Форум доступен по адресам:
Police-Russia.ru
Police-Russia.com  


 
Новостной портал нашего Форума:
Police-Life.ru


Вернуться   Форум сотрудников МВД > Правоохранительная деятельность вне МВД > СБ предприятий и банков
Забыли пароль?

Важная информация

СБ предприятий и банков СБ предприятий и банков

Ответ
 
Опции темы Опции просмотра
Старый 02.10.2018, 10:04   #1
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Сводная тема по обработке ПДн

С учётом того, что в последнее время данной теме уделяется повышенное внимание, а штрафные санкции, например за нарушение положения GDPR варьируются в районе млн. евро, то актуальность данной темы безусловно высока.
Итак, рекомендую одного из лучших специалистов по теме ПДн - Наталья Храмцовская и её блог: https://rusrim.blogspot.com/2018/09/blog-post_30.html
Цитата:
Судебная практика: Обработка персональных данных в случаях, не предусмотренных законодательством


Исторически разработка и принятие в мире законодательства, регламентирующего порядок обработки персональных данных (ПДн), в первую очередь были связаны (по крайней мере, первоначально) с необходимостью ограничить «аппетиты» органов государственной власти в части обработки ПДн и объединения сведений из различных баз данных. Об этом время от времени напоминает и судебная практика.

Судья Верховного Суда Республики Саха (Якутия) вынес в декабре 2017 года решение по делу № 7/2-580/17 об административном правонарушении, предусмотренном ч.1 ст.13.11 КоАП РФ, в отношении Управления Федеральной налоговой службы России по Республике Саха (Якутия).

Суть спора

В декабре 2015 года решением Арбитражного суда Республики Саха (Якутия) организация была признана несостоятельной (банкротом), и в отношении неё была открыта процедура конкурсного производства и назначен конкурсный управляющий.

Управлением Федеральной налоговой службы по Республике Саха (Якутия) (УФНС по РС(Я)) было установлено, что арбитражным управляющим было допущено нарушение законодательства о банкротстве, выразившееся в заключении сделки с гражданином, с признаками заинтересованности, без согласия собрания кредиторов.

В феврале 2017 года в целях сбора доказательств родства конкурсного управляющего и гражданина УФНС направило запрос в Управление записи актов гражданского состояния при правительстве республики о представлении соответствующих сведений.

Именно этот запрос стал поводом обращения гражданина в Роскомнадзор. В июле 2017 года определением Управления Роскомнадзора по РС (Я) было отказано в возбуждении дела об административном правонарушении, предусмотренном ст.13.11 КоАП РФ в отношении УФНС.
Для справки: В соответствии с ч.1 ст.13.11 КоАП РФ, обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, влечет штраф на должностных лиц в размере от 5 до 10 тысяч рублей.

В соответствии с ч.1 ст.4.5 КоАП РФ, срок давности привлечения к административной ответственности за совершение административного правонарушения, предусмотренного ст.13.11 названного Кодекса, составляет три месяца.
Соответственно, срок давности привлечения УФНС к административной ответственности в данном случае истек в мае 2017 года.

В октябре 2017 года Якутским городским судом (дело № 12-1635/2017) было вынесено решение об истечении срока давности, с которым гражданин не согласился и обратился с жалобой в Верховный Суд Республики Саха (Якутия).

Судья Верховного Суда Республики Саха (Якутия) в декабре 2017 года оставил без изменения решение Якутского городского суда Республики Саха (Якутия), а жалобу гражданина - без удовлетворения.

Мой комментарий: Срок исковой давности - сроком исковой давности, но меня интересует вопрос, так имела ли ФНС право запросить интересующие её данные о родстве в органах ЗАГС, или же нет?

Замечу, что проблему создает характерный для «континентального» (в т.ч. российского) права принцип «можно делать только то. что явным образом разрешено». Все возможные ситуации в законе не перечислишь, и полноценного прецедентного права у нас тоже нет. В странах англосаксонского права применяется более гибкий подход, когда суд, например, может установить, что обработка ПДн в конкретной ситуации осуществлялась в общественных интересах, пересиливающих интересы частных лиц, и потому правомерно.
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Реклама Место СВОБОДНО для Вашей рекламы ;-)
Promotional Bot
 
Робот Форума
 
Регистрация: 06.02.2006
Реклама Яндекс.Директ

Promotional Bot 
__________________
  Я очень хочу разместить здесь Вашу рекламу... 
Старый 03.10.2018, 12:36   #2
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Рекомендую почитать этот материал, написанный моим ФБ знакомым и Коллегой по направлению деятельности:
Цитата:
Автор: Чернокальцев Дмитрий Адвокат, Санкт-Петербургская коллегия адвокатов им. Ф.Н. Плевако Санкт-Петербургская коллегия адвокатов им. Ф.Н. Плевако
Источник: https://www.dirklinik.ru/article/320...yh-i-kachestvo
Любое использование материалов допускается только при наличии гиперссылки.
Итак:
Цитата:
Юридические аспекты создания сайта клиники: обработка персональных данных и качество контента.

Сайт клиники может быть источником не только пациентов, но и немалых проблем. По моим подсчетам, непредвиденные расходы на несерьезное отношение к качеству контента, размещенного на сайте клиники, могут составить от 10 000 до 5 000 000 рублей. Чаще всего сложности возникают при обработке персональных данных, однако это не единственный момент, на который нужно обратить внимание. Разбираемся, что должно быть на сайте медицинской организации. Риски, связанные с размещением обязательной информации на сайте клиники Сайт клиники или любой другой медорганизации, которая оказывает платные медицинские услуги, должен содержать определенную законами и подзаконными нормативными актами информацию. Эту обязательную информацию условно можно условно поделить на три блока. Первый блок. Персональные данные пользователей сайта клиники Закон о персональных данных предписывает операторам персональных данных, а это в первую очередь администраторы сайтов (то есть в нашем случае медицинские организации) публиковать или иным способом обеспечивать неограниченный доступ к документу, определяющему политику оператора в отношении обработки персональных данных на сайте клиники.

...
Источник: https://www.dirklinik.ru/article/320...yh-i-kachestvo
Любое использование материалов допускается только при наличии гиперссылки.
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 14.10.2018, 00:23   #3
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Рекомендуется:
Цитата:
В российском законодательстве о персональных данных одним из самых запутанных, с моей точки зрения, является вопрос о получении у сотрудников согласия на обработку персональных данных. Отмечу, что по общим нормам его получать не нужно, однако существует огромное количество ситуаций, в которых его получение становится обязательным.

Санкт-Петербургский городской суд в июне 2018 года рассмотрел дело №4а-763/18, в котором общество ООО «Филберт» обжаловало постановление мирового судьи судебного участка № 69 Санкт-Петербурга и решение судьи Кировского районного суда Санкт-Петербурга по делу об административном правонарушении, предусмотренном ч.2 ст.13.11 КоАП РФ.
https://rusrim.blogspot.com/2018/10/...st_27.html?m=1
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 20.11.2018, 12:42   #4
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: 1 июля 2017 года ужесточается законодательство о персональных данных.

Попробуем вернуться к ТЕМЕ:
Цитата:
ИБ. Круглый стол с регуляторами на конференции Роскомнадзора по ЗПДн

8 ноября 2018 года принимал участие в международной конференции Защита персональных данных, организованной при поддержке Роскомнадзора. Мой отчет про основную часть мероприятия можно будет почитать по ссылке.

Тут же хочу отдельно написать про последнюю часть - Круглый стол с регуляторами. Ниже привожу наиболее интересные ответы, которые удалось услышать на мероприятии (кроме круглого стола, было несколько интересных вопросов на секциях):

· Вопрос к Роскомнадзору: В законодательстве РФ запрещено проверять одни и те же требования, несколькими регуляторами. Как вы выходите из этого при пересечении с ЦБ РФ или Роструда?
Ответ Роскомнадзора: у нас нет никаких пересечений. В сферу Роскомнадзора входит только 14 статья ТК РФ, остальное проверяет Трудовая инспекция. Также и со специфическими законами (например, идентификация клиентов) – Роскомнадзор их не учитывает и не проверяет.

· Вопрос к Роскомнадзору: что считать автоматизированной обработкой?
Ответ Роскомнадзора: если подразумевается фиксация ПДн на материальных носителях определенной формы – то РКН считает это неавтоматизированной обработкой.

· Вопрос к Роскомнадзору: возьмем, например, рецепт. Это небольшой документ. Если применить к нему правила, установленные ПП 687 к типовым формам с ПДн (цели, сроки, наименование и адрес оператора, правила обработки), то это станет здоровенный документ. Но ничего же – живем и с 2008 г. никто не менял.
Ответ Роскомнадзора: если унифицированные формы утверждены актами гос. органов или гос. стандартами, то такие формы менять не нужно. А в остальных случаях, когда форма придумывается организацией, для каких-то своих собственных целей – тогда исполнение пункта 7 ПП 687 обязательно.

· Вопрос к Роскомнадзору: какой подписью можно подписывать согласие на обработку ПДн в электронной форме.
Ответ Роскомнадзора: достаточно простой ЭП.

· Вопрос к Роскомнадзору: какие ситуации можно подтянуть под законный интерес и не собирать согласия. Например, сбор данных родственников работника или передача данных работника в банк.
Ответ Роскомнадзора: сейчас на уровне рабочих групп Цифровой экономики чтобы определить границы законного интереса. Пока окончательного ответа нет. Но по указанным примерам, РКН считает так – если речь о данных самого сотрудника, то можно. А если о третьих лицах (родственниках), то дополнительное согласие обязательно.

· Вопрос к Роскомнадзору: со скольки лет действительно согласие на обработку ПДн не/совершеннолетнего, право распоряжения своими ПДн.
Ответ Роскомнадзора: мы считаем, до 14 лет – законные представители, а с 14 лет может давать согласие сам несовершеннолетний.

...
Отсюда: https://sborisov.blogspot.com/2018/1...EPkSzW-7wpfflU

Цитата:
Для желающих самим послушать обсуждение на круглом столе я сделал аудиозапись – она доступна по ссылке (прошу прощения за шумы, не профизапись)
Тут: https://drive.google.com/file/d/1Vxv...SjObvbamd/view
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 23.11.2018, 11:52   #5
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Рекомендую ещё это: https://emeliyannikov.blogspot.com/2018/06/
Цитата:
У оператора персональных данных могут появиться невыполнимые обязанности

И административная ответственность за их невыполнение.
Минкомсвязи разработаны новые поправки в закон «О персональных данных» и КоАП РФ. 25 июня закончилось их публичное обсуждение и антикоррупционная экспертиза. Далее, как обычно, оценка регулирующего воздействия и рассмотрение в Правительстве.
Суть поправок проста: оператору, поручившему обработку персональных данных иному лицу (например, покупку билетов и бронирование гостиниц своим командируемым работникам), вменяется в обязанность организовать и обеспечивать контроль за соблюдением обработчиком требований законодательства о персональных данных. И не просто контроль, а надлежащий. Первый же вопрос – а какой контроль будут считаться надлежащим? Гарантирующий отсутствие инцидентов с обрабатываемыми данными? Но это невозможно в принципе! Какой же тогда? Ответа нет.
При этом порядок осуществления такого контроля оператор должен определить самостоятельно. В случае невыполнения этого требования – штраф на юридическое лицо до 30 тысяч рублей, на должностное – до 6 тысяч. Причем неважно, были ли утечка у обработчика, пострадали ли субъекты. Квалифицирующий признак правонарушения – невыполнение оператором обязанности осуществления надлежащего контроля.
С обработчиком еще интереснее. Штрафы - также до 30 тысяч рублей, но за нарушение требований законодательства в области персональных данных. Каких требований, как следует из теста законопроекта, значения не имеет.
Есть большие подозрения, что эти требования не только невыполнимы, но и противоречат Конституции и нормам гражданского права.
Начнем с невыполнимости. Организация такого контроля ляжет тяжким бременем на оператора любого масштаба, от микро-бизнеса до самых крупных компаний.
Давайте представим: малое предприятие отдало на аутсорсинг бухгалтерский, кадровый, воинский учет и охрану труда, а информационные системы, те, что остались, например, CRM, разместило в дата-центре или использует по схеме SaaS. Ситуация типичная. Делается это по простой причине – экономически нецелесообразно держать своих специалистов в штате для решения подобных вопросов, дешевле использовать аутсорсинг. И теперь это самое предприятие должно определить порядок контроля, составить планы, убедить аутсорсера согласиться на такой контроль, периодически проводить контрольные мероприятия и тщательно документировать полученные результаты (контроль должен быть надлежащий и это надо доказывать). Кто и за какие деньги будет это решать в сегменте СМБ при том, что задач бизнеса в этом процессе ровно 0, а размер штрафа меньше месячного оклада такого специалиста. Значит – игнорировать и платить, если попался.
В крупном бизнесе ситуация не лучше. Там обработчиков сотни и тысячи, к перечисленным выше добавляются агенты (сколько агентов у больших страховых компаний или операторов связи?), колл-центры, организаторы и исполнители маркетинговых акций, компании, работающие «в поле» с конечными потребителями и т.д. и т.п. Всех их надо контролировать. А это уже большое структурное подразделение со штатом квалифицированных специалистов, объемные планы контроля с опять-таки нулевой отдачей в бизнес.
Ну, и наконец, обработчики. Те, для кого аутсорсинг – основной бизнес, должны будут столкнуться с толпами контролеров от контрагентов-операторов персональных данных, чего-то требующих, но плохо понимающих, что вообще они должны проверять. Кто ими будет заниматься у аутсорсера? Когда? И уж совсем риторический вопрос: как это скажется на стоимости оказываемых услуг?
И еще одна проблема. В ходе проверок надзирающий оператор персональных данных может неизбежно столкнуться с коммерческими секретами и иной чувствительной информацией аутсорсера, что порождает новый клубок проблем.
И, наконец, о конституционности законопроектов.
Причём то, о чём сказано, уже законопроект: http://regulation.gov.ru/projects?fb...IxsI#npa=86045
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 25.11.2018, 14:02   #6
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Европейский совет по защите данных (European data protection board) опубликовал разъяснения по территориальной сфере применения GDPR. Материал на английском!
Тут: https://edpb.europa.eu/sites/edpb/fi...l_scope_en.pdf
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 01.12.2018, 11:36   #7
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Интересный материал от Жени Ющук:
Цитата:
Чем грозит утечка персональных данных 500 миллионов клиентов Marriott?
Неизвестные лица в течение четырех лет имели доступ к базе, в которой были в том числе номера банковских карт постояльцев
Сеть отелей Marriott заявила об утечке данных 500 миллионов клиентов со всего мира. По данным компании, хакеры могли получить к ним доступ еще в 2014 году.
Целью кибератаки стала «дочка» Marriott — сеть гостиниц Starwood. Внутреннее расследование показало, что доступ к системе бронирования был открыт последние четыре года. За это время неизвестные лица копировали персональные данные постояльцев. Хакеры узнали их имена, адреса электронной почты, паспортные данные, дату рождения, пол и, возможно, номера банковских карт.
О последствиях для компании и ее клиентов говорит бывший технический директор компании «Информзащита» Евгений Климов:
Евгений Климов бывший технический директор компании «Информзащита» «Это могло случиться ровно по той причине, как и для всех других систем: в свое время были допущены ошибки либо разработчиками системы, либо системными администраторами, что привело к выявлению уязвимости. Через эту уязвимость злоумышленники проникли в сеть и достаточно долго там сидели, пользовались данной информацией. Тут чудес не бывает. Если похитили платежные данные, это грозит клиентам или бывшим клиентам отеля тем, что они потенциально могут потерять свои финансовые средства. А самому отелю это грозит штрафными санкциями, вниманием регулятора за несоблюдение различных норм отраслевых стандартов».
Ранее агентство The Associated Press сообщило, что генпрокурор Нью-Йорка инициировала расследование в связи с утечкой информации из базы данных Starwood, чтобы удостовериться в том, что личные данные клиентов Marriott в безопасности.
Международная сеть Marriott International со штаб-квартирой в США включает более шести тысяч гостиниц в 90 странах. В России компании принадлежит три десятка отелей.

https://www.bfm.ru/news/401034
https://yushchuk.livejournal.com/923843.html
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 05.12.2018, 09:21   #8
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Вести с полей:
Цитата:
Власти создадут единую базу с данными о гражданах и бизнесе к 2022 году. В дополнение к желанию Минкомсвязи штрафовать за утечку персональных данных.
А это вот что:
Российские власти запланировали создание единой базы данных с информацией о гражданах и компаниях. Этим займётся Аналитический центр при правительстве (АЦ) в рамках проекта «Цифровая экономика»;
В единую базу данных войдёт то, что сейчас хранится в государственных информационных системах. Например, ФИО, адреса, телефоны, сведения о профессии и дате рождения. А бизнес будет передавать данные по обязательным отчётностям;
Государственная информационная система (ГИС) — это общедоступные хранилища данных граждан, например база ЕГРЮЛ от ФНС, реестр подозреваемых в терроризме на сайте Росфинмониторинга и даже данные переписи населения. В них не всегда хранятся актуальные данные или могут дублироваться;
До этого Минкомсвязи разработало законопроекты, по которым людям и компаниям будет запрещено самостоятельно создавать базы данных из информации государственных информационных систем (ГИС), а за утечку грозят штрафы. Меньше всех придётся платить частным лицам — 2 тысячи рублей, больше всех — юридическим лицам — 35 тысяч рублей.
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 05.12.2018, 16:02   #9
Voodoo-65
Местный
 
Аватар для Voodoo-65

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Цитата:
Сообщение от Skyment Посмотреть сообщение
Государственная информационная система (ГИС) — это общедоступные хранилища данных граждан, например база ЕГРЮЛ от ФНС, реестр подозреваемых в терроризме на сайте Росфинмониторинга и даже данные переписи населения.

Закон о переписи населения Российской Федерации гарантирует конфиденциальность сообщаемых данных в ходе опроса и запрещает какое-либо использование первичных данных, кроме как в агрегированном виде и какими-либо другими ведомствами и лицами.
Перепись проводиться на условиях анонимности, что гарантируется Конституцией России.

Хотя в это стране кто следит за законом......
люди с полей
__________________
Ну ты, это..заходи, если чё...
Voodoo-65 вне форума   Цитировать выделенный текст Ответить с цитированием
Старый 05.01.2019, 18:04   #10
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

В связи с темой по приёму новых ЧК:
Цитата:
В Германии выписан первый штраф за нарушение GDPR
27 ноября 2018
Немецкий онлайн-сервис для знакомств и романтического общения Knuddels.de (название можно примерно перевести как «обнимашки») стал первой в стране «жертвой» Общего регламента по защите данных (GDPR).
Отсюда: http://www.iksmedia.ru/news/5548465-...yj-shtraf.html
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 07.01.2019, 15:18   #11
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Интересный сводный материал:
Цитата:
Что нужно знать про регулирование Интернета в России?
Закон Яровой.

"Закон Яровой" - принятый в 2016 году "антитеррористический пакет", серьезно нарушающий право россиян на неприкосновенность частной жизни и тайну переписки, прописанную в Статье 23 Конституции РФ. Помимо прочего, он содержит в себе следующие пункты:
О шифровании данных: если тот или иной интернет-сервис — мессенджер, социальная сеть, почтовый клиент или просто сайт — поддерживает шифрование данных, владельцы обязаны помочь ФСБ расшифровать любое сообщение, которое понадобится силовикам. За отказ вводится штраф — для юридических лиц он составит от 800 тысяч до миллиона рублей, с последующей блокировкой на территории России. Громким инцидентом стала блокировка Telegram из-за неисполнения им требования ФСБ о передаче ключей шифрования.

О хранении данных для операторов связи: операторы связи обязаны хранить все записи звонков и любые сообщения, которыми обмениваются пользователи, в течение полугода. В течение трех лет они должны хранить мета-данные — то есть не само содержание разговоров и переписки, а сведения о том, что такой-то разговор или такой-то обмен смс-сообщениями состоялся такого-то числа в таком-то часу. Такая же обязанность касается и «организаторов распространения информации в сети интернет» (к ним относятся интернет-ресурсы, внесенные в соответствующий реестр) — только срок хранения мета-данных в их случае составляет не три, а один год.


Закон о запрете обхода блокировок через VPN и анонимайзеры
Еще один закон, вступивший в силу в 2017 году и нанесший серьезный удар по интернет-свободе в России. Закон обязывает владельцев VPN-сервисов, а также анонимайзеров закрывать доступ к "запрещенным сайтам" посредством фильтрации пользовательского трафика. Если владелец отказывается, сервис блокируют в течение 30 дней с момента получения требования от Роскомнадзора. Закон также затрагивает поисковики: предусмотрены крупные штрафы для сервисов, показывающих ссылки на сайты из реестра запрещенных, а также выдающих ссылки на сервисы обхода блокировок.
См. также
Индекс свободы Интернета в России (январь 2018)
Интернет-цензура в России [Википедия]
Предложение о регулировании соцсетей
Полтора года за репост в соцсетях
О деле Дмитрия Богатова

Что нужно знать о сервисах из Великобритании и США?
UKUS SIGINT - соглашение между Великобританией, США, Австралией, Канадой и Новой Зеландией по совместному сбору, анализу и обмену разведывательной информации. Члены этой группы, известные как "Пять глаз", занимаются сбором и анализом данных в разных частях света. Несмотря на то, что страны "Пяти глаз" договорились не шпионить друг за другом, утечки Сноудена продемонстрировали, что некоторые члены проводили слежку за гражданами других стран группы, чтобы избежать нарушения национального законодательства, запрещающего слежку за своими гражданами. Альянс "Пяти глаз" также сотрудничает с группой третьих стран для обмена информацией (т.н. альянсы "Девяти глаз" и "Четырнадцати глаз"), однако "Пять глаз" и третьи страны также могут осуществлять и осуществляют шпионаж в отношении друг друга.

Почему не стоит использовать сервисы, расположенные в США?
Мы не рекомендуем использовать американские сервисы из-за государственных программ слежки и запрета для компаний на публикацию запросов, касающихся национальной безопасности (т.н. "gag orders"). Такая связка позволяет государственным структурам получать неограниченный доступ к пользовательским данным без их ведома и использовать компании как средства массовой слежки.
Громким инцидентом стало дело Lavabit - уже не активного безопасного почтового сервиса, созданного Ладаром Левисоном. ФБР потребовало предоставить данные Сноудена, являвшегося одним из пользователей сервиса. Поскольку в Lavabit не хранились логи, а вся пользовательская переписка была зашифрована, ФБР воспользовалось правом "gag order" и потребовало предоставить SSL-ключи, позволявшие им получить полный доступ к незашифрованным пользовательским данным в реальном времени, причем не тольку Сноудена, но и всех остальных пользователей.
Левисон отказался предоставить ключи и закрыл сервис, что было трактовано правительством США как нарушение постановления приговора с угрозой ареста для автора.
Дополнительная информация
https://ru.wikipedia.org/wiki/UKUS_SIGINT
https://ru.wikipedia.org/wiki/Lavabit#История
Портал: глобальная слежка (англ.)
Гайд по приватности в сети (англ.)
Ну и т.д. тут: https://privacytools.ru/
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 08.01.2019, 18:43   #12
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Как у них. США:
Цитата:
В Калифорнии подан иск к оператору сервиса Weather Channel за сбор и продажу пользовательских данных.

Прокурор Лос-Анжелеса Майк Феер (Mike Feuer) обратился в высший суд Калифорнии с иском к оператору приложения для прогнозирования погоды The Weather Channel, обвиняя его в том, что он использовал свое приложение для отслеживания местонахождения своих пользователей и продавал его сторонним сайтам для целевой рекламы и нескольким хедж-фондам, заинтересованным в анализе потребительского поведения, сообщает The Guardian в субботу.
Weather Channel – мобильное приложение, которое предоставляет пользователям прогноз погоды в режиме реального времени. Разработчик приложения – TWC Product and Technology LLC – был куплен IBM за 2 миллиарда долларов. По утверждению разработчика, сервисом ежемесячно пользуются 45 миллионов человек, и 80% из них, по данным прокурора, разрешили приложению доступ к данным о геопозиции.
В иске утверждается, что TWC использовал технологию отслеживания геопозиции для круглосуточного сбора информации о местонахождении пользователей, а также времени пребывания в каждом месте. По мнению Феера, разработчик вводит в заблуждение пользователей, утверждая, что данные об их местоположении будут использоваться только для предоставления им «персонализированных местных данных о погоде, предупреждений и прогнозов». Вместо этого, говорится в иске, TWC отправляет эту информацию филиалам своей материнской компании, IBM и других третьих сторон для рекламы и других коммерческих целей, не связанных с предсказанием погоды.
Истец требует запретить TWC заниматься «несправедливой и мошеннической коммерческой деятельностью, включая сбор и продажу персональных данных» и наложить на компанию штраф в размере до 2500 долларов США за каждое выявленное нарушение.
Отсюда: http://d-russia.ru/v-kalifornii-poda...ih-dannyh.html
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 11.01.2019, 10:00   #13
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Рекомендую посмотреть материал тем, кто интересуется темой:
Цитата:
Как защитить свои персональные данные?

ГОСТИ
Дмитрий Мариничев
интернет-омбудсмен, член экспертного совета «Агентства стратегических инициатив»
Григорий Трофимчук
эксперт в области внутренней и внешней политики, обороны и безопасности, председатель экспертного совета Фонда поддержки научных исследований «Мастерская евразийских идей»
Фатима Сулейманова
доцент департамента общих и межотраслевых юридических дисциплин факультета права НИУ ВШЭ
Артур Хачуян
генеральный директор компании по разработке искусственного интеллекта
Максим Лагутин
эксперт по защите персональных данных
Денис Лукаш
исполнительный директор Центра цифровых прав
Тут: https://otr-online.ru/programmy/prav...nye-35176.html

P.S. 5-х гостей я знаю...
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 22.01.2019, 09:47   #14
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Гугл влетел по GDPR:
Цитата:
Google оштрафовали во Франции на €50 млн.

Корпорация Google столкнулась с очередным штрафом — на этот раз компанию оштрафовали во Франции на 50 миллионов евро за некорректное информирование пользователей в процессе получения их согласия на обработку персональных данных. Соответствующее решение приняла независимая административная организация Франции CNIL (Commission nationale de l'informatique et des libertés).

Напомним, что в задачи CNIL входит регулирование всего, что касается сбора, обработки и использования персональных данных граждан Франции. Регулятор опубликовал информацию о штрафе для Google на своем официальном сайте.


«Корпорации Google назначен штраф в 50 миллионов евро. Таким образом, это первый прецедент, когда CNIL назначает максимально допустимый уровень взыскания в рамках инициативы по защите данных», — пишет CNIL.

Представители CNIL считают, что американский интернет-гигант недостаточно информирует пользователей обо всем, что касается обработки и использования их данных. В частности, на сайте регулятора указывается, что Google не сообщает о том, в каком объеме данные используются, а также о том, какие именно сайты будут иметь доступ к этим данным.

Более того, проблема еще кроется и в невозможности получить всю необходимую информацию из одного документа — чтобы узнать, для каких целей используются ваши данные и сколько они хранятся, вам придется изучить несколько документов.

Оштрафовали Google по инициативе группы активистов None of Your Business, выступающей за защиту персональных данных. Эта же группа на днях обвинила YouTube, Netflix, Amazon, Apple, Spotify и Soundcloud в нарушении принятого в мае Общего регламента по защите данных (GDPR).
Отсюда: https://www.anti-malware.ru/news/2019-01-22-1447/28602

Нормально там с суммой штрафа...
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 25.01.2019, 14:56   #15
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Интересный материал по теме:
Цитата:
Возможно ли хранить в личном деле работника копии документов, являющихся персональными данными (паспорта, ИНН, СНИЛС, диплома, и т.д.), если работник в заявлении на обработку персональных данных дал свое согласие на хранении в его личном деле вышеперечисленных документов?

Рассмотрев вопрос, мы пришли к следующему выводу:
Хранение в личных делах работников копии паспорта, ИНН, СНИЛС, документов об образовании и других документов, содержащих персональные сведения, возможно, если работодатель обеспечил одновременное соблюдение определенных условий.

Обоснование вывода:
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу - субъекту персональных данных, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", далее - Закон N 152-ФЗ).
Ни нормами Трудового кодекса РФ, ни нормами Закона N 152-ФЗ не установлено прямого запрета на копирование работодателем документов, предоставляемых работником при приеме на работу и в процессе трудовой деятельности, а также на хранение работодателем копий этих документов. Однако, поскольку копии паспортов сотрудников и членов их семьи, свидетельств о браке, свидетельств о рождении детей содержат в себе информацию, относящуюся к определенным физическим лицам, обработка такой информации подчиняется требованиям Закона N 152-ФЗ.
Статья 86 ТК РФ предоставляет работодателю право обрабатывать персональные данные работника исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Согласно ч. 1 ст. 9 Закона N 152-ФЗ согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. По смыслу разъяснений Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.12.2012 "Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве" конкретным и информированным является такое согласие субъекта персональных данных, которое содержит не только информацию, позволяющую однозначно сделать вывод об объеме обрабатываемых персональных данных и способах обработки с указанием действий, совершаемых с персональными данными, но и информацию о целях обработки таких данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч.ч. 2, 5 ст. 5 Закона N 152-ФЗ).
Обобщая приведенные нормы, мы приходим к выводу о том, что для законного хранения копии паспорта, ИНН, СНИЛС, диплома и других документов, содержащих персональные сведения работников, работодатель должен обеспечить одновременное соблюдение следующих условий:
- от работника должно быть получено согласие на хранение его персональных данных, указанных в копиях документов, необходимость обработки которых не обусловлена достижением целей, поименованных в пунктах 2-11 части первой ст. 6 Закона N 152-ФЗ;
- работодателем должны быть заранее определены конкретные цели хранения персональных данных, содержащихся в копиях документов работников, при этом такие цели не должны противоречить законодательству;
- объем персональных данных, указанных в копиях документов работника, не должен превышать объем данных, которые работодателю необходимо использовать в соответствии с заявленными целями обработки;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
...
Далее: ГАРАНТ.РУ: http://www.garant.ru/consult/work_la...#ixzz5dcREAH25


---------- Ответ добавлен в 14:56 ----------Предыдущий ответ был в 14:47 ----------

Будем следить!
Цитата:
Суд Петербурга рассмотрит иск к "ВКонтакте" за разглашение личных данных
В ноябре 2018 года суд оставил иск против социальной сети без движения из-за нарушения формы и содержания заявления
https://tass.ru/proisshestviya/6030977
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 28.01.2019, 09:08   #16
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Есть желающие заработать?
Цитата:
Россиянам предложили торговать своими данными, зарабатывая до 60 т. руб.

https://www.anti-malware.ru/news/201...24106b4601c277
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 28.01.2019, 17:53   #17
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Интересный анализ:
Цитата:
InfoWatch: С 2007 года утекли 30 млрд записей персональных данных.

Аналитики группы компаний InfoWatch приурочили к Международному дню защиты персональных данных специальный отчет, который содержит ряд интересных дынных, касающихся утечек. Особенно поражает общая цифра слитых данных, которую специалисты высчитали за последние несколько лет.

Первый в истории Международный день защиты персональных данных отмечался 12 лет назад, с тех пор InfoWatch зарегистрировала 14,3 тыс. утечек конфиденциальной информации из коммерческих компаний и государственных организаций.

Более 11 тыс. утечек (78% из всей базы) связаны со случаями компрометации персональных данных: ФИО, адреса, электронная почта, паспортные данные, сведения об образовании, информация о доходах, сведения о состоянии здоровья, политические и религиозные взгляды, национальная принадлежность, биометрические данные.

Особо поражают следующие данные:


«Всего с 2007 года на сегодня утекло более 30 млрд записей персональных данных, в том числе более 20 млрд за последние два года».

Даже небольшая утечка данных может оказать серьезное влияние на организацию. Главные негативные последствия – падение курса акций, кризис доверия инвесторов и удар по репутации на рынке. Кроме того, компания может столкнуться с санкциями регуляторов (крупные денежные штрафы, прохождение обязательных аудитов, планы по модернизации инфраструктуры ИБ и т.д.) и коллективными исками со стороны людей, чьи данные ей не удалось уберечь от утечки.

Для самих субъектов персональных данных последствия утечек тоже могут оказаться довольно болезненными. Многое зависит от типа скомпрометированной информации и от ее объема. Например, если кто-то слил недобросовестным рекламодателям электронный адрес человека, то негативным последствием для пользователя, скорее всего, станет только получение спама. В том же случае, если в руках злоумышленников окажется большой спектр личной информации об отдельном субъекте, то велик риск мошенничества. Преступники могут совершать определенные действия от имени человека, чьей информацией они завладели, также вероятны подделка документов и кредитное мошенничество.
Отсюда: https://www.anti-malware.ru/news/2019-01-28-1447/28682
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 31.01.2019, 12:50   #18
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Как схлопотать за банальное...
Цитата:
Пермский суд рассмотрел дело бывшей сотрудницы правоохранительных органов, которая обвиняется в неправомерном обращении с персональными данными граждан, хранящимися в полицейской базе.

Согласно материалам дела, экс-сотрудница продавала данные микрофинансовой организации. При этом приобретающая данные организация не отправляла никакие официальные запросы, а граждане, которым принадлежали данные, не ставились в известность.

За предоставление данных из базы УМВД Пермского края обвиняемая получала смехотворные суммы в размере от 100 до 500 рублей.

В результате бывшая сотрудница отделалась штрафом в 90 тысяч рублей — суд признал ее виновной в злоупотреблении должностными полномочиями и мелком взяточничестве

Корреспонденты ИА REGNUM связались с ГУ МВД по Пермскому краю, где им сообщили, что обвиняемая из органов правопорядка была уволена.
Отсюда: https://www.anti-malware.ru/news/2019-01-31-1447/28715
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 06.02.2019, 09:58   #19
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Интересно!
Цитата:
Российские специалисты в области защиты информации смогут принять участие в конкурсе на лучший проект по защите персональных данных. Этот конкурс будет проводиться в рамках Восемнадцатых молодежных Дельфийских игр, которые пройдут с 19 по 24 апреля этого года.

На разработку соответствующего проекта участникам будет предоставлено 8 часов, в проекте должен быть сделан упор на воспитание культуры обращения с персональными данными, также участники должны уделить внимание сохранению неприкосновенности частной жизни в Сети.

Представители Роскомнадзора уверены, что такой конкурс поспособствует формированию ответственного отношения граждан к обращению с персональными данными. Именно так гражданам будут прививаться азы работы с конфиденциальной информацией.

Так как в настоящее время тема неприкосновенности частной жизни в Сети довольно актуальна, такой конкурс и вытекающий из него проект кажутся вполне обоснованным шагом.

Роскомнадзор подчеркивает, что у молодежи будет шанс научиться грамотному поведению в цифровом пространстве и основным правилам защиты персональных данных.
Отсюда: https://www.anti-malware.ru/news/2019-02-06-1447/28777
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Старый 18.02.2019, 10:08   #20
Skyment
Член клуба - сотрудник МВД
 
Аватар для Skyment

Информация недоступна.
По умолчанию Re: Сводная тема по обработке ПДн

Сводный и профессионально отработанный материал одним из лучших специалистов по теме, рекомендую:
Цитата:
Правительство определило правила контроля и надзора за соответствием обработки персональных данных требованиям законодательства

После пяти попыток и трех с половиной лет Постановлением Правительства РФ от 13.02.2019 № 146 утверждены «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных», которые 15 февраля опубликованы на Официальном интернет-портале правовой информации.
С проектами произошел просто какой-то казус. Предыдущий проект был «завернут» при регистрации Минюстом из-за отсутствия в названии «государственный контроль и надзор» слова «федеральный», которое используется в том случае, если правила контроля и надзора определяют президент или правительство. Именно с этим словом проект висит до сих пор на официальном сайте раскрытия информации о подготовке нормативных правовых актов. А документ вышел без него. И Положение превратилось в Правила. Но не в названии суть.
Я не буду сравнивать пять версий документа и анализировать, что и когда менялось, смысла нет. Самое важное – чем Правила отличаются от действующего Административного регламента Роскомнадзора, и что в них нового.
В Правилах четко и однозначно указано, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных». Поэтому никаких экспертов и экспертных организаций при Роскомнадзоре для «обследования и определения уровня защищенности негосударственных информационных систем персональных данных», о которых я писал четыре года назад. Они в правилах вообще не упоминаются.
Контроль и надзор осуществляется все-таки за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, как написано в части 1.1 статьи 23 закона, а не законодательства Российской Федерации в области персональных данных, как написано в части 1 той же статьи. Почувствуйте разницу. Снова придется возвращаться к вопросу о полномочиях по контролю и надзору за соблюдением требований главы 14 Трудового кодекса.
К плановым и внеплановым проверкам и принятием мер по пресечению и (или) устранению последствий выявленных нарушений добавились две новые формы надзорных мероприятий: контроль без взаимодействия с операторами (который в планах деятельности территориальных управлений Роскомнадзора называется «мероприятиями систематического наблюдения») и профилактика нарушений. Систематическое наблюдение ведется года так с 2015, но нормативно не регулировалось, а вот профилактики не было совсем.
Закреплена сложившая практика определения проверок не в планах проверок, а в планах деятельности территориальных органов. Разница колоссальная: планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения вносятся приказом надзорного органа легко и просто. Посмотрите, например, здесь. Год только начался, а в план внесены изменения уже 13-ю приказами.
Допустимая периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года, но появились исключения, когда проверка может проводиться раз в два года: операторов ИСПДн, являющихся ГИСами; обрабатывающих спецкатегории и биометрию; осуществляющих трансграничную передачу персданных в государства, не обеспечивающие адекватную защиту прав субъектов персональных данных (вниманию дочек американских, японских, китайских компаний и пользователей дешевой инфраструктуры в Бангалоре); и, наконец, обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации (вниманию представительств и филиалов иностранных компаний, не образующих в России юрлиц). Как эти иностранные органы и лица могут быть зарегистрированы в России, я не знаю.

...
Полностью тут: https://emeliyannikov.blogspot.com/2...blog-post.html
__________________
"Ну и ушлый вы народ –
Ажно оторопь берет!
Всяк другого мнит уродом,
Несмотря, что сам урод." ©
(Федот)
Skyment на форуме   Цитировать выделенный текст Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Быстрый переход


Часовой пояс GMT +3, время: 11:36.

Рейтинг@Mail.ru Яндекс цитирования

Работает на vBulletin® версия 3.8.3.
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot