Актуальное
- Опубликовано: 14 октября 2020
23 сентября Правительство России одобрило План восстановления экономики. Данный план предусматривает отсрочку для выполнения требований о локализации баз данных, на которых хранятся персональные данные граждан России только в отношении автоматизированных информационных систем обеспечения воздушных перевозок (АИС ОВП), то есть на системы бронирования авиабилетов.
Нарушение требований о локализации баз данных, на которых хранятся персональные данные граждан России, иностранными компаниями влечет наложение административного штрафа в размере 4 млн. рублей, повторное нарушение – 18 млн. рублей.
Ранее компании Facebook Inc. и Twitter Inc. были оштрафованы за нарушение данного требования на 4 млн. рублей каждая.
В начале сентября сообщалось о возможной отсрочке выполнения данного требования для указанных компаний, однако отсрочка коснётся только системы бронирования авиабилетов. Такое решение вызвано «объективным снижением финансовых возможностей авиакомпаний в текущих условиях для своевременного перехода на системы оформления внутренних воздушных перевозок, расположенные на территории России», как заявил представитель Минтранса России.
Решение не ослаблять требования о локализации в отношении big-tech компаний скорее всего повлечёт наложение повторных штрафов и приблизит опасения экспертов в их возможной блокировке в России.
- Опубликовано: 14 октября 2020
В сентябре на мероприятии AI Summit 2020, организованном Politico, исполнительный вице-президент Еврокомиссии в области цифровой экономики Маргрет
Вестагер заявила, что Еврокомиссия ведёт активную работу по разработке обновленных стандартных контрактных условий (Standard Contractual Clauses, SCCs), соответствующих требованиям GDPR в контексте решения Суд Европейского Союза (CJEU) по делу Schrems II. По её оценке, обновленные SCC будут утверждены Еврокомиссией до конца 2020 года.
Согласно GDPR передача персональных данных субъектов, находящихся в ЕС, в страны, которые, по мнению Еврокомиссии, не обеспечивают адекватной защиты прав таких субъектов (Россия, США), допускается при условии осуществления надлежащих гарантий.
Соответствующие гарантии можно обеспечить, в частности, при помощи SCC (стандартных договорных условий).
16 июля в деле Schrems II Суд Европейского Союза (CJEU) признал SCC соответствующими GDPR, но заявил, что компании должны проверять в каждом конкретном случае, обеспечивает ли закон страны, в которую данные передаются, адекватную защиту согласно GDPR и, если это не так, компании должны предоставлять дополнительные гарантии или приостановить передачу.
В результате данного решения компании, пользующиеся услугами сервис-провайдеров из США, а также передающие персональные данные в Россию на основании SCC оказались в состоянии неопределенности.
Разработка SCC до конца 2020 года может способствовать решению сложившейся проблемы несоответствия гарантий прав субъектов персональных данных по GDPR с «третьими странами».
- Опубликовано: 14 октября 2020
1 октября надзорный орган в области защиты персональных данных Гамбурга (HmbBfDI) опубликовал пресс-релиз о штрафе компании H&M в размере 35.3 млн. евро за нарушение требований GDPR сервисным центром H&M в Гамбурге.
Что нарушил H&M:
С 2014 года часть H&M собирал подробную информацию о работниках сервисного центра (после возвращения из отпуска или болезни руководители подразделений проводили «беседы», в ходе которых работник делился информацией личного характера, включая сведения о здоровье, которая фиксировалась на сетевом диске компании).
- Указанная информация была доступна примерно 50 менеджерам компании
- Данные использовались в том числе для принятия управленческих решений в отношении работников;
- В октябре 2019 года H&M сообщил об инциденте информационной безопасности в своём сервисном центре надзорному органу Гамбурга, вследствие чего стало известно о нарушениях.
HmbBfDI пришёл к выводу о злостных нарушениях GDPR компанией вследствие сбора избыточных данных и их вторичного использования.
Данный штраф является одним из самых серьезных за 2020 год и вынесен в отношении крупнейшей розничной сетью по торговле одеждой в Европе.
- Опубликовано: 01 сентября 2020
6 августа Федеральная налоговая служба опубликовала письмо для Управлений ФНС России по субъектам Российской Федерации «Об отдельных вопросах налогообложения внутригрупповых услуг».
В данном письме Федеральная налоговая служба указывает, что у компаний должны быть основания для получения/оказания тех или иных услуг. А для признания правомерности расходования средств компании необходимо собрать доказательственную базу. К доказательствам могут относиться не только договор и акты оказания услуг, но и любые другие сведения, которые могут подтвердить факт оказания услуг. К таким сведениям могут относится, в том числе, деловая переписка и электронная корреспонденция, детализация телефонных звонков, протоколы встреч, служебные записки и справки, табели учета рабочего времени, отчеты об оказанных услугах, включающие в себя детализацию услуг с описанием действий контрагента, презентации, распечатки из внутренних электронных систем налогоплательщика, распечатки электронного календаря.
- Опубликовано: 01 сентября 2020
17 августа Министерство здравоохранения РФ опубликовало Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения (Проект). Рекомендации будут затрагивать не только медицинские организации, но и фарм компании.
Данный Проект направлен на согласование в ФСТЭК России.
В данных рекомендациях определен перечень организаций, которым необходимо будет проводить работы по критической информационной инфраструктуры. К таким организация будут относиться не только медицинские, но и лаборатории и диагностические центры, а также фармакологические организации.
Организациям, относящимся к сфере здравоохранения, при проведении работ по критической информационной инфраструктуры, необходимо будет ориентироваться на данные рекомендации.
Ознакомиться с текстом проекта можно по ссылке здесь