#rppa
🔹Эксперты RPPA подготовили правовую позицию с предложениями по изменению в регулировании общедоступных данных. Ассоциация предоставила подготовленный документ Тематической рабочей группе 08 "Большие данные" Центра компетенций в области цифровой экономики.
🔹Предложения экспертов RPPA направлены на достижение разумного баланса между интересами операторов и субъектов персональных данных, интересами владельцев источников общедоступных данных и пользователями онлайн-платформ.
🔹Одним из таких предложений является методология оценки воздействия на приватность (Privacy Impact Assessment).
🔹Эксперты RPPA считают, что сегодня на первый план должны выйти те институты и методы, которые позволяют не просто компенсировать нанесённый ущерб, а предотвращать его. Таким институтом является оценка воздействия на приватность. Оператор, который проведёт оценку, сможет обрабатывать общедоступные данные субъектов персональных данных, исходя из своего законного интереса (ст. 6 (1)(7) 152-ФЗ). При оценке предполагается учитывать цели, содержание и особенности планируемой обработки персональных данных.
🔹Эксперты RPPA также высказались в пользу создания отраслевых стандартов силами профессионального сообщества. Эксперты приветствовали сотрудничество операторов персональных данных по подготовке “Кодексов добросовестных практик”, касающихся сбора общедоступных персональных данных. Ассоциация рекомендует, чтобы заинтересованные операторы персональных данных участвовали в разработке методических рекомендаций (в т.ч. Минкомсвязью/Роскомнадзором) и стандартов, касающихся, в частности, машиночитаемого представления данных и метаданных.
🔹⬇️С текстом правовой позиции экспертов RPPA можно ознакомиться по ссылке
За текст анонса спасибо Николаю Дмитрику
🔹Эксперты RPPA подготовили правовую позицию с предложениями по изменению в регулировании общедоступных данных. Ассоциация предоставила подготовленный документ Тематической рабочей группе 08 "Большие данные" Центра компетенций в области цифровой экономики.
🔹Предложения экспертов RPPA направлены на достижение разумного баланса между интересами операторов и субъектов персональных данных, интересами владельцев источников общедоступных данных и пользователями онлайн-платформ.
🔹Одним из таких предложений является методология оценки воздействия на приватность (Privacy Impact Assessment).
🔹Эксперты RPPA считают, что сегодня на первый план должны выйти те институты и методы, которые позволяют не просто компенсировать нанесённый ущерб, а предотвращать его. Таким институтом является оценка воздействия на приватность. Оператор, который проведёт оценку, сможет обрабатывать общедоступные данные субъектов персональных данных, исходя из своего законного интереса (ст. 6 (1)(7) 152-ФЗ). При оценке предполагается учитывать цели, содержание и особенности планируемой обработки персональных данных.
🔹Эксперты RPPA также высказались в пользу создания отраслевых стандартов силами профессионального сообщества. Эксперты приветствовали сотрудничество операторов персональных данных по подготовке “Кодексов добросовестных практик”, касающихся сбора общедоступных персональных данных. Ассоциация рекомендует, чтобы заинтересованные операторы персональных данных участвовали в разработке методических рекомендаций (в т.ч. Минкомсвязью/Роскомнадзором) и стандартов, касающихся, в частности, машиночитаемого представления данных и метаданных.
🔹⬇️С текстом правовой позиции экспертов RPPA можно ознакомиться по ссылке
За текст анонса спасибо Николаю Дмитрику
#hr
Новая рубрика зарекомендовала себя, посему продолжаем.
Разыскивается upper middle менеджер, который будет развивать направление по защите персональных данных в структуре legal&compliance департамента немецкой фарм. компании в РФ. Подчинение руководству департамента.
Вопросы и резюме сюда ➡️ Алексей
Новая рубрика зарекомендовала себя, посему продолжаем.
Разыскивается upper middle менеджер, который будет развивать направление по защите персональных данных в структуре legal&compliance департамента немецкой фарм. компании в РФ. Подчинение руководству департамента.
Вопросы и резюме сюда ➡️ Алексей
#news #gdpr #brexit #bcr
В конце переходного периода решения по BCR, принятые ркн из UK (ICO), не будут иметь юридическую силу на территории ЕЭЗ.
Поэтому, если по какой-то причине у вас ведущий регулятор по BCR - ICO, а BCR ещё не утверждены, надо менять регулятора на кого-то из ЕЭЗ. Подробнее здесь
В конце переходного периода решения по BCR, принятые ркн из UK (ICO), не будут иметь юридическую силу на территории ЕЭЗ.
Поэтому, если по какой-то причине у вас ведущий регулятор по BCR - ICO, а BCR ещё не утверждены, надо менять регулятора на кого-то из ЕЭЗ. Подробнее здесь
European Data Protection Board - European Data Protection Board
European Data Protection Board - Thirty-fifth Plenary session: Information note on Binding Corporate Rules with UK SA as Lead Authority…
#fines #gdpr
Где: Италия
Отрасль: телеком
Кого: Wind Tre SpA
Штраф: 17 млн EUR (1,4 млрД! руб) + запрет на обработку данных, полученных без согласия субъекта
Нарушение: компания осуществляла маркетинговую коммуникацию субъектам без их согласия по различным каналам связи: сообщения, письма, факс, робо-звонки. Права субъекта на отзыв согласия, возражение против обработки ПДн не исполнялись компанией (в уведомлении об обработке были указаны неверные контактные данные).
Данные некоторых субъектов были включены в публичные телефонные справочники, несмотря на возражения самих субъектов.
В рамках проверки было установлено, что приложения компании Mywind и My3 требовали от пользователя согласие на обработку данных в различных целях при каждом доступе, включая маркетинг, профилирование, передачу данных третьим лицам, геолокацию, а сам отзыв такого согласия был возможен только через 24 часа.
Источник: жалобы субъектов
Статьи: 5, 6
Ссылки: EDPB
Где: Италия
Отрасль: телеком
Кого: Wind Tre SpA
Штраф: 17 млн EUR (1,4 млрД! руб) + запрет на обработку данных, полученных без согласия субъекта
Нарушение: компания осуществляла маркетинговую коммуникацию субъектам без их согласия по различным каналам связи: сообщения, письма, факс, робо-звонки. Права субъекта на отзыв согласия, возражение против обработки ПДн не исполнялись компанией (в уведомлении об обработке были указаны неверные контактные данные).
Данные некоторых субъектов были включены в публичные телефонные справочники, несмотря на возражения самих субъектов.
В рамках проверки было установлено, что приложения компании Mywind и My3 требовали от пользователя согласие на обработку данных в различных целях при каждом доступе, включая маркетинг, профилирование, передачу данных третьим лицам, геолокацию, а сам отзыв такого согласия был возможен только через 24 часа.
Источник: жалобы субъектов
Статьи: 5, 6
Ссылки: EDPB
#materials #privacy #gdpr #edpb
EDPB опубликовал Guidelines on the interplay of the Second Payment Services Directive and the GDPR, а также доки по делу Шремса, о них писала выше, и BCR, здесь
EDPB опубликовал Guidelines on the interplay of the Second Payment Services Directive and the GDPR, а также доки по делу Шремса, о них писала выше, и BCR, здесь
#fines #gdpr
Где: Германия
Отрасль: страхование
Кого: AOK Baden-Wuerttemberg
Штраф: 1 240 000 EUR (106.6 млн руб)
Нарушение: компания проводила розыгрыши с 2015 по 2019 г и собирала ПДн участников: контактные данные и сведения о медицинском страховании. Компания намеревалась использовать собранные данные в рекламных целях при условии наличия согласия субъектов. Посредством технических и орг мер (вкл. внутренние руководства и тренинги работников) компания планировала обеспечить обработку данных в рекламных целях только субъектов, давших своё предварительное согласие. Но ничего не вышло. Данные более 500 участников все-таки использовались в целях рекламы без согласия субъектов.
Источник: проверка регулятора
Статьи: 32, 6
Ссылки: EDPB
P.S. Компания сразу прекратила обработку данных, как стало известно о нарушении, провела проверку процедур и тесно сотрудничала с регулятором, оперативно вносила корректировки в процессы обработки данных. При расчете штрафа регулятор принял во внимание: размер компании, сферу деятельности (крупный страховщик - важная часть системы здравоохранения страны)
Где: Германия
Отрасль: страхование
Кого: AOK Baden-Wuerttemberg
Штраф: 1 240 000 EUR (106.6 млн руб)
Нарушение: компания проводила розыгрыши с 2015 по 2019 г и собирала ПДн участников: контактные данные и сведения о медицинском страховании. Компания намеревалась использовать собранные данные в рекламных целях при условии наличия согласия субъектов. Посредством технических и орг мер (вкл. внутренние руководства и тренинги работников) компания планировала обеспечить обработку данных в рекламных целях только субъектов, давших своё предварительное согласие. Но ничего не вышло. Данные более 500 участников все-таки использовались в целях рекламы без согласия субъектов.
Источник: проверка регулятора
Статьи: 32, 6
Ссылки: EDPB
P.S. Компания сразу прекратила обработку данных, как стало известно о нарушении, провела проверку процедур и тесно сотрудничала с регулятором, оперативно вносила корректировки в процессы обработки данных. При расчете штрафа регулятор принял во внимание: размер компании, сферу деятельности (крупный страховщик - важная часть системы здравоохранения страны)
#news #privacy #cybersecurity #edps
По мнению EDPS, шифрование - одна из мер защиты фундаментальных прав физических лиц в рамках обработки их ПДн, в самом гдпр шифрование упоминается неоднократно, в ст: 6, 32, 34 (как мера, уменьшающая риски для субъектов).
Подробнее здесь со ссылками на записи воркшопа IPEN и некоторые презентации спикеров.
По мнению EDPS, шифрование - одна из мер защиты фундаментальных прав физических лиц в рамках обработки их ПДн, в самом гдпр шифрование упоминается неоднократно, в ст: 6, 32, 34 (как мера, уменьшающая риски для субъектов).
Подробнее здесь со ссылками на записи воркшопа IPEN и некоторые презентации спикеров.
European Data Protection Supervisor - European Data Protection Supervisor
Report from the IPEN workshops on encryption - what is encryption and who needs it for what? - European Data Protection Supervisor…
#news #cybersecurity
Совет ЕС наложил ограничительные меры на 6 физ лиц (граждане Китая и РФ) и 3 юр лица (из Китая, России, Сев Кореи) за участие в организации кибер-атак, известных как WannaCry’ и ‘NotPetya’ или ‘Operation Cloud Hopper’, в том числе на OPWC (Organisation for the Prohibition of Chemical Weapons).
Подробнее в самом решении здесь
Совет ЕС наложил ограничительные меры на 6 физ лиц (граждане Китая и РФ) и 3 юр лица (из Китая, России, Сев Кореи) за участие в организации кибер-атак, известных как WannaCry’ и ‘NotPetya’ или ‘Operation Cloud Hopper’, в том числе на OPWC (Organisation for the Prohibition of Chemical Weapons).
Подробнее в самом решении здесь
#fines #gdpr
Где: Нидерланды
Отрасль: фин. сектор
Кого: Национальный кредитный регистр BKR
Штраф: 830 000 евро (72 млн руб)
Нарушение: с 2018 года BKR брал плату с субъектов за предоставление доступа к ПДн (электронный формат). А вот доступ к ПДн на бумажном носителе предоставлялся бесплатно раз в год.
Источник: жалобы субъектов
Статьи: 15
Ссылки: EDPB
P.S. Дело ушло в суд, штраф не финальный
Где: Нидерланды
Отрасль: фин. сектор
Кого: Национальный кредитный регистр BKR
Штраф: 830 000 евро (72 млн руб)
Нарушение: с 2018 года BKR брал плату с субъектов за предоставление доступа к ПДн (электронный формат). А вот доступ к ПДн на бумажном носителе предоставлялся бесплатно раз в год.
Источник: жалобы субъектов
Статьи: 15
Ссылки: EDPB
P.S. Дело ушло в суд, штраф не финальный
#edps #cybersecurity #privacy
Простая и познавательная статья про квантовые компьютеры и их влияние на приватность и современную криптографию, здесь
Простая и познавательная статья про квантовые компьютеры и их влияние на приватность и современную криптографию, здесь
European Data Protection Supervisor
TechDispatch #2/2020: Quantum Computing and Cryptography
Quantum computers can be highly beneficial to scientific developments due to the new, speedy way of performing computing. Once available, they however could break currently used cryptography and undermine the protection of (personal) data. The physical laws…
#news #fines #gdpr
Поговаривают, что ICO существенно снизит штраф для Marriott и British Airways.
Подробнее, здесь
Поговаривают, что ICO существенно снизит штраф для Marriott и British Airways.
Подробнее, здесь
WSJ
British Airways and Marriott Expect Drastically Reduced Fines From U.K. Privacy Regulator
British Airways and Marriott International were expected to be hit with the highest-ever penalties for violating European privacy rules but will likely be assessed much smaller fines.
#events #privacy #gdpr #152фз #rppa
Когда: 27 августа в 18:30 (GMT + 3)
Где: Google events, webinar
Тема: Практический семинар по ведению реестра процессов ПДн (RoPA) с учётом GDPR и 152-ФЗ
Язык: русский
Стоимость: бесплатно
Подключение: здесь
Трансляция: здесь
🔹Первый workshop от RPPA
🔹Без регистрации и бесплатно, просто подключайтесь по ссылке
🔹Спикеры: ведущие консультанты и специалисты из индустрии
🔹Bonus: шаблон RoPA, перечень платформ и опыт заполнения реестра
Когда: 27 августа в 18:30 (GMT + 3)
Где: Google events, webinar
Тема: Практический семинар по ведению реестра процессов ПДн (RoPA) с учётом GDPR и 152-ФЗ
Язык: русский
Стоимость: бесплатно
Подключение: здесь
Трансляция: здесь
🔹Первый workshop от RPPA
🔹Без регистрации и бесплатно, просто подключайтесь по ссылке
🔹Спикеры: ведущие консультанты и специалисты из индустрии
🔹Bonus: шаблон RoPA, перечень платформ и опыт заполнения реестра
RPPA PRO: Privacy • AI • Cybersecurity • IP pinned «#events #privacy #gdpr #152фз #rppa Когда: 27 августа в 18:30 (GMT + 3) Где: Google events, webinar Тема: Практический семинар по ведению реестра процессов ПДн (RoPA) с учётом GDPR и 152-ФЗ Язык: русский Стоимость: бесплатно Подключение:…»
#fines #gdpr
Где: Дания
Отрасль: фин. сектор
Кого: PrivatBo
Штраф: 150 000 DKK (1,8 млн руб)
Нарушение: Компания в рамках содействия жилищному фонду в продаже объектов недвижимости предоставила материалы по рассматриваемым объектам недвижимости жильцам на 424 флешках, но вот «и знать не знала», что в материалах содержались ПДн (в том числе данные об арендной плате, депозитах с указанием адресов). Регулятор посчитал, что компания не реализовала достаточные орг и технические меры по защите информации.
Источник: проверка регулятора
Статьи: 32
Ссылки: EDPB
Где: Дания
Отрасль: фин. сектор
Кого: PrivatBo
Штраф: 150 000 DKK (1,8 млн руб)
Нарушение: Компания в рамках содействия жилищному фонду в продаже объектов недвижимости предоставила материалы по рассматриваемым объектам недвижимости жильцам на 424 флешках, но вот «и знать не знала», что в материалах содержались ПДн (в том числе данные об арендной плате, депозитах с указанием адресов). Регулятор посчитал, что компания не реализовала достаточные орг и технические меры по защите информации.
Источник: проверка регулятора
Статьи: 32
Ссылки: EDPB
#news #fines #gdpr
Некоммерческий фонд The Privacy Collective подал коллективные иски на сумму €10bn в суды Амстердама и Лондона против Oracle и Salesforce в связи с нарушением компаниями требований гдпр (продажа ПДн рекламодателям без согласия субъекта).
Подробнее, здесь
Некоммерческий фонд The Privacy Collective подал коллективные иски на сумму €10bn в суды Амстердама и Лондона против Oracle и Salesforce в связи с нарушением компаниями требований гдпр (продажа ПДн рекламодателям без согласия субъекта).
Подробнее, здесь
ComputerWeekly.com
Oracle and Salesforce sued over online ad tracking
Class action lawsuits filed in Amsterdam and London will accuse Oracle and Salesforce of breaching GDPR in their processing and sharing of personal data to sell online advertising.