Privacy HUB
1.31K subscribers
22 photos
1 file
125 links
Новини, аналітика та навчальні матеріали з GDPR і Data Privacy.

Автори каналу:
@dawlessvlad @Daquezee
@NatalieNikol @p_l_n_p

Чат: http://bit.ly/PrivacyHubChat

Підтримати: https://www.patreon.com/privacy_hub
Download Telegram
#ДайджестМісяця

🔆 ДАЙДЖЕСТ ЧЕРВНЯ

Неочікуваний допис у четвер, але сьогодні останній день першого місяця літа. Це означає дві речі: перше – ми стали на день ближче до Перемоги і друге – настав час підбити підсумки червня.

1️⃣ Privacy HUB долучився до проведення курсу від SET University для молодих спеціалістів з кібербезпеки. У рамках цього курсу, ми розповідали майбутньому цвіту інформаційної безпеки нашої держави про ази GDPR і як Регламент корелює з інфобезом. Намагалися це робити, (майже) не використовуючи юридичний жаргон. Сподіваємося, що студентам це було і корисно, і цікаво.

2️⃣ Дискутували на заході “Персональні дані під час війни: захист, зміни, міфи” від Kyiv Legal Hackers. Privacy HUB підняв тему щодо коректності використання технологій на кшталт Clearview AI в умовах війни. Як не дивно, доповідачі від Хабу розійшлися у поглядах. Подивитися нашу дискусію можна у записі (частина про Clearview AI починається приблизно з 1:49:00).

3️⃣ Відвідали робочу зустріч у Офісі Генерального прокурора України. Серед іншого, на зустрічі обговорювали питання захисту персональних даних, а також можливості прирівняння окремих кіберзлочинів до воєнних злочинів. В умовах війни цінність права на приватність не може бути переоціненою, адже зараз порушення права на приватність може призвести до порушення права на життя. Тому зараз саме час формувати культуру приватності в Україні.

4️⃣ Долучилися до створення дописів на тему “Право на приватність та захист персональних даних в умовах воєнного стану” у рамках проєкту myprivacy.org.ua. Запрошуємо вас ознайомитися з цими матеріалами, адже обізнаність у темі є запорукою створення тієї самої культури приватності.

🏆 РЕЙТИНГ ДОПИСІВ ЧЕРВНЯ

#Санкції
📍 ШТРАФ МІНІСТЕРСТВУ ОБОРОНИ ІТАЛІЇ
📍 GOOGLE ВСТРЯГ НА €10 МЛН ЗА РІШЕННЯМ ІСПАНСЬКОГО РЕГУЛЯТОРА
📍 ФАЙЛИ COOKIE НА САЙТАХ АБО БЕЗГЛЮТЕНОВА ДІЄТА ДЛЯ ПРЕСИ
📍ОЧІ ШИНІҐАМІ” ПІД ЗАБОРОНОЮ У НОРВЕГІЇ

#Аналітика
📍 ТРАНСКОРДОННА ПЕРЕДАЧА ДАНИХ ДО УКРАЇНИ
📍 ЧИ МОЖЕ РЕКЛАМА ДЛЯ ДІТЕЙ БУТИ СПРАВЕДЛИВОЮ?
📍 GOOGLE ANALYTICS: КОРТИТЬ І СТРАШИТЬ

#А_як_у_нас?
📍 ЯК ЗАХИСТИТИ ПЕРСОНАЛЬНІ ДАНІ? РЕКОМЕНДАЦІЇ ОМБУДСМЕНА

#Інформаційна_безпека
📍 ПСЕВДОНІМІЗАЦІЯ: ЩО ХОВАЄТЬСЯ ЗА ДОВГИМ СЛОВОМ?

#Персональне_чтиво
📍 PRIVACY IS POWER. WHY AND HOW YOU SHOULD TAKE BACK CONTROL OF YOUR DATA: ОГЛЯД КНИГИ

Дякуємо, що ви з нами!
Всі разом продовжуємо працювати на Перемогу!💙💛

🇺🇦 Все буде Україна!
#ДайджестМісяця

🔆 ДАЙДЖЕСТ ЛИПНЯ

Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.

1️⃣ Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.

2️⃣ Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.

3️⃣ Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.

🏆 РЕЙТИНГ ДОПИСІВ ЛИПНЯ

#Санкції
📍ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
📍ЧИ У МОДІ TOMs?
📍В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
📍€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ

#Аналітика
📍ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
📍ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
📍ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
📍
ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!

#Інформаційна_безпека
📍ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
📍АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?

#Новини_тижня
📍НОВИНИ ТИЖНЯ [11.07 — 17.07]
📍НОВИНИ ТИЖНЯ [18.07 — 24.07]

Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу!
💙💛
#Санкції

💶 ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ

Профілювання користувача використовується як основа для створення та подальшого показу персоналізованої реклами. Більшість користувачів навіть не підозрюють про гігабайти даних, які компанії збирають про них та їхню цифрову активність.

Відповідно до GDPR, правовою підставою обробки даних для профілювання має бути явна згода суб'єкта, тобто користувача. Але компанії продовжують нехтувати цією нормою заради жаданого прибутку від реклами, чим накликають на себе не тільки гнів регуляторів, але й великі штрафи.

Що сталося?

Німецький банк Hannoversche Volksbank теж марив новими можливостями, які надасть персоналізована реклама.

Він аналізував та оцінював дані поточних та колишніх клієнтів без їхньої згоди: обсяг покупок через застосунки, частоту використання принтеру для друку виписок, загальну суму переказів у онлайн-банкінгу порівняно зі здійсненням операцій у відділеннях тощо.

Додатково було залучено ще стороннього постачальника послуг. Крім того, результати аналізу порівнювалися з даними кредитної агенції та збагачувалися на їх основі.

Мета – виявити клієнтів, які є прихильниками електронного зв'язку, та звертатися до них електронними каналами в договірних або рекламних цілях. Більшості клієнтів інформація про обробку була надіслана заздалегідь разом з іншими документами. Однак це не замінило необхідної згоди.

Що було порушено?

Банк посилався на легітимний інтерес відповідно до статті 6(1)(f) GDPR. Однак ця правова підстава не дозволяє здійснювати профілювання в рекламних цілях шляхом оцінки великих масивів даних. Проведена банком оцінка балансу інтересів не відповідає вимогам. Обробка даних була незаконною.

Який штраф?

Державна уповноважена із захисту даних (LfD) Нижньої Саксонії оштрафувала Hannoversche Volksbank на €900,000 та змусила їхніх маркетологів спуститися з небес на землю.

При призначенні штрафу було взято до уваги, що результати оцінок не були використані. Крім того, компанія виявила готовність до співпраці.

🏆 ВИСНОВКИ

Разом з регулятором нагадуємо про баланс інтересів та розумні очікування суб'єктів.

Справді, звернення до (потенційних) клієнтів із рекламою відповідає інтересам контролера. Однак цей інтерес є менш важливим. У суб'єктів даних повинна бути можливість заперечення (яку не потрібно обґрунтовувати). Інтереси суб'єктів превалюють.

При зважуванні інтересів потрібно брати до уваги також розумні очікування клієнтів. Тому в таких випадках контролери даних не можуть посилатися на баланс інтересів і натомість мають отримати згоду.

Оскільки дані з різних сфер життя можна зв'язати між собою, залучення зовнішніх агентств дозволяє створювати більш точні профілі. Клієнти не можуть очікувати такого, тому для залучення також необхідно отримати згоду.

🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹
Пресреліз
#Дайджест_місяця

🔆 ДАЙДЖЕСТ СЕРПНЯ

На вулиці стало прохолодніше, листя жовтіє, а значить, що вже настала осінь. Але ми так і не підбили підсумки серпня, тому робимо це на п'ятий день вересня. Останній місяць літа видався досить активним для команди Прайвасі Хаб, адже ми готуємся до реалізації нашого проєкту “Академія Приватності”, яка відбудеться вже у жовтні.

Останнім часом у чаті збільшилися кількість питаннь щодо нашої книги GDPR: посібник з виживання”. Принагідно доповідаємо, що перший тираж майже повністю закінчився. Тому, якщо у новому навчальному році ви хотіли би поглибити свої знання із Загального Регламенту, то “Посібник з виживання” — це гарна можливість це зробити. Ваші питання щодо книги можете адресувати @Daquezee.

🏆 РЕЙТИНГ ДОПИСІВ СЕРПНЯ

#Санкції
📍€1,1 МЛН ЗА ТЕСТ-ДРАЙВ
📍ЩЕ НЕ ЗАБУЛИ ПРО COVID?
📍ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR
📍ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ

#Новини_тижня
📍НОВИНИ ТИЖНЯ [25.07 — 31.07]
📍НОВИНИ ТИЖНЯ [01.08 — 7.08]
📍НОВИНИ ТИЖНЯ [08.08 — 14.08]
📍НОВИНИ ТИЖНЯ [15.08 — 21.08]
📍НОВИНИ ТИЖНЯ [22.08 — 28.08]

#Аналітика
📍ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
📍ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ
📍НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?
📍ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА

#Інформаційна_безпека
📍ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
📍АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ
📍АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ

Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Санкції


💶 ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS

Компанії та установи створюють безпекові політики для співробітників, забороняють їм працювати на особистих пристроях, забезпечують корпоративними гаджетами для роботи, встановлюють обмеження MDM. Але всі ці заходи не допоможуть, якщо співробітник ігнорує, а компанія – не стежить за безпосереднім дотриманням вимог. Наочним прикладом є нещодавній штраф данському муніципалітету Лолланн.

Що відбулося?

У грудні 2020 року Данський регулятор дізнався з повідомлення муніципалітету Лолланн, що у співробітника муніципалітету було викрадено робочий телефон. Телефон використовувався для доступу до робочої поштової скриньки співробітника, в якій містилася інформація про імена кількох громадян, номери соціального страхування, відомості про стан здоров'я та зловживання.

Телефон не був захищений паролем, оскільки ця функція була відключена. Таким чином, доступ до інформації, що зберігається на телефоні, було отримано. Муніципалітет зазначив, що протягом кількох років співробітники могли відключити обов'язкові паролі на телефонах та планшетах, щоб користуватися робочими гаджетами без введення паролю.

Яка думка регулятора?

Оскільки муніципалітети обробляють великі обсяги персональних даних громадян, вони несуть відповідальність за належне поводження з цими даними. Мобільні пристрої іноді крадуть, зламують або втрачають. Відповідно, регулятор був передбачувано категоричним: “Якщо сторонні особи можуть легко отримати доступ до інформації на пристроях, то муніципалітети не справляються з цією відповідальністю”.

Регулятор наголосив, що контролер даних повинен виходити з того, що не всі співробітники постійно дотримуються внутрішніх інструкцій, згідно з якими мобільні пристрої завжди повинні бути захищені паролем. Отже, ефективний захист буде залежати від того, чи такий пароль можна обійти, наприклад, завдяки тому, що користувач здатен відключити пароль.

Крім того, регулятор вважає, що викрадені мобільні пристрої зараз стали ретельніше перевірятися на наявність персональних даних, таких як дані кредитних карток і номери соціального страхування, до того, як вони будуть утилізовані, наприклад, шляхом перепродажу. А це значно підвищує ризики.

Що було порушено?

Стаття 32 GDPR, в якій зазначено, що контролер і процесор повинні вжити необхідних технічних і організаційних заходів для гарантування рівня безпеки відповідно до ризику.

Обробка персональних даних муніципалітетом Лолланн не відповідала зазначеному правилу.

Муніципалітет повинен був захистити свої мобільні пристрої паролем, який співробітники не могли б деактивувати самостійно.

Який штраф?

Муніципалітет Лолланн був оштрафований на 50 000 датських крон (€6700).

Надаючи відповідну рекомендацію поліції, регулятор прийняв до уваги той факт, що це – державний орган, який загалом несе особливу відповідальність за захист даних громадян. Муніципалітет Лолланн обробляє великі обсяги даних, зокрема чутливих, і , на думку регулятора, має місце невиконання технічних заходів.

Муніципалітет негайно вжив заходів щодо виправлення ситуації у вигляді нових запобіжних заходів та змін у технічному оснащенні телефонів, що надаються співробітникам.

🏆 ВИСНОВКИ

Не нехтуйте технічними та організаційними заходами: вони мають бути не просто красиво написані у внутрішніх політиках та угодах про обробку персональних даних, але й втілені в життя. Необхідно проводити тренінги для співробітників, а також роз'яснювальну роботу щодо важливості захисту персональних даних. Це потрібно для того, щоб паролі заважали зловмисникам, а не самим співробітникам.

🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Пресреліз рішення
#Санкції


💶 ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН

Ірландський регулятор DPC оштрафував компанію Meta за порушення GDPR за результатами дворічного розслідування щодо обробки даних дітей соціальною мережею Instagram. Це найбільший штраф, накладений ірландським регулятором, та другий за величиною за історію GDPR.

📍Контекст

Через негативний вплив вдобайок на психічне здоров'я неповнолітніх, Instagram приховав відображення кількості вподобайок під дописами від користувачів соцмережі. Ця зміна підштовхнула неповнолітніх до створення бізнес-акаунтів, щоб скористатися додатковими функціями, наприклад, статистикою щодо вподобайок.

У чому полягало правопорушення?

Розслідування щодо Instagram було зосереджено на двох питаннях:

🔹Публікація даних. Підліткам у віці 13-17 років було дозволено вести "бізнес-акаунти" в Instagram, що призвело до публікації номерів телефонів та адрес електронної пошти користувачів.

🔹Публічність. Всі акаунти, включаючи акаунти дітей, за замовчуванням були встановлені як загальнодоступні, якщо не змінити налаштування приватності.

Які правові підстави були використані помилково?

🔻Виконання договору. Обробка не була необхідна для виконання договору, а публікація контактних даних – очікуваною. Порушено принципу пропорційності. Була технічна можливість під час реєстрації відрізнити дітей-користувачів на основі інформації про вік і уникнути публікації їхніх контактних даних.

🔻Легітимний інтерес. Відсутність збалансованості. Діти не були попереджені про те, що їх контактні дані стануть публічними. Інформація про обробку не була достатньо прозорою та зрозумілою. Також не були застосовані достатні та адекватні додаткові гарантії.

🔻Публічність за замовчуванням. Порушено принципи мінімізації та приватності за замовчуванням: дані користувачів-дітей, які бажали мати приватний акаунт в Instagram, не обмежувалися лише тим, що було необхідним для такої мети обробки. До того ж, Meta не провела DPIA.

Як визначили штраф?

У грудні 2021 року DPC подав проєкт рішення до всіх європейських зацікавлених наглядових органів. Оскільки деякі держави-члени висловили заперечення, DPC передав справу на розгляд EDPB. Після обов'язкового до виконання рішення EDPB від 28.07.2022 року, DPC оголосив своє остаточне рішення щодо Meta, наклавши штраф у розмірі €405 млн та низку коригувальних заходів:

🔹надавати користувачам-дітям інформацію у чіткій та прозорій формі;
🔹повідомити всіх користувачів, які перейшли на бізнес-акаунт в період з 25.05.2018 по 04.09.2019 та були дітьми, про те, що компанія скасувала вимогу про публікацію контактної інформації;
🔹провести DPIA;
🔹переглянути підстави обробки даних.

За заявою Meta, компанія повною мірою співпрацювала з DPC під час розслідування, але не погоджується із сумою штрафу. Рік тому Meta оновила налаштування: для всіх, кому не виповнилося 18 років, автоматично встановлюється приватний статус облікового запису, тому тільки люди, яких вони знають, можуть бачити те, що вони публікують, і дорослі не можуть надсилати повідомлення підліткам, які не “стежать” за ними.

🏆 ВИСНОВКИ

Штраф є знаковим не лише через кількість нулів, але й тому, що він показує, наскільки чутливим стає питання захисту неповнолітніх. У роботі з даними дітей необхідно бути ще більш обережними та забезпечувати найсуворіші налаштування приватності за замовчуванням.

38 стаття преамбули GDPR підкреслює, що у випадках, коли дані дітей використовуються для створення профілів користувачів, повинні застосовуватися спеціальні засоби захисту, оскільки діти можуть бути менш обізнані про ризики, наслідки та гарантії, а також про свої права щодо обробки їхніх даних.

Наразі ірландський регулятор готує щонайменше 6 інших розслідувань щодо сервісів, що належать Meta, а також розслідує обробку даних дітей TikTok. Тому очікуйте нових дописів у рубриці #Санкції.

🇺🇦 Все буде Україна!

_____
ℹ️ Джерела:
🔹Рішення регулятора
#Дайджест_місяця

🔆 ДАЙДЖЕСТ ВЕРЕСНЯ

Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".

Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:

📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.

🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ

#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН

#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]

#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ

#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД

#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ

#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ

Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Санкції

💶 ШТРАФ ЗА ВІГІЛАНТИЗМ

Є такі люди, які від природи мають загострене почуття справедливості. У деяких випадках це гарна риса, а у деяких — не дуже.

До чого це ми? А до того, що герой цього допису як раз і є тією людиною.
Його історія завершилася штрафом у 600 євро.

Що трапилося?

У дитячому садочку працювала викладачка, яка публічно заявляла, що вона на 50% особа з інвалідністю. Наш вігілант дізнався, що це неправда і надіслав електронного листа до органу публічної влади. Серед іншого, у листі був судовий протокол у якому були дані про здоров'я викладачки. Невідомо, як влада відреагувала на інформацію, що викладачка каже неправду, але відомо, що відправнику листа було виписано штраф у 600 євро за незаконну обробку персональних даних.

Що було порушено?

Австрійський регулятор констатував порушення статті 5.1.а, а також статті 9.1, 9.2. Тобто обробка чутливих персональних даних без згоди.

🏆 ВИСНОВКИ

Відповідно до статті 9 Регламенту, не потрібно отримувати згоду на обробку чутливих даних, які були публічно розголошені суб'єктом персональних даних.

Схоже, саме на цей виняток і опирався герой допису, коли відправлял емейл до органів публічної влади. Але він упустив момент, що дані, які стосуються здоров'я, навіть якщо людина повністю здорова, це все одно чутлива інформація, що потребує згоди на її обробку.

Таким чином, аби уникнути штрафу, йому слідувало б закликати органи провести власне розслідування і встановити факти, а не займатися вігілантизмом.

🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора (німецькою)
#Санкції

💶 ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH

Впевнені, кожен задумувався: Що буде після повідомлення регулятора про інцидент з даними відповідно до ст. 33 GDPR? Чи варто робити повідомлення? Чи прийде регулятор сварити, чи проігнорує, чи раптом допоможе?

Власне, нижче описуємо для вас один із реальних сценаріїв.

Що відбулося?

Румунський телеком-оператор Curtea Veche Publishing SRL повідомив національного регулятора про цілих 2 інциденти, через які виникла серйозна загроза персональним даним:

🔹розміщення на публічному форумі бази даних клієнтів оператора з 2019 по 2021 рік (10379 суб’єктів даних);

🔹DDoS-атака, що призвела до несанкціонованого доступу та втрати цілісності та доступу до певних даних працівників (100 суб’єктів даних).

Що зробив регулятор?

Звичайно, регулятор зацікавився, чому сталися цілих 2 серйозних інциденти, ще й в телеком-оператора, і прийшов з розслідуванням. За його результатами, було виявлено, що інциденти фактично сталися через недбалість контролера. Телеком-оператор невірно оцінив ризики та не вжив достатніх технічних та організаційних заходів захисту даних.

Що було порушено?

Було порушено окремі обов’язки щодо захисту персональних даних, передбачені ст. 32 GDPR:

🔹 не було забезпечено конфіденційність, цілісність, доступність і стійкість систем та процесів обробки даних (п. 1(b));

🔹 не було забезпечено можливість відновлення доступу до персональних даних у разі інциденту (п. 1(c));

🔹 оператор не врахував при оцінці рівня та забезпеченні безпеки ризики випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних (п. 2).

Який штраф?

Штраф склав приблизно 5000 євро. При визначенні розміру регулятор врахував, що оператор повідомив про інциденти та сприяв розслідуванню.

Додатково, оператор зобов’язаний оцінити наново рівень та ризики безпеки даних та оновити технічні та організаційні заходи. Регулятор пізніше перевірить оновлення.

🏆 ВИСНОВКИ

Якщо ви повідомите про інцидент з даними регулятора, він може прийти до вас з розслідуванням.

Але чи погано це? Ми думаємо, що ні. Як бачимо, регулятор враховує, що компанія належним чином виконує свої обов’язки щодо повідомлення про інцидент та добровільно співпрацює в розслідуванні.

Неповідомлення ж рахувалось би як ще одне порушення.

🇺🇦 Все буде Україна!

______________
ℹ️ Джерела:
🔹 Новина Національного регулятора Румунії
#Санкції

💶 “З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ

Інколи компанії знають більше про нас, ніж ми самі. Профілювання клієнтів дозволяє зробити багато висновків про спосіб життя, звички, уподобання, ба навіть про стан здоров’я. Так за допомогою простого аналізу покупок людини, реально навіть поставити діагноз. А компанії й раді порушувати право на приватність клієнтів, аби підняти власні продажі.

Що сталося?

Компанія Easylife Limited є роздрібним продавцем, який продає товари для дому, а також послуги та продукти. Розслідування британського регулятора ICO виявило, що коли клієнт купував товар з каталогу "Клуб здоров'я" Easylife, компанія робила припущення про стан його здоров'я, а потім продавала йому товари, пов'язані зі здоров'ям, без його згоди. Так компанія створила профілі 145 400 осіб на основі певних "тригерних продуктів". Наприклад, якщо людина купила відкривачку для банок або піднос для обіду, Easylife використовує ці дані про покупку, щоб припустити, що у неї артрит, а потім запропонувати їй суглобові пластирі з глюкозаміном.

Які були порушення?

🔸 Використання історії покупок для таргетування клієнтів

Компанія Easylife не повідомила своїх клієнтів про те, що таке профілювання буде мати місце. Це була "незаконна і невидима" обробка спеціальних категорій даних в порушення статті 5(1)(а) GDPR. ICO також процитував серпневе рішення Суду справедливості ЄС, що спеціальною категорією також є “дані, що опосередковано розкривають дані про стан здоров’я після інтелектуальної операції, що включає дедукцію та перехресне посилання”.

Упущення компанії Easylife отримати чітку згоду суб’єктів даних на обробку їхніх чутливих даних означало, що вона не мала правових підстав для такої обробки. Оцінка законного інтересу, на яку компанія посилалася, не відображала профілювання клієнтів.

🔸 Небажані прямі маркетингові дзвінки

Easylife також здійснила понад 1,3 млн прямих маркетингових дзвінків клієнтам, які зареєструвалися в TPS (Службі телефонних преференцій), що суперечить правилу 21 PECR. Положення 21 PECR забороняє особі здійснювати небажані прямі маркетингові дзвінки будь-кому, хто зареєстрував свої номери в TPS, якщо тільки вони не повідомили про те, що вони бажають отримувати такі дзвінки.

ICO вважає порушення Easylife "недбалістю найвищого рівня", оскільки компанія знала або повинна була знати про свої зобов'язання за PECR і не вжила розумних заходів для запобігання цьому порушенню.

Який штраф?

ICO оштрафував Easylife на £1,48 млн:

🔹£1,35 млн за використання персональних даних клієнтів для продажу продуктів, пов'язаних зі здоров'ям, без їхньої згоди

При визначенні штрафу ICO зазначив, що неможливо кількісно оцінити рівень завданої шкоди через "невидимий" характер обробки, але переслідування та націлювання на потенційно вразливих осіб, більшість з яких є людьми похилого віку з довготривалими захворюваннями, можуть бути широкомасштабними. Компанія Easylife не вжила заходів, таких як DPIA, які могли б запобігти порушенню. Також була врахована її погана репутацію щодо дотримання нормативних вимог.

🔹£130 000 за здійснення небажаних прямих маркетингових дзвінків

Обставини, які обтяжують: маркетинг компанії Easylife був "агресивним"; компанія не звернулася за консультацією до регулятора.

Обставини, які пом’якшують: значний штраф в рамках паралельного розслідування порушень GDPR; заходи щодо виправлення ситуації (перевірка TPS, призначення нового партнера з телемаркетингу та запровадження нової системи управління даними).

Easylife зазначила, що має намір оскаржити рішення ICO як щодо відповідальності, так і щодо розміру штрафних санкцій.

🏆 ВИСНОВКИ

Будь-яке виявлене порушення (навіть незначне) може спровокувати багатопланові розслідування. Так, у цій справі регулятор спочатку звернув увагу на порушення PECR, але подальше розслідування виявило порушення GDPR, що призвели до набагато більшого штрафу. Тому краще дотримуватися GDPR та уникнути уваги регулятора.

🇺🇦 Все буде Україна!

______________
ℹ️ Джерела:
🔹 Повідомлення на сайті ICO