужно было делать намного раньше: по моим ощущениям, с этим мы чуть не опоздали.

Россияне смогут идентифицировать себя на сайтах энергокомпаний через ЕСИА. Соответствующее постановление Правительства РФ № 671 было подписано 28 апреля 2023 года.

⚡Владеющая Tinder компания Match Group окончательно уходит из России к 30 июня
🔸Match Group, владеющая Tinder, заявила о своем уходе из России. Компания предупредила, что с 30 июня для россиян будет закрыт доступ к дейтинговому сервису. Таким образом, Tinder примкнет к Bumble, Badoo и Fruitz, которые покинули российский рынок еще в прошлом году. В Госдуме в ответ на уход Tinder предложили создать православный аналог на платформе «Госуслуг».
🔸В июле 2022г. московский суд оштрафовал Match Group LLC (владеет сервисом Tinder) на 2 млн рублей из-за отказа локализовать данные россиян. Против компании было возбуждено административное дело по ч. 8 ст. 13.11 КоАП РФ (невыполнение оператором при сборе персональных данных обязанности по обеспечению записи, хранения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории России).

🇧🇷 Бразильский суд отменил решение о блокировке Telegram
🔸Апелляционный суд Бразилии отменил принятое ранее решение о блокировке мессенджера Telegram в стране. Полная блокировка мессенджера неоправданна из-за того, что подобная мера «негативно влияет на свободу коммуникаций тысяч людей, не имеющих отношения к продолжающемуся расследованию», пришёл к выводу апелляционный суд. Однако ранее вынесенное решение о штрафе для Telegram в размере 197 тысяч долларов за каждый день невыполнения требований суда остаётся в силе.

🇺🇸 Администрация США приурочила к Первомаю запрос об использовании систем слежки за персоналом
🔸Администрация США объявила в понедельник о планах запросить у работников и работодателей данные об использовании автоматизированных систем оценки эффективности, управления и слежения за персоналом. Заявленная цель Белого дома — лучше разобраться в сути, практике использования, масштабах распространения и влияния на наёмных людей технологий слежки на рабочем месте.
🔸Как отмечено в сообщении администрации США, работодатели всё чаще вкладывают средства в технологии, позволяющие следить за сотрудниками. На основании полученных данных принимаются те или иные решения в отношении работников, влияющие на их карьеру, заработок и уровень стресса.
🔸Белый дом ссылается на ранее появившиеся данные, согласно которым восемь из 10 крупнейших частных работодателей отслеживали действия сотрудников для оценки их эффективности. Сообщалось о том, что:
- медицинские организации требуют от медсестёр носить RFID-метки, чтобы отслеживать их местоположение и доступность для другого медицинского персонала и пациентов;
- компании отслеживают местоположение курьеров-водителей и скорость, с которой они перемещаются;
- работодатели устанавливают на офисные компьютеры программы, передающие данные о том, насколько активно используется клавиатура;
- сотрудники колл-центров находятся под постоянным электронным наблюдением;
- складские работники используют сканеры для сбора и передачи данных о темпе работы.
🔸Постоянная слежка за производственными показателями персонала может привести к тому, что люди будут вынуждены «работать слишком быстро», что создаёт риски для их безопасности и психологического здоровья, отметили в Белом доме. Прослушивание бесед сотрудников способно стать препятствием в деле осуществления прав людей организовываться и коллективно отстаивать свои интересы в спорах с нанимателем. Ответы на запросы будут использованы Белом домом для разработки новых мер в области регулирования рынка труда.

🇺🇸 Прокурор в США преследовал своих любовниц с помощью судебных запросов
🔸В США вынесен приговор бывшему прокурору, который с помощью судебных запросов осуществлял целенаправленную слежку за своими любовницами. Окружной суд отправил сталкера в тюрьму, а также обязал пройти лечение у психиатра.
🔸В 2009–2021 годах Адам Чаудри работал в прокуратуре Балтимора, в том числе с 2015 года в отделе по расследованию убийств. Во время своего пребывания в отделе прокурор поддерживал интимные отношения с двумя женщинами.
🔸Чаудри направил 65 ходатайств в суды для получения записей телефонных разговоров своих любовниц. Кроме того, по запросу Чаудри следователь прокуратуры Балтимора предоставил ему информацию о жертвах, включая домашний адрес, сведения о транспортных средствах и фотографии водительских удостоверений. Прокурор использовал персональные данные, чтобы следить за партнершами и преследовать их. Подчеркивается, что ни одна из жертв домогательства в виде сталкинга не являлась свидетелем или фигурантом уголовного дела.

🏛️ Годность призывников сверят с электронной медкартой: Военкоматам обещают доступ к медицинской информации из ЕГИСЗ
🔸Военные комиссариаты намерены получить доступ к медицинским данным призывников из Единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ). Проект постановления правительства, вносящий соответствующие поправки в положение о призыве, опубликован на портале нормативно-правовых актов. Документ уточняет, как будет работать механизм формирования электронных личных дел граждан, подлежащих призыву на службу.

🤖 Джеффри Хинтон покидает Google, высказывая сожаление о своем вкладе в разработку ИИ
🔸Доктор Джеффри Хинтон, часто называемый "отцом искусственного интеллекта", ушел из Google, ссылаясь на опасения, вызванные распространением дезинформации, возможностью потери рабочих мест из-за ИИ и "существенным риском" создания подлинного цифрового разума. Десять лет назад он присоединился к Google для разработки ИИ-технологий компании, и его подход стал основой для создания таких систем, как ChatGPT.
🔸В краткосрочной перспективе Хинтон обеспокоен тем, что люди больше не смогут отличить правду от лжи из-за наводнения интернета ИИ-генерируемыми изображениями, видео и текстами. Он также обеспокоен тем, что ИИ в конечном итоге заменит такие рабочие места, как помощники, юристы и другие профессии, выполняющие рутинные задачи.

💡@KZyubanov подготовил небольшое англоязычное исследование о том, как может быть определен объем понятия "персональные данные", в т. ч. в Российской Федерации, то есть, что должно к ним относиться, а что - нет. Исследование основано на устоявшихся международных подходах и поддерживает концепцию "content - purpose - result" [содержание - цель - результат], использованную в WP29 Opinion 4/2007 on the concept of personal data. В частности, сформулированы следующие тезисы:
🔸На сегодняшний день отсутствует единообразный подход представителей исполнительной, судебной, законодательной власти, организаций - операторов персональных данных, а также субъектов персональных данных относительно объема понятия "персональные данные".
🔸Для определения того, относится информация к персональным данным или нет, допустимо использовать практику применения других актов, аналогично 152-ФЗ берущих начало из 108-й Конвенции.
🔸Проблемы бизнеса, связанные с тем, что все больший объем информации считается относящимся к персональным данным, должны решаться в рамках законодательства в области персональных данных, а не посредством исключения его действия в отношении той или иной информации.
🔸Использование элементов определения термина "персональные данные" как критериев относимости информации к персональным данным допустимо только при условии обеспечения формальной определенности каждого из этих критериев, в т. ч. с помощью упомянутой триады "содержание - цель - результат".

🇪🇺 EDPB опубликовал руководство по GDPR для малого бизнеса
Европейский совет по защите данных (EDPB) 27.04.2023 запустил онлайн-руководство для малого и среднего бизнеса по соблюдению GDPR. В руководстве рассматриваются следующие вопросы:
🔸основы защиты данных, такие как сфера применения GDPR и определение персональных данных;
🔸права субъектов данных;
🔸защита данных по проекту и по умолчанию (PBDD);
🔸записи о деятельности по обработке данных (RoPA);
🔸оценки воздействия на защиту данных (DPIA);
🔸уведомления о нарушении безопасности данных (DBN).

🇪🇺 Генеральный адвокат CJEU о нематериальном ущербе субъектам в случае незаконного доступа к персональным данным
🔸27.04.2023 опубликовано заключение Джованни Питруццелла – Генерального адвоката Суда Европейского Союза (‘CJEU’) по делу 340/21 VB v Natsionalna agentsia za prihodite. Заключение было вынесено в связи с обращением Верховного административного суда Болгарии к CJEU о вынесении предварительного решения относительно толкования GDPR в части условий присуждения компенсации за нематериальный ущерб лицу, чьи персональные данные, хранящиеся в государственном учреждении, были опубликованы в интернете в результате хакерской атаки.
🔸Само по себе возникновение нарушения персональных данных не означает, что технические и организационные меры, принятые контролером данных, не были надлежащими для обеспечения защиты данных. Напротив, национальные суды должны определить, были ли принятые меры надлежащими на практике, проведя конкретный анализ содержания этих мер и способа их применения, а также их практического эффекта. Бремя доказывания того, что принятые меры были надлежащими, лежит на контролере данных, который может быть освобожден от ответственности только в том случае, если он сможет продемонстрировать, при высоком уровне доказательности, что он никоим образом не несет ответственности за событие, приведшее к ущербу.
🔸Страх перед возможным неправомерным использованием их персональных данных в будущем может представлять собой нематериальный ущерб, дающий право на компенсацию субъекту данных, при условии, что субъект данных докажет, что он понес реальный и определенный эмоциональный ущерб, что в каждом конкретном случае должен проверить компетентный национальный суд.

🇪🇺 Руководство ирландской DPC по защите данных на рабочем месте
🔸28.04.2023 Комиссия по защите данных Ирландии ("DPC") выпустила руководство для работодателей по защите данных на рабочем месте. Руководство направлено на оказание помощи работодателям как контролерам данных в отношении их обязательств и обязанностей при обработке персональных данных своих сотрудников, бывших сотрудников и потенциальных работников. В руководстве приводятся примеры, демонстрирующие, могут ли календарь Outlook и должностная инструкция быть классифицированы как источники персональных данных.