Персональные данные. Дайджест за 1–15 ноября 2023 г.

Принятые акты и проекты нормативных правовых актов

Приказом Минцифры РФ от 17.08.2023 № 720«О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187»
 изменены индикаторы риска нарушения обязательных требований по контролю за обработкой персональных данных

Существующий перечень индикаторов риска нарушения обязательных требований по контролю за обработкой персональных данных дополнен новым индикатором.

В частности, если Роскомнадзор установит три и более фактов несоответствия информации, указанной оператором в уведомлениях о намерении обрабатывать персональные данные и (или) осуществлять их трансграничную передачу, а также информации, указанной на сайте оператора в информационно-телекоммуникационной сети «Интернет», он сможет по согласованию с прокуратурой внепланово провести ряд контрольно-надзорных мероприятий.

Соответствующий Приказ официально опубликован 10 ноября 2023 года и вступает в силу с 18 ноября 2023 года.

10.11.2023. Официальный интернет-портал правовой информации

Опубликован проект постановления Правительства РФ«Об утверждении перечня видов биометрических персональных данных, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»
, определяющий виды биометрических персональных данных, на которые распространяется действие 572-ФЗ

Согласно проекту постановления Правительства РФ (далее – проект), согласованному с ФСБ РФ и Координационным советом по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных, Правительство РФ предлагает включить в перечень видов биометрических персональных данных, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»:

• изображение лица человека, полученное с помощью фотовидеоустройств;

• запись голоса человека, полученную с помощью звукозаписывающих устройств.

Указанные персональные данные должны, соответственно, передаваться и храниться в Единой биометрической системе (ЕБС).

Проектом установлено, что настоящее постановление вступает в силу с 1 сентября 2024 года и действует до 1 сентября 2030 года.

10.11.2023. Федеральный портал проектов нормативных правовых актов

Минцифры РФ предложило оформлять студенческие билеты, зачетные книжки и иные документы, подтверждающие обучение, в электронном виде

13 ноября 2023 года опубликован соответствующий проект постановления Правительства РФ«О проведении эксперимента по формированию сведений в электронном виде о студенческих билетах и зачетных книжках граждан, обучающихся в образовательных организациях высшего образования и научных организациях по программам среднего профессионального образования, бакалавриата, специалитета, магистратуры, а также сведений о документах, подтверждающих обучение (при их наличии) граждан, обучающихся в образовательных организациях высшего образования и научных организациях по программам ординатуры, ассистентуры-стажировки, программам подготовки научных и научно-педагогических кадров в аспирантуре»
.

С 20 ноября 2023 года по 31 декабря 2024 года Минцифры РФ предлагает проведение эксперимента по формированию сведений в электронном виде:

• о студенческих билетах,

• зачетных книжках граждан, обучающихся в образовательных организациях высшего образования и научных организациях по программам среднего профессионального образования, бакалавриата, специалитета, магистратуры;

• о документах, подтверждающих обучение (при их наличии) граждан, обучающихся в образовательных организациях высшего образования и научных организациях по программам ординатуры, ассистентуры-стажировки, программам подготовки научных и научно-педагогических кадров в аспирантуре.

Сведения предлагается размещать в личном кабинете ФГИС «Единый портал государственных и муниципальных услуг (функций)».

С помощью электронного студенческого билета можно будет:

• пройти на территорию образовательной или научной организации;

• отслеживать свою успеваемость;

• оформить проездной на городской транспорт;

• купить билеты со скидкой для студентов на поезда дальнего следования, электрички;

• посещать концерты, музеи и другие культурные мероприятия, где предусмотрены льготы студентам.

13.11.2023. Федеральный портал проектов нормативных правовых актов

Судебная практика и административные дела

Компании Coinbase Ireland Limited назначен административный штраф за несоблюдение требований по локализации персональных данных граждан РФ

Судебный участок мирового судьи № 422 Таганского района рассмотрел дело № 05-1182/422/2023 о привлечении компании Coinbase Ireland Limited к административной ответственности по части 8 статьи 13.11 КоАП РФ (невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации).

Компании назначено наказание в виде административного штрафа в размере 1 миллиона рублей.

09.11.2023. Портал единого информационного пространства мировых судей города Москвы

Spotify AB, Airbnb, Inc., United Parcel Service, Inc. назначен административный штраф за повторное невыполнение обязанностей по локализации персональных данных граждан РФ

Судебный участок мирового судьи № 422 Таганского района рассмотрел дела № 05-1178/422/2023, № 05-1179/422/2023, № 05-1180/422/2023 об административном правонарушении по части 9 статьи 13.11 КоАП РФ (повторное невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации).

Spotify AB, Airbnb, Inc., United Parcel Service, Inc. назначен административный штраф в размере 6 миллионов рублей.

09.11.2023. Портал единого информационного пространства мировых судей города Москвы

Новости и события

Комитет по безопасности и противодействию коррупции поддержал законопроект об особом порядке обработки персональных данных лиц, работающих в правоохранительных органах

Комитет по безопасности и противодействию коррупции дал положительный отзыв на законопроект об особом порядке обработки персональных данных лиц, работающих в правоохранительных органах, Минобороны и других силовых структурах. 

По словам Председателя Комитета Василия Пискарева, предлагаемые изменения призваны защитить персональные данные сотрудников силовых структур от «преступных посягательств».

«В соответствии с проектируемыми нормами Правительство РФ получит полномочия, связанные с ведением соответствующих информационных систем и утверждением порядка доступа к ним», — добавил Василий Пискарев. 

Изменения будут внесены в одиннадцать федеральных законов.

01.11.2023. Пресс-служба Государственной Думы РФ

Цифровые платформы выразили нежелание передавать персональные данные, полученные в рамках антифрод-мероприятий, в ЕБС

Сейчас многие цифровые сервисы борются с мошенниками через подтверждение личности по фото или голосу, и по законодательству эти данные должны передаваться в ЕБС. В компаниях считают это нецелесообразным, так как последние не хранят такие данные и собирают их в произвольном формате, а не по стандартам ЕБС.

Участники рабочей группы «Информационная безопасность» при АНО «Цифровая экономика» (АНО ЦЭ), обсуждая национальный проект по экономике данных до 2030 года, предложили дополнить закон о Единой биометрической системе исключением, по которому компании, использующие в работе механизмы противодействия хищению денежных средств (антифрод) с применением биометрии, не должны будут сдавать ее в ЕБС.

В Ассоциации больших данных (объединяет «Яндекс», VK, «Ростелеком» и т. д.), которая участвует в разработке инициативы, уточнили, что полученные для верификации компаниями фотографии или записи голоса зачастую хранятся кратковременно и не используются в иных процессах. «Использование ЕБС для этих целей невозможно ввиду технических, правовых и финансовых ограничений», — утверждают в АБД.

02.11.2023. Коммерсантъ

В Государственной Думе РФ предлагают обязать компании выплачивать клиентам компенсации за утечки персональных данных

Компании, допустившие утечку персональных данных пользователей, могут обязать выплачивать адресные компенсации, но лишь в том случае, если будет принят соответствующий закон.

Об этом «Парламентской газете» рассказал заместитель председателя комитета Госдумы по информационной политике, информатизации и связи Антон Горелкин.

«На мой взгляд, такая компенсация должна производиться вне зависимости от того, уплатила компания штраф или нет, и сколько он в итоге составил, — подчеркнул депутат. — При этом она может включать в себя как фактически понесенные потребителем расходы — например, на покупку новой сим-карты взамен скомпрометированной, — так и моральный вред».

При этом Антон Горелкин отметил, что соответствующий законопроект не готов даже к первому чтению и сейчас разрешаются межведомственные противоречия.

02.11.2023. Парламентская газета

Ассоциация больших данных (АБД) разработала стандарт защиты данных для смягчения поправок о штрафах за утечки персональных данных

В Ассоциации больших данных (АБД) разработали концепцию отраслевого стандарта защиты данных, который включает в себя независимый аудит для IT-компаний на соответствие предложенному стандарту. Таким образом, бизнес предлагает властям в качестве альтернативы поправкам в КоАП механизм саморегулирования, который, по мнению членов АБД, позволит гарантировать «наивысшую степень защиты данных на уровне отрасли».

В указанной концепции определяются «надежные подходы» к хранению и сбору данных, а также методики совершенствования системы информационной безопасности. «Чем больше данных собирает компания, чем выше их значимость и чувствительность, тем серьезнее требования к инфраструктуре и ее безопасности», — объясняют в АБД, добавляя, что документ также предлагает механизм добровольной оценки соответствия компаний новому стандарту.

В числе ключевых критериев для оценки — процессы организации и управления защитой данных, политики о защите информации, план мероприятий по отработке угроз. Кроме того, на оценку повлияет то, как в компании выявляют уязвимости, реагируют на внештатные ситуации, тренируют и готовят персонал.

Как следует из концепции отраслевого стандарта защиты данных, планируется, что компании будут проводить такой аудит не реже одного раза в год и таким образом подтверждать высокий уровень их систем информбезопасности. Оценку эффективности в области защиты информации будут проводить организации, обрабатывающие персональные данные, на добровольной основе в ходе внутреннего аудита и последующей валидации его результатов.

Каждый параметр (например, «Безопасность приложений и ПО», «Реагирование на инциденты» или «Контроль услуг внешних поставщиков») оценивается в определенное количество баллов, выставляемых экспертами. При этом внешним аудитом будут заниматься профильные организации, но не «дочки» или другие «зависимые общества» по отношению к оператору персональных данных.

В комитете Госдумы по информполитике не прокомментировали предложение АБД. В Минцифры же заявили, что обращение с персональными данными уже регулируется ФЗ-152 «О персональных данных». «Другое регулирование возможно только как дополнение к существующему законодательству. Составить итоговое мнение о концепции отраслевого стандарта защиты данных можно будет только после обсуждения документа с другими государственными регуляторами, АБД, отраслью и экспертами», — сообщили в министерстве.

По мнению юристов, в представленном документе речь скорее идет о способе выполнения требований по защите данных и формирования эталонной практики.

03.11.2023. Forbes

Pinterest и Snapchat грозит штраф за повторный отказ локализовать данные россиян

Мировой суд в Москве рассмотрит протоколы в отношении фотохостинга Pinterest и соцсети Snapchat за повторное нарушение законодательства РФ в области персональных данных.

«Суд зарегистрировал административные протоколы в отношении Snap Inc. и Pinterest Inc. по ч. 9 ст. 13.11 КоАП РФ», — уточнили в суде.

За повторное невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, компаниям грозит штраф в размере до 18 млн рублей.

07.11.2023. ТАСС

Компанию Apple могут оштрафовать на 100 тысяч рублей за сбор данных граждан РФ

Мировой суд в Москве рассмотрит протокол в отношении компании Apple, ей грозит штраф до 100 тысяч рублей за нарушение законодательства в области персональных данных.

«В отношении Apple Inc. зарегистрирован протокол, составленный за административное правонарушение по части 1 статьи 13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных)», — уточнили в суде.

Санкция по этой статье предусматривает наказание в виде штрафа до 100 тысяч рублей.

07.11.2023. ТАСС

Юристы Роскомнадзора помогли признать незаконными оформленные мошенниками займы на 564 тысяч рублей

Юристы Центра правовой помощи гражданам в цифровой среде в октябре добились через суд удовлетворения почти 30 исков о признании недействительными договоров займа на общую сумму в 546,6 тысяч рублей, которые были заключены мошенниками с помощью украденных персональных данных граждан.

По данным регулятора, мошенники получали доступ к учетным записям на портале Госуслуг, авторизовывались на сайтах микрофинансовых компаний с помощью персональных данных граждан и оформляли договоры займа. Суммы кредитов составляли от 5 до 15 тысяч рублей — именно столько можно запросить по упрощенной схеме идентификации заемщика.

«Специалисты Центра помогли всем обратившимся собрать доказательства, подготовить исковые заявления и защищали интересы пострадавших в суде. Все кредитные договоры в суде признали незаконными, с граждан сняли обязательства по выплате. Помимо этого, люди получат компенсации за моральный ущерб. Общая сумма компенсаций – 116 тысяч рублей», — сообщили в РКН.

08.11.2023. Интерфакс

В России планируется создать «государственную фабрику больших данных»

Об этом сообщил в ходе форума информационных финансовых технологий Finopolis министр цифрового развития РФ Максим Шадаев.

«Будет создана государственная фабрика больших данных, где будет происходить накопление, формирование датасетов, прежде всего, на основе данных, которые уже есть у государства, а также на основе тех данных, которое государство на определенных условиях будет забирать у бизнеса. В этом государственном Data Lake будут формироваться Data Set; они будут предоставляться разработчикам технологий, чтобы последние могли тренировать свои нейросети для дальнейшего предоставления сервисов на конкурентной основе», — сказал Шадаев.

Он также подчеркнул, что в настоящее время главный фокус государства — переход в этих вопросах от стратегии к практическому внедрению.

08.11.2023. ТАСС

На «Госуслугах» перестанут хранить персональные данные пользователей

«Госуслуги» будут постепенно избавляться от хранения персональных данных пользователей», — заявил глава Минцифры Максим Шадаев в ходе Форума инновационных финансовых технологий Finopolis.

«Для улучшения качества обслуживания на «Госуслугах» мы всегда старались собрать максимальное количество данных для того, чтобы обеспечить удобное заполнение форм и т. д. Сейчас провозглашен другой подход — данные ведомств будут доступны через ведомственную систему электронного взаимодействия», – уточнил Шадаев.

По его словам, теперь при входе в личный кабинет на портале «Госуслуг» персональные данные пользователей будут загружаться непосредственно из баз ведомств.

«Мы уходим от концентрации больших персональных данных в одном месте, у нас будет сильно распределенная система, основные данные будут оставаться у ведомств», – отметил глава Минцифры.

08.11.2023. РАПСИ

В РФ изучают возможность использования отпечатка ладони и сетчатки глаза для идентификации личности

Центр биометрических технологий (ЦБТ) изучает возможность использования для идентификации пользователей рисунок вен ладоней и сетчатки глаза.

По словам генерального директора ЦБТ Владислава Поволоцкого, ЦБТ проводит масштабное исследование, привлекая консультантов и проводя собеседования с участниками рынка.

«Для нас интерес представляют отпечатки пальцев как самый распространенный вид, но проблематичный с точки зрения массового использования. В качестве перспективных рассматривается рисунок вен ладони, который может использоваться в услугах бесконтактно, а также сетчатку глаза», — сказал Поволоцкий.

Кроме того, ЦБТ изучает возможность идентификации по походке и по почерку человека.

09.11.2023. ТАСС