Forwarded from Листок бюрократической защиты информации
Разъяснения РКН о том, относится ли фотография гражданина к биометрическим персональным данным.
www.garant.ru
Роскомнадзор пояснил, относится ли фотография гражданина к биометрическим персональным данным | Новости: ГАРАНТ
Напомним, биометрическими персональными данными признаются сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. | Новости: ГАРАНТ
😁5
🇷🇺💡👨💻 #биометрия #роскомнадзор #фото #комментарий
Комментарий от Кирилла Зюбанова (@KZyubanov):
Что произошло? Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 августа 2022 г. N 08-78032 “О рассмотрении обращения”
Что это значит? Из ответа РКН можно сделать несколько занятных выводов:
1) К биометрическим персональным данным (БПДн) многие, исходя из буквального толкования ч. 1 ст. 11 152-ФЗ, относят данные, которые (1) характеризуют физиологические и биологические особенности человека, (2) могут быть использованы для установления личности субъекта ПДн, (3) используются для установления личности субъекта ПДн. Теперь РКН прямо указал, что применяются только критерии (1) и (2). Но на этом дело не кончилось...
2) РКН указал, что дополнительным критерием "возможности отнесения к БПДн" является указание на такую возможность в том или ином НПА. Вместе с этим, РКН сослался на ГОСТ Р ИСО/МЭК 19794-5-2013 как на источник толкования 152-ФЗ.
3) РКН, развивая мысль, описанную в п. 2 выше, прямо указал, что требования ч. 4 ст. 9 152-ФЗ при обработке фотографий (данный тезис можно распространить и на видеозаписи) следует соблюдать только в случаях, когда такие фотографии "законодательным актом Российской Федерации отнесены к БПДн", в остальных случаях достаточного любого основания из ст. 6 152-ФЗ.
Что в сухом остатке? Если фотография обрабатывается в случае, для которого законом прямо не предусмотрено ее отнесение к БПДн и исходя из сущности обработки ПДн нельзя однозначно сказать, что происходит биометрическая идентификация / аутентификация, возможно заявлять о том, что обработка допустима с использованием любого из оснований, предусмотренных ст. 6 152-ФЗ.
PS от Privacy Advocates:
1. Заявленная РКН позиция в отношении ГОСТ Р ИСО/МЭК 19794-5-2013 не является принципиально новой, озвучивалась им ранее и в некоторых случаях находила подтверждение в контрольно-надзорной практике.
2. Если обратиться к письмам Минцифры России от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782 и определению ВС РФ от 05.03.2018 № 307-КГ18-101, то в них возможность квалификации фотоизображения в качестве БПД не привязывается к её формату.
3. Приказ Минцифры России от 10.09.2021 № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в ЕБС..." также не содержит прямого указания на ГОСТ Р ИСО/МЭК 19794-5-2013.
Резюме: к сожалению, письмо РКН не прояснило, а лишь больше запутало ситуацию.
Комментарий от Кирилла Зюбанова (@KZyubanov):
Что произошло? Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 августа 2022 г. N 08-78032 “О рассмотрении обращения”
Что это значит? Из ответа РКН можно сделать несколько занятных выводов:
1) К биометрическим персональным данным (БПДн) многие, исходя из буквального толкования ч. 1 ст. 11 152-ФЗ, относят данные, которые (1) характеризуют физиологические и биологические особенности человека, (2) могут быть использованы для установления личности субъекта ПДн, (3) используются для установления личности субъекта ПДн. Теперь РКН прямо указал, что применяются только критерии (1) и (2). Но на этом дело не кончилось...
2) РКН указал, что дополнительным критерием "возможности отнесения к БПДн" является указание на такую возможность в том или ином НПА. Вместе с этим, РКН сослался на ГОСТ Р ИСО/МЭК 19794-5-2013 как на источник толкования 152-ФЗ.
3) РКН, развивая мысль, описанную в п. 2 выше, прямо указал, что требования ч. 4 ст. 9 152-ФЗ при обработке фотографий (данный тезис можно распространить и на видеозаписи) следует соблюдать только в случаях, когда такие фотографии "законодательным актом Российской Федерации отнесены к БПДн", в остальных случаях достаточного любого основания из ст. 6 152-ФЗ.
Что в сухом остатке? Если фотография обрабатывается в случае, для которого законом прямо не предусмотрено ее отнесение к БПДн и исходя из сущности обработки ПДн нельзя однозначно сказать, что происходит биометрическая идентификация / аутентификация, возможно заявлять о том, что обработка допустима с использованием любого из оснований, предусмотренных ст. 6 152-ФЗ.
PS от Privacy Advocates:
1. Заявленная РКН позиция в отношении ГОСТ Р ИСО/МЭК 19794-5-2013 не является принципиально новой, озвучивалась им ранее и в некоторых случаях находила подтверждение в контрольно-надзорной практике.
2. Если обратиться к письмам Минцифры России от 17.07.2020 № ОП-П24-070-19433, Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059, Роскомнадзора от 10.02.2020 № 08АП-6782 и определению ВС РФ от 05.03.2018 № 307-КГ18-101, то в них возможность квалификации фотоизображения в качестве БПД не привязывается к её формату.
3. Приказ Минцифры России от 10.09.2021 № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в ЕБС..." также не содержит прямого указания на ГОСТ Р ИСО/МЭК 19794-5-2013.
Резюме: к сожалению, письмо РКН не прояснило, а лишь больше запутало ситуацию.
base.garant.ru
Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29.08.2022 N 08-78032…
Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 августа 2022 г. N 08-78032 "О рассмотрении обращения". К биометрическим персональным данным относятся сведения, которые характеризуют физиологические…
👍17🤯3❤1
🇷🇺⚡💻 #утечки #статистика #privacy
🔸В Group-IB зафиксировали двукратное увеличение за лето "слива" баз данных компаний РФ.
🔸Всего за три месяца раскрыто оказалось 140 баз: в июне их было - 23, в июле - 17 и в августе - 100.
🔸В Group-IB зафиксировали двукратное увеличение за лето "слива" баз данных компаний РФ.
🔸Всего за три месяца раскрыто оказалось 140 баз: в июне их было - 23, в июле - 17 и в августе - 100.
🇮🇩⚡🏛️ #privacy #законопроект #индонезия
🔸В Индонезии принят законопроект о защите персональных данных.
🔸На рабочей встрече с участием представителей Комиссии I Палаты представителей, Министерства связи и информации, Министерства внутренних дел и Министерства юстиции и прав человека было решено вынести результаты обсуждения законопроекта о защите персональных данных на пленарное заседание для ратификации.
🔸В Индонезии принят законопроект о защите персональных данных.
🔸На рабочей встрече с участием представителей Комиссии I Палаты представителей, Министерства связи и информации, Министерства внутренних дел и Министерства юстиции и прав человека было решено вынести результаты обсуждения законопроекта о защите персональных данных на пленарное заседание для ратификации.
Красная весна
В Индонезии принят законопроект о защите персональных данных
Вынести проект закона о защите персональных данных на пленарное заседание для его ратификации договорились члены Комиссии I Палаты представителей Республики Индонезия совместно Министерством связи и информации, 7 сентября сообщает MediaIndonesia.
🇷🇺⚡🏛️ #privacy #мнение #разглашение
🔸Москалькова считает смешным наказание за разглашение персональных данных.
🔸Каждый человек должен иметь возможность распоряжаться данными о себе, чтобы никто ни при каких условиях без его согласия не мог придавать публичности даже достоверные данные о нём. При этом на сегодняшний день в России ответственность за разглашение персональных данных смешная. Об этом на полях Восточного экономического форума уполномоченный по правам человека в России Татьяна Москалькова.
🔸Москалькова считает смешным наказание за разглашение персональных данных.
🔸Каждый человек должен иметь возможность распоряжаться данными о себе, чтобы никто ни при каких условиях без его согласия не мог придавать публичности даже достоверные данные о нём. При этом на сегодняшний день в России ответственность за разглашение персональных данных смешная. Об этом на полях Восточного экономического форума уполномоченный по правам человека в России Татьяна Москалькова.
ИА REGNUM
Москалькова считает смешным наказание за разглашение персональных данных
Каждый человек должен иметь возможность распоряжаться данными о себе, чтобы никто ни при каких условиях без его согласия не мог придавать публичности даже до...
Forwarded from Цифровое право
В Калифорнии одобрен законопроект о защите детей в интернете
Законопроект обязывает сайты и приложения защищать от вреда в интернете пользователей до 18 лет.
ИТ-компании должны будут оценивать потенциальный вред, который их услуги могут нанести несовершеннолетним, и минимизировать его.
Законопроект регулирует базовые настройки конфиденциальности для детей, доступ к порнографии и использование техник для манипулирования детьми.
Напомним, что в Великобритании был принят схожий документ - Кодекс этики онлайн сервисов. Основная цель британских правил - защита детей, использующих цифровые сервисы, и обеспечение детям безопасной среды для учебы и развития.
Законопроект обязывает сайты и приложения защищать от вреда в интернете пользователей до 18 лет.
ИТ-компании должны будут оценивать потенциальный вред, который их услуги могут нанести несовершеннолетним, и минимизировать его.
Законопроект регулирует базовые настройки конфиденциальности для детей, доступ к порнографии и использование техник для манипулирования детьми.
Напомним, что в Великобритании был принят схожий документ - Кодекс этики онлайн сервисов. Основная цель британских правил - защита детей, использующих цифровые сервисы, и обеспечение детям безопасной среды для учебы и развития.
🇷🇺💡🧬 #privacy #генетика #аналитика
🔸Гены нуждаются в защите - почему назрел вопрос регулирования персональных генетических данных.
🔸Доступность персональных генетических данных людей может привести к дискриминации, так как у работодателей и страховщиков возникнет соблазн распределять своих сотрудников и клиентов на группы в зависимости от состояния здоровья.
🔸Гены нуждаются в защите - почему назрел вопрос регулирования персональных генетических данных.
🔸Доступность персональных генетических данных людей может привести к дискриминации, так как у работодателей и страховщиков возникнет соблазн распределять своих сотрудников и клиентов на группы в зависимости от состояния здоровья.
Rspectr
Гены нуждаются в защите - RSpectr
Почему назрел вопрос регулирования персональных генетических данных
👍3
🇺🇳🤝👨💻 #оон #цод #privacy
🔸Сегодня встретился в Малайзии с директором и другими сотрудниками UNDP (Программа развития ООН) Global Shared Services Centre (GSSC) для обмена опытом по глобальному обеспечению Data Privacy.
🔸 GSSC - это глобальный комплекс из семи центров передового опыта (см. карту), который предоставляет различные сервисы по управлению персоналом более чем 40,000 сотрудникам ООН из агентств, фондов и программ всей системы Организации Объеденных Наций.
🔸Сегодня встретился в Малайзии с директором и другими сотрудниками UNDP (Программа развития ООН) Global Shared Services Centre (GSSC) для обмена опытом по глобальному обеспечению Data Privacy.
🔸 GSSC - это глобальный комплекс из семи центров передового опыта (см. карту), который предоставляет различные сервисы по управлению персоналом более чем 40,000 сотрудникам ООН из агентств, фондов и программ всей системы Организации Объеденных Наций.
👍23
🇷🇺🤔🏛️ #законопроект #санитизация #анонимизация #минцифры
🔸В новой версии законопроекта, регулирующего работу Национальной системы управления данными (НСУД), Минэкономики вводит понятие санитизации данных — отделение информации ограниченного доступа, например составляющей тайну связи, банковскую или налоговую.
🔸Это призвано упростить процедуру обмена данными между госструктурами, а компаниям позволит использовать информацию из госсистем для обучения искусственного интеллекта и построения бизнес-моделей.
🔸Но эксперты предупреждают, что при обогащении такой информации другими данными она может оказаться скомпрометирована.
🔸В новой версии законопроекта, регулирующего работу Национальной системы управления данными (НСУД), Минэкономики вводит понятие санитизации данных — отделение информации ограниченного доступа, например составляющей тайну связи, банковскую или налоговую.
🔸Это призвано упростить процедуру обмена данными между госструктурами, а компаниям позволит использовать информацию из госсистем для обучения искусственного интеллекта и построения бизнес-моделей.
🔸Но эксперты предупреждают, что при обогащении такой информации другими данными она может оказаться скомпрометирована.
Коммерсантъ
Тайну вызвали в НСУД
Перед использованием данные пройдут санобработку
🤬4
🇪🇺⚡🏛️ #ес #надзор #бюджет
🔸Интересная статистика от EDPB по динамике за 2020-2022г. бюджетного и кадрового обеспечения работы европейских надзорных органов в области защиты персональных данных.
🔸Для справки: бюджет всего Роскомнадзора (для которого функция надзора в сфере ПД являются далеко не единственной) составляет ₽19,453 млрд. на 2022г.
🔸Интересная статистика от EDPB по динамике за 2020-2022г. бюджетного и кадрового обеспечения работы европейских надзорных органов в области защиты персональных данных.
🔸Для справки: бюджет всего Роскомнадзора (для которого функция надзора в сфере ПД являются далеко не единственной) составляет ₽19,453 млрд. на 2022г.
🇪🇺🇺🇸‼️⚖️ #ес #сша #gdpr #трансграничка #google
🔸Американские дочерние компании могут предлагать услуги SaaS в ЕС.
🔸Высший региональный суд Карлсруэ (Oberlandesgericht Karlsruhe) отменил решение VG Baden Württemberg, который утверждал, что простой риск доступа властей США к персональным данным, хранящимся в ЕС, будет представлять собой передачу данных, не соответствующую GDPR.
🔸OLG Karlsruhe рассудил, что суды, выносящие решения в отношении участников процесса закупок, не могут отказать участнику торгов только на основании предположения, что участник торгов или его субпроцессоры нарушат свои собственные договорные обязательства по хранению данных в ЕС в случае запроса доступа со стороны властей США.
🔸Американские дочерние компании могут предлагать услуги SaaS в ЕС.
🔸Высший региональный суд Карлсруэ (Oberlandesgericht Karlsruhe) отменил решение VG Baden Württemberg, который утверждал, что простой риск доступа властей США к персональным данным, хранящимся в ЕС, будет представлять собой передачу данных, не соответствующую GDPR.
🔸OLG Karlsruhe рассудил, что суды, выносящие решения в отношении участников процесса закупок, не могут отказать участнику торгов только на основании предположения, что участник торгов или его субпроцессоры нарушат свои собственные договорные обязательства по хранению данных в ЕС в случае запроса доступа со стороны властей США.
oberlandesgericht-karlsruhe.justiz-bw.de
Kein Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens…
🔥2👍1
🇷🇺⚡👨💻 #рф #вакансия #privacy
На ярмарке вакансий RPPA опубликована новая позиция:
Эксперт по Data Privacy в Yandex Cloud.
Мы в Yandex Cloud уделяем огромное внимание приватности данных и информационной безопасности: и c технической, и с процессной, и с правовой точки зрения. Одно из важных направлений работы нашей команды — защита приватности наших пользователей и их клиентов. Мы ищем Privacy-эксперта, который будет вместе с нами развивать процессы обеспечения приватности, а также Privacy-сервисы для пользователей.
На ярмарке вакансий RPPA опубликована новая позиция:
Эксперт по Data Privacy в Yandex Cloud.
Мы в Yandex Cloud уделяем огромное внимание приватности данных и информационной безопасности: и c технической, и с процессной, и с правовой точки зрения. Одно из важных направлений работы нашей команды — защита приватности наших пользователей и их клиентов. Мы ищем Privacy-эксперта, который будет вместе с нами развивать процессы обеспечения приватности, а также Privacy-сервисы для пользователей.
🇷🇺👨💻🔥 #рф #нпа #инициативы #регулирование
Еженедельное обновление дайджеста значимых событий и инициатив (общее количество за неделю 73→74), влияющих на регулирование защиты ПД в РФ.
Добавлены пункты (отмечены как New):
35. Законопроект о закреплении в законе процедуры санитизации данных ограниченного доступа
Еженедельное обновление дайджеста значимых событий и инициатив (общее количество за неделю 73→74), влияющих на регулирование защиты ПД в РФ.
Добавлены пункты (отмечены как New):
35. Законопроект о закреплении в законе процедуры санитизации данных ограниченного доступа
Яндекс Диск
Дайджест-2022.docx
Посмотреть и скачать с Яндекс Диска
👍3🔥1
dpa_2022.09.12.docx
82.6 KB
🇷🇺💡👨💻 #152фз #реформа #dpa #поручение #образец
🔸Опубликовал проект типового рамочного соглашения (Data Processing Agreement - DPA) об обработке персональных данных (с поручением их обработки), включающим дополнение о трансграничной передаче персональных данных - с учетом новой редакции 152-ФЗ о ПД.
🔸Проект DPA может быть взят за основу при структурировании договорных отношений в части поручения обработки персональных данных между контрагентами как внутри РФ, так и при трансграничной передаче персональных данных из РФ в иностранные государства.
🔸Опубликовал проект типового рамочного соглашения (Data Processing Agreement - DPA) об обработке персональных данных (с поручением их обработки), включающим дополнение о трансграничной передаче персональных данных - с учетом новой редакции 152-ФЗ о ПД.
🔸Проект DPA может быть взят за основу при структурировании договорных отношений в части поручения обработки персональных данных между контрагентами как внутри РФ, так и при трансграничной передаче персональных данных из РФ в иностранные государства.
👍27
🇷🇺⚡👨💻 #рф #вакансия #privacy
На ярмарке вакансий RPPA опубликована новая позиция:
Chief Data Protection Officer в Qiwi Group.
Одна из обязанностей: обеспечить соблюдение применимого законодательства по приватности Группой компаний в России, странах СНГ (Беларусь, Казахстан, Молдавия) и иных странах (Великобритания, Кипр, Испания, ОАЭ).
На ярмарке вакансий RPPA опубликована новая позиция:
Chief Data Protection Officer в Qiwi Group.
Одна из обязанностей: обеспечить соблюдение применимого законодательства по приватности Группой компаний в России, странах СНГ (Беларусь, Казахстан, Молдавия) и иных странах (Великобритания, Кипр, Испания, ОАЭ).
👍1
primer_zapolnenija_uvedomlenija_TPdn.pdf
206.1 KB
🇷🇺⚡🏛️ #роскомнадзор #уведомление #трансграничка
Роскомнадзор разместил на Портале ПДн образец заполнения уведомления об осуществлении трансграничной передачи ПДн.
Роскомнадзор разместил на Портале ПДн образец заполнения уведомления об осуществлении трансграничной передачи ПДн.
👍11