🇺🇦 Слава Україні! На зв'язку Privacy HUB!
Під час війни особливо відчуваєш цінність свободи та демократії, важливість дотримання прав людини.
Війна висвітлює проблеми законодавства та жорстко змушує зрозуміти: плекання культури приватності в Україні необхідне насамперед для захисту власних громадян. Саме цим ми з вами обов'язково продовжимо займатися після нашої перемоги.
Ми вдячні за підтримку України та української прайвасі спільноти нашим партнерам та колегам:
🔹 IAPP — за публікацію опису українського прайвасі шляху, розмови з українськими експертами для висвітлення війни, а також подовження терміну дії сертифікатів IAPP;
🔹 Подкасту "Нечего скрывать" — за допомогу у донесенні правдивої інформації щодо російсько-української війни до білорусів та росіян. Послухати можна на Apple Podcasts;
🔹 EDPS — за поширення нашого допису щодо варіантів підтримки України, а в її обличчі — фундаментальних прав та свобод;
🔹 OneTrust — за надання можливості донести до світової прайвасі спільноти жахи війни. Подивитись можна на сторінці в LinkedIn;
та кожному з вас, бо сила нашого народу та перемога України в єдності та спільній і завзятій щоденній праці. Коли кожен на своєму місці. Коли кожен максимально робить те, що вміє краще за все. Коли кожен – це Україна.
Члени команди Privacy HUB зі зброєю в руках захищають Україну, волонтерять, підтримують армію фінансово та інформаційно, допомагають напряму та через благодійні фонди.
Ми закликаємо вас допомагати словом та ділом разом з нами!
1️⃣ Відсьогодні Privacy HUB – це україномовний канал. На вас знову чекають актуальні публікації у сфері приватності та захисту даних!
2️⃣ Ми безкоштовно надаємо шаблони політики приватності та політики використання файлів cookies волонтерським організаціям, які допомагають Україні, щоб забезпечити їх відповідність законодавству України та GDPR. Запити приймаємо на board@privacyhub.today. Звертайтеся та поширюйте інформацію!
3️⃣ Ми продовжуємо битву проти кривавих грошей, кривавого бізнесу та кривавого прайвасі під слоганом “No Blood in Data Privacy”. Ті, хто зневажає права людини, не можуть займатися захистом права на приватність. А ті компанії, що порушують це право та прислуговують злочинній системі, не мають працювати в цивілізованому світі.
❓Як стати Privacy Berserkers?
Якщо ви бажаєте долучитися до кампанії, пишіть в приватні повідомлення Дмитру, або на board@privacyhub.today. Результатами роботи ми поділимося в наступних публікаціях!
❓Як ще допомогти з ЗПД?
Боротьба продовжується на всіх фронтах. Не можна зупинятися! Підтримуйте волонтерські організації, у тому числі, допомогою з юридичними документами та захистом персональних даних. Скаржтеся на підозрілі застосунки. Розповідайте, як убезпечити свої дані.
🇺🇦 Все буде Україна!
Під час війни особливо відчуваєш цінність свободи та демократії, важливість дотримання прав людини.
Війна висвітлює проблеми законодавства та жорстко змушує зрозуміти: плекання культури приватності в Україні необхідне насамперед для захисту власних громадян. Саме цим ми з вами обов'язково продовжимо займатися після нашої перемоги.
Ми вдячні за підтримку України та української прайвасі спільноти нашим партнерам та колегам:
🔹 IAPP — за публікацію опису українського прайвасі шляху, розмови з українськими експертами для висвітлення війни, а також подовження терміну дії сертифікатів IAPP;
🔹 Подкасту "Нечего скрывать" — за допомогу у донесенні правдивої інформації щодо російсько-української війни до білорусів та росіян. Послухати можна на Apple Podcasts;
🔹 EDPS — за поширення нашого допису щодо варіантів підтримки України, а в її обличчі — фундаментальних прав та свобод;
🔹 OneTrust — за надання можливості донести до світової прайвасі спільноти жахи війни. Подивитись можна на сторінці в LinkedIn;
та кожному з вас, бо сила нашого народу та перемога України в єдності та спільній і завзятій щоденній праці. Коли кожен на своєму місці. Коли кожен максимально робить те, що вміє краще за все. Коли кожен – це Україна.
Члени команди Privacy HUB зі зброєю в руках захищають Україну, волонтерять, підтримують армію фінансово та інформаційно, допомагають напряму та через благодійні фонди.
Ми закликаємо вас допомагати словом та ділом разом з нами!
1️⃣ Відсьогодні Privacy HUB – це україномовний канал. На вас знову чекають актуальні публікації у сфері приватності та захисту даних!
2️⃣ Ми безкоштовно надаємо шаблони політики приватності та політики використання файлів cookies волонтерським організаціям, які допомагають Україні, щоб забезпечити їх відповідність законодавству України та GDPR. Запити приймаємо на board@privacyhub.today. Звертайтеся та поширюйте інформацію!
3️⃣ Ми продовжуємо битву проти кривавих грошей, кривавого бізнесу та кривавого прайвасі під слоганом “No Blood in Data Privacy”. Ті, хто зневажає права людини, не можуть займатися захистом права на приватність. А ті компанії, що порушують це право та прислуговують злочинній системі, не мають працювати в цивілізованому світі.
❓Як стати Privacy Berserkers?
Якщо ви бажаєте долучитися до кампанії, пишіть в приватні повідомлення Дмитру, або на board@privacyhub.today. Результатами роботи ми поділимося в наступних публікаціях!
❓Як ще допомогти з ЗПД?
Боротьба продовжується на всіх фронтах. Не можна зупинятися! Підтримуйте волонтерські організації, у тому числі, допомогою з юридичними документами та захистом персональних даних. Скаржтеся на підозрілі застосунки. Розповідайте, як убезпечити свої дані.
🇺🇦 Все буде Україна!
⚡ АНОНС
Запрошуємо на івент «Персональні дані під час війни: захист, зміни, міфи».
Допоможемо розвінчати міфи та страхи користувачів цифрових сервісів щодо долі їхніх персональних даних під час війни.
⏰ Дата
16.06.2022 о 17:00 (онлайн)
🎤 Учасники
- Kyiv Legal Hackers,
- Privacy HUB,
- Офіс Уповноваженого ВРУ з прав людини
- експерти із захисту персональних даних
Адженда:
❓Що змінилося у сфері захисту персональних даних у зв‘язку з воєнним станом?
❓Чи може держава використовувати свої сервіси для «слідкування»?
❓Чи можуть ІТ-проєкти передавати самостійно або на запит держави дані користувачів?
❓Тотальне слідкування за населенням — правда чи міф?
👉 Реєструйтеся
Участь безкоштовна - тут
Запрошуємо на івент «Персональні дані під час війни: захист, зміни, міфи».
Допоможемо розвінчати міфи та страхи користувачів цифрових сервісів щодо долі їхніх персональних даних під час війни.
⏰ Дата
16.06.2022 о 17:00 (онлайн)
🎤 Учасники
- Kyiv Legal Hackers,
- Privacy HUB,
- Офіс Уповноваженого ВРУ з прав людини
- експерти із захисту персональних даних
Адженда:
❓Що змінилося у сфері захисту персональних даних у зв‘язку з воєнним станом?
❓Чи може держава використовувати свої сервіси для «слідкування»?
❓Чи можуть ІТ-проєкти передавати самостійно або на запит держави дані користувачів?
❓Тотальне слідкування за населенням — правда чи міф?
👉 Реєструйтеся
Участь безкоштовна - тут
#ДайджестМісяця
🔆 ДАЙДЖЕСТ ЧЕРВНЯ
Неочікуваний допис у четвер, але сьогодні останній день першого місяця літа. Це означає дві речі: перше – ми стали на день ближче до Перемоги і друге – настав час підбити підсумки червня.
1️⃣ Privacy HUB долучився до проведення курсу від SET University для молодих спеціалістів з кібербезпеки. У рамках цього курсу, ми розповідали майбутньому цвіту інформаційної безпеки нашої держави про ази GDPR і як Регламент корелює з інфобезом. Намагалися це робити, (майже) не використовуючи юридичний жаргон. Сподіваємося, що студентам це було і корисно, і цікаво.
2️⃣ Дискутували на заході “Персональні дані під час війни: захист, зміни, міфи” від Kyiv Legal Hackers. Privacy HUB підняв тему щодо коректності використання технологій на кшталт Clearview AI в умовах війни. Як не дивно, доповідачі від Хабу розійшлися у поглядах. Подивитися нашу дискусію можна у записі (частина про Clearview AI починається приблизно з 1:49:00).
3️⃣ Відвідали робочу зустріч у Офісі Генерального прокурора України. Серед іншого, на зустрічі обговорювали питання захисту персональних даних, а також можливості прирівняння окремих кіберзлочинів до воєнних злочинів. В умовах війни цінність права на приватність не може бути переоціненою, адже зараз порушення права на приватність може призвести до порушення права на життя. Тому зараз саме час формувати культуру приватності в Україні.
4️⃣ Долучилися до створення дописів на тему “Право на приватність та захист персональних даних в умовах воєнного стану” у рамках проєкту myprivacy.org.ua. Запрошуємо вас ознайомитися з цими матеріалами, адже обізнаність у темі є запорукою створення тієї самої культури приватності.
🏆 РЕЙТИНГ ДОПИСІВ ЧЕРВНЯ
#Санкції
📍 ШТРАФ МІНІСТЕРСТВУ ОБОРОНИ ІТАЛІЇ
📍 GOOGLE ВСТРЯГ НА €10 МЛН ЗА РІШЕННЯМ ІСПАНСЬКОГО РЕГУЛЯТОРА
📍 ФАЙЛИ COOKIE НА САЙТАХ АБО БЕЗГЛЮТЕНОВА ДІЄТА ДЛЯ ПРЕСИ
📍 “ОЧІ ШИНІҐАМІ” ПІД ЗАБОРОНОЮ У НОРВЕГІЇ
#Аналітика
📍 ТРАНСКОРДОННА ПЕРЕДАЧА ДАНИХ ДО УКРАЇНИ
📍 ЧИ МОЖЕ РЕКЛАМА ДЛЯ ДІТЕЙ БУТИ СПРАВЕДЛИВОЮ?
📍 GOOGLE ANALYTICS: КОРТИТЬ І СТРАШИТЬ
#А_як_у_нас?
📍 ЯК ЗАХИСТИТИ ПЕРСОНАЛЬНІ ДАНІ? РЕКОМЕНДАЦІЇ ОМБУДСМЕНА
#Інформаційна_безпека
📍 ПСЕВДОНІМІЗАЦІЯ: ЩО ХОВАЄТЬСЯ ЗА ДОВГИМ СЛОВОМ?
#Персональне_чтиво
📍 PRIVACY IS POWER. WHY AND HOW YOU SHOULD TAKE BACK CONTROL OF YOUR DATA: ОГЛЯД КНИГИ
Дякуємо, що ви з нами!
Всі разом продовжуємо працювати на Перемогу!💙💛
🇺🇦 Все буде Україна!
🔆 ДАЙДЖЕСТ ЧЕРВНЯ
Неочікуваний допис у четвер, але сьогодні останній день першого місяця літа. Це означає дві речі: перше – ми стали на день ближче до Перемоги і друге – настав час підбити підсумки червня.
1️⃣ Privacy HUB долучився до проведення курсу від SET University для молодих спеціалістів з кібербезпеки. У рамках цього курсу, ми розповідали майбутньому цвіту інформаційної безпеки нашої держави про ази GDPR і як Регламент корелює з інфобезом. Намагалися це робити, (майже) не використовуючи юридичний жаргон. Сподіваємося, що студентам це було і корисно, і цікаво.
2️⃣ Дискутували на заході “Персональні дані під час війни: захист, зміни, міфи” від Kyiv Legal Hackers. Privacy HUB підняв тему щодо коректності використання технологій на кшталт Clearview AI в умовах війни. Як не дивно, доповідачі від Хабу розійшлися у поглядах. Подивитися нашу дискусію можна у записі (частина про Clearview AI починається приблизно з 1:49:00).
3️⃣ Відвідали робочу зустріч у Офісі Генерального прокурора України. Серед іншого, на зустрічі обговорювали питання захисту персональних даних, а також можливості прирівняння окремих кіберзлочинів до воєнних злочинів. В умовах війни цінність права на приватність не може бути переоціненою, адже зараз порушення права на приватність може призвести до порушення права на життя. Тому зараз саме час формувати культуру приватності в Україні.
4️⃣ Долучилися до створення дописів на тему “Право на приватність та захист персональних даних в умовах воєнного стану” у рамках проєкту myprivacy.org.ua. Запрошуємо вас ознайомитися з цими матеріалами, адже обізнаність у темі є запорукою створення тієї самої культури приватності.
🏆 РЕЙТИНГ ДОПИСІВ ЧЕРВНЯ
#Санкції
📍 ШТРАФ МІНІСТЕРСТВУ ОБОРОНИ ІТАЛІЇ
📍 GOOGLE ВСТРЯГ НА €10 МЛН ЗА РІШЕННЯМ ІСПАНСЬКОГО РЕГУЛЯТОРА
📍 ФАЙЛИ COOKIE НА САЙТАХ АБО БЕЗГЛЮТЕНОВА ДІЄТА ДЛЯ ПРЕСИ
📍 “ОЧІ ШИНІҐАМІ” ПІД ЗАБОРОНОЮ У НОРВЕГІЇ
#Аналітика
📍 ТРАНСКОРДОННА ПЕРЕДАЧА ДАНИХ ДО УКРАЇНИ
📍 ЧИ МОЖЕ РЕКЛАМА ДЛЯ ДІТЕЙ БУТИ СПРАВЕДЛИВОЮ?
📍 GOOGLE ANALYTICS: КОРТИТЬ І СТРАШИТЬ
#А_як_у_нас?
📍 ЯК ЗАХИСТИТИ ПЕРСОНАЛЬНІ ДАНІ? РЕКОМЕНДАЦІЇ ОМБУДСМЕНА
#Інформаційна_безпека
📍 ПСЕВДОНІМІЗАЦІЯ: ЩО ХОВАЄТЬСЯ ЗА ДОВГИМ СЛОВОМ?
#Персональне_чтиво
📍 PRIVACY IS POWER. WHY AND HOW YOU SHOULD TAKE BACK CONTROL OF YOUR DATA: ОГЛЯД КНИГИ
Дякуємо, що ви з нами!
Всі разом продовжуємо працювати на Перемогу!💙💛
🇺🇦 Все буде Україна!
⚡️ АНОНС
Запрошуємо на івент «PRIVACY RULES: як вони змінюються з війною, отриманням статусу кандидата в ЄС та GDPR для українських проєктів-біженців».
⏰ Дата та формат
26.07.2022 о 16:00 CET (онлайн)
англійською мовою
🎤 Експерти
▫️Дмитро Корчинський (CIPP/E, CIPM, FIP, старший спеціаліст із захисту даних у ПриватБанку)
▫️Катерина Міщенко (CIPP/E, керівник практики захисту даних у Avitar)
▫️Місті Петерсон (CIPP/США, радник практики приватності та безпеки даних King & Spalding)
Адженда
❓Як GDPR та/або національні правила країн ЄС впливають на українські та інші Pro Bono проєкти?
❓Яка роль приватності під час війни, ціна розголошення та передачі персональних даних?
❓Як ми можемо захистити свої персональні дані відповідно до законодавства ЄС, США та України?
❓Чи можна цифрові злочини, як-от злом бази даних або DoS-атаки, вважати воєнними злочинами?
👉 Реєструйтеся
Участь безкоштовна — тут
Захід відбувається в рамках проєкту MyPrivacy
Запрошуємо на івент «PRIVACY RULES: як вони змінюються з війною, отриманням статусу кандидата в ЄС та GDPR для українських проєктів-біженців».
⏰ Дата та формат
26.07.2022 о 16:00 CET (онлайн)
англійською мовою
🎤 Експерти
▫️Дмитро Корчинський (CIPP/E, CIPM, FIP, старший спеціаліст із захисту даних у ПриватБанку)
▫️Катерина Міщенко (CIPP/E, керівник практики захисту даних у Avitar)
▫️Місті Петерсон (CIPP/США, радник практики приватності та безпеки даних King & Spalding)
Адженда
❓Як GDPR та/або національні правила країн ЄС впливають на українські та інші Pro Bono проєкти?
❓Яка роль приватності під час війни, ціна розголошення та передачі персональних даних?
❓Як ми можемо захистити свої персональні дані відповідно до законодавства ЄС, США та України?
❓Чи можна цифрові злочини, як-от злом бази даних або DoS-атаки, вважати воєнними злочинами?
👉 Реєструйтеся
Участь безкоштовна — тут
Захід відбувається в рамках проєкту MyPrivacy
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [11.07 — 17.07]
Чи знаєте ви, що за тиждень у світі з'являються десятки рішень та роз'яснень у сфері приватності та захисту персональних даних? Ми встигаємо опублікувати лише три пости на тиждень і, на жаль, можемо пропустити якусь новину.
Відтепер раз на тиждень ви будете в курсі основних новин.
① Британія представила 192-сторінковий законопроект про захист даних і цифрової інформації та запропонувала регулювання штучного інтелекту.
➁ Європейська комісія надіслала висновок Словенії, вимагаючи адаптації їхної системи захисту даних до GDPR через неврегулювання так званих коректуючих повноважень регулятора. Словенія має два місяці на відповідь, або справа може піти до Суду ЄС.
➂ Італійський орган з питань конкуренції розпочав розслідування ймовірних антиконкурентних порушень, пов’язаних із практикою Google щодо переносимості даних (portability).
➃ Європейський інспектор із захисту даних (EDPS) висловив занепокоєння щодо реформ захисту даних у Британії, які можуть вплинути на оцінку рішення про адекватність.
➄ Європейська рада із захисту даних (EDPB) оприлюднила набір критеріїв для визначення того, чи вимагають транскордонні справи тіснішої співпраці між регуляторами.
➅ EDPB оприлюднила висновок щодо передачі даних в росію. Висновок говорить про погіршення ситуації із захистом даних в росії, а відповідно й необхідність додаткових заходів захисту при передачі даних в росію.
➆ Управління із захисту даних Франції (CNIL) опублікувало висновки з членами EDPB щодо Акту про управління даними та Акту про дані.
➇ EDPB та EDPS оприлюднили висновок щодо пропозиції Європейського простору даних у сфері охорони здоров’я.
➈ Регулятор Греції оштрафував Clearview AI на 20 мільйонів євро за порушення GDPR і заборонив системі з розпізнавання облич збирати та обробляти персональні дані греків.
➉ TikTok отримав проблеми від рішення «персоналізувати» рекламу на основі легітимних інтересів.
Після розмови з наглядовим офісом регулятора Ірландії TikTok призупинив оновлення повідомлення про приватність в Європі, згідно з яким TikTok більше не буде запитувати згоду користувачів на отримання цільової реклами. Італійський же регулятор виніс попередження TikTok через обробку персональних даних для цільової реклами. Наостанок регулятор Іспанії оголосив про початок попереднього розслідування змін TikTok до повідомлення про приватність.
⑪ Іспанський регулятор оштрафував енергокомпанію на €60 000, яка надіслала договір суб’єкту даних за неправильною адресою, за порушення принципу точності.
⑫ Регулятор Фінляндії оштрафував видавця журналу на €85 000 за складну процедуру реалізації прав суб’єктів даних. Контролер вимагав від суб’єктів даних роздрукувати, заповнити, підписати та надіслати паперову форму для видалення своїх даних.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [11.07 — 17.07]
Чи знаєте ви, що за тиждень у світі з'являються десятки рішень та роз'яснень у сфері приватності та захисту персональних даних? Ми встигаємо опублікувати лише три пости на тиждень і, на жаль, можемо пропустити якусь новину.
Відтепер раз на тиждень ви будете в курсі основних новин.
① Британія представила 192-сторінковий законопроект про захист даних і цифрової інформації та запропонувала регулювання штучного інтелекту.
➁ Європейська комісія надіслала висновок Словенії, вимагаючи адаптації їхної системи захисту даних до GDPR через неврегулювання так званих коректуючих повноважень регулятора. Словенія має два місяці на відповідь, або справа може піти до Суду ЄС.
➂ Італійський орган з питань конкуренції розпочав розслідування ймовірних антиконкурентних порушень, пов’язаних із практикою Google щодо переносимості даних (portability).
➃ Європейський інспектор із захисту даних (EDPS) висловив занепокоєння щодо реформ захисту даних у Британії, які можуть вплинути на оцінку рішення про адекватність.
➄ Європейська рада із захисту даних (EDPB) оприлюднила набір критеріїв для визначення того, чи вимагають транскордонні справи тіснішої співпраці між регуляторами.
➅ EDPB оприлюднила висновок щодо передачі даних в росію. Висновок говорить про погіршення ситуації із захистом даних в росії, а відповідно й необхідність додаткових заходів захисту при передачі даних в росію.
➆ Управління із захисту даних Франції (CNIL) опублікувало висновки з членами EDPB щодо Акту про управління даними та Акту про дані.
➇ EDPB та EDPS оприлюднили висновок щодо пропозиції Європейського простору даних у сфері охорони здоров’я.
➈ Регулятор Греції оштрафував Clearview AI на 20 мільйонів євро за порушення GDPR і заборонив системі з розпізнавання облич збирати та обробляти персональні дані греків.
➉ TikTok отримав проблеми від рішення «персоналізувати» рекламу на основі легітимних інтересів.
Після розмови з наглядовим офісом регулятора Ірландії TikTok призупинив оновлення повідомлення про приватність в Європі, згідно з яким TikTok більше не буде запитувати згоду користувачів на отримання цільової реклами. Італійський же регулятор виніс попередження TikTok через обробку персональних даних для цільової реклами. Наостанок регулятор Іспанії оголосив про початок попереднього розслідування змін TikTok до повідомлення про приватність.
⑪ Іспанський регулятор оштрафував енергокомпанію на €60 000, яка надіслала договір суб’єкту даних за неправильною адресою, за порушення принципу точності.
⑫ Регулятор Фінляндії оштрафував видавця журналу на €85 000 за складну процедуру реалізації прав суб’єктів даних. Контролер вимагав від суб’єктів даних роздрукувати, заповнити, підписати та надіслати паперову форму для видалення своїх даних.
🇺🇦 Все буде Україна!
🇺🇦 ЗБІР КОШТІВ!
У мирні часи кофаундер Privacy HUB Влад Некрутенко писав би цікаві статті та дописи на теми приватності, захисту персональних даних.
Але в перші тижні повномасштабної війни Влад приєднався до сил територіальної оборони ЗСУ для захисту України від російських загарбників.
Зараз його підрозділу необхідні кошти для придбання комплекту цифрових радіоприймачів та акумуляторів для дронів.
Потрібно 7 радіостанцій (кожна радіостанція коштує ~500$), на загальну суму $3500 + батареї ~800$
Наша професійна спільнота добре розуміє важливість захищеного зв'язку.
Закликаємо вас допомогти!
Картка: 5375414124669374
Наближаємо перемогу разом!🇺🇦
У мирні часи кофаундер Privacy HUB Влад Некрутенко писав би цікаві статті та дописи на теми приватності, захисту персональних даних.
Але в перші тижні повномасштабної війни Влад приєднався до сил територіальної оборони ЗСУ для захисту України від російських загарбників.
Зараз його підрозділу необхідні кошти для придбання комплекту цифрових радіоприймачів та акумуляторів для дронів.
Потрібно 7 радіостанцій (кожна радіостанція коштує ~500$), на загальну суму $3500 + батареї ~800$
Наша професійна спільнота добре розуміє важливість захищеного зв'язку.
Закликаємо вас допомогти!
Картка: 5375414124669374
Наближаємо перемогу разом!🇺🇦
Privacy HUB
⚡️ АНОНС Запрошуємо на івент «PRIVACY RULES: як вони змінюються з війною, отриманням статусу кандидата в ЄС та GDPR для українських проєктів-біженців». ⏰ Дата та формат 26.07.2022 о 16:00 CET (онлайн) англійською мовою 🎤 Експерти ▫️Дмитро Корчинський…
🔴 Нагадуємо, що вже завтра о 16:00 CET (17:00 за київським часом) відбудеться онлайн івент «PRIVACY RULES: як вони змінюються з війною, отриманням статусу кандидата в ЄС та GDPR для українських проєктів-біженців».
👉 Реєструйтеся тут
👉 Реєструйтеся тут
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [18.07 — 24.07]
① Громадянин Німеччини подав позов проти Європейської Комісії, стверджуючи про порушення інституційного GDPR. Позивач стверджує, що Комісія незаконно передає дані до США всупереч рішенню Суду ЄС "Schrems II", а також стверджує про недостатню прозорість щодо практики обробки даних.
➁ Омбудсмен ЄС запросив Європейську комісію надати до 30 вересня додаткову інформацію в рамках свого розслідування щодо моніторингу застосування правил захисту даних в Ірландії, оскільки відповіді були далеко неповними.
➂ CNIL опублікував позицію щодо умов розміщення «доповнених» відеопристроїв у громадських місцях та чим вони відрізняються від біометричного відеоспостереженням.
➃ Законодавці США оприлюднили проект закону про приватність і захист даних з правками.
➄ Регулятор Берліну перевіряє договори на обробку даних веб-хостингів. Це сталося після повідомлень контролерів даних про те, що такі контракти несумісні з GDPR, і Регулятор Берліну видав чекліст та інструкцію, щоб забезпечити єдиний стандарт для договорів веб-хостингу.
➅ Сінгапурський регулятор опублікував посібник щодо захисту персональних даних для дизайну блокчейну.
➆ Італійський регулятор постановив, що компанія Google не була зобов’язана видаляти результати пошуку з посиланнями на певні новинні статті, оскільки публікація відповідної інформації була в інтересах суспільства, оскільки вона стосувалася поточного судового розгляду.
➇ Управління з питань захисту даних Данії оштрафувало юридичну фірму SIRIUS на 500 тисяч євро через проблеми з безпекою даних. Штраф пов’язаний із витоком даних у березні 2020 року, коли хакери отримали доступ до серверів юридичної фірми та зашифрували їх. Розслідування виявило, що SIRIUS були в процесі налаштування багатофакторної автентифікації на своїх серверах, коли хакери здійснили злам.
➈ Управління з питань захисту прав Іспанії оштрафувало банк за надсилання інвестиційного звіту не тому одержувачу, а саме колишній дружині суб’єкта даних. Це сталося через комп'ютерну помилку в банку. Початковий штраф у 70 000 євро було зменшено на 20% до 56 000 євро через добровільну сплату.
➉ Європейський інспектор із захисту даних видав позицію щодо пропозиції Директиви Європейського Парламенту та Ради щодо повернення та конфіскації активів, в цілому, підтримуючи її.
⑪ Адміністрація кіберпростору Китаю оштрафувала компанію Didi Global Co., Ltd на 8 000 000 000 юанів (приблизно 1,1 мільярда євро) за порушення Закону про захист персональної інформації, Закону про безпеку даних і Закону про кібербезпеку.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [18.07 — 24.07]
① Громадянин Німеччини подав позов проти Європейської Комісії, стверджуючи про порушення інституційного GDPR. Позивач стверджує, що Комісія незаконно передає дані до США всупереч рішенню Суду ЄС "Schrems II", а також стверджує про недостатню прозорість щодо практики обробки даних.
➁ Омбудсмен ЄС запросив Європейську комісію надати до 30 вересня додаткову інформацію в рамках свого розслідування щодо моніторингу застосування правил захисту даних в Ірландії, оскільки відповіді були далеко неповними.
➂ CNIL опублікував позицію щодо умов розміщення «доповнених» відеопристроїв у громадських місцях та чим вони відрізняються від біометричного відеоспостереженням.
➃ Законодавці США оприлюднили проект закону про приватність і захист даних з правками.
➄ Регулятор Берліну перевіряє договори на обробку даних веб-хостингів. Це сталося після повідомлень контролерів даних про те, що такі контракти несумісні з GDPR, і Регулятор Берліну видав чекліст та інструкцію, щоб забезпечити єдиний стандарт для договорів веб-хостингу.
➅ Сінгапурський регулятор опублікував посібник щодо захисту персональних даних для дизайну блокчейну.
➆ Італійський регулятор постановив, що компанія Google не була зобов’язана видаляти результати пошуку з посиланнями на певні новинні статті, оскільки публікація відповідної інформації була в інтересах суспільства, оскільки вона стосувалася поточного судового розгляду.
➇ Управління з питань захисту даних Данії оштрафувало юридичну фірму SIRIUS на 500 тисяч євро через проблеми з безпекою даних. Штраф пов’язаний із витоком даних у березні 2020 року, коли хакери отримали доступ до серверів юридичної фірми та зашифрували їх. Розслідування виявило, що SIRIUS були в процесі налаштування багатофакторної автентифікації на своїх серверах, коли хакери здійснили злам.
➈ Управління з питань захисту прав Іспанії оштрафувало банк за надсилання інвестиційного звіту не тому одержувачу, а саме колишній дружині суб’єкта даних. Це сталося через комп'ютерну помилку в банку. Початковий штраф у 70 000 євро було зменшено на 20% до 56 000 євро через добровільну сплату.
➉ Європейський інспектор із захисту даних видав позицію щодо пропозиції Директиви Європейського Парламенту та Ради щодо повернення та конфіскації активів, в цілому, підтримуючи її.
⑪ Адміністрація кіберпростору Китаю оштрафувала компанію Didi Global Co., Ltd на 8 000 000 000 юанів (приблизно 1,1 мільярда євро) за порушення Закону про захист персональної інформації, Закону про безпеку даних і Закону про кібербезпеку.
🇺🇦 Все буде Україна!
#ДайджестМісяця
🔆 ДАЙДЖЕСТ ЛИПНЯ
Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.
1️⃣ Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.
2️⃣ Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.
3️⃣ Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.
🏆 РЕЙТИНГ ДОПИСІВ ЛИПНЯ
#Санкції
📍ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
📍ЧИ У МОДІ TOMs?
📍В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
📍€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ
#Аналітика
📍ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
📍ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
📍ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
📍ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!
#Інформаційна_безпека
📍ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
📍АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?
#Новини_тижня
📍НОВИНИ ТИЖНЯ [11.07 — 17.07]
📍НОВИНИ ТИЖНЯ [18.07 — 24.07]
Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу!💙💛
🔆 ДАЙДЖЕСТ ЛИПНЯ
Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.
1️⃣ Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.
2️⃣ Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.
3️⃣ Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.
🏆 РЕЙТИНГ ДОПИСІВ ЛИПНЯ
#Санкції
📍ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
📍ЧИ У МОДІ TOMs?
📍В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
📍€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ
#Аналітика
📍ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
📍ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
📍ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
📍ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!
#Інформаційна_безпека
📍ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
📍АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?
#Новини_тижня
📍НОВИНИ ТИЖНЯ [11.07 — 17.07]
📍НОВИНИ ТИЖНЯ [18.07 — 24.07]
Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу!💙💛
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [25.07 — 31.07]
① Державний уповноважений із захисту даних Нижньої Саксонії наклав штраф у розмірі 1,1 млн євро на Volkswagen.
➁ Орган із захисту даних Іспанії (AEPD) опублікував блог про належну обробку та оцінку використання біометричних даних відповідно до GDPR. AEPD відзначив ряд факторів оцінки, включаючи «адекватність, пропорційність і необхідність».
➂ Регулятор Британії (ICO) опублікував оновлену інструкцію щодо використання зобов’язуючих корпоративних правил (BCR) як механізму транскордонних передачі даних. Оновлення спрямовані на «спрощений» підхід для контролерів і процесорів, причому ICO зазначає, що «запитуватиме супровідні документи та зобов’язання лише один раз під час процесу затвердження». Регулятор також назвав BCR механізмом «золотого стандарту» для транскордонних передач.
➃ Орган із захисту даних Данії опублікував анкету для контролерів даних, які використовують хмарні технології.
➄ Європейська рада із захисту даних (EDPB) і Європейський наглядовий орган із захисту даних (EDPS) прийняли спільний висновок щодо проекту регламенту щодо запобігання та боротьби з сексуальним насильством над дітьми.
➅ Регулятор Франції (CNIL) опублікувала свої рекомендації щодо розробки систем перевірки віку. Беручи до уваги вимоги GDPR щодо мінімізації даних і обмеження цілей, CNIL пропонує підтверджувати вік користувачів за допомогою системи «довіреної третьої сторони», яка забезпечує «потрійний захист приватності» через практику анонімності.
➆ Датський регулятор виніс догану Управлінню даних охорони здоров’я Данії за порушення статті 32(1) GDPR через відсутність перевірки бази даних ліків на наявність помилок архітектури сервісу, що призвело до витоку даних 267 суб’єктів даних.
➇ Фінансовий суд Мюнхена постановив, що документи в податкових досьє (внутрішнє листування, заяви третіх осіб, нотатки та рукописні коментарі) не є персональними даними. Фінансовий суд розрізнив персональні дані як інформацію, що стосується ідентифікованої фізичної особи відповідно до статті 4(1) GDPR, і досьє або набори досьє.
➈ Австрійський федеральний адміністративний суд постановив, що точний метод, за допомогою якого страхова компанія розрахувала пропозицію про врегулювання диспуту, є комерційною таємницею, на яку поширюється стаття 15(4) GDPR, тобто не повинна бути надана суб´єкту даних. Слід зазначити, що контролер надіслав 200-сторінкову відповідь, включаючи, серед іншого, тип тарифу, виплачену суму відкупу, відповіді на медичну анкету та історію платежів.
➉ Національний інститут стандартів і технологій США (NIST) опублікував проект свого переглянутого керівництва з кібербезпеки, пов’язаного з HIPAA. Керівництво допоможе «зберігати конфіденційність, цілісність і доступність» даних пацієнтів відповідно до стандартів HIPAA.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [25.07 — 31.07]
① Державний уповноважений із захисту даних Нижньої Саксонії наклав штраф у розмірі 1,1 млн євро на Volkswagen.
➁ Орган із захисту даних Іспанії (AEPD) опублікував блог про належну обробку та оцінку використання біометричних даних відповідно до GDPR. AEPD відзначив ряд факторів оцінки, включаючи «адекватність, пропорційність і необхідність».
➂ Регулятор Британії (ICO) опублікував оновлену інструкцію щодо використання зобов’язуючих корпоративних правил (BCR) як механізму транскордонних передачі даних. Оновлення спрямовані на «спрощений» підхід для контролерів і процесорів, причому ICO зазначає, що «запитуватиме супровідні документи та зобов’язання лише один раз під час процесу затвердження». Регулятор також назвав BCR механізмом «золотого стандарту» для транскордонних передач.
➃ Орган із захисту даних Данії опублікував анкету для контролерів даних, які використовують хмарні технології.
➄ Європейська рада із захисту даних (EDPB) і Європейський наглядовий орган із захисту даних (EDPS) прийняли спільний висновок щодо проекту регламенту щодо запобігання та боротьби з сексуальним насильством над дітьми.
➅ Регулятор Франції (CNIL) опублікувала свої рекомендації щодо розробки систем перевірки віку. Беручи до уваги вимоги GDPR щодо мінімізації даних і обмеження цілей, CNIL пропонує підтверджувати вік користувачів за допомогою системи «довіреної третьої сторони», яка забезпечує «потрійний захист приватності» через практику анонімності.
➆ Датський регулятор виніс догану Управлінню даних охорони здоров’я Данії за порушення статті 32(1) GDPR через відсутність перевірки бази даних ліків на наявність помилок архітектури сервісу, що призвело до витоку даних 267 суб’єктів даних.
➇ Фінансовий суд Мюнхена постановив, що документи в податкових досьє (внутрішнє листування, заяви третіх осіб, нотатки та рукописні коментарі) не є персональними даними. Фінансовий суд розрізнив персональні дані як інформацію, що стосується ідентифікованої фізичної особи відповідно до статті 4(1) GDPR, і досьє або набори досьє.
➈ Австрійський федеральний адміністративний суд постановив, що точний метод, за допомогою якого страхова компанія розрахувала пропозицію про врегулювання диспуту, є комерційною таємницею, на яку поширюється стаття 15(4) GDPR, тобто не повинна бути надана суб´єкту даних. Слід зазначити, що контролер надіслав 200-сторінкову відповідь, включаючи, серед іншого, тип тарифу, виплачену суму відкупу, відповіді на медичну анкету та історію платежів.
➉ Національний інститут стандартів і технологій США (NIST) опублікував проект свого переглянутого керівництва з кібербезпеки, пов’язаного з HIPAA. Керівництво допоможе «зберігати конфіденційність, цілісність і доступність» даних пацієнтів відповідно до стандартів HIPAA.
🇺🇦 Все буде Україна!
Open Letter to IAPP.pdf
92.6 KB
🇺🇦 СМІЛИВІСТЬ: БУТИ УКРАЇНОЮ!
Сьогодні 162-й день жорстокої повномасштабної війни Росії проти України.
162 дні український народ мужньо бореться за свободу, незалежність і майбутнє не лише України, а й усього демократичного світу. Україна переможе! Але для цього весь світ має об’єднатися з Україною та ізолювати Росію. Разом ми маємо довести, що права людини є найвищою цінністю. Разом ми маємо їх захистити.
Ми публікуємо відкритий лист до Міжнародної асоціації фахівців з приватності із закликом до рішучих дій з ізоляції Росії та підтримки України.
❗️Закликаємо всіх українських фахівців підтримувати наш лист в LinkedIn та відправляти аналогічні листи міжнародним та європейським організаціям!
Ми маємо постійно говорити світові про війну в Україні. Маємо закликати світ надавати нам зброю та всіляку підтримку. Спільними зусиллями ми переможемо!
🇺🇦 Все буде Україна!
Сьогодні 162-й день жорстокої повномасштабної війни Росії проти України.
162 дні український народ мужньо бореться за свободу, незалежність і майбутнє не лише України, а й усього демократичного світу. Україна переможе! Але для цього весь світ має об’єднатися з Україною та ізолювати Росію. Разом ми маємо довести, що права людини є найвищою цінністю. Разом ми маємо їх захистити.
Ми публікуємо відкритий лист до Міжнародної асоціації фахівців з приватності із закликом до рішучих дій з ізоляції Росії та підтримки України.
❗️Закликаємо всіх українських фахівців підтримувати наш лист в LinkedIn та відправляти аналогічні листи міжнародним та європейським організаціям!
Ми маємо постійно говорити світові про війну в Україні. Маємо закликати світ надавати нам зброю та всіляку підтримку. Спільними зусиллями ми переможемо!
🇺🇦 Все буде Україна!
#Інформаційна_безпека
🛡ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
Пам'ятаєте, як два тижні тому ми збирали гроші на рації для нашого співзасновника? Так ось, спільними зусиллями ми змогли закрити збір, за що ми дуже дякуємо всім, хто долучився. А тепер, як і обіцяли, ми трошки розповімо вам про зв'язок в умовах бойових дій.
📍Мобільний зв'язок
Багато хто чув, що використання мобільного поруч із ворогом (1 - 10 км до фронту) це не завжди оптимальний варіант, але мало хто знає причини.
Дійсно, мобільний зв'язок дозволяє оперативно передати інформацію, але мобільній зв‘язок не є безпечним каналом комунікації. Так, використовуючи мобілки, ви можете наразити себе та своїх побратимів на небезпеку адже:
🔹ворог може збирати IMEI телефонів та відслідковувати шляхи пересування солдатів на фронті;
🔹через скупчення мобільних телефонів ворог здійснює коригування роботи артилерії.
Окрім цього, телеком оператори можуть не мати змоги підтримувати зв‘язок на територіях ведення бойових дій.
Через це військові надають перевагу радіозв'язку. Але чи є рації панацею? Якщо коротко, то ні. Як і у випадку з кібербезпекою, жоден спосіб захисту не є 100% гарантією безпеки. Але давайте поговоримо про рації!
📍Рації
Існують аналогові та цифрові радіостанції. Спершу поговоримо про аналогові. Чи краще вони, ніж мобілки? Так, але вони все одно не є безпечними, тому їх не рекомендують використовувати в безпосередній близькості до ворога. Адже, знайшовши хвилю, на якій солдати ведуть переговори, ворог отримує змогу прослуховувати все, що виходить в ефір. Для цього існують недорогі (від ~2500$) засоби радіоелектронної розвідки, які моніторять ефір на заданому спектрі частот. Зазвичай спектр роботи такого засобу покриває більшість хвиль, на яких можуть працювати рації.
Отже, аналогові рації кращі, ніж мобілки, і їх загалом можна використовувати, але робити це краще в тилу.
Оптимальним способом зв'язку є цифрові рації. І на те є кілька причин:
🔸 на відміну від аналогових рацій, цифрова рація надає змогу зашифрувати дані засобами криптографічного зв‘язку. Можливо навіть використовувати добре відомий 256-бітовий алгоритм AES-256. Таким чином, при моніторингу ефіру ворог не має змоги зрозуміти, про що йде мова.
🔸 у більшості середніх цифрових рацій встановлене 40-бітове шифрування, зламування якого на потужному комп‘ютері може займати до 15 хвилин. Втім, для того, щоб це зробити, зашифровану інформацію необхідно надіслати на «велику землю» – штаб, в якому є такі потужності. На місці зламування здійснюється у порядку живої черги з іншими підрозділами, тобто весь процес може займати 2-3 дні. За цей час актуальність інформації зводиться нанівець, а підрозділ, який прослуховують, може змінити ключі шифрування. На передовій зв‘язківці можуть встановлювати до 30 різних ключів шифрування на кожен окремий день місяця, щоб запобігти прослуховуванню рацій на вже зламаних каналах. По спливу 30 днів ключі оновлюються.
❓Що робити, коли є лише аналогова рація?
У такому разі військові створюють таблиці термінів, у яких команди всередині підрозділів замінюються цифрами або словами-шифрами. Наприклад, “дуб, дуб, я береза, як чутно?”. Певний час ворог, прослуховуючи ефір, не втямить, про який дуб та березу йде мова.
Це теж не панацея: за кілька днів прослуховування ворог зрозуміє, що дуб це пост #1, а береза – це командний пункт. Тому, що роблять військові? Правильно, регулярно змінюють таблиці термінів. Цей спосіб, до речі, застосовують навіть при використанні цифрових рацій.
🏆 ВИСНОВКИ
Ефективна та швидка комунікація є основою основ не лише у цивільному житті, але й під час війни. Особливо під час війни. Вчасно передана інформація може врятувати життя та допомогти ефективно знищити ворога. Тому важливо користуватись максимально безпечними каналами зв'язку, а за неможливості використовувати допоміжні рішення, шифри.
💙 Ще раз дякуємо вам за те, що допомогли убезпечити комунікацію Влада та його побратимів.
💛 Продовжуємо працювати на Перемогу!
🇺🇦 Все буде Україна!
🛡ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
Пам'ятаєте, як два тижні тому ми збирали гроші на рації для нашого співзасновника? Так ось, спільними зусиллями ми змогли закрити збір, за що ми дуже дякуємо всім, хто долучився. А тепер, як і обіцяли, ми трошки розповімо вам про зв'язок в умовах бойових дій.
📍Мобільний зв'язок
Багато хто чув, що використання мобільного поруч із ворогом (1 - 10 км до фронту) це не завжди оптимальний варіант, але мало хто знає причини.
Дійсно, мобільний зв'язок дозволяє оперативно передати інформацію, але мобільній зв‘язок не є безпечним каналом комунікації. Так, використовуючи мобілки, ви можете наразити себе та своїх побратимів на небезпеку адже:
🔹ворог може збирати IMEI телефонів та відслідковувати шляхи пересування солдатів на фронті;
🔹через скупчення мобільних телефонів ворог здійснює коригування роботи артилерії.
Окрім цього, телеком оператори можуть не мати змоги підтримувати зв‘язок на територіях ведення бойових дій.
Через це військові надають перевагу радіозв'язку. Але чи є рації панацею? Якщо коротко, то ні. Як і у випадку з кібербезпекою, жоден спосіб захисту не є 100% гарантією безпеки. Але давайте поговоримо про рації!
📍Рації
Існують аналогові та цифрові радіостанції. Спершу поговоримо про аналогові. Чи краще вони, ніж мобілки? Так, але вони все одно не є безпечними, тому їх не рекомендують використовувати в безпосередній близькості до ворога. Адже, знайшовши хвилю, на якій солдати ведуть переговори, ворог отримує змогу прослуховувати все, що виходить в ефір. Для цього існують недорогі (від ~2500$) засоби радіоелектронної розвідки, які моніторять ефір на заданому спектрі частот. Зазвичай спектр роботи такого засобу покриває більшість хвиль, на яких можуть працювати рації.
Отже, аналогові рації кращі, ніж мобілки, і їх загалом можна використовувати, але робити це краще в тилу.
Оптимальним способом зв'язку є цифрові рації. І на те є кілька причин:
🔸 на відміну від аналогових рацій, цифрова рація надає змогу зашифрувати дані засобами криптографічного зв‘язку. Можливо навіть використовувати добре відомий 256-бітовий алгоритм AES-256. Таким чином, при моніторингу ефіру ворог не має змоги зрозуміти, про що йде мова.
🔸 у більшості середніх цифрових рацій встановлене 40-бітове шифрування, зламування якого на потужному комп‘ютері може займати до 15 хвилин. Втім, для того, щоб це зробити, зашифровану інформацію необхідно надіслати на «велику землю» – штаб, в якому є такі потужності. На місці зламування здійснюється у порядку живої черги з іншими підрозділами, тобто весь процес може займати 2-3 дні. За цей час актуальність інформації зводиться нанівець, а підрозділ, який прослуховують, може змінити ключі шифрування. На передовій зв‘язківці можуть встановлювати до 30 різних ключів шифрування на кожен окремий день місяця, щоб запобігти прослуховуванню рацій на вже зламаних каналах. По спливу 30 днів ключі оновлюються.
❓Що робити, коли є лише аналогова рація?
У такому разі військові створюють таблиці термінів, у яких команди всередині підрозділів замінюються цифрами або словами-шифрами. Наприклад, “дуб, дуб, я береза, як чутно?”. Певний час ворог, прослуховуючи ефір, не втямить, про який дуб та березу йде мова.
Це теж не панацея: за кілька днів прослуховування ворог зрозуміє, що дуб це пост #1, а береза – це командний пункт. Тому, що роблять військові? Правильно, регулярно змінюють таблиці термінів. Цей спосіб, до речі, застосовують навіть при використанні цифрових рацій.
🏆 ВИСНОВКИ
Ефективна та швидка комунікація є основою основ не лише у цивільному житті, але й під час війни. Особливо під час війни. Вчасно передана інформація може врятувати життя та допомогти ефективно знищити ворога. Тому важливо користуватись максимально безпечними каналами зв'язку, а за неможливості використовувати допоміжні рішення, шифри.
💙 Ще раз дякуємо вам за те, що допомогли убезпечити комунікацію Влада та його побратимів.
💛 Продовжуємо працювати на Перемогу!
🇺🇦 Все буде Україна!
#Академія_приватності
🚀 «АКАДЕМІЇ ПРИВАТНОСТІ» (BY PRIVACY HUB) БУТИ!
Початок повномасштабного вторгнення РФ в Україну вніс свої корективи у життя кожного з нас. Проєкти нашої команди також були призупинені, але лише тимчасово.
Умови воєнного стану вкотре довели, наскільки важливим є захист персональних даних не тільки для захисту приватності, але й для збереження життя українців.
Окрім цього, ми натхнені наданням Україні статусу кандидата на вступ до ЄС, що має прискорити адаптацію українського законодавства у сфері захисту персональних даних до стандартів ЄС та Ради Європи.
Тож, Privacy HUB з новими силами і з урахуванням умов війни поновлює підготовку до Освітнього табору “Академія приватності”, який ми раніше анонсували на каналі.
❓Що це буде?
Наша команда реалізує Освітній табір «Академія приватності» за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.
«Академія приватності» – це 5-ти денний табір для викладачів ЗВО з усієї України, метою якого є розробка стандартів викладання та навчальної програми (силабусу) із курсу захисту персональних даних для студентів у сфері права, кібербезпеки, охорони здоров’я, медіа та реклами.
Менторами у цьому процесі будуть виступати українські та міжнародні експерти із захисту персональних даних, які допоможуть поглибити знання викладачів, створити силабус, а у подальшому сприятимуть широкому впровадженню курсу у навчальний процес.
❓ Коли?
12-16 жовтня 2022 року
❓ У якому форматі?
«Академія приватності» буде проводитися у змішаному форматі: офлайн у Києві та онлайн. Про місце проведення ми додатково повідомимо ближче до заходу.
❓ Як взяти участь?
Викладачам ЗВО потрібно заповнити анкету та очікувати, коли ми зв’яжемося з ними.
❓ Чи платна участь?
Участь безкоштовна. Питання щодо забезпечення проживання у м. Києві може вирішуватися окремо з кожним учасником.
❓ Куди звернутися з питаннями щодо участі?
Будь-які питання можна адресувати на електронну адресу board@privacyhub.today.
Слідкуйте за реалізацією проєкту у рубриці #Академія_приватності.
💙💛 Все буде Україна!
🚀 «АКАДЕМІЇ ПРИВАТНОСТІ» (BY PRIVACY HUB) БУТИ!
Початок повномасштабного вторгнення РФ в Україну вніс свої корективи у життя кожного з нас. Проєкти нашої команди також були призупинені, але лише тимчасово.
Умови воєнного стану вкотре довели, наскільки важливим є захист персональних даних не тільки для захисту приватності, але й для збереження життя українців.
Окрім цього, ми натхнені наданням Україні статусу кандидата на вступ до ЄС, що має прискорити адаптацію українського законодавства у сфері захисту персональних даних до стандартів ЄС та Ради Європи.
Тож, Privacy HUB з новими силами і з урахуванням умов війни поновлює підготовку до Освітнього табору “Академія приватності”, який ми раніше анонсували на каналі.
❓Що це буде?
Наша команда реалізує Освітній табір «Академія приватності» за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.
«Академія приватності» – це 5-ти денний табір для викладачів ЗВО з усієї України, метою якого є розробка стандартів викладання та навчальної програми (силабусу) із курсу захисту персональних даних для студентів у сфері права, кібербезпеки, охорони здоров’я, медіа та реклами.
Менторами у цьому процесі будуть виступати українські та міжнародні експерти із захисту персональних даних, які допоможуть поглибити знання викладачів, створити силабус, а у подальшому сприятимуть широкому впровадженню курсу у навчальний процес.
❓ Коли?
12-16 жовтня 2022 року
❓ У якому форматі?
«Академія приватності» буде проводитися у змішаному форматі: офлайн у Києві та онлайн. Про місце проведення ми додатково повідомимо ближче до заходу.
❓ Як взяти участь?
Викладачам ЗВО потрібно заповнити анкету та очікувати, коли ми зв’яжемося з ними.
❓ Чи платна участь?
Участь безкоштовна. Питання щодо забезпечення проживання у м. Києві може вирішуватися окремо з кожним учасником.
❓ Куди звернутися з питаннями щодо участі?
Будь-які питання можна адресувати на електронну адресу board@privacyhub.today.
Слідкуйте за реалізацією проєкту у рубриці #Академія_приватності.
💙💛 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [01.08 — 7.08]
① Суд Європейського Союзу виніс рішення, яке роз’яснює, як непряме розкриття даних про сексуальну орієнтацію захищено статтею 9 GDPR. Суд пояснив, що таке розкриття даних підпадає під спеціальні категорії персональних даних у статті 9. Рішення може створити прецедент для тлумачення законної обробки спеціальних категорій даних органами та компаніями із захисту даних. Як зазначено в рішенні «Суд вважає, що з конкретних іменних даних, що стосуються подружжя, співмешканця або партнера заявника, можна вивести певну інформацію щодо статевого життя чи сексуальної орієнтації заявника та його дружини, співмешканця чи партнера.» (параграф 119).
➁ Регулятор Франції створив інструменти, які допомагають професійним спортивним командам дотримуватися правил захисту даних. Посібник із самооцінки допомагає організаціям вивчити правила обробки даних співробітників і волонтерів для дотримання законодавства. Він пропонує довідник щодо основних понять, зокрема персональних даних, обробки даних і цілей, представлених у контексті спорту.
➂ Європейська рада із захисту даних прийняла Висновок 17/2022 щодо проекту рішення іспанського наглядового органу щодо обов’язкових корпоративних правил контролера ANTOLIN Group
➃ Регулятор Нижньої Саксонії оштрафував неназваний банк на суму 900 000 євро за ймовірне порушення GDPR. Компанія нібито аналізувала дані нинішніх і колишніх клієнтів без їхньої згоди. Було також розглянуто онлайн поведінку клієнтів, загальну кількість онлайн-банківських переказів. Ругулятор постановив, що така обробка не може ґрунтуватися на законному інтересі згідно зі статтею 6(1)(f). Штраф не остаточний.
➄ Гіганту рекламних технологій Criteo загрожує штраф у розмірі 60 мільйонів євро у Франції за порушення GDPR.
➅ Регулятор Австрії наказав банку видалити копію водійського посвідчення, яке він зберіг для дотримання Закону про відмивання грошей; банк не був зобов'язаний перевіряти особу суб'єкта даних згідно із законом.
➆ Регулятор Бельгії постановив, що обговорення персональних даних суб’єкта даних, пов’язаних зі здоров’ям, на нараді персоналу, де вона була відсутня, і включення даних до протоколу наради було несумісним з метою початкової обробки (управління персоналом) і не мало підстав для обробки.
➇ Регулятор Бельгії постановив, що контролер може покладатися на законний інтерес як правову основу для надсилання колишнім клієнтам повідомлень прямого маркетингу, якщо відносини закінчилися «не так давно» і суб’єкт даних не заперечував проти такої обробки.
➈ Адміністративний суд Франкфурта постановив, що німецька влада не зобов’язана використовувати наскрізне шифрування під час спілкування з постачальником зброї; транспортне шифрування (TLS) було сумісним із необхідним рівнем захисту даних.
➉ Італійський DPA наказав Google деіндексувати статтю про кримінальне розслідування щодо суб’єкта даних, оскільки відсутній суспільний інтерес до новини, незважаючи на те, що стаття була точною та актуальною.
🆕 НОВИНИ ТИЖНЯ [01.08 — 7.08]
① Суд Європейського Союзу виніс рішення, яке роз’яснює, як непряме розкриття даних про сексуальну орієнтацію захищено статтею 9 GDPR. Суд пояснив, що таке розкриття даних підпадає під спеціальні категорії персональних даних у статті 9. Рішення може створити прецедент для тлумачення законної обробки спеціальних категорій даних органами та компаніями із захисту даних. Як зазначено в рішенні «Суд вважає, що з конкретних іменних даних, що стосуються подружжя, співмешканця або партнера заявника, можна вивести певну інформацію щодо статевого життя чи сексуальної орієнтації заявника та його дружини, співмешканця чи партнера.» (параграф 119).
➁ Регулятор Франції створив інструменти, які допомагають професійним спортивним командам дотримуватися правил захисту даних. Посібник із самооцінки допомагає організаціям вивчити правила обробки даних співробітників і волонтерів для дотримання законодавства. Він пропонує довідник щодо основних понять, зокрема персональних даних, обробки даних і цілей, представлених у контексті спорту.
➂ Європейська рада із захисту даних прийняла Висновок 17/2022 щодо проекту рішення іспанського наглядового органу щодо обов’язкових корпоративних правил контролера ANTOLIN Group
➃ Регулятор Нижньої Саксонії оштрафував неназваний банк на суму 900 000 євро за ймовірне порушення GDPR. Компанія нібито аналізувала дані нинішніх і колишніх клієнтів без їхньої згоди. Було також розглянуто онлайн поведінку клієнтів, загальну кількість онлайн-банківських переказів. Ругулятор постановив, що така обробка не може ґрунтуватися на законному інтересі згідно зі статтею 6(1)(f). Штраф не остаточний.
➄ Гіганту рекламних технологій Criteo загрожує штраф у розмірі 60 мільйонів євро у Франції за порушення GDPR.
➅ Регулятор Австрії наказав банку видалити копію водійського посвідчення, яке він зберіг для дотримання Закону про відмивання грошей; банк не був зобов'язаний перевіряти особу суб'єкта даних згідно із законом.
➆ Регулятор Бельгії постановив, що обговорення персональних даних суб’єкта даних, пов’язаних зі здоров’ям, на нараді персоналу, де вона була відсутня, і включення даних до протоколу наради було несумісним з метою початкової обробки (управління персоналом) і не мало підстав для обробки.
➇ Регулятор Бельгії постановив, що контролер може покладатися на законний інтерес як правову основу для надсилання колишнім клієнтам повідомлень прямого маркетингу, якщо відносини закінчилися «не так давно» і суб’єкт даних не заперечував проти такої обробки.
➈ Адміністративний суд Франкфурта постановив, що німецька влада не зобов’язана використовувати наскрізне шифрування під час спілкування з постачальником зброї; транспортне шифрування (TLS) було сумісним із необхідним рівнем захисту даних.
➉ Італійський DPA наказав Google деіндексувати статтю про кримінальне розслідування щодо суб’єкта даних, оскільки відсутній суспільний інтерес до новини, незважаючи на те, що стаття була точною та актуальною.
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [08.08 — 14.08]
① Австрійська ГО «NOYB» подала 226 скарг щодо порушень GDPR до 18 регуляторів ЄЕС проти веб-сайтів, які використовують популярне програмне забезпечення OneTrust для банерів cookie із оманливими налаштуваннями.
➁ Європейський інспектор із захисту даних (EDPS) опублікував висновок щодо рекомендації до рішення Європейської Ради, що дозволяє розпочати переговори про включення положень про транскордонні потоки даних до Угоди між Європейським Союзом та Японією про економічне партнерство
➂ EDPS опублікував висновок щодо пропозиції до регламенту про перетворення мережі даних бухгалтерського обліку ферм у мережу даних сталого розвитку ферм (FSDN)
➃ Google погодився виплатити штраф у розмірі 60 мільйонів австралійських доларів Комісії з питань конкуренції та захисту прав споживачів Австралії. Федеральний суд визнав, що Google ввів в оману австралійських споживачів, переконавши, що компанія не збирає дані про їх місцезнаходження за допомогою пристроїв Android
➄ Управління Уповноваженого з питань приватності Канади оприлюднило результати свого піврічного опитування щодо практики приватності та заходів комплаєнсу в організаціях. Опитування 751 компанії показало, що 59% респондентів мають повідомлення про приватність, що на 6% менше, ніж у попередньому опитуванні в 2019 році. Відсоток компаній, які застосовують більшість вимог дотримання приватності, також знизився з 62% до 57%, тоді як 86 % компаній заявили, що знають свої зобов’язання згідно з канадським законодавством про приватність. Крім того, 90% компаній зазначили, що не переживали порушень захисту даних.
➅ Регулятор Словенії створив інфографіку, щоб допомогти контролерам даних проводити оцінку впливу на захист даних.
➆ Регуляторний телекомунікаційний орган Індії опублікував консультаційний документ під назвою «Використання штучного інтелекту та великих даних у телекомунікаційному секторі». У документі пропонуються потенційні можливості використання штучного інтелекту та великих даних у таких сферах, як якість обслуговування, керування спектром і безпека мережі, а також наводяться приклади операторів зв’язку, які вже використовують ці технології. У документі також розглядалися ризики, пов’язані з впровадженням штучного інтелекту та великих даних, включаючи неетичне використання, упередження даних і алгоритмів, а також проблеми приватності
➇ Апеляційний суд Арнем-Леувардена постановив, що подання звіту, що містить персональні дані третіх сторін, під час судового розгляду не є порушенням GDPR, оскільки контролер повинен був зробити це відповідно до статті 6(1)(c) GDPR (обробка необхідна для дотримання юридичних зобов’язань)
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [08.08 — 14.08]
① Австрійська ГО «NOYB» подала 226 скарг щодо порушень GDPR до 18 регуляторів ЄЕС проти веб-сайтів, які використовують популярне програмне забезпечення OneTrust для банерів cookie із оманливими налаштуваннями.
➁ Європейський інспектор із захисту даних (EDPS) опублікував висновок щодо рекомендації до рішення Європейської Ради, що дозволяє розпочати переговори про включення положень про транскордонні потоки даних до Угоди між Європейським Союзом та Японією про економічне партнерство
➂ EDPS опублікував висновок щодо пропозиції до регламенту про перетворення мережі даних бухгалтерського обліку ферм у мережу даних сталого розвитку ферм (FSDN)
➃ Google погодився виплатити штраф у розмірі 60 мільйонів австралійських доларів Комісії з питань конкуренції та захисту прав споживачів Австралії. Федеральний суд визнав, що Google ввів в оману австралійських споживачів, переконавши, що компанія не збирає дані про їх місцезнаходження за допомогою пристроїв Android
➄ Управління Уповноваженого з питань приватності Канади оприлюднило результати свого піврічного опитування щодо практики приватності та заходів комплаєнсу в організаціях. Опитування 751 компанії показало, що 59% респондентів мають повідомлення про приватність, що на 6% менше, ніж у попередньому опитуванні в 2019 році. Відсоток компаній, які застосовують більшість вимог дотримання приватності, також знизився з 62% до 57%, тоді як 86 % компаній заявили, що знають свої зобов’язання згідно з канадським законодавством про приватність. Крім того, 90% компаній зазначили, що не переживали порушень захисту даних.
➅ Регулятор Словенії створив інфографіку, щоб допомогти контролерам даних проводити оцінку впливу на захист даних.
➆ Регуляторний телекомунікаційний орган Індії опублікував консультаційний документ під назвою «Використання штучного інтелекту та великих даних у телекомунікаційному секторі». У документі пропонуються потенційні можливості використання штучного інтелекту та великих даних у таких сферах, як якість обслуговування, керування спектром і безпека мережі, а також наводяться приклади операторів зв’язку, які вже використовують ці технології. У документі також розглядалися ризики, пов’язані з впровадженням штучного інтелекту та великих даних, включаючи неетичне використання, упередження даних і алгоритмів, а також проблеми приватності
➇ Апеляційний суд Арнем-Леувардена постановив, що подання звіту, що містить персональні дані третіх сторін, під час судового розгляду не є порушенням GDPR, оскільки контролер повинен був зробити це відповідно до статті 6(1)(c) GDPR (обробка необхідна для дотримання юридичних зобов’язань)
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [15.08 — 21.08]
① Верховна Рада України вдруге провалила прийняття Закону про захист персональних даних у першому читанні. За проголосувало 212 народних обранців з 226 необхідних. Автори пообіцяли подати законопроект знову.
➁ В мережі інтернет з´явилися повідомлення про злом офіційного сайту адміністрації Кривого Рогу (kr.gov.ua), в ході якого було злито у відкритий доступ файл із 342,294 рядками, які містять ПІБ та телефони громадян. Загалом у файлі 227,220 унікальних номерів телефонів. На жаль, офіційних коментарів з цього приводу немає.
➂ Орган із захисту даних Латвії, Державна інспекція даних, опублікував допис у блозі, у якому пояснюється роль офіцеру із захисту даних.
➃ Управління комісара з питань інформації Великобританії випустило шість кроків для малого бізнесу, які отримують скарги від суб´єктів персональних даних.
➄ Національна комісія із захисту даних Люксембургу надіслала нагадування муніципалітетам щодо вимог до офіцеру із захисту даних (DPO) відповідно до GDPR. Регулятор виявив, що «деякі муніципалітети ще не виконали» зобов’язання по DPO, і почала інформувати їх про необхідність узгодження зі статтею 37.1(a) GDPR. Муніципалітети також повинні будуть надати контактну інформацію своїх DPO до регулятора після призначення.
➅ Регулятор Данії підтримав заборону на використання Google Workspace муніципалітетом Гельсінгера.
➆ Закупівельна палата землі Баден-Вюртемберг постановила, що компанію необхідно виключити з процедури публічних закупівель, оскільки її пропозиція порушує GDPR. Це пояснюється тим, що дотримання законодавства про захист даних було вимогою тендеру. Палата постановила, що пропозиція містила незаконну передачу даних клієнтів третій країні (їхній материнській компанії, розташованій у США), оскільки до них могла отримати доступ материнська компанія.
➇ Грецький регулятор частково скасував своє попереднє рішення та зменшив штраф з 20 000 євро до 5 000 євро для компанії, яка продає спортивний одяг, у світлі нових доказів того, що порушення права на заперечення було наслідком ізольованої помилки, а не зловмисного наміру. Перш за все, DPA погодився, що порушення, схоже, було спричинене недбалістю контролера (окрема помилка), а не злим умислом. По-друге, було виявлено, що контролер запровадив і дотримувався відповідних процедур для забезпечення правильного імплементування права на заперечення (стаття 21 GDPR) і права на видалення (стаття 17 GDPR) суб’єктів даних.
➈ Норвезький регулятор оштрафував компанію з управління майном на 30 500 євро за два незаконні кредитні рейтинги, що є порушенням статті 6(1)(f) GDPR, двом особам, з якими вона не мала стосунків, але з якими пов’язана компанія мала спір.
➉ Датський регулятор запропонував оштрафувати муніципалітет у розмірі 6700 євро за те, що останній не перешкоджав своїм службовцям вручну вимикати коди доступу на своїх мобільних телефонах, які містили персональні дані громадян, таким чином наражаючи їх на непотрібний ризик.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [15.08 — 21.08]
① Верховна Рада України вдруге провалила прийняття Закону про захист персональних даних у першому читанні. За проголосувало 212 народних обранців з 226 необхідних. Автори пообіцяли подати законопроект знову.
➁ В мережі інтернет з´явилися повідомлення про злом офіційного сайту адміністрації Кривого Рогу (kr.gov.ua), в ході якого було злито у відкритий доступ файл із 342,294 рядками, які містять ПІБ та телефони громадян. Загалом у файлі 227,220 унікальних номерів телефонів. На жаль, офіційних коментарів з цього приводу немає.
➂ Орган із захисту даних Латвії, Державна інспекція даних, опублікував допис у блозі, у якому пояснюється роль офіцеру із захисту даних.
➃ Управління комісара з питань інформації Великобританії випустило шість кроків для малого бізнесу, які отримують скарги від суб´єктів персональних даних.
➄ Національна комісія із захисту даних Люксембургу надіслала нагадування муніципалітетам щодо вимог до офіцеру із захисту даних (DPO) відповідно до GDPR. Регулятор виявив, що «деякі муніципалітети ще не виконали» зобов’язання по DPO, і почала інформувати їх про необхідність узгодження зі статтею 37.1(a) GDPR. Муніципалітети також повинні будуть надати контактну інформацію своїх DPO до регулятора після призначення.
➅ Регулятор Данії підтримав заборону на використання Google Workspace муніципалітетом Гельсінгера.
➆ Закупівельна палата землі Баден-Вюртемберг постановила, що компанію необхідно виключити з процедури публічних закупівель, оскільки її пропозиція порушує GDPR. Це пояснюється тим, що дотримання законодавства про захист даних було вимогою тендеру. Палата постановила, що пропозиція містила незаконну передачу даних клієнтів третій країні (їхній материнській компанії, розташованій у США), оскільки до них могла отримати доступ материнська компанія.
➇ Грецький регулятор частково скасував своє попереднє рішення та зменшив штраф з 20 000 євро до 5 000 євро для компанії, яка продає спортивний одяг, у світлі нових доказів того, що порушення права на заперечення було наслідком ізольованої помилки, а не зловмисного наміру. Перш за все, DPA погодився, що порушення, схоже, було спричинене недбалістю контролера (окрема помилка), а не злим умислом. По-друге, було виявлено, що контролер запровадив і дотримувався відповідних процедур для забезпечення правильного імплементування права на заперечення (стаття 21 GDPR) і права на видалення (стаття 17 GDPR) суб’єктів даних.
➈ Норвезький регулятор оштрафував компанію з управління майном на 30 500 євро за два незаконні кредитні рейтинги, що є порушенням статті 6(1)(f) GDPR, двом особам, з якими вона не мала стосунків, але з якими пов’язана компанія мала спір.
➉ Датський регулятор запропонував оштрафувати муніципалітет у розмірі 6700 євро за те, що останній не перешкоджав своїм службовцям вручну вимикати коди доступу на своїх мобільних телефонах, які містили персональні дані громадян, таким чином наражаючи їх на непотрібний ризик.
🇺🇦 Все буде Україна!
#Аналітика
🔬 ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
Регулятор Британії (ICO) випустив інструкцію для малого бізнесу, що робити зі скаргою від суб'єкта персональних даних. Інструкція містить шість кроків:
1. Підтвердіть отримання скарги
Відповідайте якнайшвидше, щоб повідомити споживачу, що ви отримали його скаргу щодо захисту даних і розглядаєте її. Ваша відповідь має містити інформацію про те, що ви будете робити на кожному етапі. Повідомте, коли споживач може очікувати від вас додаткову інформацію, а також надайте актуальну контактну інформацію. Наприклад, ви можете надіслати посилання на вашу процедуру розгляду скарг, якщо вона у вас є. Відповідна процедура подання скарг може містити інформацію про те, як люди можуть подавати скарги щодо захисту даних, як ви їх розглядатимете та скільки часу це займе.
У разі необхідності ви також повинні перевірити, чи надійшла скарга від уповноваженої особи. Це може бути, якщо третя сторона подала скаргу від імені особи, дані якої ви обробляєте. Ви повинні перевірити, чи мають вони право отримувати інформацію про те, як оброблялися персональні дані.
2. З’ясуйте, що пішло не так
Ви повинні розглядати будь-які скарги щодо захисту даних якомога швидше. Почніть зі збору якомога більше інформації. Вам необхідно якомога ретельніше, об’єктивніше та точніше встановити всі відповідні факти. Якщо необхідно, попросіть свого клієнта надати додаткову інформацію. Переконайтеся, що ви перевірили всі деталі скарги на інформацію, яку ви маєте. Чим краще ви розумієте проблему, тим краще у вас буде можливість її вирішити.
3. Надавайте регулярні оновлення щодо скарги
Якщо розгляд скарги, ймовірно, займе деякий час, надайте додаткову відповідь після першої. Проінформуйте суб'єкта, що ви працюєте над вирішенням проблеми. По можливості використовуйте зрозумілу мову, а не жаргон чи юридичні терміни. Чітке інформування людей допомагає зміцнити довіру, і все пройде легко, якщо кожен знає, чого очікувати.
4. Фіксуйте ваші дії
Запишіть дату отримання скарги щодо захисту даних і дату, коли потрібно відповісти. Зберігайте деталі будь-яких пов’язаних розмов і копії всіх відповідних документів від початку до кінця, включно з причинами прийнятих вами рішень і будь-якими вжитими або невжитими діями. Це також надасть докази того, що ви зробили.
5. Відповідайте на скаргу
Завершивши розгляд скарги, повідомте людині про результати. Чітко поясніть, що ви зробили для вирішення скарги щодо захисту даних, і про будь-які дії, які ви вжили в результаті. Включіть достатньо інформації, щоб допомогти зрозуміти, як ви дійшли висновку. Може бути корисно структурно виділити окремі пункти скарги та відповісти на кожен з них, надавши відповідні докази, де це можливо.
Ви також повинні повідомити скаржника, що він має право поскаржитися до регулятора. Дотримуйтеся чіткої, конкретної та прямолінійної мови. Це допоможе донести ваше повідомлення до людини та уникнути будь-яких можливих непорозумінь. Надайте контактні дані, щоб вам можна було поставити додаткові запитання, якщо це необхідно.
6. Засвойте отримані уроки
Після того, як ви відповіли скаржнику, скористайтеся можливістю переглянути та оцінити, що сталося. Подумайте, чи можна чогось навчитися або вдосконалитися, щоб запобігти майбутнім скаргам. Якщо хтось скаже вам, що подає скаргу регулятору, вам не потрібно повідомляти регулятора. Регулятор сам зв’яжеться, якщо йому знадобиться додаткова інформація.
🇺🇦 Все буде Україна! Наближаємо нашу Перемогу!
_________
ℹ️ Джерела:
🔹Інструкція ICO
🔬 ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
Регулятор Британії (ICO) випустив інструкцію для малого бізнесу, що робити зі скаргою від суб'єкта персональних даних. Інструкція містить шість кроків:
1. Підтвердіть отримання скарги
Відповідайте якнайшвидше, щоб повідомити споживачу, що ви отримали його скаргу щодо захисту даних і розглядаєте її. Ваша відповідь має містити інформацію про те, що ви будете робити на кожному етапі. Повідомте, коли споживач може очікувати від вас додаткову інформацію, а також надайте актуальну контактну інформацію. Наприклад, ви можете надіслати посилання на вашу процедуру розгляду скарг, якщо вона у вас є. Відповідна процедура подання скарг може містити інформацію про те, як люди можуть подавати скарги щодо захисту даних, як ви їх розглядатимете та скільки часу це займе.
У разі необхідності ви також повинні перевірити, чи надійшла скарга від уповноваженої особи. Це може бути, якщо третя сторона подала скаргу від імені особи, дані якої ви обробляєте. Ви повинні перевірити, чи мають вони право отримувати інформацію про те, як оброблялися персональні дані.
2. З’ясуйте, що пішло не так
Ви повинні розглядати будь-які скарги щодо захисту даних якомога швидше. Почніть зі збору якомога більше інформації. Вам необхідно якомога ретельніше, об’єктивніше та точніше встановити всі відповідні факти. Якщо необхідно, попросіть свого клієнта надати додаткову інформацію. Переконайтеся, що ви перевірили всі деталі скарги на інформацію, яку ви маєте. Чим краще ви розумієте проблему, тим краще у вас буде можливість її вирішити.
3. Надавайте регулярні оновлення щодо скарги
Якщо розгляд скарги, ймовірно, займе деякий час, надайте додаткову відповідь після першої. Проінформуйте суб'єкта, що ви працюєте над вирішенням проблеми. По можливості використовуйте зрозумілу мову, а не жаргон чи юридичні терміни. Чітке інформування людей допомагає зміцнити довіру, і все пройде легко, якщо кожен знає, чого очікувати.
4. Фіксуйте ваші дії
Запишіть дату отримання скарги щодо захисту даних і дату, коли потрібно відповісти. Зберігайте деталі будь-яких пов’язаних розмов і копії всіх відповідних документів від початку до кінця, включно з причинами прийнятих вами рішень і будь-якими вжитими або невжитими діями. Це також надасть докази того, що ви зробили.
5. Відповідайте на скаргу
Завершивши розгляд скарги, повідомте людині про результати. Чітко поясніть, що ви зробили для вирішення скарги щодо захисту даних, і про будь-які дії, які ви вжили в результаті. Включіть достатньо інформації, щоб допомогти зрозуміти, як ви дійшли висновку. Може бути корисно структурно виділити окремі пункти скарги та відповісти на кожен з них, надавши відповідні докази, де це можливо.
Ви також повинні повідомити скаржника, що він має право поскаржитися до регулятора. Дотримуйтеся чіткої, конкретної та прямолінійної мови. Це допоможе донести ваше повідомлення до людини та уникнути будь-яких можливих непорозумінь. Надайте контактні дані, щоб вам можна було поставити додаткові запитання, якщо це необхідно.
6. Засвойте отримані уроки
Після того, як ви відповіли скаржнику, скористайтеся можливістю переглянути та оцінити, що сталося. Подумайте, чи можна чогось навчитися або вдосконалитися, щоб запобігти майбутнім скаргам. Якщо хтось скаже вам, що подає скаргу регулятору, вам не потрібно повідомляти регулятора. Регулятор сам зв’яжеться, якщо йому знадобиться додаткова інформація.
🇺🇦 Все буде Україна! Наближаємо нашу Перемогу!
_________
ℹ️ Джерела:
🔹Інструкція ICO
#Інформаційна_безпека
🛡 АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Як пам’ятаємо, WP29 випустили найсвіжіший гайд з анонімізації, з best practices та рекомендаціями, ще далекого 2014 року. Здавалося б, за 8 років мав відбутися цілий технологічний прорив. Направду ж – ніт, але давайте подивимося ближче.
❓Чи з’явилися нові техніки анонімізації?
За нашим скромним дослідженням, зовсім нових технік серед best practices не згадують.
Техніки, рекомендовані WP29, і зараз залишаються базовими та найбільш поширеними. Безперечно, ці методи ускладнюють та часто комбінують по-різному, однак основа – це k-анонімність, l-урізноманітнення, Т-наближення, диференційована приватність.
❓Чи є нові напрямки розвитку анонімізації?
Звичайно, їх безліч. З найбільш практичних проблем:
🔹Приватність груп користувачів: Більшість наявних підходів зосереджені виключно на приватності окремої особи. Наприклад, модель k-анонімності створює класи з k-користувачами в кожному класі. З одного боку, цей підхід ховає кожного користувача в натовпі інших k-користувачів. З іншого боку, він явно розкриває інформацію про групи користувачів.
🔹 Втрата інформації через надмірне узагальнення: Більшість підходів анонімізують кожен параметр у наборі даних або питому частину. Оскільки деякі параметри не є вразливими з точки зору приватності, їхнє узагальнення значно впливає на корисність даних.
🔹Вибіркова анонімізація: У кожної людини різні вимоги та занепокоєння щодо приватності. Наприклад, у соціальній мережі деякі користувачі хочуть приховати лише інформацію про стосунки (тобто коханця), тоді як деякі користувачі можуть захотіти приховати всю інформацію про соціальні зв’язки (тобто всіх друзів). І тут ми говоримо не просто приховати від загалу, але й від контролера, процесорів тощо.
🔹Анонімізація незбалансованих наборів даних: У деяких випадках розподіл значень у наборі даних є нерівномірним, і його анонімізація є дуже складною. У таких наборах даних застосування жорстких обмежень, таких як створення кожного класу l- різноманітним або t-близьким, на практиці неможливе.
❓Чи очікувати технологічного прориву?
You never know, але навряд.
По-перше, у перегонах озброєнь між анонімізацією і повторною ідентифікацією реідентифікатори постійно переважають. У публічному доступі можна віднайти дуже багато ключів до дешифрації даних, та й ніхто не скасовував хакерів.
По-друге, давайте дивитися правді в очі. Повна анонімізація майже не несе практичної цінності. Якщо повністю почистити ваші набори даних, ви зможете їх використати лише для статистики в дуже обмеженому вигляді. Відповідно, немає сенсу розробляти такі всеохоплюючі технології анонімізації, хіба якщо це ваше хобі.
🤔То що робити
Прийняти концепцію анонімізації такою, як є, та оцінити вже розроблені підходи❤️🩹
Не забувайте, що ваша мета не просто анонімізувати, а досягти компромісу між приватністю та цілями обробки. Комплексу різних PET та організаційних заходів на практиці цілком достатньо. Вірте в себе та ваших СТО.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Стаття 1: Узагальнююче дослідження технік анонімізації
🔹Стаття 2: Дослідження окремих способів анонімізації
🔹Стаття 3: Анонімізація неструктурованих даних
🔹Книга BROKEN PROMISES OF PRIVACY: RESPONDING TO THE SURPRISING FAILURE OF ANONYMIZATION, Paul Ohm
🛡 АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Як пам’ятаємо, WP29 випустили найсвіжіший гайд з анонімізації, з best practices та рекомендаціями, ще далекого 2014 року. Здавалося б, за 8 років мав відбутися цілий технологічний прорив. Направду ж – ніт, але давайте подивимося ближче.
❓Чи з’явилися нові техніки анонімізації?
За нашим скромним дослідженням, зовсім нових технік серед best practices не згадують.
Техніки, рекомендовані WP29, і зараз залишаються базовими та найбільш поширеними. Безперечно, ці методи ускладнюють та часто комбінують по-різному, однак основа – це k-анонімність, l-урізноманітнення, Т-наближення, диференційована приватність.
❓Чи є нові напрямки розвитку анонімізації?
Звичайно, їх безліч. З найбільш практичних проблем:
🔹Приватність груп користувачів: Більшість наявних підходів зосереджені виключно на приватності окремої особи. Наприклад, модель k-анонімності створює класи з k-користувачами в кожному класі. З одного боку, цей підхід ховає кожного користувача в натовпі інших k-користувачів. З іншого боку, він явно розкриває інформацію про групи користувачів.
🔹 Втрата інформації через надмірне узагальнення: Більшість підходів анонімізують кожен параметр у наборі даних або питому частину. Оскільки деякі параметри не є вразливими з точки зору приватності, їхнє узагальнення значно впливає на корисність даних.
🔹Вибіркова анонімізація: У кожної людини різні вимоги та занепокоєння щодо приватності. Наприклад, у соціальній мережі деякі користувачі хочуть приховати лише інформацію про стосунки (тобто коханця), тоді як деякі користувачі можуть захотіти приховати всю інформацію про соціальні зв’язки (тобто всіх друзів). І тут ми говоримо не просто приховати від загалу, але й від контролера, процесорів тощо.
🔹Анонімізація незбалансованих наборів даних: У деяких випадках розподіл значень у наборі даних є нерівномірним, і його анонімізація є дуже складною. У таких наборах даних застосування жорстких обмежень, таких як створення кожного класу l- різноманітним або t-близьким, на практиці неможливе.
❓Чи очікувати технологічного прориву?
You never know, але навряд.
По-перше, у перегонах озброєнь між анонімізацією і повторною ідентифікацією реідентифікатори постійно переважають. У публічному доступі можна віднайти дуже багато ключів до дешифрації даних, та й ніхто не скасовував хакерів.
По-друге, давайте дивитися правді в очі. Повна анонімізація майже не несе практичної цінності. Якщо повністю почистити ваші набори даних, ви зможете їх використати лише для статистики в дуже обмеженому вигляді. Відповідно, немає сенсу розробляти такі всеохоплюючі технології анонімізації, хіба якщо це ваше хобі.
🤔То що робити
Прийняти концепцію анонімізації такою, як є, та оцінити вже розроблені підходи❤️🩹
Не забувайте, що ваша мета не просто анонімізувати, а досягти компромісу між приватністю та цілями обробки. Комплексу різних PET та організаційних заходів на практиці цілком достатньо. Вірте в себе та ваших СТО.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Стаття 1: Узагальнююче дослідження технік анонімізації
🔹Стаття 2: Дослідження окремих способів анонімізації
🔹Стаття 3: Анонімізація неструктурованих даних
🔹Книга BROKEN PROMISES OF PRIVACY: RESPONDING TO THE SURPRISING FAILURE OF ANONYMIZATION, Paul Ohm
#Санкції
💶 ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
Профілювання користувача використовується як основа для створення та подальшого показу персоналізованої реклами. Більшість користувачів навіть не підозрюють про гігабайти даних, які компанії збирають про них та їхню цифрову активність.
Відповідно до GDPR, правовою підставою обробки даних для профілювання має бути явна згода суб'єкта, тобто користувача. Але компанії продовжують нехтувати цією нормою заради жаданого прибутку від реклами, чим накликають на себе не тільки гнів регуляторів, але й великі штрафи.
❓Що сталося?
Німецький банк Hannoversche Volksbank теж марив новими можливостями, які надасть персоналізована реклама.
Він аналізував та оцінював дані поточних та колишніх клієнтів без їхньої згоди: обсяг покупок через застосунки, частоту використання принтеру для друку виписок, загальну суму переказів у онлайн-банкінгу порівняно зі здійсненням операцій у відділеннях тощо.
Додатково було залучено ще стороннього постачальника послуг. Крім того, результати аналізу порівнювалися з даними кредитної агенції та збагачувалися на їх основі.
Мета – виявити клієнтів, які є прихильниками електронного зв'язку, та звертатися до них електронними каналами в договірних або рекламних цілях. Більшості клієнтів інформація про обробку була надіслана заздалегідь разом з іншими документами. Однак це не замінило необхідної згоди.
❓Що було порушено?
Банк посилався на легітимний інтерес відповідно до статті 6(1)(f) GDPR. Однак ця правова підстава не дозволяє здійснювати профілювання в рекламних цілях шляхом оцінки великих масивів даних. Проведена банком оцінка балансу інтересів не відповідає вимогам. Обробка даних була незаконною.
❓Який штраф?
Державна уповноважена із захисту даних (LfD) Нижньої Саксонії оштрафувала Hannoversche Volksbank на €900,000 та змусила їхніх маркетологів спуститися з небес на землю.
При призначенні штрафу було взято до уваги, що результати оцінок не були використані. Крім того, компанія виявила готовність до співпраці.
🏆 ВИСНОВКИ
Разом з регулятором нагадуємо про баланс інтересів та розумні очікування суб'єктів.
Справді, звернення до (потенційних) клієнтів із рекламою відповідає інтересам контролера. Однак цей інтерес є менш важливим. У суб'єктів даних повинна бути можливість заперечення (яку не потрібно обґрунтовувати). Інтереси суб'єктів превалюють.
При зважуванні інтересів потрібно брати до уваги також розумні очікування клієнтів. Тому в таких випадках контролери даних не можуть посилатися на баланс інтересів і натомість мають отримати згоду.
Оскільки дані з різних сфер життя можна зв'язати між собою, залучення зовнішніх агентств дозволяє створювати більш точні профілі. Клієнти не можуть очікувати такого, тому для залучення також необхідно отримати згоду.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Пресреліз
💶 ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
Профілювання користувача використовується як основа для створення та подальшого показу персоналізованої реклами. Більшість користувачів навіть не підозрюють про гігабайти даних, які компанії збирають про них та їхню цифрову активність.
Відповідно до GDPR, правовою підставою обробки даних для профілювання має бути явна згода суб'єкта, тобто користувача. Але компанії продовжують нехтувати цією нормою заради жаданого прибутку від реклами, чим накликають на себе не тільки гнів регуляторів, але й великі штрафи.
❓Що сталося?
Німецький банк Hannoversche Volksbank теж марив новими можливостями, які надасть персоналізована реклама.
Він аналізував та оцінював дані поточних та колишніх клієнтів без їхньої згоди: обсяг покупок через застосунки, частоту використання принтеру для друку виписок, загальну суму переказів у онлайн-банкінгу порівняно зі здійсненням операцій у відділеннях тощо.
Додатково було залучено ще стороннього постачальника послуг. Крім того, результати аналізу порівнювалися з даними кредитної агенції та збагачувалися на їх основі.
Мета – виявити клієнтів, які є прихильниками електронного зв'язку, та звертатися до них електронними каналами в договірних або рекламних цілях. Більшості клієнтів інформація про обробку була надіслана заздалегідь разом з іншими документами. Однак це не замінило необхідної згоди.
❓Що було порушено?
Банк посилався на легітимний інтерес відповідно до статті 6(1)(f) GDPR. Однак ця правова підстава не дозволяє здійснювати профілювання в рекламних цілях шляхом оцінки великих масивів даних. Проведена банком оцінка балансу інтересів не відповідає вимогам. Обробка даних була незаконною.
❓Який штраф?
Державна уповноважена із захисту даних (LfD) Нижньої Саксонії оштрафувала Hannoversche Volksbank на €900,000 та змусила їхніх маркетологів спуститися з небес на землю.
При призначенні штрафу було взято до уваги, що результати оцінок не були використані. Крім того, компанія виявила готовність до співпраці.
🏆 ВИСНОВКИ
Разом з регулятором нагадуємо про баланс інтересів та розумні очікування суб'єктів.
Справді, звернення до (потенційних) клієнтів із рекламою відповідає інтересам контролера. Однак цей інтерес є менш важливим. У суб'єктів даних повинна бути можливість заперечення (яку не потрібно обґрунтовувати). Інтереси суб'єктів превалюють.
При зважуванні інтересів потрібно брати до уваги також розумні очікування клієнтів. Тому в таких випадках контролери даних не можуть посилатися на баланс інтересів і натомість мають отримати згоду.
Оскільки дані з різних сфер життя можна зв'язати між собою, залучення зовнішніх агентств дозволяє створювати більш точні профілі. Клієнти не можуть очікувати такого, тому для залучення також необхідно отримати згоду.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Пресреліз