#Інформаційна_безпека
🛡RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
Для захисту даних важливо розуміти ризики та загрози. Нещодавно ENISA опублікувала дослідження атак ransomware (програм-вимагачів) за період з травня 2021 до червня 2022 року. В агенції наголошують, що хоча цей вид атак існує давно, останнім часом він набув нових варіантів та все ще поширений. Нижче говоримо про атаки ransomware та їх статистику.
📍Атаки ransomware
При атаці ransomware особи беруть під контроль активи організацій та вимагають викуп в обмін на повернення доступу до активу. ENISA пропонує виділити їх типи за такими ключовими елементами:
🔹 Активи – проти чого спрямована атака. Це можуть бути дані, вебсайт, екрани моніторів, облікові записи, пам'ять пристроїв, хмарні середовища тощо.
🔹 Дії – що хакери роблять з активами і як перехоплюють контроль: блокування, шифрування, видалення та крадіжка, але тут все залежить від фантазії хакера.
🔹 Шантаж – кульмінація атаки, до якого розвитку подій бути готовим.
По-перше, не всі атаки мотивовані фінансово. За даними ENISA іноді вимагають навіть змін у корпоративних політиках, стратегіях компанії, передати вірус іншим особам тощо. По-друге, хакери використовують багато важелів у перемовинах: оприлюднення атаки, частковий або повний витік даних, DDoS атаки на цільову інфраструктуру та інші.
📍Статистика та наслідки
З 3 640 атак ransomware, що за даними ENISA відбулись з травня 2021 по червень 2022 року по всьому світу, організація розглянула 623 атаки з особливим фокусом на Європу, Англію та США.
За результатами дослідження:
🔹 У 46,2% постраждали саме дані. В середньому це понад 10 терабайт даних на місяць.
🔹 58,2% викрадених даних містять персональні дані. З них 33% - це дані працівників, 18,3% - дані клієнтів.
🔹 У 37,88% інцидентів зловмисники повністю опублікували дані, що свідчить про невдачу перемовин. Приблизно 62,12% компаній вдалось якимось чином дійти згоди або вирішити питання щодо вимоги хакерів.
🔹 Топ-3 країни за кількістю атак: США, Німеччина та Франція.
🔹 Постраждали компанії будь-якого розміру в усіх можливих секторах. Топ-3 галузей, що постраждали: важка промисловість, інформаційні послуги, державний сектор.
🔹 Топ-3 види програм-агентів для атаки:
🔸LockBit (зазвичай шифрують дані та погрожують їх повною публікацією; частіше використовуються для шифрування фінансових даних та атак на компанії та уряд)
🔸Conti (система вимагання аналогічна LockBit; частіше помічений у Північній Америці та Західній Європі; часто страждають роздрібна торгівля, виробництво, будівництво)
🔸Hive (зазвичай використовує потрійну систему вимагання: викрадення даних, часткова публікація даних, DDoS атаки; часто зустрічається в секторі здоров’я)
*Для ваших IT-фахівців буде також цікаво подивитись на особливості побудови агентів та шляхи, які вони зазвичай використовують для проникнення в систему та дій з даними.
🏆 ВИСНОВКИ
Як бачимо, будь-хто може стати мішенню атак ransomware. Майже у половині інцидентів страждають саме дані, з яких левова частка - персональні. Рекомендуємо звернути увагу та оцінити ризики для вашої організації, аби завжди бути готовими до будь-яких обставин.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Дослідження ENISA
🔹Огляд агентів ransomware
🛡RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
Для захисту даних важливо розуміти ризики та загрози. Нещодавно ENISA опублікувала дослідження атак ransomware (програм-вимагачів) за період з травня 2021 до червня 2022 року. В агенції наголошують, що хоча цей вид атак існує давно, останнім часом він набув нових варіантів та все ще поширений. Нижче говоримо про атаки ransomware та їх статистику.
📍Атаки ransomware
При атаці ransomware особи беруть під контроль активи організацій та вимагають викуп в обмін на повернення доступу до активу. ENISA пропонує виділити їх типи за такими ключовими елементами:
🔹 Активи – проти чого спрямована атака. Це можуть бути дані, вебсайт, екрани моніторів, облікові записи, пам'ять пристроїв, хмарні середовища тощо.
🔹 Дії – що хакери роблять з активами і як перехоплюють контроль: блокування, шифрування, видалення та крадіжка, але тут все залежить від фантазії хакера.
🔹 Шантаж – кульмінація атаки, до якого розвитку подій бути готовим.
По-перше, не всі атаки мотивовані фінансово. За даними ENISA іноді вимагають навіть змін у корпоративних політиках, стратегіях компанії, передати вірус іншим особам тощо. По-друге, хакери використовують багато важелів у перемовинах: оприлюднення атаки, частковий або повний витік даних, DDoS атаки на цільову інфраструктуру та інші.
📍Статистика та наслідки
З 3 640 атак ransomware, що за даними ENISA відбулись з травня 2021 по червень 2022 року по всьому світу, організація розглянула 623 атаки з особливим фокусом на Європу, Англію та США.
За результатами дослідження:
🔹 У 46,2% постраждали саме дані. В середньому це понад 10 терабайт даних на місяць.
🔹 58,2% викрадених даних містять персональні дані. З них 33% - це дані працівників, 18,3% - дані клієнтів.
🔹 У 37,88% інцидентів зловмисники повністю опублікували дані, що свідчить про невдачу перемовин. Приблизно 62,12% компаній вдалось якимось чином дійти згоди або вирішити питання щодо вимоги хакерів.
🔹 Топ-3 країни за кількістю атак: США, Німеччина та Франція.
🔹 Постраждали компанії будь-якого розміру в усіх можливих секторах. Топ-3 галузей, що постраждали: важка промисловість, інформаційні послуги, державний сектор.
🔹 Топ-3 види програм-агентів для атаки:
🔸LockBit (зазвичай шифрують дані та погрожують їх повною публікацією; частіше використовуються для шифрування фінансових даних та атак на компанії та уряд)
🔸Conti (система вимагання аналогічна LockBit; частіше помічений у Північній Америці та Західній Європі; часто страждають роздрібна торгівля, виробництво, будівництво)
🔸Hive (зазвичай використовує потрійну систему вимагання: викрадення даних, часткова публікація даних, DDoS атаки; часто зустрічається в секторі здоров’я)
*Для ваших IT-фахівців буде також цікаво подивитись на особливості побудови агентів та шляхи, які вони зазвичай використовують для проникнення в систему та дій з даними.
🏆 ВИСНОВКИ
Як бачимо, будь-хто може стати мішенню атак ransomware. Майже у половині інцидентів страждають саме дані, з яких левова частка - персональні. Рекомендуємо звернути увагу та оцінити ризики для вашої організації, аби завжди бути готовими до будь-яких обставин.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Дослідження ENISA
🔹Огляд агентів ransomware
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [12.09 — 18.09]
① Європейська комісія оприлюднила проект Закону про кіберстійкість. Закон підвищує стандарти правил кібербезпеки та сприятиме «більш безпечному апаратному та програмному забезпеченню». Закон має на меті усунути вразливості кібербезпеки і краще інформувати користувачів. Закон вимагатиме від виробників програмного та апаратного забезпечення покращити безпеку продуктів від етапу проектування протягом життєвого циклу продуктів.
➁ Європейська рада із захисту даних оприлюднила заяву 03/2022 щодо Європейського кодексу поліцейської співпраці.
➂ Іспанський регулятор запустив інструмент для аналізу факторів ризику обробки персональних даних відповідно до GDPR. Цей інструмент дозволяє компаніям швидко провести оцінку ризиків обробки даних.
➃ В Каліфорнії підписаний Закон про віково-відповідний дизайн, який набуде чинності 1 липня 2024 року. Закон вводить вимоги до компаній, які надають онлайн-послуги чи продукти, до яких може мати доступ дитина, та вимагає, щоб усі параметри приватності за замовчуванням забезпечували високий рівень захисту приватності, і що інформація про приватність, умови обслуговування, політики та стандарти були стислими, помітними та зрозумілими для віку дітей.
➄ Privacy International випустила звіт про захист приватності при наскрізному шифруванні.
➅ З´явилося рішення Ірландського регулятора, яким накладено штраф 405 мільйонів євро на Instagram.
➆ Регулятор Кореї наклав штраф у розмірі 69,2 мільярда KRW (приблизно 50 мільйонів євро) на Google LLC і штраф у розмірі 30,8 мільярда KRW (приблизно. 22 мільйони євро) на Meta Platforms, Inc.
➇ Регулятор Франції (CNIL) оштрафував постачальника юридичних послуг Infogreffe на 250 000 євро. Було виявило порушення вимог щодо зберігання даних згідно зі ст. 5(1)(e) GDPR та зобов’язань щодо безпеки даних згідно зі ст. 32. Дані 25% користувачів Infogreffe зберігалися на веб-сайті понад заявлений 36-місячний період.
➈ Італійський регулятор постановив, що муніципалітет порушив статті 5, 12, 13 і 24 GDPR через використання своєї системи відеоспостереження, і порушив статтю 38(6) GDPR, призначивши свого DPO для захисту в судовому процесі.
➉ Данський регулятор ухвалив догану процесору за порушення статті 32(1) GDPR через недостатнє тестування нової функціональності системи, що призвело до того, що опікуна та піклувальники отримали доступ до інформації про прийомних дітей.
⑪ Данський регулятор ухвалив догану контролеру за порушення ст. 5 GDPR через відсутність достатньо чітких процедур аудиту процесорів та дотримання існуючих процедур.
⑫ Бельгійський регулятор оштрафував медичну лабораторію на 20 000 євро за порушення статей 5(1)(f), 12, 13, 14, 24, 25, 32, 35(1) і 35(3) GDPR через відсутність безпеки даних, політики приватності на своєму веб-сайті, а також неіснуючу оцінку впливу на захист даних.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [12.09 — 18.09]
① Європейська комісія оприлюднила проект Закону про кіберстійкість. Закон підвищує стандарти правил кібербезпеки та сприятиме «більш безпечному апаратному та програмному забезпеченню». Закон має на меті усунути вразливості кібербезпеки і краще інформувати користувачів. Закон вимагатиме від виробників програмного та апаратного забезпечення покращити безпеку продуктів від етапу проектування протягом життєвого циклу продуктів.
➁ Європейська рада із захисту даних оприлюднила заяву 03/2022 щодо Європейського кодексу поліцейської співпраці.
➂ Іспанський регулятор запустив інструмент для аналізу факторів ризику обробки персональних даних відповідно до GDPR. Цей інструмент дозволяє компаніям швидко провести оцінку ризиків обробки даних.
➃ В Каліфорнії підписаний Закон про віково-відповідний дизайн, який набуде чинності 1 липня 2024 року. Закон вводить вимоги до компаній, які надають онлайн-послуги чи продукти, до яких може мати доступ дитина, та вимагає, щоб усі параметри приватності за замовчуванням забезпечували високий рівень захисту приватності, і що інформація про приватність, умови обслуговування, політики та стандарти були стислими, помітними та зрозумілими для віку дітей.
➄ Privacy International випустила звіт про захист приватності при наскрізному шифруванні.
➅ З´явилося рішення Ірландського регулятора, яким накладено штраф 405 мільйонів євро на Instagram.
➆ Регулятор Кореї наклав штраф у розмірі 69,2 мільярда KRW (приблизно 50 мільйонів євро) на Google LLC і штраф у розмірі 30,8 мільярда KRW (приблизно. 22 мільйони євро) на Meta Platforms, Inc.
➇ Регулятор Франції (CNIL) оштрафував постачальника юридичних послуг Infogreffe на 250 000 євро. Було виявило порушення вимог щодо зберігання даних згідно зі ст. 5(1)(e) GDPR та зобов’язань щодо безпеки даних згідно зі ст. 32. Дані 25% користувачів Infogreffe зберігалися на веб-сайті понад заявлений 36-місячний період.
➈ Італійський регулятор постановив, що муніципалітет порушив статті 5, 12, 13 і 24 GDPR через використання своєї системи відеоспостереження, і порушив статтю 38(6) GDPR, призначивши свого DPO для захисту в судовому процесі.
➉ Данський регулятор ухвалив догану процесору за порушення статті 32(1) GDPR через недостатнє тестування нової функціональності системи, що призвело до того, що опікуна та піклувальники отримали доступ до інформації про прийомних дітей.
⑪ Данський регулятор ухвалив догану контролеру за порушення ст. 5 GDPR через відсутність достатньо чітких процедур аудиту процесорів та дотримання існуючих процедур.
⑫ Бельгійський регулятор оштрафував медичну лабораторію на 20 000 євро за порушення статей 5(1)(f), 12, 13, 14, 24, 25, 32, 35(1) і 35(3) GDPR через відсутність безпеки даних, політики приватності на своєму веб-сайті, а також неіснуючу оцінку впливу на захист даних.
🇺🇦 Все буде Україна!
#Академія_приватності
🔍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Ми оголошуємо набір студентів університетів для участі в “Академії приватності”!
А говорили, що захід для викладачів 🧐
Все правильно! Нашою основною цільовою аудиторією є викладачі закладів вищої освіти. Однак кінцева мета “Академії приватності” – не лише поглибити знання українських викладачів, але й створити навчальну програму із захисту персональних даних для студентів українських університетів.
Ця програма, а також система її викладання мають відповідати сучасним тенденціям, а головне – потребам і запитам студентів. Тому думка прогресивного студентства обов’язково має бути врахована.
Для більш ефективної роботи у кожну з команд викладачів різних спеціальностей ми прагнемо залучити студента, який допоможе врахувати інтереси здобувачів освіти, адаптувати новітні форми викладання.
Запрошуємо долучитися до “Академії приватності” студентів старших курсів ЗВО у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і мають своє бачення щодо вдосконалення системи викладання в українських закладах вищої освіти.
Серед усіх кандидатів ми оберемо 6 студентів, які 12–16 жовтня зможуть долучитися до “Академії приватності” онлайн чи офлайн у м. Києві.
Для участі необхідно до 30 вересня заповнити анкету за посиланням: https://forms.gle/UMEmDAMyQTM7iKbx5
Ми чекаємо на заявки і будемо вдячні, якщо розкажете про цю можливість знайомим студентам.
🇺🇦 Все буде Україна!
🔍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Ми оголошуємо набір студентів університетів для участі в “Академії приватності”!
А говорили, що захід для викладачів 🧐
Все правильно! Нашою основною цільовою аудиторією є викладачі закладів вищої освіти. Однак кінцева мета “Академії приватності” – не лише поглибити знання українських викладачів, але й створити навчальну програму із захисту персональних даних для студентів українських університетів.
Ця програма, а також система її викладання мають відповідати сучасним тенденціям, а головне – потребам і запитам студентів. Тому думка прогресивного студентства обов’язково має бути врахована.
Для більш ефективної роботи у кожну з команд викладачів різних спеціальностей ми прагнемо залучити студента, який допоможе врахувати інтереси здобувачів освіти, адаптувати новітні форми викладання.
Запрошуємо долучитися до “Академії приватності” студентів старших курсів ЗВО у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і мають своє бачення щодо вдосконалення системи викладання в українських закладах вищої освіти.
Серед усіх кандидатів ми оберемо 6 студентів, які 12–16 жовтня зможуть долучитися до “Академії приватності” онлайн чи офлайн у м. Києві.
Для участі необхідно до 30 вересня заповнити анкету за посиланням: https://forms.gle/UMEmDAMyQTM7iKbx5
Ми чекаємо на заявки і будемо вдячні, якщо розкажете про цю можливість знайомим студентам.
🇺🇦 Все буде Україна!
#а_як_у_нас
🇺🇦 ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
Вже півроку йдуть активні бойові дії з російськими окупантами. Наші хлопці та дівчата метр за метром просувають лінію фронту, аби повністю звільнити нашу славну Україну. Але бойові дії тривають, і через повномасштабну агресію рф мільйони українців були вимушені покинути свої домівки. Відповідно, держава має надати допомогу внутрішньо переміщеним особам (ВПО).
Наразі органи державної влади та органи місцевого самоврядування отримують інформацію від ВПО через Google-форми. Офіс Уповноваженого з прав людини звернув увагу на цей факт і надав свої рекомендації.
🔸Використання Google-форм
Перше, на що звертає увагу Уповноважений, – це, власне, склад та зміст персональних даних, що обробляються з використанням гугл-форм. Даних, дійсно, немало, але цікавий інший момент: використання таких форм не відповідає вимогам законодавства про захист персональних даних. Так, відповідно до статті 4 ЗУ “Про ЗПД”, якщо володілець персональних даних є представником публічного сектору, то і розпорядником даних обов'язково має бути саме підприємство державної або комунальної форми власності.
🔸Повідомлення про обробку даних і підстава для обробки даних
Інше порушення, яке впадає в око – це типове для України ігнорування статті 12 Закону, тобто неповідомлення про обробку персональних даних. Більше того, майже кожна гугл-форма за давньою української традицією має чекбокс на отримання згоди. Але публічному сектору не потрібна згода на обробку персональних даних, адже для них є власна підстава, регламентована п. 2 ч.1 ст. 11 ЗУ “Про ЗПД”: на манер регламенту “паблік інтерест”, на наш манер – “дозвіл на обробку персональних даних”. Відповідно, згода не потрібна.
🔸Що ж рекомендує Уповноважений?
Очевидно, що усунути порушення захисту персональних даних і права на приватність. Тому органи публічної влади мають відмовитися від використання гугл-форм і використовувати власні офіційні вебсайти для обробки даних ВПО. Крім того, Уповноважений рекомендує провести фактично GDPR-compliance, а саме:
🔹Визначити мету обробки
🔹Визначити підстави для обробки
🔹Розробити повідомлення про обробку персональних даних
🔹Визначити порядок обробки персональних даних, враховуючи Типовий порядок обробки персональних даних
🔹Визначити перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки
🔹Визначити організаційні заходи
🔹Підписати із працівниками NDA
🔹Призначити DPO
🔹Визначити, чи проводиться обробка чутливих даних і, якщо так, то повідомити про це Уповноваженого
🏆 ВИСНОВКИ
Той факт, що Уповноважений звертає увагу на такі питання захисту персональних даних, вже є позитивною тенденцією. Сподіваємося, що важливі зрушення у розумінні та підходах до захисту персональних даних у подальшому будуть стосуватися усіх секторів та галузей економіки України.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рекомендації Уповноваженого Верховної Ради України з прав людини щодо деяких питань обробки персональних даних внутрішньо переміщених осіб органами державної влади та органами місцевого самоврядування
🇺🇦 ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
Вже півроку йдуть активні бойові дії з російськими окупантами. Наші хлопці та дівчата метр за метром просувають лінію фронту, аби повністю звільнити нашу славну Україну. Але бойові дії тривають, і через повномасштабну агресію рф мільйони українців були вимушені покинути свої домівки. Відповідно, держава має надати допомогу внутрішньо переміщеним особам (ВПО).
Наразі органи державної влади та органи місцевого самоврядування отримують інформацію від ВПО через Google-форми. Офіс Уповноваженого з прав людини звернув увагу на цей факт і надав свої рекомендації.
🔸Використання Google-форм
Перше, на що звертає увагу Уповноважений, – це, власне, склад та зміст персональних даних, що обробляються з використанням гугл-форм. Даних, дійсно, немало, але цікавий інший момент: використання таких форм не відповідає вимогам законодавства про захист персональних даних. Так, відповідно до статті 4 ЗУ “Про ЗПД”, якщо володілець персональних даних є представником публічного сектору, то і розпорядником даних обов'язково має бути саме підприємство державної або комунальної форми власності.
🔸Повідомлення про обробку даних і підстава для обробки даних
Інше порушення, яке впадає в око – це типове для України ігнорування статті 12 Закону, тобто неповідомлення про обробку персональних даних. Більше того, майже кожна гугл-форма за давньою української традицією має чекбокс на отримання згоди. Але публічному сектору не потрібна згода на обробку персональних даних, адже для них є власна підстава, регламентована п. 2 ч.1 ст. 11 ЗУ “Про ЗПД”: на манер регламенту “паблік інтерест”, на наш манер – “дозвіл на обробку персональних даних”. Відповідно, згода не потрібна.
🔸Що ж рекомендує Уповноважений?
Очевидно, що усунути порушення захисту персональних даних і права на приватність. Тому органи публічної влади мають відмовитися від використання гугл-форм і використовувати власні офіційні вебсайти для обробки даних ВПО. Крім того, Уповноважений рекомендує провести фактично GDPR-compliance, а саме:
🔹Визначити мету обробки
🔹Визначити підстави для обробки
🔹Розробити повідомлення про обробку персональних даних
🔹Визначити порядок обробки персональних даних, враховуючи Типовий порядок обробки персональних даних
🔹Визначити перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки
🔹Визначити організаційні заходи
🔹Підписати із працівниками NDA
🔹Призначити DPO
🔹Визначити, чи проводиться обробка чутливих даних і, якщо так, то повідомити про це Уповноваженого
🏆 ВИСНОВКИ
Той факт, що Уповноважений звертає увагу на такі питання захисту персональних даних, вже є позитивною тенденцією. Сподіваємося, що важливі зрушення у розумінні та підходах до захисту персональних даних у подальшому будуть стосуватися усіх секторів та галузей економіки України.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рекомендації Уповноваженого Верховної Ради України з прав людини щодо деяких питань обробки персональних даних внутрішньо переміщених осіб органами державної влади та органами місцевого самоврядування
#Санкції
💶 ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
Ірландський регулятор DPC оштрафував компанію Meta за порушення GDPR за результатами дворічного розслідування щодо обробки даних дітей соціальною мережею Instagram. Це найбільший штраф, накладений ірландським регулятором, та другий за величиною за історію GDPR.
📍Контекст
Через негативний вплив вдобайок на психічне здоров'я неповнолітніх, Instagram приховав відображення кількості вподобайок під дописами від користувачів соцмережі. Ця зміна підштовхнула неповнолітніх до створення бізнес-акаунтів, щоб скористатися додатковими функціями, наприклад, статистикою щодо вподобайок.
❓У чому полягало правопорушення?
Розслідування щодо Instagram було зосереджено на двох питаннях:
🔹Публікація даних. Підліткам у віці 13-17 років було дозволено вести "бізнес-акаунти" в Instagram, що призвело до публікації номерів телефонів та адрес електронної пошти користувачів.
🔹Публічність. Всі акаунти, включаючи акаунти дітей, за замовчуванням були встановлені як загальнодоступні, якщо не змінити налаштування приватності.
❓Які правові підстави були використані помилково?
🔻Виконання договору. Обробка не була необхідна для виконання договору, а публікація контактних даних – очікуваною. Порушено принципу пропорційності. Була технічна можливість під час реєстрації відрізнити дітей-користувачів на основі інформації про вік і уникнути публікації їхніх контактних даних.
🔻Легітимний інтерес. Відсутність збалансованості. Діти не були попереджені про те, що їх контактні дані стануть публічними. Інформація про обробку не була достатньо прозорою та зрозумілою. Також не були застосовані достатні та адекватні додаткові гарантії.
🔻Публічність за замовчуванням. Порушено принципи мінімізації та приватності за замовчуванням: дані користувачів-дітей, які бажали мати приватний акаунт в Instagram, не обмежувалися лише тим, що було необхідним для такої мети обробки. До того ж, Meta не провела DPIA.
❓Як визначили штраф?
У грудні 2021 року DPC подав проєкт рішення до всіх європейських зацікавлених наглядових органів. Оскільки деякі держави-члени висловили заперечення, DPC передав справу на розгляд EDPB. Після обов'язкового до виконання рішення EDPB від 28.07.2022 року, DPC оголосив своє остаточне рішення щодо Meta, наклавши штраф у розмірі €405 млн та низку коригувальних заходів:
🔹надавати користувачам-дітям інформацію у чіткій та прозорій формі;
🔹повідомити всіх користувачів, які перейшли на бізнес-акаунт в період з 25.05.2018 по 04.09.2019 та були дітьми, про те, що компанія скасувала вимогу про публікацію контактної інформації;
🔹провести DPIA;
🔹переглянути підстави обробки даних.
За заявою Meta, компанія повною мірою співпрацювала з DPC під час розслідування, але не погоджується із сумою штрафу. Рік тому Meta оновила налаштування: для всіх, кому не виповнилося 18 років, автоматично встановлюється приватний статус облікового запису, тому тільки люди, яких вони знають, можуть бачити те, що вони публікують, і дорослі не можуть надсилати повідомлення підліткам, які не “стежать” за ними.
🏆 ВИСНОВКИ
Штраф є знаковим не лише через кількість нулів, але й тому, що він показує, наскільки чутливим стає питання захисту неповнолітніх. У роботі з даними дітей необхідно бути ще більш обережними та забезпечувати найсуворіші налаштування приватності за замовчуванням.
38 стаття преамбули GDPR підкреслює, що у випадках, коли дані дітей використовуються для створення профілів користувачів, повинні застосовуватися спеціальні засоби захисту, оскільки діти можуть бути менш обізнані про ризики, наслідки та гарантії, а також про свої права щодо обробки їхніх даних.
Наразі ірландський регулятор готує щонайменше 6 інших розслідувань щодо сервісів, що належать Meta, а також розслідує обробку даних дітей TikTok. Тому очікуйте нових дописів у рубриці #Санкції.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора
💶 ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
Ірландський регулятор DPC оштрафував компанію Meta за порушення GDPR за результатами дворічного розслідування щодо обробки даних дітей соціальною мережею Instagram. Це найбільший штраф, накладений ірландським регулятором, та другий за величиною за історію GDPR.
📍Контекст
Через негативний вплив вдобайок на психічне здоров'я неповнолітніх, Instagram приховав відображення кількості вподобайок під дописами від користувачів соцмережі. Ця зміна підштовхнула неповнолітніх до створення бізнес-акаунтів, щоб скористатися додатковими функціями, наприклад, статистикою щодо вподобайок.
❓У чому полягало правопорушення?
Розслідування щодо Instagram було зосереджено на двох питаннях:
🔹Публікація даних. Підліткам у віці 13-17 років було дозволено вести "бізнес-акаунти" в Instagram, що призвело до публікації номерів телефонів та адрес електронної пошти користувачів.
🔹Публічність. Всі акаунти, включаючи акаунти дітей, за замовчуванням були встановлені як загальнодоступні, якщо не змінити налаштування приватності.
❓Які правові підстави були використані помилково?
🔻Виконання договору. Обробка не була необхідна для виконання договору, а публікація контактних даних – очікуваною. Порушено принципу пропорційності. Була технічна можливість під час реєстрації відрізнити дітей-користувачів на основі інформації про вік і уникнути публікації їхніх контактних даних.
🔻Легітимний інтерес. Відсутність збалансованості. Діти не були попереджені про те, що їх контактні дані стануть публічними. Інформація про обробку не була достатньо прозорою та зрозумілою. Також не були застосовані достатні та адекватні додаткові гарантії.
🔻Публічність за замовчуванням. Порушено принципи мінімізації та приватності за замовчуванням: дані користувачів-дітей, які бажали мати приватний акаунт в Instagram, не обмежувалися лише тим, що було необхідним для такої мети обробки. До того ж, Meta не провела DPIA.
❓Як визначили штраф?
У грудні 2021 року DPC подав проєкт рішення до всіх європейських зацікавлених наглядових органів. Оскільки деякі держави-члени висловили заперечення, DPC передав справу на розгляд EDPB. Після обов'язкового до виконання рішення EDPB від 28.07.2022 року, DPC оголосив своє остаточне рішення щодо Meta, наклавши штраф у розмірі €405 млн та низку коригувальних заходів:
🔹надавати користувачам-дітям інформацію у чіткій та прозорій формі;
🔹повідомити всіх користувачів, які перейшли на бізнес-акаунт в період з 25.05.2018 по 04.09.2019 та були дітьми, про те, що компанія скасувала вимогу про публікацію контактної інформації;
🔹провести DPIA;
🔹переглянути підстави обробки даних.
За заявою Meta, компанія повною мірою співпрацювала з DPC під час розслідування, але не погоджується із сумою штрафу. Рік тому Meta оновила налаштування: для всіх, кому не виповнилося 18 років, автоматично встановлюється приватний статус облікового запису, тому тільки люди, яких вони знають, можуть бачити те, що вони публікують, і дорослі не можуть надсилати повідомлення підліткам, які не “стежать” за ними.
🏆 ВИСНОВКИ
Штраф є знаковим не лише через кількість нулів, але й тому, що він показує, наскільки чутливим стає питання захисту неповнолітніх. У роботі з даними дітей необхідно бути ще більш обережними та забезпечувати найсуворіші налаштування приватності за замовчуванням.
38 стаття преамбули GDPR підкреслює, що у випадках, коли дані дітей використовуються для створення профілів користувачів, повинні застосовуватися спеціальні засоби захисту, оскільки діти можуть бути менш обізнані про ризики, наслідки та гарантії, а також про свої права щодо обробки їхніх даних.
Наразі ірландський регулятор готує щонайменше 6 інших розслідувань щодо сервісів, що належать Meta, а також розслідує обробку даних дітей TikTok. Тому очікуйте нових дописів у рубриці #Санкції.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [19.09 — 25.09]
① Європейська рада із захисту даних (EDPB) випустила Висновок 25/2022 щодо критеріїв сертифікації European Privacy Seal (EuroPriSe) для сертифікації операцій обробки процесорами, будучи проти, оскільки «обсяг схеми сертифікації недостатньо чіткий»
➁ Іспанський регулятор (AEPD) і Європейський інспектор із захисту даних (EDPS) випустили спільний документ, спрямований на роз’яснення поширених помилок, пов’язаних із системами машинного навчання, підкреслюючи при цьому важливість «принципів захисту даних»
➂ Управління із захисту даних Франції (CNIL) створило проект технічних рекомендацій щодо прикладних програмних інтерфейсів (API), фідбек можна залишити до 1 листопада
➃ Берлінський регулятор оштрафував продавця роздрібної торгівлі на суму 525 000 євро за порушення вимог до DPO. Розслідування виявило ймовірний конфлікт інтересів між статусом DPO та наявності обов’язків щодо прийняття рішень, що порушувало ст. 38(6) GDPR. Компанія отримала попередження від регулятора ще у 2021 році.
➄ Регулятор Британії (ICO) розпочав другу консультацію щодо проекту кодексу журналістики. Кодекс покликаний запропонувати «практичний посібник» для медіа організацій і репортерів щодо дотримання правил захисту даних при використанні персональних даних у журналістських цілях
➅ Орган захисту даних Франції (CNIL) опублікував набір ресурсів щодо штучного інтелекту, а у своєму недавньому дослідженні щодо майбутнього регулювання штучного інтелекту, Державна рада Франції рекомендувала надати CNIL повноваження щодо накладення штрафів за порушення регулювання штучного інтелекту
➆ Регулятор Данії випустив відповіді на поширені питання щодо використання Google Analytics
➇ Британський регулятор оголосив про намір оштрафувати TikTok на 27 мільйонів фунтів за потенційні порушення щодо обробки даних неповнолітніх без згоди, незаконної обробки даних спеціальної категорії даних та недостатньої прозорості
➈ Хорватський регулятор виніс попередження банку за надмірну публікацію персональних даних переможців призових ігор на своїй веб-сторінці
➉ Хорватський регулятор визначив, що фотографія людини, яка замаскувалась в куртці та носить захисну маску не становить персональні дані, оскільки середньостатистична особа не зможе ідентифікувати таку особу
⑪ Хорватський регулятор виніс попередження Центру соціального забезпечення за порушення ст.ст. 5 та 6 GDPR, опублікувавши персональні дані своїх працівників на своїй дошці оголошень
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [19.09 — 25.09]
① Європейська рада із захисту даних (EDPB) випустила Висновок 25/2022 щодо критеріїв сертифікації European Privacy Seal (EuroPriSe) для сертифікації операцій обробки процесорами, будучи проти, оскільки «обсяг схеми сертифікації недостатньо чіткий»
➁ Іспанський регулятор (AEPD) і Європейський інспектор із захисту даних (EDPS) випустили спільний документ, спрямований на роз’яснення поширених помилок, пов’язаних із системами машинного навчання, підкреслюючи при цьому важливість «принципів захисту даних»
➂ Управління із захисту даних Франції (CNIL) створило проект технічних рекомендацій щодо прикладних програмних інтерфейсів (API), фідбек можна залишити до 1 листопада
➃ Берлінський регулятор оштрафував продавця роздрібної торгівлі на суму 525 000 євро за порушення вимог до DPO. Розслідування виявило ймовірний конфлікт інтересів між статусом DPO та наявності обов’язків щодо прийняття рішень, що порушувало ст. 38(6) GDPR. Компанія отримала попередження від регулятора ще у 2021 році.
➄ Регулятор Британії (ICO) розпочав другу консультацію щодо проекту кодексу журналістики. Кодекс покликаний запропонувати «практичний посібник» для медіа організацій і репортерів щодо дотримання правил захисту даних при використанні персональних даних у журналістських цілях
➅ Орган захисту даних Франції (CNIL) опублікував набір ресурсів щодо штучного інтелекту, а у своєму недавньому дослідженні щодо майбутнього регулювання штучного інтелекту, Державна рада Франції рекомендувала надати CNIL повноваження щодо накладення штрафів за порушення регулювання штучного інтелекту
➆ Регулятор Данії випустив відповіді на поширені питання щодо використання Google Analytics
➇ Британський регулятор оголосив про намір оштрафувати TikTok на 27 мільйонів фунтів за потенційні порушення щодо обробки даних неповнолітніх без згоди, незаконної обробки даних спеціальної категорії даних та недостатньої прозорості
➈ Хорватський регулятор виніс попередження банку за надмірну публікацію персональних даних переможців призових ігор на своїй веб-сторінці
➉ Хорватський регулятор визначив, що фотографія людини, яка замаскувалась в куртці та носить захисну маску не становить персональні дані, оскільки середньостатистична особа не зможе ідентифікувати таку особу
⑪ Хорватський регулятор виніс попередження Центру соціального забезпечення за порушення ст.ст. 5 та 6 GDPR, опублікувавши персональні дані своїх працівників на своїй дошці оголошень
🇺🇦 Все буде Україна!
#Аналітика
🔬ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
20 вересня французький регулятор СNIL анонсував публічне обговорення проєкту своїх рекомендацій щодо використання application programming interfaces (APIs) для цілей безпечної передачі даних у приватному та публічному секторах. Публічне обговорення триватиме до 1 листопада 2022 року, а тому усі зацікавлені можуть поділитися своєю експертною думкою, а наприкінці року регулятор затвердить остаточні рекомендації та надасть практичний інструмент для їх впровадження.
📍Мета рекомендацій
Протягом кількох останніх років СNIL спостерігав зростання обміну персональними даними, що, на думку регулятора, викликано збільшенням інтересу до повторного використання даних для різних цілей. У зв’язку з цим, регулятор вирішив запропонувати представникам публічного та приватного секторів технічні та організаційні заходи, які відповідають найкращим практикам використання API та гарантують безпечну передачу персональних даних.
📍 Сфера застосування
Рекомендації спрямовані на визначення випадків, у яких є доцільним використання API для безпечного обміну персональними даними чи інформацією, отриманою в результаті їх анонімізації, а також на поширення певних передових практик щодо їх реалізації та використання.
У проєкті рекомендацій СNIL визначає три функціональні ролі у процесі використання API для обміну даними – володілець даних, менеджер API та повторний користувач даними, та відповідно адаптує різні категорії технічних заходів під кожну з цих ролей.
📍Випадки, коли СNIL рекомендує використовувати API
Використанню API слід надавати перевагу, коли:
🔸 дані передаються декільком повторним користувачам та/або
🔸 дані часто оновлюються, та/або
🔸 повторним користувачам потрібно регулярно отримувати доступ до них, та/або
🔸 їх зберігання повторним користувачем не є необхідним (одноразове використання або безперервна обробка без потреби у зберіганні), та/або
🔸 повторному користувачеві не потрібен постійний доступ до всіх даних, а лише до підмножини даних, яку неможливо визначити заздалегідь, та/або
🔸методи, що використовуються для гарантування безпеки, ймовірно будуть оновлені.
СNIL зауважує, що використання API дозволяє краще керувати обміном даних, з одного боку, контролюючи доступ, деталізацію даних, до яких здійснюється доступ, і, де це можливо, цілі, для яких дані використовуються, а з іншого боку, завдяки впровадженню стандартизованого інтерфейсу обміну, дозволяючи безпечну передачу інформації, пов’язаної з обміном даними (період зберігання, управління реалізацією прав тощо).
📍Ризики використання API
Серед ризиків, які виділяє СNIL:
🔸 нецільове використання даних і втрата конфіденційності;
🔸 зменшення точності даних;
🔸 втрата контролю та доступу до даних;
🔸 збільшення можливостей для потенційних атак.
📍Взаємодія між учасниками обміну даних через API
Організації, які беруть участь у обміні даними через API, повинні координувати свої дії та формалізувати свою взаємодію у документації із визначенням ролі та обов’язків кожного суб’єкта. Організації повинні налагодити співпрацю, щоб надавати чітку та повну інформацію особам щодо обробки та надання їхніх персональних даних.
🏆 ВИСНОВКИ
API змінили світ, у якому ми живемо. Вони використовуються, коли ми гортаємо соціальні мережі, здійснюємо онлайн-покупки, керуємо автомобілем або дивимося Netflix. Найважливіше, аби передача персональних даних із використанням API була безпечною, a всі актори у цьому процесі розуміли свої обов’язки та відповідальність.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Проєкт рекомендацій СNIL для публічного обговорення
🔬ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
20 вересня французький регулятор СNIL анонсував публічне обговорення проєкту своїх рекомендацій щодо використання application programming interfaces (APIs) для цілей безпечної передачі даних у приватному та публічному секторах. Публічне обговорення триватиме до 1 листопада 2022 року, а тому усі зацікавлені можуть поділитися своєю експертною думкою, а наприкінці року регулятор затвердить остаточні рекомендації та надасть практичний інструмент для їх впровадження.
📍Мета рекомендацій
Протягом кількох останніх років СNIL спостерігав зростання обміну персональними даними, що, на думку регулятора, викликано збільшенням інтересу до повторного використання даних для різних цілей. У зв’язку з цим, регулятор вирішив запропонувати представникам публічного та приватного секторів технічні та організаційні заходи, які відповідають найкращим практикам використання API та гарантують безпечну передачу персональних даних.
📍 Сфера застосування
Рекомендації спрямовані на визначення випадків, у яких є доцільним використання API для безпечного обміну персональними даними чи інформацією, отриманою в результаті їх анонімізації, а також на поширення певних передових практик щодо їх реалізації та використання.
У проєкті рекомендацій СNIL визначає три функціональні ролі у процесі використання API для обміну даними – володілець даних, менеджер API та повторний користувач даними, та відповідно адаптує різні категорії технічних заходів під кожну з цих ролей.
📍Випадки, коли СNIL рекомендує використовувати API
Використанню API слід надавати перевагу, коли:
🔸 дані передаються декільком повторним користувачам та/або
🔸 дані часто оновлюються, та/або
🔸 повторним користувачам потрібно регулярно отримувати доступ до них, та/або
🔸 їх зберігання повторним користувачем не є необхідним (одноразове використання або безперервна обробка без потреби у зберіганні), та/або
🔸 повторному користувачеві не потрібен постійний доступ до всіх даних, а лише до підмножини даних, яку неможливо визначити заздалегідь, та/або
🔸методи, що використовуються для гарантування безпеки, ймовірно будуть оновлені.
СNIL зауважує, що використання API дозволяє краще керувати обміном даних, з одного боку, контролюючи доступ, деталізацію даних, до яких здійснюється доступ, і, де це можливо, цілі, для яких дані використовуються, а з іншого боку, завдяки впровадженню стандартизованого інтерфейсу обміну, дозволяючи безпечну передачу інформації, пов’язаної з обміном даними (період зберігання, управління реалізацією прав тощо).
📍Ризики використання API
Серед ризиків, які виділяє СNIL:
🔸 нецільове використання даних і втрата конфіденційності;
🔸 зменшення точності даних;
🔸 втрата контролю та доступу до даних;
🔸 збільшення можливостей для потенційних атак.
📍Взаємодія між учасниками обміну даних через API
Організації, які беруть участь у обміні даними через API, повинні координувати свої дії та формалізувати свою взаємодію у документації із визначенням ролі та обов’язків кожного суб’єкта. Організації повинні налагодити співпрацю, щоб надавати чітку та повну інформацію особам щодо обробки та надання їхніх персональних даних.
🏆 ВИСНОВКИ
API змінили світ, у якому ми живемо. Вони використовуються, коли ми гортаємо соціальні мережі, здійснюємо онлайн-покупки, керуємо автомобілем або дивимося Netflix. Найважливіше, аби передача персональних даних із використанням API була безпечною, a всі актори у цьому процесі розуміли свої обов’язки та відповідальність.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Проєкт рекомендацій СNIL для публічного обговорення
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [26.09 — 02.10]
① Французький регулятор (CNIL) проаналізував основні типи систем перевірки віку, щоб пояснити свою позицію щодо перевірки віку в Інтернеті
➁ Французький регулятор (CNIL) створив чек-лист додержання вимог GDPR для контролерів, які керують сховищами даних про здоров’я
➂ Регулятор Словенії роз’яснив, що кожен збирач підписів на підтримку з політичною метою (референдуми, вибори) є контролером даних і тому зобов’язаний забезпечити обробку персональних даних відповідно до GDPR, в тому числі проінформувати, як він буде обробляти персональні дані
➃ Іспанський регулятор дійшов висновку, що компанія з виготовлення весільних суконь (контролер) розмістила фотографію скаржника без згоди в Instagram, чим порушила ст. 6 GDPR. Регулятор наклав на контролера штраф у розмірі 10 тисяч євро
➄ Бельгійський апеляційний суд (Марктенхоф) передав два питання до Суду Європейського Союзу: чи є рядок TC (код, що містить рішення щодо згоди користувача) персональними даними, і запитав про природу спільних контролерів
➅ Регулятор Баден-Вюртембергу оштрафував компанію з будівництва нерухомості на 50 000 євро та геодезиста на 5 000 євро за неправомірне використання даних земельної книги в порушення статей 6(1)(f) і 14 GDPR
➆ Угорський регулятор постановив, що запис голосу, який здійснив працівник контролера на свій мобільний телефон під час ремонтних робіт вдома у суб’єкта даних, про що останній не був повідомлений є незаконним, оскільки порушує принципи обмеження мети, мінімізації даних і не не було інформування суб’єкта даних. Контролера оштрафували на 700 євро
➇ Ісландський регулятор постановив, що обробка персональних даних для проекту дослідження генів відповідає GDPR, оскільки, серед іншого, можна створити наукову статтю, не будучи контролером проаналізованих персональних даних
➈ Італійський регулятор оштрафував Федерацію сомельє, готельєрів і рестораторів на 5000 євро за порушення принципів законності та мінімізації даних за публікацію оскаржуваного дисциплінарного стягнення всупереч внутрішнім правилам процедури
➉ Окружний суд Амстердама зобов’язав кредитора видалити суб’єкта даних із кредитного реєстру. Інтерес суб’єкта даних у видаленні переважав над законними інтересами кредитора у кредитному реєстрі, оскільки суб’єкт даних представляв низький фінансовий ризик
⑪ Іспанський регулятор постановив, що банк не порушив безпеку обробки, коли суб’єкт даних повідомив його про можливу шахрайську транзакцію, оскільки банк виконав свої зобов’язання згідно зі ст. 32 GDPR
⑫ Іспанський регулятор оштрафував роботодавця на 3000 євро за списання коштів з банківського рахунку колишнього працівника за деякі послуги. DPA постановив, що контролер обробляв персональні дані без правової підстави відповідно до статті 6 GDPR
🇺🇦Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [26.09 — 02.10]
① Французький регулятор (CNIL) проаналізував основні типи систем перевірки віку, щоб пояснити свою позицію щодо перевірки віку в Інтернеті
➁ Французький регулятор (CNIL) створив чек-лист додержання вимог GDPR для контролерів, які керують сховищами даних про здоров’я
➂ Регулятор Словенії роз’яснив, що кожен збирач підписів на підтримку з політичною метою (референдуми, вибори) є контролером даних і тому зобов’язаний забезпечити обробку персональних даних відповідно до GDPR, в тому числі проінформувати, як він буде обробляти персональні дані
➃ Іспанський регулятор дійшов висновку, що компанія з виготовлення весільних суконь (контролер) розмістила фотографію скаржника без згоди в Instagram, чим порушила ст. 6 GDPR. Регулятор наклав на контролера штраф у розмірі 10 тисяч євро
➄ Бельгійський апеляційний суд (Марктенхоф) передав два питання до Суду Європейського Союзу: чи є рядок TC (код, що містить рішення щодо згоди користувача) персональними даними, і запитав про природу спільних контролерів
➅ Регулятор Баден-Вюртембергу оштрафував компанію з будівництва нерухомості на 50 000 євро та геодезиста на 5 000 євро за неправомірне використання даних земельної книги в порушення статей 6(1)(f) і 14 GDPR
➆ Угорський регулятор постановив, що запис голосу, який здійснив працівник контролера на свій мобільний телефон під час ремонтних робіт вдома у суб’єкта даних, про що останній не був повідомлений є незаконним, оскільки порушує принципи обмеження мети, мінімізації даних і не не було інформування суб’єкта даних. Контролера оштрафували на 700 євро
➇ Ісландський регулятор постановив, що обробка персональних даних для проекту дослідження генів відповідає GDPR, оскільки, серед іншого, можна створити наукову статтю, не будучи контролером проаналізованих персональних даних
➈ Італійський регулятор оштрафував Федерацію сомельє, готельєрів і рестораторів на 5000 євро за порушення принципів законності та мінімізації даних за публікацію оскаржуваного дисциплінарного стягнення всупереч внутрішнім правилам процедури
➉ Окружний суд Амстердама зобов’язав кредитора видалити суб’єкта даних із кредитного реєстру. Інтерес суб’єкта даних у видаленні переважав над законними інтересами кредитора у кредитному реєстрі, оскільки суб’єкт даних представляв низький фінансовий ризик
⑪ Іспанський регулятор постановив, що банк не порушив безпеку обробки, коли суб’єкт даних повідомив його про можливу шахрайську транзакцію, оскільки банк виконав свої зобов’язання згідно зі ст. 32 GDPR
⑫ Іспанський регулятор оштрафував роботодавця на 3000 євро за списання коштів з банківського рахунку колишнього працівника за деякі послуги. DPA постановив, що контролер обробляв персональні дані без правової підстави відповідно до статті 6 GDPR
🇺🇦Все буде Україна!
#Санкції
💶 ШТРАФ ЗА ВІГІЛАНТИЗМ
Є такі люди, які від природи мають загострене почуття справедливості. У деяких випадках це гарна риса, а у деяких — не дуже.
До чого це ми? А до того, що герой цього допису як раз і є тією людиною.
Його історія завершилася штрафом у 600 євро.
❓Що трапилося?
У дитячому садочку працювала викладачка, яка публічно заявляла, що вона на 50% особа з інвалідністю. Наш вігілант дізнався, що це неправда і надіслав електронного листа до органу публічної влади. Серед іншого, у листі був судовий протокол у якому були дані про здоров'я викладачки. Невідомо, як влада відреагувала на інформацію, що викладачка каже неправду, але відомо, що відправнику листа було виписано штраф у 600 євро за незаконну обробку персональних даних.
❓Що було порушено?
Австрійський регулятор констатував порушення статті 5.1.а, а також статті 9.1, 9.2. Тобто обробка чутливих персональних даних без згоди.
🏆 ВИСНОВКИ
Відповідно до статті 9 Регламенту, не потрібно отримувати згоду на обробку чутливих даних, які були публічно розголошені суб'єктом персональних даних.
Схоже, саме на цей виняток і опирався герой допису, коли відправлял емейл до органів публічної влади. Але він упустив момент, що дані, які стосуються здоров'я, навіть якщо людина повністю здорова, це все одно чутлива інформація, що потребує згоди на її обробку.
Таким чином, аби уникнути штрафу, йому слідувало б закликати органи провести власне розслідування і встановити факти, а не займатися вігілантизмом.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора (німецькою)
💶 ШТРАФ ЗА ВІГІЛАНТИЗМ
Є такі люди, які від природи мають загострене почуття справедливості. У деяких випадках це гарна риса, а у деяких — не дуже.
До чого це ми? А до того, що герой цього допису як раз і є тією людиною.
Його історія завершилася штрафом у 600 євро.
❓Що трапилося?
У дитячому садочку працювала викладачка, яка публічно заявляла, що вона на 50% особа з інвалідністю. Наш вігілант дізнався, що це неправда і надіслав електронного листа до органу публічної влади. Серед іншого, у листі був судовий протокол у якому були дані про здоров'я викладачки. Невідомо, як влада відреагувала на інформацію, що викладачка каже неправду, але відомо, що відправнику листа було виписано штраф у 600 євро за незаконну обробку персональних даних.
❓Що було порушено?
Австрійський регулятор констатував порушення статті 5.1.а, а також статті 9.1, 9.2. Тобто обробка чутливих персональних даних без згоди.
🏆 ВИСНОВКИ
Відповідно до статті 9 Регламенту, не потрібно отримувати згоду на обробку чутливих даних, які були публічно розголошені суб'єктом персональних даних.
Схоже, саме на цей виняток і опирався герой допису, коли відправлял емейл до органів публічної влади. Але він упустив момент, що дані, які стосуються здоров'я, навіть якщо людина повністю здорова, це все одно чутлива інформація, що потребує згоди на її обробку.
Таким чином, аби уникнути штрафу, йому слідувало б закликати органи провести власне розслідування і встановити факти, а не займатися вігілантизмом.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора (німецькою)
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [03.10 — 09.10]
① Президент США підписав указ про впровадження Рамкової угоди щодо приватності даних між ЄС і США (“EU-US Data Privacy Framework”). У супровідному інформаційному листі пояснюється, що EU-US DPF має на меті відновити підставу для транскордонних передач даних в США
➁ Британський регулятор опублікував інструкції для маркетологів, які використовують "живі" (неавтоматичні) маркетингові дзвінки
➂ Генеральний адвокат (AG) Суду Європейського Союзу (CJEU) Мануель Кампос Санчес-Бордона надав висновок у справі C‑300/21 UI v Österreichische Post AG, що ст. 82 GDPR слід тлумачити так, що для цілей присудження компенсації за шкоду, яку особа зазнала внаслідок порушення GDPR, просте порушення положення саме по собі не є достатнім, якщо таке порушення не супроводжується відповідними матеріальними чи нематеріальними збитками. Компенсація за нематеріальну шкоду, передбачену GDPR, не охоплює простого засмучення, яке зацікавлена особа може відчути в результаті порушення положень GDPR
➃ Комітет координованого нагляду (група національних наглядових органів і Європейського інспектора із захисту даних) опублікував дворічний звіт про роботу, виконану з моменту його створення щодо посилення співпраці між різними органами нагляду за захистом даних і забезпечення ефективного нагляду за масштабними ІТ-системами ЄС
➄ Шведський регулятор опублікував Керівництва щодо обробки персональних даних, пов’язаних із кримінальними правопорушеннями, компаніями, які здійснюють попередню перевірку даних
➅ Данський регулятор опублікував Керівництва щодо відповідності GDPR у виборчих кампаніях
➆ Фінський регулятор опублікував Керівництва із обробки даних у відносинах соціального забезпечення
➇ Британський регулятор наклав штрафи на Easylife Ltd у розмірі 1,35 мільйона фунтів та 130 000 фунтів за порушення ст. 5(1)(a) UK GDPR і Положення про приватність та електронну комунікацію (PECR) відповідно
➈ В США журі присяжних визнало колишнього начальника охорони Uber винним у приховуванні витоку даних, відкупившись від хакерів. Йому загрожує до 8 років ув’язнення
➉ Meta врегулювала позов проти двох компаній, які збирали дані користувачів Facebook і Instagram. ізраїльська BrandTotal і делаверська Unimania погодилися не збирати більше дані із платформ Meta чи отримувати прибуток від зібраних даних. Компанії погодилися виплатити Meta невідому «значну суму». Meta подала позов через те, що розширення браузерів компаній збирали дані користувачів Facebook і Instagram для рекламодавців
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [03.10 — 09.10]
① Президент США підписав указ про впровадження Рамкової угоди щодо приватності даних між ЄС і США (“EU-US Data Privacy Framework”). У супровідному інформаційному листі пояснюється, що EU-US DPF має на меті відновити підставу для транскордонних передач даних в США
➁ Британський регулятор опублікував інструкції для маркетологів, які використовують "живі" (неавтоматичні) маркетингові дзвінки
➂ Генеральний адвокат (AG) Суду Європейського Союзу (CJEU) Мануель Кампос Санчес-Бордона надав висновок у справі C‑300/21 UI v Österreichische Post AG, що ст. 82 GDPR слід тлумачити так, що для цілей присудження компенсації за шкоду, яку особа зазнала внаслідок порушення GDPR, просте порушення положення саме по собі не є достатнім, якщо таке порушення не супроводжується відповідними матеріальними чи нематеріальними збитками. Компенсація за нематеріальну шкоду, передбачену GDPR, не охоплює простого засмучення, яке зацікавлена особа може відчути в результаті порушення положень GDPR
➃ Комітет координованого нагляду (група національних наглядових органів і Європейського інспектора із захисту даних) опублікував дворічний звіт про роботу, виконану з моменту його створення щодо посилення співпраці між різними органами нагляду за захистом даних і забезпечення ефективного нагляду за масштабними ІТ-системами ЄС
➄ Шведський регулятор опублікував Керівництва щодо обробки персональних даних, пов’язаних із кримінальними правопорушеннями, компаніями, які здійснюють попередню перевірку даних
➅ Данський регулятор опублікував Керівництва щодо відповідності GDPR у виборчих кампаніях
➆ Фінський регулятор опублікував Керівництва із обробки даних у відносинах соціального забезпечення
➇ Британський регулятор наклав штрафи на Easylife Ltd у розмірі 1,35 мільйона фунтів та 130 000 фунтів за порушення ст. 5(1)(a) UK GDPR і Положення про приватність та електронну комунікацію (PECR) відповідно
➈ В США журі присяжних визнало колишнього начальника охорони Uber винним у приховуванні витоку даних, відкупившись від хакерів. Йому загрожує до 8 років ув’язнення
➉ Meta врегулювала позов проти двох компаній, які збирали дані користувачів Facebook і Instagram. ізраїльська BrandTotal і делаверська Unimania погодилися не збирати більше дані із платформ Meta чи отримувати прибуток від зібраних даних. Компанії погодилися виплатити Meta невідому «значну суму». Meta подала позов через те, що розширення браузерів компаній збирали дані користувачів Facebook і Instagram для рекламодавців
🇺🇦 Все буде Україна!
#Академія_приватності
🎉 “АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
Жодні дії чи провокації ворога не можуть зупинити незламних українців на шляху свого розвитку та побудови кращого суспільства. І в цьому наша сила і запорука перемоги! 💙💛
Ми навчилися бути гнучкими і дуже швидко реагувати на будь-які виклики. Саме так сталося з “Академією приватності”: ми змінили формат, проте наша місія залишилася незмінною — сформувати культуру приватності в Україні та запровадити стандарти викладання курсу із захисту персональних даних в українських університетах.
І вже сьогодні наша “Академія приватності” успішно стартувала в онлайн-форматі!
30 викладачів з 25 українських університетів взяли участь у перших лекціях з основ захисту персональних даних та опановували спеціалізованою термінологією.
Учасники також взяли участь у дискусії щодо стандартів вищої освіти в Україні та різних країнах світу і визначили точки росту та ініціативи щодо покращення якості української освіти.
Ми вдячні усім викладачам, які підтримали нас, незважаючи на будь-які обставини, змогли приєднатися до заходу, задавати цікаві питання та вести обговорення.
А попереду у нас ще чотири дні, насичені навчанням, роботою і нетворкінгом. І вже зовсім скоро ми розкажемо вам про наші результати у рубриці #Академія_приватності.
Stay tuned!
🎉 “АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
Жодні дії чи провокації ворога не можуть зупинити незламних українців на шляху свого розвитку та побудови кращого суспільства. І в цьому наша сила і запорука перемоги! 💙💛
Ми навчилися бути гнучкими і дуже швидко реагувати на будь-які виклики. Саме так сталося з “Академією приватності”: ми змінили формат, проте наша місія залишилася незмінною — сформувати культуру приватності в Україні та запровадити стандарти викладання курсу із захисту персональних даних в українських університетах.
І вже сьогодні наша “Академія приватності” успішно стартувала в онлайн-форматі!
30 викладачів з 25 українських університетів взяли участь у перших лекціях з основ захисту персональних даних та опановували спеціалізованою термінологією.
Учасники також взяли участь у дискусії щодо стандартів вищої освіти в Україні та різних країнах світу і визначили точки росту та ініціативи щодо покращення якості української освіти.
Ми вдячні усім викладачам, які підтримали нас, незважаючи на будь-які обставини, змогли приєднатися до заходу, задавати цікаві питання та вести обговорення.
А попереду у нас ще чотири дні, насичені навчанням, роботою і нетворкінгом. І вже зовсім скоро ми розкажемо вам про наші результати у рубриці #Академія_приватності.
Stay tuned!
#Інформаційна_безпека
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [10.10 — 16.10]
① Європейська рада із захисту даних (EDPB) прийняла першу європейську печатку захисту даних відповідно до статті 42(5) GDPR
➁ EDPB надіслала Європейській комісії «список бажаних» процедур, які включають «повноваження щодо розслідування органів із захисту даних» і «процесуальні строки»
➂ EDPB випустила Заяву 04/2022 щодо вибору дизайну для цифрового євро з точки зору приватності та захисту даних
➃ Європейський інспектор із захисту даних випустив Висновок 20/2022 про Рекомендації щодо Рішення Ради про початок переговорів від імені Європейського Союзу щодо Конвенції Ради Європи про штучний інтелект, права людини, демократію та верховенство права
➄ OECD опублікувала звіт про транскордонні потоки даних
➅ Регулятор Британії відкрив консультації щодо проекту керівництв щодо моніторингу на роботі
➅ Ірландський регулятор видав керівництва щодо прав доступу суб’єктів
➆ Польський регулятор опублікував керівництва щодо повідомлення судами про порушення даних
➇ Регулятор Естонії оновив інструкції щодо публікації інформації щодо порушення платежів
➈ Національний центр кібербезпеки Британії опублікував рекомендації щодо кібербезпеки в ланцюгах поставок
➉ Нідерландський суд зобов’язав компанію з розробки програмного забезпечення зі Флориди виплатити 75 000 євро колишньому співробітнику, який відмовився залишити свою веб-камеру ввімкненою
⑪ Вищий адміністративний суд Хорватії постановив, що система відеоспостереження багатоквартирної будівлі була створена відповідно до GDPR та національного законодавства, згідно з яким дві третини співвласників повинні дозволити використання системи
⑫ Хорватський регулятор дійшов висновку, що учбовий заклад порушив ст. 25 і 32 GDPR, втративши диплом магістра та екзаменаційну відомість колишнього студента
⑬ Регулятор Іспанії зобов’язав оператора мобільного зв’язку задовольнити запит на доступ до даних померлого члена сім’ї та їхнє видалення відповідно до ст. 15 і 17 GDPR. Він постановив, що у разі сумніву щодо особи запитуючої сторони контролер повинен запитати додаткову інформацію, а не залишати запит без відповіді
⑭ Регулятор Британії наклав штраф у розмірі 1 350 000 фунтів стерлінгів на роздрібного торговця, який надсилає своїм клієнтам каталоги, за порушення ст. 9 і 13 GDPR шляхом профілювання даних про особливу категорію (здоров’я) своїх клієнтів на основі їхніх покупок продуктів без отримання згоди або інформування про це
🇺🇦Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [10.10 — 16.10]
① Європейська рада із захисту даних (EDPB) прийняла першу європейську печатку захисту даних відповідно до статті 42(5) GDPR
➁ EDPB надіслала Європейській комісії «список бажаних» процедур, які включають «повноваження щодо розслідування органів із захисту даних» і «процесуальні строки»
➂ EDPB випустила Заяву 04/2022 щодо вибору дизайну для цифрового євро з точки зору приватності та захисту даних
➃ Європейський інспектор із захисту даних випустив Висновок 20/2022 про Рекомендації щодо Рішення Ради про початок переговорів від імені Європейського Союзу щодо Конвенції Ради Європи про штучний інтелект, права людини, демократію та верховенство права
➄ OECD опублікувала звіт про транскордонні потоки даних
➅ Регулятор Британії відкрив консультації щодо проекту керівництв щодо моніторингу на роботі
➅ Ірландський регулятор видав керівництва щодо прав доступу суб’єктів
➆ Польський регулятор опублікував керівництва щодо повідомлення судами про порушення даних
➇ Регулятор Естонії оновив інструкції щодо публікації інформації щодо порушення платежів
➈ Національний центр кібербезпеки Британії опублікував рекомендації щодо кібербезпеки в ланцюгах поставок
➉ Нідерландський суд зобов’язав компанію з розробки програмного забезпечення зі Флориди виплатити 75 000 євро колишньому співробітнику, який відмовився залишити свою веб-камеру ввімкненою
⑪ Вищий адміністративний суд Хорватії постановив, що система відеоспостереження багатоквартирної будівлі була створена відповідно до GDPR та національного законодавства, згідно з яким дві третини співвласників повинні дозволити використання системи
⑫ Хорватський регулятор дійшов висновку, що учбовий заклад порушив ст. 25 і 32 GDPR, втративши диплом магістра та екзаменаційну відомість колишнього студента
⑬ Регулятор Іспанії зобов’язав оператора мобільного зв’язку задовольнити запит на доступ до даних померлого члена сім’ї та їхнє видалення відповідно до ст. 15 і 17 GDPR. Він постановив, що у разі сумніву щодо особи запитуючої сторони контролер повинен запитати додаткову інформацію, а не залишати запит без відповіді
⑭ Регулятор Британії наклав штраф у розмірі 1 350 000 фунтів стерлінгів на роздрібного торговця, який надсилає своїм клієнтам каталоги, за порушення ст. 9 і 13 GDPR шляхом профілювання даних про особливу категорію (здоров’я) своїх клієнтів на основі їхніх покупок продуктів без отримання згоди або інформування про це
🇺🇦Все буде Україна!
#Санкції
💶 ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
Впевнені, кожен задумувався: Що буде після повідомлення регулятора про інцидент з даними відповідно до ст. 33 GDPR? Чи варто робити повідомлення? Чи прийде регулятор сварити, чи проігнорує, чи раптом допоможе?
Власне, нижче описуємо для вас один із реальних сценаріїв.
❓Що відбулося?
Румунський телеком-оператор Curtea Veche Publishing SRL повідомив національного регулятора про цілих 2 інциденти, через які виникла серйозна загроза персональним даним:
🔹розміщення на публічному форумі бази даних клієнтів оператора з 2019 по 2021 рік (10379 суб’єктів даних);
🔹DDoS-атака, що призвела до несанкціонованого доступу та втрати цілісності та доступу до певних даних працівників (100 суб’єктів даних).
❓Що зробив регулятор?
Звичайно, регулятор зацікавився, чому сталися цілих 2 серйозних інциденти, ще й в телеком-оператора, і прийшов з розслідуванням. За його результатами, було виявлено, що інциденти фактично сталися через недбалість контролера. Телеком-оператор невірно оцінив ризики та не вжив достатніх технічних та організаційних заходів захисту даних.
❓Що було порушено?
Було порушено окремі обов’язки щодо захисту персональних даних, передбачені ст. 32 GDPR:
🔹 не було забезпечено конфіденційність, цілісність, доступність і стійкість систем та процесів обробки даних (п. 1(b));
🔹 не було забезпечено можливість відновлення доступу до персональних даних у разі інциденту (п. 1(c));
🔹 оператор не врахував при оцінці рівня та забезпеченні безпеки ризики випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних (п. 2).
❓Який штраф?
Штраф склав приблизно 5000 євро. При визначенні розміру регулятор врахував, що оператор повідомив про інциденти та сприяв розслідуванню.
Додатково, оператор зобов’язаний оцінити наново рівень та ризики безпеки даних та оновити технічні та організаційні заходи. Регулятор пізніше перевірить оновлення.
🏆 ВИСНОВКИ
Якщо ви повідомите про інцидент з даними регулятора, він може прийти до вас з розслідуванням.
Але чи погано це? Ми думаємо, що ні. Як бачимо, регулятор враховує, що компанія належним чином виконує свої обов’язки щодо повідомлення про інцидент та добровільно співпрацює в розслідуванні.
Неповідомлення ж рахувалось би як ще одне порушення.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Новина Національного регулятора Румунії
💶 ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
Впевнені, кожен задумувався: Що буде після повідомлення регулятора про інцидент з даними відповідно до ст. 33 GDPR? Чи варто робити повідомлення? Чи прийде регулятор сварити, чи проігнорує, чи раптом допоможе?
Власне, нижче описуємо для вас один із реальних сценаріїв.
❓Що відбулося?
Румунський телеком-оператор Curtea Veche Publishing SRL повідомив національного регулятора про цілих 2 інциденти, через які виникла серйозна загроза персональним даним:
🔹розміщення на публічному форумі бази даних клієнтів оператора з 2019 по 2021 рік (10379 суб’єктів даних);
🔹DDoS-атака, що призвела до несанкціонованого доступу та втрати цілісності та доступу до певних даних працівників (100 суб’єктів даних).
❓Що зробив регулятор?
Звичайно, регулятор зацікавився, чому сталися цілих 2 серйозних інциденти, ще й в телеком-оператора, і прийшов з розслідуванням. За його результатами, було виявлено, що інциденти фактично сталися через недбалість контролера. Телеком-оператор невірно оцінив ризики та не вжив достатніх технічних та організаційних заходів захисту даних.
❓Що було порушено?
Було порушено окремі обов’язки щодо захисту персональних даних, передбачені ст. 32 GDPR:
🔹 не було забезпечено конфіденційність, цілісність, доступність і стійкість систем та процесів обробки даних (п. 1(b));
🔹 не було забезпечено можливість відновлення доступу до персональних даних у разі інциденту (п. 1(c));
🔹 оператор не врахував при оцінці рівня та забезпеченні безпеки ризики випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних (п. 2).
❓Який штраф?
Штраф склав приблизно 5000 євро. При визначенні розміру регулятор врахував, що оператор повідомив про інциденти та сприяв розслідуванню.
Додатково, оператор зобов’язаний оцінити наново рівень та ризики безпеки даних та оновити технічні та організаційні заходи. Регулятор пізніше перевірить оновлення.
🏆 ВИСНОВКИ
Якщо ви повідомите про інцидент з даними регулятора, він може прийти до вас з розслідуванням.
Але чи погано це? Ми думаємо, що ні. Як бачимо, регулятор враховує, що компанія належним чином виконує свої обов’язки щодо повідомлення про інцидент та добровільно співпрацює в розслідуванні.
Неповідомлення ж рахувалось би як ще одне порушення.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Новина Національного регулятора Румунії
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [17.10 — 23.10]
① Європейська рада із захисту даних опублікувала оновлення своїх керівництв щодо визначення головного наглядового органу контролера або процесора. Оновлення відкриті для публічних коментарів до 2 грудня
➁ Суд Європейського Союзу (СЄС) виніс рішення у справі C-77/21 Digi Távközlési és Szolgáltató Kft. v. Nemzeti Adatvédelmi és Információszabadság Hatóság, розтлумачивши принципи цільового обмеження та обмеження зберігання
➂ Регулятор Британії опублікував Керівництва щодо прямого маркетингу за допомогою електронної пошти
➃ Регулятор Франції видав оновлені рекомендації щодо безпеки паролів
➄ Уповноважений з питань інформації та приватності Онтаріо опублікував інформаційний бюлетень «Як захиститися від програм-вимагачів»
➅ Орган із захисту даних Японії випустив набір інструментів для картографування даних
➆ Суддя Оксфордського суду задовольнила два позови проти жителя Сполученого Королівства, який вторгся в приватне життя сусіда за допомогою камер дверного дзвінка Ring. Відповідач постановив, що сусід порушив закони Сполученого Королівства про приватність, встановивши камери в сараї, який виходив на будинок позивача, записуючи зображення та аудіо, які потім надсилалися на телефон відповідача
➇ Французький орган із захисту даних оштрафував компанію Clearview AI на 20 мільйонів євро
➈ Берлінський регулятор постановив, що фотограф порушив статтю 6(1) GDPR через відсутність підстави для публікації фотографій суб’єкта даних на його веб-сайті. Відступ від GDPR для журналістики згідно із законодавством Німеччини, який надається відповідно до статті 85(2) GDPR, не застосовувався, оскільки публікація мала комерційну мету
➉ Окружний суд Амстердама постановив, що банк не зобов’язаний видаляти суб’єкта даних із кредитного реєстру. Суд визнав 5-річний період після останнього кредиту пропорційним для видалення з реєстру, але суб’єкт даних не мав заборгованості лише 2 роки поспіль
⑪ Регулятор Іспанії оштрафувало навчальну академію на 12 000 євро за порушення статті 6(1) GDPR через незаконну публікацію рейтингового списку, який містив результати процесу відбору та чутливі дані про здоров’я (інвалідність)
🆕 НОВИНИ ТИЖНЯ [17.10 — 23.10]
① Європейська рада із захисту даних опублікувала оновлення своїх керівництв щодо визначення головного наглядового органу контролера або процесора. Оновлення відкриті для публічних коментарів до 2 грудня
➁ Суд Європейського Союзу (СЄС) виніс рішення у справі C-77/21 Digi Távközlési és Szolgáltató Kft. v. Nemzeti Adatvédelmi és Információszabadság Hatóság, розтлумачивши принципи цільового обмеження та обмеження зберігання
➂ Регулятор Британії опублікував Керівництва щодо прямого маркетингу за допомогою електронної пошти
➃ Регулятор Франції видав оновлені рекомендації щодо безпеки паролів
➄ Уповноважений з питань інформації та приватності Онтаріо опублікував інформаційний бюлетень «Як захиститися від програм-вимагачів»
➅ Орган із захисту даних Японії випустив набір інструментів для картографування даних
➆ Суддя Оксфордського суду задовольнила два позови проти жителя Сполученого Королівства, який вторгся в приватне життя сусіда за допомогою камер дверного дзвінка Ring. Відповідач постановив, що сусід порушив закони Сполученого Королівства про приватність, встановивши камери в сараї, який виходив на будинок позивача, записуючи зображення та аудіо, які потім надсилалися на телефон відповідача
➇ Французький орган із захисту даних оштрафував компанію Clearview AI на 20 мільйонів євро
➈ Берлінський регулятор постановив, що фотограф порушив статтю 6(1) GDPR через відсутність підстави для публікації фотографій суб’єкта даних на його веб-сайті. Відступ від GDPR для журналістики згідно із законодавством Німеччини, який надається відповідно до статті 85(2) GDPR, не застосовувався, оскільки публікація мала комерційну мету
➉ Окружний суд Амстердама постановив, що банк не зобов’язаний видаляти суб’єкта даних із кредитного реєстру. Суд визнав 5-річний період після останнього кредиту пропорційним для видалення з реєстру, але суб’єкт даних не мав заборгованості лише 2 роки поспіль
⑪ Регулятор Іспанії оштрафувало навчальну академію на 12 000 євро за порушення статті 6(1) GDPR через незаконну публікацію рейтингового списку, який містив результати процесу відбору та чутливі дані про здоров’я (інвалідність)
#Санкції
💶 “З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
Інколи компанії знають більше про нас, ніж ми самі. Профілювання клієнтів дозволяє зробити багато висновків про спосіб життя, звички, уподобання, ба навіть про стан здоров’я. Так за допомогою простого аналізу покупок людини, реально навіть поставити діагноз. А компанії й раді порушувати право на приватність клієнтів, аби підняти власні продажі.
❓Що сталося?
Компанія Easylife Limited є роздрібним продавцем, який продає товари для дому, а також послуги та продукти. Розслідування британського регулятора ICO виявило, що коли клієнт купував товар з каталогу "Клуб здоров'я" Easylife, компанія робила припущення про стан його здоров'я, а потім продавала йому товари, пов'язані зі здоров'ям, без його згоди. Так компанія створила профілі 145 400 осіб на основі певних "тригерних продуктів". Наприклад, якщо людина купила відкривачку для банок або піднос для обіду, Easylife використовує ці дані про покупку, щоб припустити, що у неї артрит, а потім запропонувати їй суглобові пластирі з глюкозаміном.
❓Які були порушення?
🔸 Використання історії покупок для таргетування клієнтів
Компанія Easylife не повідомила своїх клієнтів про те, що таке профілювання буде мати місце. Це була "незаконна і невидима" обробка спеціальних категорій даних в порушення статті 5(1)(а) GDPR. ICO також процитував серпневе рішення Суду справедливості ЄС, що спеціальною категорією також є “дані, що опосередковано розкривають дані про стан здоров’я після інтелектуальної операції, що включає дедукцію та перехресне посилання”.
Упущення компанії Easylife отримати чітку згоду суб’єктів даних на обробку їхніх чутливих даних означало, що вона не мала правових підстав для такої обробки. Оцінка законного інтересу, на яку компанія посилалася, не відображала профілювання клієнтів.
🔸 Небажані прямі маркетингові дзвінки
Easylife також здійснила понад 1,3 млн прямих маркетингових дзвінків клієнтам, які зареєструвалися в TPS (Службі телефонних преференцій), що суперечить правилу 21 PECR. Положення 21 PECR забороняє особі здійснювати небажані прямі маркетингові дзвінки будь-кому, хто зареєстрував свої номери в TPS, якщо тільки вони не повідомили про те, що вони бажають отримувати такі дзвінки.
ICO вважає порушення Easylife "недбалістю найвищого рівня", оскільки компанія знала або повинна була знати про свої зобов'язання за PECR і не вжила розумних заходів для запобігання цьому порушенню.
❓Який штраф?
ICO оштрафував Easylife на £1,48 млн:
🔹£1,35 млн за використання персональних даних клієнтів для продажу продуктів, пов'язаних зі здоров'ям, без їхньої згоди
При визначенні штрафу ICO зазначив, що неможливо кількісно оцінити рівень завданої шкоди через "невидимий" характер обробки, але переслідування та націлювання на потенційно вразливих осіб, більшість з яких є людьми похилого віку з довготривалими захворюваннями, можуть бути широкомасштабними. Компанія Easylife не вжила заходів, таких як DPIA, які могли б запобігти порушенню. Також була врахована її погана репутацію щодо дотримання нормативних вимог.
🔹£130 000 за здійснення небажаних прямих маркетингових дзвінків
Обставини, які обтяжують: маркетинг компанії Easylife був "агресивним"; компанія не звернулася за консультацією до регулятора.
Обставини, які пом’якшують: значний штраф в рамках паралельного розслідування порушень GDPR; заходи щодо виправлення ситуації (перевірка TPS, призначення нового партнера з телемаркетингу та запровадження нової системи управління даними).
Easylife зазначила, що має намір оскаржити рішення ICO як щодо відповідальності, так і щодо розміру штрафних санкцій.
🏆 ВИСНОВКИ
Будь-яке виявлене порушення (навіть незначне) може спровокувати багатопланові розслідування. Так, у цій справі регулятор спочатку звернув увагу на порушення PECR, але подальше розслідування виявило порушення GDPR, що призвели до набагато більшого штрафу. Тому краще дотримуватися GDPR та уникнути уваги регулятора.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Повідомлення на сайті ICO
💶 “З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
Інколи компанії знають більше про нас, ніж ми самі. Профілювання клієнтів дозволяє зробити багато висновків про спосіб життя, звички, уподобання, ба навіть про стан здоров’я. Так за допомогою простого аналізу покупок людини, реально навіть поставити діагноз. А компанії й раді порушувати право на приватність клієнтів, аби підняти власні продажі.
❓Що сталося?
Компанія Easylife Limited є роздрібним продавцем, який продає товари для дому, а також послуги та продукти. Розслідування британського регулятора ICO виявило, що коли клієнт купував товар з каталогу "Клуб здоров'я" Easylife, компанія робила припущення про стан його здоров'я, а потім продавала йому товари, пов'язані зі здоров'ям, без його згоди. Так компанія створила профілі 145 400 осіб на основі певних "тригерних продуктів". Наприклад, якщо людина купила відкривачку для банок або піднос для обіду, Easylife використовує ці дані про покупку, щоб припустити, що у неї артрит, а потім запропонувати їй суглобові пластирі з глюкозаміном.
❓Які були порушення?
🔸 Використання історії покупок для таргетування клієнтів
Компанія Easylife не повідомила своїх клієнтів про те, що таке профілювання буде мати місце. Це була "незаконна і невидима" обробка спеціальних категорій даних в порушення статті 5(1)(а) GDPR. ICO також процитував серпневе рішення Суду справедливості ЄС, що спеціальною категорією також є “дані, що опосередковано розкривають дані про стан здоров’я після інтелектуальної операції, що включає дедукцію та перехресне посилання”.
Упущення компанії Easylife отримати чітку згоду суб’єктів даних на обробку їхніх чутливих даних означало, що вона не мала правових підстав для такої обробки. Оцінка законного інтересу, на яку компанія посилалася, не відображала профілювання клієнтів.
🔸 Небажані прямі маркетингові дзвінки
Easylife також здійснила понад 1,3 млн прямих маркетингових дзвінків клієнтам, які зареєструвалися в TPS (Службі телефонних преференцій), що суперечить правилу 21 PECR. Положення 21 PECR забороняє особі здійснювати небажані прямі маркетингові дзвінки будь-кому, хто зареєстрував свої номери в TPS, якщо тільки вони не повідомили про те, що вони бажають отримувати такі дзвінки.
ICO вважає порушення Easylife "недбалістю найвищого рівня", оскільки компанія знала або повинна була знати про свої зобов'язання за PECR і не вжила розумних заходів для запобігання цьому порушенню.
❓Який штраф?
ICO оштрафував Easylife на £1,48 млн:
🔹£1,35 млн за використання персональних даних клієнтів для продажу продуктів, пов'язаних зі здоров'ям, без їхньої згоди
При визначенні штрафу ICO зазначив, що неможливо кількісно оцінити рівень завданої шкоди через "невидимий" характер обробки, але переслідування та націлювання на потенційно вразливих осіб, більшість з яких є людьми похилого віку з довготривалими захворюваннями, можуть бути широкомасштабними. Компанія Easylife не вжила заходів, таких як DPIA, які могли б запобігти порушенню. Також була врахована її погана репутацію щодо дотримання нормативних вимог.
🔹£130 000 за здійснення небажаних прямих маркетингових дзвінків
Обставини, які обтяжують: маркетинг компанії Easylife був "агресивним"; компанія не звернулася за консультацією до регулятора.
Обставини, які пом’якшують: значний штраф в рамках паралельного розслідування порушень GDPR; заходи щодо виправлення ситуації (перевірка TPS, призначення нового партнера з телемаркетингу та запровадження нової системи управління даними).
Easylife зазначила, що має намір оскаржити рішення ICO як щодо відповідальності, так і щодо розміру штрафних санкцій.
🏆 ВИСНОВКИ
Будь-яке виявлене порушення (навіть незначне) може спровокувати багатопланові розслідування. Так, у цій справі регулятор спочатку звернув увагу на порушення PECR, але подальше розслідування виявило порушення GDPR, що призвели до набагато більшого штрафу. Тому краще дотримуватися GDPR та уникнути уваги регулятора.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Повідомлення на сайті ICO
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [24.10 — 30.10]
① На сайті Верховної Ради опубліковано черговий проект Закону про захист персональних даних
➁ На сайті Міжнародної організації зі стандартизації (ISO) опубліковано стандарт ISO/IEC 27001:2022 «Інформаційна безпека, кібербезпека та захист приватності — Системи управління інформаційною безпекою»
➂ Суд Європейського Союзу (CJEU) виніс своє рішення у справі C-129/21 Proximus NV проти Gegevensbeschermingsautoriteit, де розтлумачив згоду та право бути забутим відповідно до GDPR. За рішенням згода абонента оператора телефонного зв'язку необхідна для включення абонента в загальнодоступні телефонні довідники та довідкові служби, які публікуються іншими провайдерами, ніж оператор. Згода може бути надана як оператору, так і одному з провайдерів. Запит абонента на видалення його персональних даних із загальнодоступних телефонних довідників і довідкових служб є реалізацією права на видалення
➃ Генеральний адвокат Maciej Szpunar висловив свою думку у справі C-470/21 «La Quadrature du Net and Others» щодо збереження та доступу до певних даних користувачів Інтернету. На його думку, національний орган повинен мати доступ до даних фізичної особи, пов’язаних з IP-адресами, якщо такі дані є єдиним засобом розслідування, які дозволяють ідентифікувати власників адреси, підозрюваного у порушенні авторських прав в інтернеті
➄ Іспанський регулятор запускає консультативний інструмент щодо повідомлень про порушення даних
➅ Британський регулятор опублікував дві доповіді про належне використання біометричних технологій
➆ ОЕСР опублікував звіт про темні комерційні патерни
➇ Британський регулятор розпочинає консультації щодо інформації про здоров’я працівників
➈ Європейська комісія опублікувала «Етичні рекомендації щодо використання штучного інтелекту» в освітніх установах
➉ Регулятор Баден-Вюртемберга випустив іконки для повідомлень про обробку персональних даних
⑪ Бельгійський регулятор наказав контролеру, власнику парку відпочинку, дотримуватися принципу мінімізації даних. Контролер обробляв персональні дані, щоб запобігти шахрайському зловживанню дисконтною карткою для басейну, але без потреби вимагав фотографії та ступінь споріднення членів сім’ї суб’єкта даних, коли було б достатньо лише їхніх імен
⑫ Італійський регулятор визнав табличку із зображенням камери недостатньою для інформування про використання камер відеоспостереження та оштрафувало контролера на 2000 євро
⑬ Окружний суд Зеландії-Західного Брабанта постановив, що використання права на доступ у спробі отримати грошову компенсацію за невчасне прийняття рішення кваліфікується як зловживання правами. Особливо, коли контролер не мав персональних даних суб’єкта даних
⑭ Іспанський регулятор наказав видалити резюме, завантажене в загальнодоступну групу Facebook без згоди суб’єкта даних
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [24.10 — 30.10]
① На сайті Верховної Ради опубліковано черговий проект Закону про захист персональних даних
➁ На сайті Міжнародної організації зі стандартизації (ISO) опубліковано стандарт ISO/IEC 27001:2022 «Інформаційна безпека, кібербезпека та захист приватності — Системи управління інформаційною безпекою»
➂ Суд Європейського Союзу (CJEU) виніс своє рішення у справі C-129/21 Proximus NV проти Gegevensbeschermingsautoriteit, де розтлумачив згоду та право бути забутим відповідно до GDPR. За рішенням згода абонента оператора телефонного зв'язку необхідна для включення абонента в загальнодоступні телефонні довідники та довідкові служби, які публікуються іншими провайдерами, ніж оператор. Згода може бути надана як оператору, так і одному з провайдерів. Запит абонента на видалення його персональних даних із загальнодоступних телефонних довідників і довідкових служб є реалізацією права на видалення
➃ Генеральний адвокат Maciej Szpunar висловив свою думку у справі C-470/21 «La Quadrature du Net and Others» щодо збереження та доступу до певних даних користувачів Інтернету. На його думку, національний орган повинен мати доступ до даних фізичної особи, пов’язаних з IP-адресами, якщо такі дані є єдиним засобом розслідування, які дозволяють ідентифікувати власників адреси, підозрюваного у порушенні авторських прав в інтернеті
➄ Іспанський регулятор запускає консультативний інструмент щодо повідомлень про порушення даних
➅ Британський регулятор опублікував дві доповіді про належне використання біометричних технологій
➆ ОЕСР опублікував звіт про темні комерційні патерни
➇ Британський регулятор розпочинає консультації щодо інформації про здоров’я працівників
➈ Європейська комісія опублікувала «Етичні рекомендації щодо використання штучного інтелекту» в освітніх установах
➉ Регулятор Баден-Вюртемберга випустив іконки для повідомлень про обробку персональних даних
⑪ Бельгійський регулятор наказав контролеру, власнику парку відпочинку, дотримуватися принципу мінімізації даних. Контролер обробляв персональні дані, щоб запобігти шахрайському зловживанню дисконтною карткою для басейну, але без потреби вимагав фотографії та ступінь споріднення членів сім’ї суб’єкта даних, коли було б достатньо лише їхніх імен
⑫ Італійський регулятор визнав табличку із зображенням камери недостатньою для інформування про використання камер відеоспостереження та оштрафувало контролера на 2000 євро
⑬ Окружний суд Зеландії-Західного Брабанта постановив, що використання права на доступ у спробі отримати грошову компенсацію за невчасне прийняття рішення кваліфікується як зловживання правами. Особливо, коли контролер не мав персональних даних суб’єкта даних
⑭ Іспанський регулятор наказав видалити резюме, завантажене в загальнодоступну групу Facebook без згоди суб’єкта даних
🇺🇦 Все буде Україна!
#Санкції
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)