#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [19.09 — 25.09]
① Європейська рада із захисту даних (EDPB) випустила Висновок 25/2022 щодо критеріїв сертифікації European Privacy Seal (EuroPriSe) для сертифікації операцій обробки процесорами, будучи проти, оскільки «обсяг схеми сертифікації недостатньо чіткий»
➁ Іспанський регулятор (AEPD) і Європейський інспектор із захисту даних (EDPS) випустили спільний документ, спрямований на роз’яснення поширених помилок, пов’язаних із системами машинного навчання, підкреслюючи при цьому важливість «принципів захисту даних»
➂ Управління із захисту даних Франції (CNIL) створило проект технічних рекомендацій щодо прикладних програмних інтерфейсів (API), фідбек можна залишити до 1 листопада
➃ Берлінський регулятор оштрафував продавця роздрібної торгівлі на суму 525 000 євро за порушення вимог до DPO. Розслідування виявило ймовірний конфлікт інтересів між статусом DPO та наявності обов’язків щодо прийняття рішень, що порушувало ст. 38(6) GDPR. Компанія отримала попередження від регулятора ще у 2021 році.
➄ Регулятор Британії (ICO) розпочав другу консультацію щодо проекту кодексу журналістики. Кодекс покликаний запропонувати «практичний посібник» для медіа організацій і репортерів щодо дотримання правил захисту даних при використанні персональних даних у журналістських цілях
➅ Орган захисту даних Франції (CNIL) опублікував набір ресурсів щодо штучного інтелекту, а у своєму недавньому дослідженні щодо майбутнього регулювання штучного інтелекту, Державна рада Франції рекомендувала надати CNIL повноваження щодо накладення штрафів за порушення регулювання штучного інтелекту
➆ Регулятор Данії випустив відповіді на поширені питання щодо використання Google Analytics
➇ Британський регулятор оголосив про намір оштрафувати TikTok на 27 мільйонів фунтів за потенційні порушення щодо обробки даних неповнолітніх без згоди, незаконної обробки даних спеціальної категорії даних та недостатньої прозорості
➈ Хорватський регулятор виніс попередження банку за надмірну публікацію персональних даних переможців призових ігор на своїй веб-сторінці
➉ Хорватський регулятор визначив, що фотографія людини, яка замаскувалась в куртці та носить захисну маску не становить персональні дані, оскільки середньостатистична особа не зможе ідентифікувати таку особу
⑪ Хорватський регулятор виніс попередження Центру соціального забезпечення за порушення ст.ст. 5 та 6 GDPR, опублікувавши персональні дані своїх працівників на своїй дошці оголошень
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [19.09 — 25.09]
① Європейська рада із захисту даних (EDPB) випустила Висновок 25/2022 щодо критеріїв сертифікації European Privacy Seal (EuroPriSe) для сертифікації операцій обробки процесорами, будучи проти, оскільки «обсяг схеми сертифікації недостатньо чіткий»
➁ Іспанський регулятор (AEPD) і Європейський інспектор із захисту даних (EDPS) випустили спільний документ, спрямований на роз’яснення поширених помилок, пов’язаних із системами машинного навчання, підкреслюючи при цьому важливість «принципів захисту даних»
➂ Управління із захисту даних Франції (CNIL) створило проект технічних рекомендацій щодо прикладних програмних інтерфейсів (API), фідбек можна залишити до 1 листопада
➃ Берлінський регулятор оштрафував продавця роздрібної торгівлі на суму 525 000 євро за порушення вимог до DPO. Розслідування виявило ймовірний конфлікт інтересів між статусом DPO та наявності обов’язків щодо прийняття рішень, що порушувало ст. 38(6) GDPR. Компанія отримала попередження від регулятора ще у 2021 році.
➄ Регулятор Британії (ICO) розпочав другу консультацію щодо проекту кодексу журналістики. Кодекс покликаний запропонувати «практичний посібник» для медіа організацій і репортерів щодо дотримання правил захисту даних при використанні персональних даних у журналістських цілях
➅ Орган захисту даних Франції (CNIL) опублікував набір ресурсів щодо штучного інтелекту, а у своєму недавньому дослідженні щодо майбутнього регулювання штучного інтелекту, Державна рада Франції рекомендувала надати CNIL повноваження щодо накладення штрафів за порушення регулювання штучного інтелекту
➆ Регулятор Данії випустив відповіді на поширені питання щодо використання Google Analytics
➇ Британський регулятор оголосив про намір оштрафувати TikTok на 27 мільйонів фунтів за потенційні порушення щодо обробки даних неповнолітніх без згоди, незаконної обробки даних спеціальної категорії даних та недостатньої прозорості
➈ Хорватський регулятор виніс попередження банку за надмірну публікацію персональних даних переможців призових ігор на своїй веб-сторінці
➉ Хорватський регулятор визначив, що фотографія людини, яка замаскувалась в куртці та носить захисну маску не становить персональні дані, оскільки середньостатистична особа не зможе ідентифікувати таку особу
⑪ Хорватський регулятор виніс попередження Центру соціального забезпечення за порушення ст.ст. 5 та 6 GDPR, опублікувавши персональні дані своїх працівників на своїй дошці оголошень
🇺🇦 Все буде Україна!
#Аналітика
🔬ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
20 вересня французький регулятор СNIL анонсував публічне обговорення проєкту своїх рекомендацій щодо використання application programming interfaces (APIs) для цілей безпечної передачі даних у приватному та публічному секторах. Публічне обговорення триватиме до 1 листопада 2022 року, а тому усі зацікавлені можуть поділитися своєю експертною думкою, а наприкінці року регулятор затвердить остаточні рекомендації та надасть практичний інструмент для їх впровадження.
📍Мета рекомендацій
Протягом кількох останніх років СNIL спостерігав зростання обміну персональними даними, що, на думку регулятора, викликано збільшенням інтересу до повторного використання даних для різних цілей. У зв’язку з цим, регулятор вирішив запропонувати представникам публічного та приватного секторів технічні та організаційні заходи, які відповідають найкращим практикам використання API та гарантують безпечну передачу персональних даних.
📍 Сфера застосування
Рекомендації спрямовані на визначення випадків, у яких є доцільним використання API для безпечного обміну персональними даними чи інформацією, отриманою в результаті їх анонімізації, а також на поширення певних передових практик щодо їх реалізації та використання.
У проєкті рекомендацій СNIL визначає три функціональні ролі у процесі використання API для обміну даними – володілець даних, менеджер API та повторний користувач даними, та відповідно адаптує різні категорії технічних заходів під кожну з цих ролей.
📍Випадки, коли СNIL рекомендує використовувати API
Використанню API слід надавати перевагу, коли:
🔸 дані передаються декільком повторним користувачам та/або
🔸 дані часто оновлюються, та/або
🔸 повторним користувачам потрібно регулярно отримувати доступ до них, та/або
🔸 їх зберігання повторним користувачем не є необхідним (одноразове використання або безперервна обробка без потреби у зберіганні), та/або
🔸 повторному користувачеві не потрібен постійний доступ до всіх даних, а лише до підмножини даних, яку неможливо визначити заздалегідь, та/або
🔸методи, що використовуються для гарантування безпеки, ймовірно будуть оновлені.
СNIL зауважує, що використання API дозволяє краще керувати обміном даних, з одного боку, контролюючи доступ, деталізацію даних, до яких здійснюється доступ, і, де це можливо, цілі, для яких дані використовуються, а з іншого боку, завдяки впровадженню стандартизованого інтерфейсу обміну, дозволяючи безпечну передачу інформації, пов’язаної з обміном даними (період зберігання, управління реалізацією прав тощо).
📍Ризики використання API
Серед ризиків, які виділяє СNIL:
🔸 нецільове використання даних і втрата конфіденційності;
🔸 зменшення точності даних;
🔸 втрата контролю та доступу до даних;
🔸 збільшення можливостей для потенційних атак.
📍Взаємодія між учасниками обміну даних через API
Організації, які беруть участь у обміні даними через API, повинні координувати свої дії та формалізувати свою взаємодію у документації із визначенням ролі та обов’язків кожного суб’єкта. Організації повинні налагодити співпрацю, щоб надавати чітку та повну інформацію особам щодо обробки та надання їхніх персональних даних.
🏆 ВИСНОВКИ
API змінили світ, у якому ми живемо. Вони використовуються, коли ми гортаємо соціальні мережі, здійснюємо онлайн-покупки, керуємо автомобілем або дивимося Netflix. Найважливіше, аби передача персональних даних із використанням API була безпечною, a всі актори у цьому процесі розуміли свої обов’язки та відповідальність.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Проєкт рекомендацій СNIL для публічного обговорення
🔬ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
20 вересня французький регулятор СNIL анонсував публічне обговорення проєкту своїх рекомендацій щодо використання application programming interfaces (APIs) для цілей безпечної передачі даних у приватному та публічному секторах. Публічне обговорення триватиме до 1 листопада 2022 року, а тому усі зацікавлені можуть поділитися своєю експертною думкою, а наприкінці року регулятор затвердить остаточні рекомендації та надасть практичний інструмент для їх впровадження.
📍Мета рекомендацій
Протягом кількох останніх років СNIL спостерігав зростання обміну персональними даними, що, на думку регулятора, викликано збільшенням інтересу до повторного використання даних для різних цілей. У зв’язку з цим, регулятор вирішив запропонувати представникам публічного та приватного секторів технічні та організаційні заходи, які відповідають найкращим практикам використання API та гарантують безпечну передачу персональних даних.
📍 Сфера застосування
Рекомендації спрямовані на визначення випадків, у яких є доцільним використання API для безпечного обміну персональними даними чи інформацією, отриманою в результаті їх анонімізації, а також на поширення певних передових практик щодо їх реалізації та використання.
У проєкті рекомендацій СNIL визначає три функціональні ролі у процесі використання API для обміну даними – володілець даних, менеджер API та повторний користувач даними, та відповідно адаптує різні категорії технічних заходів під кожну з цих ролей.
📍Випадки, коли СNIL рекомендує використовувати API
Використанню API слід надавати перевагу, коли:
🔸 дані передаються декільком повторним користувачам та/або
🔸 дані часто оновлюються, та/або
🔸 повторним користувачам потрібно регулярно отримувати доступ до них, та/або
🔸 їх зберігання повторним користувачем не є необхідним (одноразове використання або безперервна обробка без потреби у зберіганні), та/або
🔸 повторному користувачеві не потрібен постійний доступ до всіх даних, а лише до підмножини даних, яку неможливо визначити заздалегідь, та/або
🔸методи, що використовуються для гарантування безпеки, ймовірно будуть оновлені.
СNIL зауважує, що використання API дозволяє краще керувати обміном даних, з одного боку, контролюючи доступ, деталізацію даних, до яких здійснюється доступ, і, де це можливо, цілі, для яких дані використовуються, а з іншого боку, завдяки впровадженню стандартизованого інтерфейсу обміну, дозволяючи безпечну передачу інформації, пов’язаної з обміном даними (період зберігання, управління реалізацією прав тощо).
📍Ризики використання API
Серед ризиків, які виділяє СNIL:
🔸 нецільове використання даних і втрата конфіденційності;
🔸 зменшення точності даних;
🔸 втрата контролю та доступу до даних;
🔸 збільшення можливостей для потенційних атак.
📍Взаємодія між учасниками обміну даних через API
Організації, які беруть участь у обміні даними через API, повинні координувати свої дії та формалізувати свою взаємодію у документації із визначенням ролі та обов’язків кожного суб’єкта. Організації повинні налагодити співпрацю, щоб надавати чітку та повну інформацію особам щодо обробки та надання їхніх персональних даних.
🏆 ВИСНОВКИ
API змінили світ, у якому ми живемо. Вони використовуються, коли ми гортаємо соціальні мережі, здійснюємо онлайн-покупки, керуємо автомобілем або дивимося Netflix. Найважливіше, аби передача персональних даних із використанням API була безпечною, a всі актори у цьому процесі розуміли свої обов’язки та відповідальність.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Проєкт рекомендацій СNIL для публічного обговорення
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [26.09 — 02.10]
① Французький регулятор (CNIL) проаналізував основні типи систем перевірки віку, щоб пояснити свою позицію щодо перевірки віку в Інтернеті
➁ Французький регулятор (CNIL) створив чек-лист додержання вимог GDPR для контролерів, які керують сховищами даних про здоров’я
➂ Регулятор Словенії роз’яснив, що кожен збирач підписів на підтримку з політичною метою (референдуми, вибори) є контролером даних і тому зобов’язаний забезпечити обробку персональних даних відповідно до GDPR, в тому числі проінформувати, як він буде обробляти персональні дані
➃ Іспанський регулятор дійшов висновку, що компанія з виготовлення весільних суконь (контролер) розмістила фотографію скаржника без згоди в Instagram, чим порушила ст. 6 GDPR. Регулятор наклав на контролера штраф у розмірі 10 тисяч євро
➄ Бельгійський апеляційний суд (Марктенхоф) передав два питання до Суду Європейського Союзу: чи є рядок TC (код, що містить рішення щодо згоди користувача) персональними даними, і запитав про природу спільних контролерів
➅ Регулятор Баден-Вюртембергу оштрафував компанію з будівництва нерухомості на 50 000 євро та геодезиста на 5 000 євро за неправомірне використання даних земельної книги в порушення статей 6(1)(f) і 14 GDPR
➆ Угорський регулятор постановив, що запис голосу, який здійснив працівник контролера на свій мобільний телефон під час ремонтних робіт вдома у суб’єкта даних, про що останній не був повідомлений є незаконним, оскільки порушує принципи обмеження мети, мінімізації даних і не не було інформування суб’єкта даних. Контролера оштрафували на 700 євро
➇ Ісландський регулятор постановив, що обробка персональних даних для проекту дослідження генів відповідає GDPR, оскільки, серед іншого, можна створити наукову статтю, не будучи контролером проаналізованих персональних даних
➈ Італійський регулятор оштрафував Федерацію сомельє, готельєрів і рестораторів на 5000 євро за порушення принципів законності та мінімізації даних за публікацію оскаржуваного дисциплінарного стягнення всупереч внутрішнім правилам процедури
➉ Окружний суд Амстердама зобов’язав кредитора видалити суб’єкта даних із кредитного реєстру. Інтерес суб’єкта даних у видаленні переважав над законними інтересами кредитора у кредитному реєстрі, оскільки суб’єкт даних представляв низький фінансовий ризик
⑪ Іспанський регулятор постановив, що банк не порушив безпеку обробки, коли суб’єкт даних повідомив його про можливу шахрайську транзакцію, оскільки банк виконав свої зобов’язання згідно зі ст. 32 GDPR
⑫ Іспанський регулятор оштрафував роботодавця на 3000 євро за списання коштів з банківського рахунку колишнього працівника за деякі послуги. DPA постановив, що контролер обробляв персональні дані без правової підстави відповідно до статті 6 GDPR
🇺🇦Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [26.09 — 02.10]
① Французький регулятор (CNIL) проаналізував основні типи систем перевірки віку, щоб пояснити свою позицію щодо перевірки віку в Інтернеті
➁ Французький регулятор (CNIL) створив чек-лист додержання вимог GDPR для контролерів, які керують сховищами даних про здоров’я
➂ Регулятор Словенії роз’яснив, що кожен збирач підписів на підтримку з політичною метою (референдуми, вибори) є контролером даних і тому зобов’язаний забезпечити обробку персональних даних відповідно до GDPR, в тому числі проінформувати, як він буде обробляти персональні дані
➃ Іспанський регулятор дійшов висновку, що компанія з виготовлення весільних суконь (контролер) розмістила фотографію скаржника без згоди в Instagram, чим порушила ст. 6 GDPR. Регулятор наклав на контролера штраф у розмірі 10 тисяч євро
➄ Бельгійський апеляційний суд (Марктенхоф) передав два питання до Суду Європейського Союзу: чи є рядок TC (код, що містить рішення щодо згоди користувача) персональними даними, і запитав про природу спільних контролерів
➅ Регулятор Баден-Вюртембергу оштрафував компанію з будівництва нерухомості на 50 000 євро та геодезиста на 5 000 євро за неправомірне використання даних земельної книги в порушення статей 6(1)(f) і 14 GDPR
➆ Угорський регулятор постановив, що запис голосу, який здійснив працівник контролера на свій мобільний телефон під час ремонтних робіт вдома у суб’єкта даних, про що останній не був повідомлений є незаконним, оскільки порушує принципи обмеження мети, мінімізації даних і не не було інформування суб’єкта даних. Контролера оштрафували на 700 євро
➇ Ісландський регулятор постановив, що обробка персональних даних для проекту дослідження генів відповідає GDPR, оскільки, серед іншого, можна створити наукову статтю, не будучи контролером проаналізованих персональних даних
➈ Італійський регулятор оштрафував Федерацію сомельє, готельєрів і рестораторів на 5000 євро за порушення принципів законності та мінімізації даних за публікацію оскаржуваного дисциплінарного стягнення всупереч внутрішнім правилам процедури
➉ Окружний суд Амстердама зобов’язав кредитора видалити суб’єкта даних із кредитного реєстру. Інтерес суб’єкта даних у видаленні переважав над законними інтересами кредитора у кредитному реєстрі, оскільки суб’єкт даних представляв низький фінансовий ризик
⑪ Іспанський регулятор постановив, що банк не порушив безпеку обробки, коли суб’єкт даних повідомив його про можливу шахрайську транзакцію, оскільки банк виконав свої зобов’язання згідно зі ст. 32 GDPR
⑫ Іспанський регулятор оштрафував роботодавця на 3000 євро за списання коштів з банківського рахунку колишнього працівника за деякі послуги. DPA постановив, що контролер обробляв персональні дані без правової підстави відповідно до статті 6 GDPR
🇺🇦Все буде Україна!
#Санкції
💶 ШТРАФ ЗА ВІГІЛАНТИЗМ
Є такі люди, які від природи мають загострене почуття справедливості. У деяких випадках це гарна риса, а у деяких — не дуже.
До чого це ми? А до того, що герой цього допису як раз і є тією людиною.
Його історія завершилася штрафом у 600 євро.
❓Що трапилося?
У дитячому садочку працювала викладачка, яка публічно заявляла, що вона на 50% особа з інвалідністю. Наш вігілант дізнався, що це неправда і надіслав електронного листа до органу публічної влади. Серед іншого, у листі був судовий протокол у якому були дані про здоров'я викладачки. Невідомо, як влада відреагувала на інформацію, що викладачка каже неправду, але відомо, що відправнику листа було виписано штраф у 600 євро за незаконну обробку персональних даних.
❓Що було порушено?
Австрійський регулятор констатував порушення статті 5.1.а, а також статті 9.1, 9.2. Тобто обробка чутливих персональних даних без згоди.
🏆 ВИСНОВКИ
Відповідно до статті 9 Регламенту, не потрібно отримувати згоду на обробку чутливих даних, які були публічно розголошені суб'єктом персональних даних.
Схоже, саме на цей виняток і опирався герой допису, коли відправлял емейл до органів публічної влади. Але він упустив момент, що дані, які стосуються здоров'я, навіть якщо людина повністю здорова, це все одно чутлива інформація, що потребує згоди на її обробку.
Таким чином, аби уникнути штрафу, йому слідувало б закликати органи провести власне розслідування і встановити факти, а не займатися вігілантизмом.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора (німецькою)
💶 ШТРАФ ЗА ВІГІЛАНТИЗМ
Є такі люди, які від природи мають загострене почуття справедливості. У деяких випадках це гарна риса, а у деяких — не дуже.
До чого це ми? А до того, що герой цього допису як раз і є тією людиною.
Його історія завершилася штрафом у 600 євро.
❓Що трапилося?
У дитячому садочку працювала викладачка, яка публічно заявляла, що вона на 50% особа з інвалідністю. Наш вігілант дізнався, що це неправда і надіслав електронного листа до органу публічної влади. Серед іншого, у листі був судовий протокол у якому були дані про здоров'я викладачки. Невідомо, як влада відреагувала на інформацію, що викладачка каже неправду, але відомо, що відправнику листа було виписано штраф у 600 євро за незаконну обробку персональних даних.
❓Що було порушено?
Австрійський регулятор констатував порушення статті 5.1.а, а також статті 9.1, 9.2. Тобто обробка чутливих персональних даних без згоди.
🏆 ВИСНОВКИ
Відповідно до статті 9 Регламенту, не потрібно отримувати згоду на обробку чутливих даних, які були публічно розголошені суб'єктом персональних даних.
Схоже, саме на цей виняток і опирався герой допису, коли відправлял емейл до органів публічної влади. Але він упустив момент, що дані, які стосуються здоров'я, навіть якщо людина повністю здорова, це все одно чутлива інформація, що потребує згоди на її обробку.
Таким чином, аби уникнути штрафу, йому слідувало б закликати органи провести власне розслідування і встановити факти, а не займатися вігілантизмом.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора (німецькою)
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [03.10 — 09.10]
① Президент США підписав указ про впровадження Рамкової угоди щодо приватності даних між ЄС і США (“EU-US Data Privacy Framework”). У супровідному інформаційному листі пояснюється, що EU-US DPF має на меті відновити підставу для транскордонних передач даних в США
➁ Британський регулятор опублікував інструкції для маркетологів, які використовують "живі" (неавтоматичні) маркетингові дзвінки
➂ Генеральний адвокат (AG) Суду Європейського Союзу (CJEU) Мануель Кампос Санчес-Бордона надав висновок у справі C‑300/21 UI v Österreichische Post AG, що ст. 82 GDPR слід тлумачити так, що для цілей присудження компенсації за шкоду, яку особа зазнала внаслідок порушення GDPR, просте порушення положення саме по собі не є достатнім, якщо таке порушення не супроводжується відповідними матеріальними чи нематеріальними збитками. Компенсація за нематеріальну шкоду, передбачену GDPR, не охоплює простого засмучення, яке зацікавлена особа може відчути в результаті порушення положень GDPR
➃ Комітет координованого нагляду (група національних наглядових органів і Європейського інспектора із захисту даних) опублікував дворічний звіт про роботу, виконану з моменту його створення щодо посилення співпраці між різними органами нагляду за захистом даних і забезпечення ефективного нагляду за масштабними ІТ-системами ЄС
➄ Шведський регулятор опублікував Керівництва щодо обробки персональних даних, пов’язаних із кримінальними правопорушеннями, компаніями, які здійснюють попередню перевірку даних
➅ Данський регулятор опублікував Керівництва щодо відповідності GDPR у виборчих кампаніях
➆ Фінський регулятор опублікував Керівництва із обробки даних у відносинах соціального забезпечення
➇ Британський регулятор наклав штрафи на Easylife Ltd у розмірі 1,35 мільйона фунтів та 130 000 фунтів за порушення ст. 5(1)(a) UK GDPR і Положення про приватність та електронну комунікацію (PECR) відповідно
➈ В США журі присяжних визнало колишнього начальника охорони Uber винним у приховуванні витоку даних, відкупившись від хакерів. Йому загрожує до 8 років ув’язнення
➉ Meta врегулювала позов проти двох компаній, які збирали дані користувачів Facebook і Instagram. ізраїльська BrandTotal і делаверська Unimania погодилися не збирати більше дані із платформ Meta чи отримувати прибуток від зібраних даних. Компанії погодилися виплатити Meta невідому «значну суму». Meta подала позов через те, що розширення браузерів компаній збирали дані користувачів Facebook і Instagram для рекламодавців
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [03.10 — 09.10]
① Президент США підписав указ про впровадження Рамкової угоди щодо приватності даних між ЄС і США (“EU-US Data Privacy Framework”). У супровідному інформаційному листі пояснюється, що EU-US DPF має на меті відновити підставу для транскордонних передач даних в США
➁ Британський регулятор опублікував інструкції для маркетологів, які використовують "живі" (неавтоматичні) маркетингові дзвінки
➂ Генеральний адвокат (AG) Суду Європейського Союзу (CJEU) Мануель Кампос Санчес-Бордона надав висновок у справі C‑300/21 UI v Österreichische Post AG, що ст. 82 GDPR слід тлумачити так, що для цілей присудження компенсації за шкоду, яку особа зазнала внаслідок порушення GDPR, просте порушення положення саме по собі не є достатнім, якщо таке порушення не супроводжується відповідними матеріальними чи нематеріальними збитками. Компенсація за нематеріальну шкоду, передбачену GDPR, не охоплює простого засмучення, яке зацікавлена особа може відчути в результаті порушення положень GDPR
➃ Комітет координованого нагляду (група національних наглядових органів і Європейського інспектора із захисту даних) опублікував дворічний звіт про роботу, виконану з моменту його створення щодо посилення співпраці між різними органами нагляду за захистом даних і забезпечення ефективного нагляду за масштабними ІТ-системами ЄС
➄ Шведський регулятор опублікував Керівництва щодо обробки персональних даних, пов’язаних із кримінальними правопорушеннями, компаніями, які здійснюють попередню перевірку даних
➅ Данський регулятор опублікував Керівництва щодо відповідності GDPR у виборчих кампаніях
➆ Фінський регулятор опублікував Керівництва із обробки даних у відносинах соціального забезпечення
➇ Британський регулятор наклав штрафи на Easylife Ltd у розмірі 1,35 мільйона фунтів та 130 000 фунтів за порушення ст. 5(1)(a) UK GDPR і Положення про приватність та електронну комунікацію (PECR) відповідно
➈ В США журі присяжних визнало колишнього начальника охорони Uber винним у приховуванні витоку даних, відкупившись від хакерів. Йому загрожує до 8 років ув’язнення
➉ Meta врегулювала позов проти двох компаній, які збирали дані користувачів Facebook і Instagram. ізраїльська BrandTotal і делаверська Unimania погодилися не збирати більше дані із платформ Meta чи отримувати прибуток від зібраних даних. Компанії погодилися виплатити Meta невідому «значну суму». Meta подала позов через те, що розширення браузерів компаній збирали дані користувачів Facebook і Instagram для рекламодавців
🇺🇦 Все буде Україна!
#Академія_приватності
🎉 “АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
Жодні дії чи провокації ворога не можуть зупинити незламних українців на шляху свого розвитку та побудови кращого суспільства. І в цьому наша сила і запорука перемоги! 💙💛
Ми навчилися бути гнучкими і дуже швидко реагувати на будь-які виклики. Саме так сталося з “Академією приватності”: ми змінили формат, проте наша місія залишилася незмінною — сформувати культуру приватності в Україні та запровадити стандарти викладання курсу із захисту персональних даних в українських університетах.
І вже сьогодні наша “Академія приватності” успішно стартувала в онлайн-форматі!
30 викладачів з 25 українських університетів взяли участь у перших лекціях з основ захисту персональних даних та опановували спеціалізованою термінологією.
Учасники також взяли участь у дискусії щодо стандартів вищої освіти в Україні та різних країнах світу і визначили точки росту та ініціативи щодо покращення якості української освіти.
Ми вдячні усім викладачам, які підтримали нас, незважаючи на будь-які обставини, змогли приєднатися до заходу, задавати цікаві питання та вести обговорення.
А попереду у нас ще чотири дні, насичені навчанням, роботою і нетворкінгом. І вже зовсім скоро ми розкажемо вам про наші результати у рубриці #Академія_приватності.
Stay tuned!
🎉 “АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
Жодні дії чи провокації ворога не можуть зупинити незламних українців на шляху свого розвитку та побудови кращого суспільства. І в цьому наша сила і запорука перемоги! 💙💛
Ми навчилися бути гнучкими і дуже швидко реагувати на будь-які виклики. Саме так сталося з “Академією приватності”: ми змінили формат, проте наша місія залишилася незмінною — сформувати культуру приватності в Україні та запровадити стандарти викладання курсу із захисту персональних даних в українських університетах.
І вже сьогодні наша “Академія приватності” успішно стартувала в онлайн-форматі!
30 викладачів з 25 українських університетів взяли участь у перших лекціях з основ захисту персональних даних та опановували спеціалізованою термінологією.
Учасники також взяли участь у дискусії щодо стандартів вищої освіти в Україні та різних країнах світу і визначили точки росту та ініціативи щодо покращення якості української освіти.
Ми вдячні усім викладачам, які підтримали нас, незважаючи на будь-які обставини, змогли приєднатися до заходу, задавати цікаві питання та вести обговорення.
А попереду у нас ще чотири дні, насичені навчанням, роботою і нетворкінгом. І вже зовсім скоро ми розкажемо вам про наші результати у рубриці #Академія_приватності.
Stay tuned!
#Інформаційна_безпека
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [10.10 — 16.10]
① Європейська рада із захисту даних (EDPB) прийняла першу європейську печатку захисту даних відповідно до статті 42(5) GDPR
➁ EDPB надіслала Європейській комісії «список бажаних» процедур, які включають «повноваження щодо розслідування органів із захисту даних» і «процесуальні строки»
➂ EDPB випустила Заяву 04/2022 щодо вибору дизайну для цифрового євро з точки зору приватності та захисту даних
➃ Європейський інспектор із захисту даних випустив Висновок 20/2022 про Рекомендації щодо Рішення Ради про початок переговорів від імені Європейського Союзу щодо Конвенції Ради Європи про штучний інтелект, права людини, демократію та верховенство права
➄ OECD опублікувала звіт про транскордонні потоки даних
➅ Регулятор Британії відкрив консультації щодо проекту керівництв щодо моніторингу на роботі
➅ Ірландський регулятор видав керівництва щодо прав доступу суб’єктів
➆ Польський регулятор опублікував керівництва щодо повідомлення судами про порушення даних
➇ Регулятор Естонії оновив інструкції щодо публікації інформації щодо порушення платежів
➈ Національний центр кібербезпеки Британії опублікував рекомендації щодо кібербезпеки в ланцюгах поставок
➉ Нідерландський суд зобов’язав компанію з розробки програмного забезпечення зі Флориди виплатити 75 000 євро колишньому співробітнику, який відмовився залишити свою веб-камеру ввімкненою
⑪ Вищий адміністративний суд Хорватії постановив, що система відеоспостереження багатоквартирної будівлі була створена відповідно до GDPR та національного законодавства, згідно з яким дві третини співвласників повинні дозволити використання системи
⑫ Хорватський регулятор дійшов висновку, що учбовий заклад порушив ст. 25 і 32 GDPR, втративши диплом магістра та екзаменаційну відомість колишнього студента
⑬ Регулятор Іспанії зобов’язав оператора мобільного зв’язку задовольнити запит на доступ до даних померлого члена сім’ї та їхнє видалення відповідно до ст. 15 і 17 GDPR. Він постановив, що у разі сумніву щодо особи запитуючої сторони контролер повинен запитати додаткову інформацію, а не залишати запит без відповіді
⑭ Регулятор Британії наклав штраф у розмірі 1 350 000 фунтів стерлінгів на роздрібного торговця, який надсилає своїм клієнтам каталоги, за порушення ст. 9 і 13 GDPR шляхом профілювання даних про особливу категорію (здоров’я) своїх клієнтів на основі їхніх покупок продуктів без отримання згоди або інформування про це
🇺🇦Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [10.10 — 16.10]
① Європейська рада із захисту даних (EDPB) прийняла першу європейську печатку захисту даних відповідно до статті 42(5) GDPR
➁ EDPB надіслала Європейській комісії «список бажаних» процедур, які включають «повноваження щодо розслідування органів із захисту даних» і «процесуальні строки»
➂ EDPB випустила Заяву 04/2022 щодо вибору дизайну для цифрового євро з точки зору приватності та захисту даних
➃ Європейський інспектор із захисту даних випустив Висновок 20/2022 про Рекомендації щодо Рішення Ради про початок переговорів від імені Європейського Союзу щодо Конвенції Ради Європи про штучний інтелект, права людини, демократію та верховенство права
➄ OECD опублікувала звіт про транскордонні потоки даних
➅ Регулятор Британії відкрив консультації щодо проекту керівництв щодо моніторингу на роботі
➅ Ірландський регулятор видав керівництва щодо прав доступу суб’єктів
➆ Польський регулятор опублікував керівництва щодо повідомлення судами про порушення даних
➇ Регулятор Естонії оновив інструкції щодо публікації інформації щодо порушення платежів
➈ Національний центр кібербезпеки Британії опублікував рекомендації щодо кібербезпеки в ланцюгах поставок
➉ Нідерландський суд зобов’язав компанію з розробки програмного забезпечення зі Флориди виплатити 75 000 євро колишньому співробітнику, який відмовився залишити свою веб-камеру ввімкненою
⑪ Вищий адміністративний суд Хорватії постановив, що система відеоспостереження багатоквартирної будівлі була створена відповідно до GDPR та національного законодавства, згідно з яким дві третини співвласників повинні дозволити використання системи
⑫ Хорватський регулятор дійшов висновку, що учбовий заклад порушив ст. 25 і 32 GDPR, втративши диплом магістра та екзаменаційну відомість колишнього студента
⑬ Регулятор Іспанії зобов’язав оператора мобільного зв’язку задовольнити запит на доступ до даних померлого члена сім’ї та їхнє видалення відповідно до ст. 15 і 17 GDPR. Він постановив, що у разі сумніву щодо особи запитуючої сторони контролер повинен запитати додаткову інформацію, а не залишати запит без відповіді
⑭ Регулятор Британії наклав штраф у розмірі 1 350 000 фунтів стерлінгів на роздрібного торговця, який надсилає своїм клієнтам каталоги, за порушення ст. 9 і 13 GDPR шляхом профілювання даних про особливу категорію (здоров’я) своїх клієнтів на основі їхніх покупок продуктів без отримання згоди або інформування про це
🇺🇦Все буде Україна!
#Санкції
💶 ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
Впевнені, кожен задумувався: Що буде після повідомлення регулятора про інцидент з даними відповідно до ст. 33 GDPR? Чи варто робити повідомлення? Чи прийде регулятор сварити, чи проігнорує, чи раптом допоможе?
Власне, нижче описуємо для вас один із реальних сценаріїв.
❓Що відбулося?
Румунський телеком-оператор Curtea Veche Publishing SRL повідомив національного регулятора про цілих 2 інциденти, через які виникла серйозна загроза персональним даним:
🔹розміщення на публічному форумі бази даних клієнтів оператора з 2019 по 2021 рік (10379 суб’єктів даних);
🔹DDoS-атака, що призвела до несанкціонованого доступу та втрати цілісності та доступу до певних даних працівників (100 суб’єктів даних).
❓Що зробив регулятор?
Звичайно, регулятор зацікавився, чому сталися цілих 2 серйозних інциденти, ще й в телеком-оператора, і прийшов з розслідуванням. За його результатами, було виявлено, що інциденти фактично сталися через недбалість контролера. Телеком-оператор невірно оцінив ризики та не вжив достатніх технічних та організаційних заходів захисту даних.
❓Що було порушено?
Було порушено окремі обов’язки щодо захисту персональних даних, передбачені ст. 32 GDPR:
🔹 не було забезпечено конфіденційність, цілісність, доступність і стійкість систем та процесів обробки даних (п. 1(b));
🔹 не було забезпечено можливість відновлення доступу до персональних даних у разі інциденту (п. 1(c));
🔹 оператор не врахував при оцінці рівня та забезпеченні безпеки ризики випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних (п. 2).
❓Який штраф?
Штраф склав приблизно 5000 євро. При визначенні розміру регулятор врахував, що оператор повідомив про інциденти та сприяв розслідуванню.
Додатково, оператор зобов’язаний оцінити наново рівень та ризики безпеки даних та оновити технічні та організаційні заходи. Регулятор пізніше перевірить оновлення.
🏆 ВИСНОВКИ
Якщо ви повідомите про інцидент з даними регулятора, він може прийти до вас з розслідуванням.
Але чи погано це? Ми думаємо, що ні. Як бачимо, регулятор враховує, що компанія належним чином виконує свої обов’язки щодо повідомлення про інцидент та добровільно співпрацює в розслідуванні.
Неповідомлення ж рахувалось би як ще одне порушення.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Новина Національного регулятора Румунії
💶 ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
Впевнені, кожен задумувався: Що буде після повідомлення регулятора про інцидент з даними відповідно до ст. 33 GDPR? Чи варто робити повідомлення? Чи прийде регулятор сварити, чи проігнорує, чи раптом допоможе?
Власне, нижче описуємо для вас один із реальних сценаріїв.
❓Що відбулося?
Румунський телеком-оператор Curtea Veche Publishing SRL повідомив національного регулятора про цілих 2 інциденти, через які виникла серйозна загроза персональним даним:
🔹розміщення на публічному форумі бази даних клієнтів оператора з 2019 по 2021 рік (10379 суб’єктів даних);
🔹DDoS-атака, що призвела до несанкціонованого доступу та втрати цілісності та доступу до певних даних працівників (100 суб’єктів даних).
❓Що зробив регулятор?
Звичайно, регулятор зацікавився, чому сталися цілих 2 серйозних інциденти, ще й в телеком-оператора, і прийшов з розслідуванням. За його результатами, було виявлено, що інциденти фактично сталися через недбалість контролера. Телеком-оператор невірно оцінив ризики та не вжив достатніх технічних та організаційних заходів захисту даних.
❓Що було порушено?
Було порушено окремі обов’язки щодо захисту персональних даних, передбачені ст. 32 GDPR:
🔹 не було забезпечено конфіденційність, цілісність, доступність і стійкість систем та процесів обробки даних (п. 1(b));
🔹 не було забезпечено можливість відновлення доступу до персональних даних у разі інциденту (п. 1(c));
🔹 оператор не врахував при оцінці рівня та забезпеченні безпеки ризики випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних (п. 2).
❓Який штраф?
Штраф склав приблизно 5000 євро. При визначенні розміру регулятор врахував, що оператор повідомив про інциденти та сприяв розслідуванню.
Додатково, оператор зобов’язаний оцінити наново рівень та ризики безпеки даних та оновити технічні та організаційні заходи. Регулятор пізніше перевірить оновлення.
🏆 ВИСНОВКИ
Якщо ви повідомите про інцидент з даними регулятора, він може прийти до вас з розслідуванням.
Але чи погано це? Ми думаємо, що ні. Як бачимо, регулятор враховує, що компанія належним чином виконує свої обов’язки щодо повідомлення про інцидент та добровільно співпрацює в розслідуванні.
Неповідомлення ж рахувалось би як ще одне порушення.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Новина Національного регулятора Румунії
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [17.10 — 23.10]
① Європейська рада із захисту даних опублікувала оновлення своїх керівництв щодо визначення головного наглядового органу контролера або процесора. Оновлення відкриті для публічних коментарів до 2 грудня
➁ Суд Європейського Союзу (СЄС) виніс рішення у справі C-77/21 Digi Távközlési és Szolgáltató Kft. v. Nemzeti Adatvédelmi és Információszabadság Hatóság, розтлумачивши принципи цільового обмеження та обмеження зберігання
➂ Регулятор Британії опублікував Керівництва щодо прямого маркетингу за допомогою електронної пошти
➃ Регулятор Франції видав оновлені рекомендації щодо безпеки паролів
➄ Уповноважений з питань інформації та приватності Онтаріо опублікував інформаційний бюлетень «Як захиститися від програм-вимагачів»
➅ Орган із захисту даних Японії випустив набір інструментів для картографування даних
➆ Суддя Оксфордського суду задовольнила два позови проти жителя Сполученого Королівства, який вторгся в приватне життя сусіда за допомогою камер дверного дзвінка Ring. Відповідач постановив, що сусід порушив закони Сполученого Королівства про приватність, встановивши камери в сараї, який виходив на будинок позивача, записуючи зображення та аудіо, які потім надсилалися на телефон відповідача
➇ Французький орган із захисту даних оштрафував компанію Clearview AI на 20 мільйонів євро
➈ Берлінський регулятор постановив, що фотограф порушив статтю 6(1) GDPR через відсутність підстави для публікації фотографій суб’єкта даних на його веб-сайті. Відступ від GDPR для журналістики згідно із законодавством Німеччини, який надається відповідно до статті 85(2) GDPR, не застосовувався, оскільки публікація мала комерційну мету
➉ Окружний суд Амстердама постановив, що банк не зобов’язаний видаляти суб’єкта даних із кредитного реєстру. Суд визнав 5-річний період після останнього кредиту пропорційним для видалення з реєстру, але суб’єкт даних не мав заборгованості лише 2 роки поспіль
⑪ Регулятор Іспанії оштрафувало навчальну академію на 12 000 євро за порушення статті 6(1) GDPR через незаконну публікацію рейтингового списку, який містив результати процесу відбору та чутливі дані про здоров’я (інвалідність)
🆕 НОВИНИ ТИЖНЯ [17.10 — 23.10]
① Європейська рада із захисту даних опублікувала оновлення своїх керівництв щодо визначення головного наглядового органу контролера або процесора. Оновлення відкриті для публічних коментарів до 2 грудня
➁ Суд Європейського Союзу (СЄС) виніс рішення у справі C-77/21 Digi Távközlési és Szolgáltató Kft. v. Nemzeti Adatvédelmi és Információszabadság Hatóság, розтлумачивши принципи цільового обмеження та обмеження зберігання
➂ Регулятор Британії опублікував Керівництва щодо прямого маркетингу за допомогою електронної пошти
➃ Регулятор Франції видав оновлені рекомендації щодо безпеки паролів
➄ Уповноважений з питань інформації та приватності Онтаріо опублікував інформаційний бюлетень «Як захиститися від програм-вимагачів»
➅ Орган із захисту даних Японії випустив набір інструментів для картографування даних
➆ Суддя Оксфордського суду задовольнила два позови проти жителя Сполученого Королівства, який вторгся в приватне життя сусіда за допомогою камер дверного дзвінка Ring. Відповідач постановив, що сусід порушив закони Сполученого Королівства про приватність, встановивши камери в сараї, який виходив на будинок позивача, записуючи зображення та аудіо, які потім надсилалися на телефон відповідача
➇ Французький орган із захисту даних оштрафував компанію Clearview AI на 20 мільйонів євро
➈ Берлінський регулятор постановив, що фотограф порушив статтю 6(1) GDPR через відсутність підстави для публікації фотографій суб’єкта даних на його веб-сайті. Відступ від GDPR для журналістики згідно із законодавством Німеччини, який надається відповідно до статті 85(2) GDPR, не застосовувався, оскільки публікація мала комерційну мету
➉ Окружний суд Амстердама постановив, що банк не зобов’язаний видаляти суб’єкта даних із кредитного реєстру. Суд визнав 5-річний період після останнього кредиту пропорційним для видалення з реєстру, але суб’єкт даних не мав заборгованості лише 2 роки поспіль
⑪ Регулятор Іспанії оштрафувало навчальну академію на 12 000 євро за порушення статті 6(1) GDPR через незаконну публікацію рейтингового списку, який містив результати процесу відбору та чутливі дані про здоров’я (інвалідність)
#Санкції
💶 “З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
Інколи компанії знають більше про нас, ніж ми самі. Профілювання клієнтів дозволяє зробити багато висновків про спосіб життя, звички, уподобання, ба навіть про стан здоров’я. Так за допомогою простого аналізу покупок людини, реально навіть поставити діагноз. А компанії й раді порушувати право на приватність клієнтів, аби підняти власні продажі.
❓Що сталося?
Компанія Easylife Limited є роздрібним продавцем, який продає товари для дому, а також послуги та продукти. Розслідування британського регулятора ICO виявило, що коли клієнт купував товар з каталогу "Клуб здоров'я" Easylife, компанія робила припущення про стан його здоров'я, а потім продавала йому товари, пов'язані зі здоров'ям, без його згоди. Так компанія створила профілі 145 400 осіб на основі певних "тригерних продуктів". Наприклад, якщо людина купила відкривачку для банок або піднос для обіду, Easylife використовує ці дані про покупку, щоб припустити, що у неї артрит, а потім запропонувати їй суглобові пластирі з глюкозаміном.
❓Які були порушення?
🔸 Використання історії покупок для таргетування клієнтів
Компанія Easylife не повідомила своїх клієнтів про те, що таке профілювання буде мати місце. Це була "незаконна і невидима" обробка спеціальних категорій даних в порушення статті 5(1)(а) GDPR. ICO також процитував серпневе рішення Суду справедливості ЄС, що спеціальною категорією також є “дані, що опосередковано розкривають дані про стан здоров’я після інтелектуальної операції, що включає дедукцію та перехресне посилання”.
Упущення компанії Easylife отримати чітку згоду суб’єктів даних на обробку їхніх чутливих даних означало, що вона не мала правових підстав для такої обробки. Оцінка законного інтересу, на яку компанія посилалася, не відображала профілювання клієнтів.
🔸 Небажані прямі маркетингові дзвінки
Easylife також здійснила понад 1,3 млн прямих маркетингових дзвінків клієнтам, які зареєструвалися в TPS (Службі телефонних преференцій), що суперечить правилу 21 PECR. Положення 21 PECR забороняє особі здійснювати небажані прямі маркетингові дзвінки будь-кому, хто зареєстрував свої номери в TPS, якщо тільки вони не повідомили про те, що вони бажають отримувати такі дзвінки.
ICO вважає порушення Easylife "недбалістю найвищого рівня", оскільки компанія знала або повинна була знати про свої зобов'язання за PECR і не вжила розумних заходів для запобігання цьому порушенню.
❓Який штраф?
ICO оштрафував Easylife на £1,48 млн:
🔹£1,35 млн за використання персональних даних клієнтів для продажу продуктів, пов'язаних зі здоров'ям, без їхньої згоди
При визначенні штрафу ICO зазначив, що неможливо кількісно оцінити рівень завданої шкоди через "невидимий" характер обробки, але переслідування та націлювання на потенційно вразливих осіб, більшість з яких є людьми похилого віку з довготривалими захворюваннями, можуть бути широкомасштабними. Компанія Easylife не вжила заходів, таких як DPIA, які могли б запобігти порушенню. Також була врахована її погана репутацію щодо дотримання нормативних вимог.
🔹£130 000 за здійснення небажаних прямих маркетингових дзвінків
Обставини, які обтяжують: маркетинг компанії Easylife був "агресивним"; компанія не звернулася за консультацією до регулятора.
Обставини, які пом’якшують: значний штраф в рамках паралельного розслідування порушень GDPR; заходи щодо виправлення ситуації (перевірка TPS, призначення нового партнера з телемаркетингу та запровадження нової системи управління даними).
Easylife зазначила, що має намір оскаржити рішення ICO як щодо відповідальності, так і щодо розміру штрафних санкцій.
🏆 ВИСНОВКИ
Будь-яке виявлене порушення (навіть незначне) може спровокувати багатопланові розслідування. Так, у цій справі регулятор спочатку звернув увагу на порушення PECR, але подальше розслідування виявило порушення GDPR, що призвели до набагато більшого штрафу. Тому краще дотримуватися GDPR та уникнути уваги регулятора.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Повідомлення на сайті ICO
💶 “З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
Інколи компанії знають більше про нас, ніж ми самі. Профілювання клієнтів дозволяє зробити багато висновків про спосіб життя, звички, уподобання, ба навіть про стан здоров’я. Так за допомогою простого аналізу покупок людини, реально навіть поставити діагноз. А компанії й раді порушувати право на приватність клієнтів, аби підняти власні продажі.
❓Що сталося?
Компанія Easylife Limited є роздрібним продавцем, який продає товари для дому, а також послуги та продукти. Розслідування британського регулятора ICO виявило, що коли клієнт купував товар з каталогу "Клуб здоров'я" Easylife, компанія робила припущення про стан його здоров'я, а потім продавала йому товари, пов'язані зі здоров'ям, без його згоди. Так компанія створила профілі 145 400 осіб на основі певних "тригерних продуктів". Наприклад, якщо людина купила відкривачку для банок або піднос для обіду, Easylife використовує ці дані про покупку, щоб припустити, що у неї артрит, а потім запропонувати їй суглобові пластирі з глюкозаміном.
❓Які були порушення?
🔸 Використання історії покупок для таргетування клієнтів
Компанія Easylife не повідомила своїх клієнтів про те, що таке профілювання буде мати місце. Це була "незаконна і невидима" обробка спеціальних категорій даних в порушення статті 5(1)(а) GDPR. ICO також процитував серпневе рішення Суду справедливості ЄС, що спеціальною категорією також є “дані, що опосередковано розкривають дані про стан здоров’я після інтелектуальної операції, що включає дедукцію та перехресне посилання”.
Упущення компанії Easylife отримати чітку згоду суб’єктів даних на обробку їхніх чутливих даних означало, що вона не мала правових підстав для такої обробки. Оцінка законного інтересу, на яку компанія посилалася, не відображала профілювання клієнтів.
🔸 Небажані прямі маркетингові дзвінки
Easylife також здійснила понад 1,3 млн прямих маркетингових дзвінків клієнтам, які зареєструвалися в TPS (Службі телефонних преференцій), що суперечить правилу 21 PECR. Положення 21 PECR забороняє особі здійснювати небажані прямі маркетингові дзвінки будь-кому, хто зареєстрував свої номери в TPS, якщо тільки вони не повідомили про те, що вони бажають отримувати такі дзвінки.
ICO вважає порушення Easylife "недбалістю найвищого рівня", оскільки компанія знала або повинна була знати про свої зобов'язання за PECR і не вжила розумних заходів для запобігання цьому порушенню.
❓Який штраф?
ICO оштрафував Easylife на £1,48 млн:
🔹£1,35 млн за використання персональних даних клієнтів для продажу продуктів, пов'язаних зі здоров'ям, без їхньої згоди
При визначенні штрафу ICO зазначив, що неможливо кількісно оцінити рівень завданої шкоди через "невидимий" характер обробки, але переслідування та націлювання на потенційно вразливих осіб, більшість з яких є людьми похилого віку з довготривалими захворюваннями, можуть бути широкомасштабними. Компанія Easylife не вжила заходів, таких як DPIA, які могли б запобігти порушенню. Також була врахована її погана репутацію щодо дотримання нормативних вимог.
🔹£130 000 за здійснення небажаних прямих маркетингових дзвінків
Обставини, які обтяжують: маркетинг компанії Easylife був "агресивним"; компанія не звернулася за консультацією до регулятора.
Обставини, які пом’якшують: значний штраф в рамках паралельного розслідування порушень GDPR; заходи щодо виправлення ситуації (перевірка TPS, призначення нового партнера з телемаркетингу та запровадження нової системи управління даними).
Easylife зазначила, що має намір оскаржити рішення ICO як щодо відповідальності, так і щодо розміру штрафних санкцій.
🏆 ВИСНОВКИ
Будь-яке виявлене порушення (навіть незначне) може спровокувати багатопланові розслідування. Так, у цій справі регулятор спочатку звернув увагу на порушення PECR, але подальше розслідування виявило порушення GDPR, що призвели до набагато більшого штрафу. Тому краще дотримуватися GDPR та уникнути уваги регулятора.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Повідомлення на сайті ICO
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [24.10 — 30.10]
① На сайті Верховної Ради опубліковано черговий проект Закону про захист персональних даних
➁ На сайті Міжнародної організації зі стандартизації (ISO) опубліковано стандарт ISO/IEC 27001:2022 «Інформаційна безпека, кібербезпека та захист приватності — Системи управління інформаційною безпекою»
➂ Суд Європейського Союзу (CJEU) виніс своє рішення у справі C-129/21 Proximus NV проти Gegevensbeschermingsautoriteit, де розтлумачив згоду та право бути забутим відповідно до GDPR. За рішенням згода абонента оператора телефонного зв'язку необхідна для включення абонента в загальнодоступні телефонні довідники та довідкові служби, які публікуються іншими провайдерами, ніж оператор. Згода може бути надана як оператору, так і одному з провайдерів. Запит абонента на видалення його персональних даних із загальнодоступних телефонних довідників і довідкових служб є реалізацією права на видалення
➃ Генеральний адвокат Maciej Szpunar висловив свою думку у справі C-470/21 «La Quadrature du Net and Others» щодо збереження та доступу до певних даних користувачів Інтернету. На його думку, національний орган повинен мати доступ до даних фізичної особи, пов’язаних з IP-адресами, якщо такі дані є єдиним засобом розслідування, які дозволяють ідентифікувати власників адреси, підозрюваного у порушенні авторських прав в інтернеті
➄ Іспанський регулятор запускає консультативний інструмент щодо повідомлень про порушення даних
➅ Британський регулятор опублікував дві доповіді про належне використання біометричних технологій
➆ ОЕСР опублікував звіт про темні комерційні патерни
➇ Британський регулятор розпочинає консультації щодо інформації про здоров’я працівників
➈ Європейська комісія опублікувала «Етичні рекомендації щодо використання штучного інтелекту» в освітніх установах
➉ Регулятор Баден-Вюртемберга випустив іконки для повідомлень про обробку персональних даних
⑪ Бельгійський регулятор наказав контролеру, власнику парку відпочинку, дотримуватися принципу мінімізації даних. Контролер обробляв персональні дані, щоб запобігти шахрайському зловживанню дисконтною карткою для басейну, але без потреби вимагав фотографії та ступінь споріднення членів сім’ї суб’єкта даних, коли було б достатньо лише їхніх імен
⑫ Італійський регулятор визнав табличку із зображенням камери недостатньою для інформування про використання камер відеоспостереження та оштрафувало контролера на 2000 євро
⑬ Окружний суд Зеландії-Західного Брабанта постановив, що використання права на доступ у спробі отримати грошову компенсацію за невчасне прийняття рішення кваліфікується як зловживання правами. Особливо, коли контролер не мав персональних даних суб’єкта даних
⑭ Іспанський регулятор наказав видалити резюме, завантажене в загальнодоступну групу Facebook без згоди суб’єкта даних
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [24.10 — 30.10]
① На сайті Верховної Ради опубліковано черговий проект Закону про захист персональних даних
➁ На сайті Міжнародної організації зі стандартизації (ISO) опубліковано стандарт ISO/IEC 27001:2022 «Інформаційна безпека, кібербезпека та захист приватності — Системи управління інформаційною безпекою»
➂ Суд Європейського Союзу (CJEU) виніс своє рішення у справі C-129/21 Proximus NV проти Gegevensbeschermingsautoriteit, де розтлумачив згоду та право бути забутим відповідно до GDPR. За рішенням згода абонента оператора телефонного зв'язку необхідна для включення абонента в загальнодоступні телефонні довідники та довідкові служби, які публікуються іншими провайдерами, ніж оператор. Згода може бути надана як оператору, так і одному з провайдерів. Запит абонента на видалення його персональних даних із загальнодоступних телефонних довідників і довідкових служб є реалізацією права на видалення
➃ Генеральний адвокат Maciej Szpunar висловив свою думку у справі C-470/21 «La Quadrature du Net and Others» щодо збереження та доступу до певних даних користувачів Інтернету. На його думку, національний орган повинен мати доступ до даних фізичної особи, пов’язаних з IP-адресами, якщо такі дані є єдиним засобом розслідування, які дозволяють ідентифікувати власників адреси, підозрюваного у порушенні авторських прав в інтернеті
➄ Іспанський регулятор запускає консультативний інструмент щодо повідомлень про порушення даних
➅ Британський регулятор опублікував дві доповіді про належне використання біометричних технологій
➆ ОЕСР опублікував звіт про темні комерційні патерни
➇ Британський регулятор розпочинає консультації щодо інформації про здоров’я працівників
➈ Європейська комісія опублікувала «Етичні рекомендації щодо використання штучного інтелекту» в освітніх установах
➉ Регулятор Баден-Вюртемберга випустив іконки для повідомлень про обробку персональних даних
⑪ Бельгійський регулятор наказав контролеру, власнику парку відпочинку, дотримуватися принципу мінімізації даних. Контролер обробляв персональні дані, щоб запобігти шахрайському зловживанню дисконтною карткою для басейну, але без потреби вимагав фотографії та ступінь споріднення членів сім’ї суб’єкта даних, коли було б достатньо лише їхніх імен
⑫ Італійський регулятор визнав табличку із зображенням камери недостатньою для інформування про використання камер відеоспостереження та оштрафувало контролера на 2000 євро
⑬ Окружний суд Зеландії-Західного Брабанта постановив, що використання права на доступ у спробі отримати грошову компенсацію за невчасне прийняття рішення кваліфікується як зловживання правами. Особливо, коли контролер не мав персональних даних суб’єкта даних
⑭ Іспанський регулятор наказав видалити резюме, завантажене в загальнодоступну групу Facebook без згоди суб’єкта даних
🇺🇦 Все буде Україна!
#Санкції
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)
#Інформаційна_безпека
🛡 СЕЗАМ, ВІДКРИЙСЯ! РЕКОМЕНДАЦІЇ CNIL ЩОДО ПАРОЛІВ
Парольна автентифікація є найпростішим і найдешевшим способом контролю доступу і підтвердження особи. Французький регулятор CNIL надав нові рекомендації щодо використання паролів для гарантування мінімального рівня безпеки.
📍Про рекомендації
Рекомендації CNIL не є стандартом, але відповідають сучасним тенденціям, на які може спиратися будь-який контролер даних в контексті зобов'язань, передбачених статтями 5 (1)(f) та 32 GDPR, при використанні парольної автентифікації для захисту обробки персональних даних.
📍Інші заходи безпеки
Процесор. Якщо питання управління паролями, доручаються, повністю або частково, процесору, необхідно забезпечити дотримання умов статті 28 GDPR. Ролі та обов'язки повинні бути чітко визначені та формалізовані, необхідний рівень безпеки та цілі обробки, покладеної на процесора, повинні бути чітко визначені, враховуючи характер обробки та ризики.
Програмне забезпечення. Хоча видавці простого програмного забезпечення для управління паролями не підпадають під дію законодавства щодо захисту даних, користувачі повинні його дотримуватися.
❓Які ризики пов'язані з поганим управлінням паролями?
🔻простота пароля;
🔻перехоплення мережі з метою збору переданих паролів;
🔻незашифроване зберігання паролів;
🔻слабкість процедур відновлення пароля у разі його забування ("секретні" питання).
📍Основні рекомендації CNIL
🔹Фокус на ступінь складності пароля (ентропію), а не на мінімальну довжину, щоб забезпечити більшу свободу у визначенні надійних політик паролів, адаптованих до конкретних випадків використання.
🔹Скасовано варіант використання, заснованого на секретній інформації (додаткові питання), як заходу, що знижує вимоги до безпеки пароля.
🔹Скасовано вимогу оновлення паролів для стандартних облікових записів користувачів (поновлення залишається для "привілейованих" акаунтів, тобто типу адміністратора або з розширеними правами).
🔹Запровадження переліку складних, але відомих паролів, яких слід уникати з огляду на нові моделі атак.
🔹Роз'яснення правил створення та оновлення паролів для забезпечення послідовного рівня безпеки протягом усього життєвого циклу пароля, у вигляді кращих практик (менеджер паролів, відмова від використання очевидної інформації).
📍Вгадуваність
Поняття "вгадуваності" є новим підходом до визначення стійкості пароля. За допомогою спеціальної алгоритмічної обробки оцінюється, наскільки легко противнику підібрати заданий пароль. У літературі на цю тему рекомендується мінімальна стійкість до атаки 1014 спроб.
📍Варіанти використання
CNIL визначив 3 різні сучасні варіанти використання паролів, які пов'язані з різними мінімальними рівнями ентропії:
🔸проста парольна автентифікація;
🔸варіант, коли впроваджуються заходи, що обмежують ризики онлайн-атак;
🔸варіант із апаратним кодом розблокування.
📍Зберігання паролів
Паролі ніколи не повинні зберігатися у вигляді відкритого тексту. Якщо автентифікація відбувається на віддаленому сервері, а також в інших випадках, якщо це технічно можливо, пароль повинен бути перетворений за допомогою безпечної, незворотної криптографічної функції, у тому числі з використанням “солі” або ключа.
📍Компрометація пароля
Якщо контролер даних виявляє порушення даних, пов'язане з паролем особи:
🔹повідомити регулятора протягом 72 годин;
🔹вимагати від користувача змінити свій пароль при вході в систему;
🔹рекомендувати змінити паролі для інших сервісів, якщо використовувався один пароль.
❓Які ризики для організацій?
Серйозне порушення принципів безпеки → штрафні санкції у розмірі до 4% обороту або 20 000 000 євро.
CNIL також нагадує, що порушення, пов'язані з політикою паролів, одні з найпоширеніших та можуть призвести до витоку даних.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Паролі: Нові рекомендації CNIL для підвищення безпеки
🔹Запитання та відповіді щодо нових рекомендацій
🛡 СЕЗАМ, ВІДКРИЙСЯ! РЕКОМЕНДАЦІЇ CNIL ЩОДО ПАРОЛІВ
Парольна автентифікація є найпростішим і найдешевшим способом контролю доступу і підтвердження особи. Французький регулятор CNIL надав нові рекомендації щодо використання паролів для гарантування мінімального рівня безпеки.
📍Про рекомендації
Рекомендації CNIL не є стандартом, але відповідають сучасним тенденціям, на які може спиратися будь-який контролер даних в контексті зобов'язань, передбачених статтями 5 (1)(f) та 32 GDPR, при використанні парольної автентифікації для захисту обробки персональних даних.
📍Інші заходи безпеки
Процесор. Якщо питання управління паролями, доручаються, повністю або частково, процесору, необхідно забезпечити дотримання умов статті 28 GDPR. Ролі та обов'язки повинні бути чітко визначені та формалізовані, необхідний рівень безпеки та цілі обробки, покладеної на процесора, повинні бути чітко визначені, враховуючи характер обробки та ризики.
Програмне забезпечення. Хоча видавці простого програмного забезпечення для управління паролями не підпадають під дію законодавства щодо захисту даних, користувачі повинні його дотримуватися.
❓Які ризики пов'язані з поганим управлінням паролями?
🔻простота пароля;
🔻перехоплення мережі з метою збору переданих паролів;
🔻незашифроване зберігання паролів;
🔻слабкість процедур відновлення пароля у разі його забування ("секретні" питання).
📍Основні рекомендації CNIL
🔹Фокус на ступінь складності пароля (ентропію), а не на мінімальну довжину, щоб забезпечити більшу свободу у визначенні надійних політик паролів, адаптованих до конкретних випадків використання.
🔹Скасовано варіант використання, заснованого на секретній інформації (додаткові питання), як заходу, що знижує вимоги до безпеки пароля.
🔹Скасовано вимогу оновлення паролів для стандартних облікових записів користувачів (поновлення залишається для "привілейованих" акаунтів, тобто типу адміністратора або з розширеними правами).
🔹Запровадження переліку складних, але відомих паролів, яких слід уникати з огляду на нові моделі атак.
🔹Роз'яснення правил створення та оновлення паролів для забезпечення послідовного рівня безпеки протягом усього життєвого циклу пароля, у вигляді кращих практик (менеджер паролів, відмова від використання очевидної інформації).
📍Вгадуваність
Поняття "вгадуваності" є новим підходом до визначення стійкості пароля. За допомогою спеціальної алгоритмічної обробки оцінюється, наскільки легко противнику підібрати заданий пароль. У літературі на цю тему рекомендується мінімальна стійкість до атаки 1014 спроб.
📍Варіанти використання
CNIL визначив 3 різні сучасні варіанти використання паролів, які пов'язані з різними мінімальними рівнями ентропії:
🔸проста парольна автентифікація;
🔸варіант, коли впроваджуються заходи, що обмежують ризики онлайн-атак;
🔸варіант із апаратним кодом розблокування.
📍Зберігання паролів
Паролі ніколи не повинні зберігатися у вигляді відкритого тексту. Якщо автентифікація відбувається на віддаленому сервері, а також в інших випадках, якщо це технічно можливо, пароль повинен бути перетворений за допомогою безпечної, незворотної криптографічної функції, у тому числі з використанням “солі” або ключа.
📍Компрометація пароля
Якщо контролер даних виявляє порушення даних, пов'язане з паролем особи:
🔹повідомити регулятора протягом 72 годин;
🔹вимагати від користувача змінити свій пароль при вході в систему;
🔹рекомендувати змінити паролі для інших сервісів, якщо використовувався один пароль.
❓Які ризики для організацій?
Серйозне порушення принципів безпеки → штрафні санкції у розмірі до 4% обороту або 20 000 000 євро.
CNIL також нагадує, що порушення, пов'язані з політикою паролів, одні з найпоширеніших та можуть призвести до витоку даних.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Паролі: Нові рекомендації CNIL для підвищення безпеки
🔹Запитання та відповіді щодо нових рекомендацій
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [31.10 — 06.11]
① Під час 44-ї Глобальної асамблеї приватності 120 органів із захисту даних прийняли резолюції щодо технології розпізнавання облич («резолюція FRT») і регулювання кібербезпеки ("резолюцію з кібербезпеки"). Резолюція FRT окреслює шість принципів і очікувань від організацій, які прагнуть використовувати FRT, а саме: законність підстави; розумність, необхідність і пропорційність; захист прав людини; прозорість; підзвітність; захист даних
➁ Іспанський регулятор створив інструмент, щоб допомогти організаціям визначити, чи варто повідомляти регулятора із захисту даних про порушення безпеки даних. Інструмент «Brecha Advisory» є безкоштовним для використання. Він спрямований на те, щоб допомогти контролерам даних визначити, кого слід повідомити, які елементи в порушенні містять персональні дані та до якого регулятора із захисту даних необхідно повідомляти про порушення
➂ Британський регулятор випустив пост про використання soft opt-in організаціями для надсилання електронних маркетингових повідомлень своїм клієнтам, а на сайті опубліковані детальні керівництва
➃ Британський регулятор опублікував рекомендації «Як правильно та законно використовувати штучний інтелект та персональні дані»
➄ Іспанський регулятор оштрафував Techpump Solutions (власник сторінок з дорослим контентом) на 525.000 євро за порушення обробки даних після повідомлень про можливу обробку персональних даних дітей віком до 14 років
➅ Регулятор Латвії оштрафував інтернет-провайдера на 1.200.000 євро за розголошення неперевірених персональних даних клієнтів службам стягнення боргів
➆ Ісландський регулятор постановив, що банк не є контролером персональної інформації, яка передається через офісні електронні листи його співробітників відповідно до статті 4(7) GDPR, якщо електронні листи не стосуються діяльності банку
➇ Вищий регіональний суд Штутгарта постановив, що суб’єкт даних не може покладатися на своє право на виправлення відповідно до ст. 16 GDPR для скасування бану в Facebook, оскільки заборона була застосована правильно відповідно до політики Facebook і не порушувала свободу вираження поглядів
➈ Адміністративний суд Баварії відхилив апеляцію щодо встановлення лічильника води з радіопоказом в архітектурному бюро. Суд підтвердив, що, як такі, показання електронного лічильника води в офісі, навіть якщо його відвідує велика кількість людей, можуть становити персональні дані відповідно до статті 4(1) GDPR
➉ Бельгійський регулятор постановив, що організація для надання соціального житла може покладатися на ст. 6(1)(e) GDPR для розслідування іноземних активів суб’єктів даних і на ст. 49(1)(d) GDPR для міжнародної передачі даних у зв’язку з цією метою. Однак DPA оголосив контролеру догану за порушення статей 28(2) і 28(3) GDPR в угоді про обробку даних
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [31.10 — 06.11]
① Під час 44-ї Глобальної асамблеї приватності 120 органів із захисту даних прийняли резолюції щодо технології розпізнавання облич («резолюція FRT») і регулювання кібербезпеки ("резолюцію з кібербезпеки"). Резолюція FRT окреслює шість принципів і очікувань від організацій, які прагнуть використовувати FRT, а саме: законність підстави; розумність, необхідність і пропорційність; захист прав людини; прозорість; підзвітність; захист даних
➁ Іспанський регулятор створив інструмент, щоб допомогти організаціям визначити, чи варто повідомляти регулятора із захисту даних про порушення безпеки даних. Інструмент «Brecha Advisory» є безкоштовним для використання. Він спрямований на те, щоб допомогти контролерам даних визначити, кого слід повідомити, які елементи в порушенні містять персональні дані та до якого регулятора із захисту даних необхідно повідомляти про порушення
➂ Британський регулятор випустив пост про використання soft opt-in організаціями для надсилання електронних маркетингових повідомлень своїм клієнтам, а на сайті опубліковані детальні керівництва
➃ Британський регулятор опублікував рекомендації «Як правильно та законно використовувати штучний інтелект та персональні дані»
➄ Іспанський регулятор оштрафував Techpump Solutions (власник сторінок з дорослим контентом) на 525.000 євро за порушення обробки даних після повідомлень про можливу обробку персональних даних дітей віком до 14 років
➅ Регулятор Латвії оштрафував інтернет-провайдера на 1.200.000 євро за розголошення неперевірених персональних даних клієнтів службам стягнення боргів
➆ Ісландський регулятор постановив, що банк не є контролером персональної інформації, яка передається через офісні електронні листи його співробітників відповідно до статті 4(7) GDPR, якщо електронні листи не стосуються діяльності банку
➇ Вищий регіональний суд Штутгарта постановив, що суб’єкт даних не може покладатися на своє право на виправлення відповідно до ст. 16 GDPR для скасування бану в Facebook, оскільки заборона була застосована правильно відповідно до політики Facebook і не порушувала свободу вираження поглядів
➈ Адміністративний суд Баварії відхилив апеляцію щодо встановлення лічильника води з радіопоказом в архітектурному бюро. Суд підтвердив, що, як такі, показання електронного лічильника води в офісі, навіть якщо його відвідує велика кількість людей, можуть становити персональні дані відповідно до статті 4(1) GDPR
➉ Бельгійський регулятор постановив, що організація для надання соціального житла може покладатися на ст. 6(1)(e) GDPR для розслідування іноземних активів суб’єктів даних і на ст. 49(1)(d) GDPR для міжнародної передачі даних у зв’язку з цією метою. Однак DPA оголосив контролеру догану за порушення статей 28(2) і 28(3) GDPR в угоді про обробку даних
🇺🇦 Все буде Україна!
#Санкції
💶 GDPR НА ВАРТІ РЕПУТАЦІЇ
Коли законотворці розробляли концепцію Загального Регламенту, то однією із першочергових задекларованих цілей було змусити великі компанії більш бережно ставитися до захисту персональних даних.
Дехто вважає, що ця мета не була досягнута, але штрафи і зміна практик обробки персональних даних кажуть про інше. Але сьогодні не про це.
Сьогодні ми розглянемо справу, коли положення Регламенту було використано для захисту честі і гідності.
❓Що трапилось?
ОСОБА 1 звернулась до іспанського регулятора зі скаргою на ОСОБУ 2 через те, що остання опублікувала у себе в блозі інформацію про заявника.
Перед тим, як піти по допомогу до держави, заявник звертався безпосередньо до блогера із проханням видалити “невдалі” дописи, які, крім персональних даних заявника, його імені та фотографій, містили ще й недостовірні факти і відвертий наклеп.
Але блогерство – це теж свого роду мистецтво, і автор блогу вирішив проігнорувати прохання заявника, адже блогер – митець, і він так бачить.
"На жаль" для блогера і "на щастя" для заявника, регулятор бачив цю ситуацію під іншим кутом і виписав митцю штраф у 10.000 євро за порушення норм обробки персональних даних.
❓Що було порушено?
Блогер не мав правової підстави для обробки персональних даних, а також проігнорував законну вимогу суб'єкта персональних даних.
🏆 ВИСНОВКИ
У певних випадках блог може підпасти під “household exemption”, і тоді нема сенсу морочити голову положеннями GDPR, але про етику все ж варто не забувати.
Автор блогу проігнорував прохання видалити інформацію і не зміг довести, що його матеріал був правдивий, за що отримав досить серйозний штраф.
Тому пам'ятайте про етику, не ігноруйте запити суб'єктів і майте змогу довести, що опублікована вами інформація є достовірною.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Рішення АЕРD (іспанська мова)
💶 GDPR НА ВАРТІ РЕПУТАЦІЇ
Коли законотворці розробляли концепцію Загального Регламенту, то однією із першочергових задекларованих цілей було змусити великі компанії більш бережно ставитися до захисту персональних даних.
Дехто вважає, що ця мета не була досягнута, але штрафи і зміна практик обробки персональних даних кажуть про інше. Але сьогодні не про це.
Сьогодні ми розглянемо справу, коли положення Регламенту було використано для захисту честі і гідності.
❓Що трапилось?
ОСОБА 1 звернулась до іспанського регулятора зі скаргою на ОСОБУ 2 через те, що остання опублікувала у себе в блозі інформацію про заявника.
Перед тим, як піти по допомогу до держави, заявник звертався безпосередньо до блогера із проханням видалити “невдалі” дописи, які, крім персональних даних заявника, його імені та фотографій, містили ще й недостовірні факти і відвертий наклеп.
Але блогерство – це теж свого роду мистецтво, і автор блогу вирішив проігнорувати прохання заявника, адже блогер – митець, і він так бачить.
"На жаль" для блогера і "на щастя" для заявника, регулятор бачив цю ситуацію під іншим кутом і виписав митцю штраф у 10.000 євро за порушення норм обробки персональних даних.
❓Що було порушено?
Блогер не мав правової підстави для обробки персональних даних, а також проігнорував законну вимогу суб'єкта персональних даних.
🏆 ВИСНОВКИ
У певних випадках блог може підпасти під “household exemption”, і тоді нема сенсу морочити голову положеннями GDPR, але про етику все ж варто не забувати.
Автор блогу проігнорував прохання видалити інформацію і не зміг довести, що його матеріал був правдивий, за що отримав досить серйозний штраф.
Тому пам'ятайте про етику, не ігноруйте запити суб'єктів і майте змогу довести, що опублікована вами інформація є достовірною.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Рішення АЕРD (іспанська мова)
#Інформаційна_безпека
🛡 10 ТЕРАБАЙТІВ ДАНИХ ЩОМІСЯЦЯ
Цього жовтня ЄС провели місяць кібербезпеки. На його завершення, як вишенку на тортик, ENISA випустили звіт по загрозах інформаційній безпеці за період з липня 2021 по липень 2022.
Нижче ділимось ключовими знахідками та трендами.
❓Як страждають дані?
Щомісяця викрадається 10 терабайтів даних. Найчастіше це відбувалось через хакерський злам (~50%), зловмисне програмне забезпечення (~40%), соціальну інженерію (~20%) і помилки (13%).
При цьому найважливішими об’єктами атаки були сервери (майже 90%), люди (менше 30%) і розробники (менше 20%). Крім того, з’явився новий тренд – атаки на розумні речі (IoT).
80% інцидентів були спричинені загрозами ззовні організації, 20% – загрозами всередині.
У 82% інциденти спричинені людським фактором (хтось помилився, повівся на соціальну інженерію тощо).
❓Хто найбільше страждає від атак?
🔹Державний сектор – 24% (війна дуже вплинула на цю статистику);
🔹Постачальники цифрових послуг – 13%;
🔹Звичайні люди – 12%.
Загалом же, зловмисники не оминули жоден сектор суспільства, між ними розподілені інші 50% досліджуваних інцидентів.
❓Які загрози справджуються найчастіше?
🔹Програми-вимагачі (ransomware)
Система лише зростає. Приблизно 60% постраждалих платять викуп.
Нагадуємо, що детальний звіт на цю тему вийшов на каналі на початку вересня.
З нового, в США (Північна Кароліна та Флорида) цього року заборонили державному сектору сплачувати викупи та зобов’язали повідомляти про такі атаки. Це має стати дуже цікавим законодавчим експериментом.
Оскільки 90% інцидентів мотивуються насамперед фінансово, і тепер можливість отримання грошей зникає – кількість атак дійсно може зменшитись.
🔹Шкідливе програмне забезпечення (malware)
Зловмисники частіше стали використовувати помилки або недопрацювання розробників у програмному забезпеченні (66 випадків).
Якщо ж навіть випускались оновлення, в середньому 8 днів потрібно було зловмисникам, щоб запустити відповідний вірус. Хто не оновився – ми не винуваті.
🔹Соціальна інженерія
Фішинг залишається популярним, але виділяють нові форми: spear-phishing (ціль — конкретні організації або люди), whaling (ціль — впливові люди: політики, менеджмент), smishing (працює через SMS) і vishing (працює через голосові виклики).
🔹Загрози доступності
Звичайно ж, це DDoS-атаки. Так само популярні і лише ускладнюються.
Тренд — мультивекторність та поєднання різних засобів атаки.
У липні 2022 року в ЄС зафіксували найбільшу за всю історію DDoS-атаку, за версією ENISA, на користувачів платформи Prolexic (працює для захисту від DDoS та інших атак — іронічно).
Протягом 30 днів користувачі були атаковані 75 разів різними способами.
Крім того, з початку війни спостерігалося більше атак задля руйнування інтернет-інфраструктури, збоїв та перенаправлення інтернет-трафіку.
Цікаво, що ENISA включає в дослідження також фізичне руйнування потужностей на окупованих українських територіях.
🔹Дезінформація
Ескалюється за допомогою штучного інтелекту, дипфейків і дезінформації як послуги. Інформаційна війна триває на всіх фронтах.
До речі, окремо згадують TikTok як прекрасне джерело фейків за дизайном (публікації неверифікованих коротких відео) та Telegram як кейс по розповсюдженню фейків (новини з непідтвердженими джерелами поширюються більше, ніж з перевірених каналів).
🔹Атаки на ланцюги постачальників
Мається на увазі схема, коли атаку на іншу організацію використовують, щоб потім залізти вже у ваші дані.
Такі випадки поширюються – 17% інцидентів у 2021 році порівняно з менш ніж 1% у 2020.
Ось чому важливо розуміти ризики безпеки ваших контрагентів та просити в них гарантії щодо даних.
🏆 ВИСНОВКИ
Безпека і ще раз безпека.
Більше даних – більше загроз та інцидентів.
Неможливо передбачити все, але навіть найпростіші речі, такі як моніторинг помилок, оновлення та навчання людей, можуть допомогти.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Звіт ENISA щодо загроз інформаційної безпеки
🔹Наймасштабніша DDoS-атака в ЄС
🛡 10 ТЕРАБАЙТІВ ДАНИХ ЩОМІСЯЦЯ
Цього жовтня ЄС провели місяць кібербезпеки. На його завершення, як вишенку на тортик, ENISA випустили звіт по загрозах інформаційній безпеці за період з липня 2021 по липень 2022.
Нижче ділимось ключовими знахідками та трендами.
❓Як страждають дані?
Щомісяця викрадається 10 терабайтів даних. Найчастіше це відбувалось через хакерський злам (~50%), зловмисне програмне забезпечення (~40%), соціальну інженерію (~20%) і помилки (13%).
При цьому найважливішими об’єктами атаки були сервери (майже 90%), люди (менше 30%) і розробники (менше 20%). Крім того, з’явився новий тренд – атаки на розумні речі (IoT).
80% інцидентів були спричинені загрозами ззовні організації, 20% – загрозами всередині.
У 82% інциденти спричинені людським фактором (хтось помилився, повівся на соціальну інженерію тощо).
❓Хто найбільше страждає від атак?
🔹Державний сектор – 24% (війна дуже вплинула на цю статистику);
🔹Постачальники цифрових послуг – 13%;
🔹Звичайні люди – 12%.
Загалом же, зловмисники не оминули жоден сектор суспільства, між ними розподілені інші 50% досліджуваних інцидентів.
❓Які загрози справджуються найчастіше?
🔹Програми-вимагачі (ransomware)
Система лише зростає. Приблизно 60% постраждалих платять викуп.
Нагадуємо, що детальний звіт на цю тему вийшов на каналі на початку вересня.
З нового, в США (Північна Кароліна та Флорида) цього року заборонили державному сектору сплачувати викупи та зобов’язали повідомляти про такі атаки. Це має стати дуже цікавим законодавчим експериментом.
Оскільки 90% інцидентів мотивуються насамперед фінансово, і тепер можливість отримання грошей зникає – кількість атак дійсно може зменшитись.
🔹Шкідливе програмне забезпечення (malware)
Зловмисники частіше стали використовувати помилки або недопрацювання розробників у програмному забезпеченні (66 випадків).
Якщо ж навіть випускались оновлення, в середньому 8 днів потрібно було зловмисникам, щоб запустити відповідний вірус. Хто не оновився – ми не винуваті.
🔹Соціальна інженерія
Фішинг залишається популярним, але виділяють нові форми: spear-phishing (ціль — конкретні організації або люди), whaling (ціль — впливові люди: політики, менеджмент), smishing (працює через SMS) і vishing (працює через голосові виклики).
🔹Загрози доступності
Звичайно ж, це DDoS-атаки. Так само популярні і лише ускладнюються.
Тренд — мультивекторність та поєднання різних засобів атаки.
У липні 2022 року в ЄС зафіксували найбільшу за всю історію DDoS-атаку, за версією ENISA, на користувачів платформи Prolexic (працює для захисту від DDoS та інших атак — іронічно).
Протягом 30 днів користувачі були атаковані 75 разів різними способами.
Крім того, з початку війни спостерігалося більше атак задля руйнування інтернет-інфраструктури, збоїв та перенаправлення інтернет-трафіку.
Цікаво, що ENISA включає в дослідження також фізичне руйнування потужностей на окупованих українських територіях.
🔹Дезінформація
Ескалюється за допомогою штучного інтелекту, дипфейків і дезінформації як послуги. Інформаційна війна триває на всіх фронтах.
До речі, окремо згадують TikTok як прекрасне джерело фейків за дизайном (публікації неверифікованих коротких відео) та Telegram як кейс по розповсюдженню фейків (новини з непідтвердженими джерелами поширюються більше, ніж з перевірених каналів).
🔹Атаки на ланцюги постачальників
Мається на увазі схема, коли атаку на іншу організацію використовують, щоб потім залізти вже у ваші дані.
Такі випадки поширюються – 17% інцидентів у 2021 році порівняно з менш ніж 1% у 2020.
Ось чому важливо розуміти ризики безпеки ваших контрагентів та просити в них гарантії щодо даних.
🏆 ВИСНОВКИ
Безпека і ще раз безпека.
Більше даних – більше загроз та інцидентів.
Неможливо передбачити все, але навіть найпростіші речі, такі як моніторинг помилок, оновлення та навчання людей, можуть допомогти.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Звіт ENISA щодо загроз інформаційної безпеки
🔹Наймасштабніша DDoS-атака в ЄС
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [07.11 — 13.11]
① Європейський парламент («ЄП») оголосив про ухвалення пропозиції щодо Директиви про заходи щодо високого спільного рівня кібербезпеки в Союзі, яка скасовує Директиву (ЄС) 2016/1148 («Директива NIS2»). Також ЄП ухвалив пропозицію щодо Регламенту щодо цифрової операційної стійкості фінансового сектору («DORA»)
➁ Європейська комісія оголосила, що прийняла пропозицію регламенту щодо збору та обміну даними щодо послуг короткострокової оренди житла. Органи зможуть отримувати персональні дані про орендодавців та їхню діяльність
➂ Управління із захисту даних Гессена (HBDI) випустило заяву, в якій міститься інформація про використання Google Fonts. Якщо Google Fonts інтегровані в Інтернеті, браузер користувача завантажує ці шрифти під час доступу до веб-сайту та зв’язується з серверами Google для цієї мети. У результаті, пояснили в HBDI, персональні дані користувача передаються в Google
➃ Регулятор Словакії опублікував оновлений Висновок щодо отримання згоди згідно з положеннями Закону про електронний зв'язок
➄ Регулятор Франції попередив відвідувачів майбутнього Чемпіонату світу з футболу в Катарі використовувати порожній смартфон або «пустий» телефон. Катар розробив два мобільних додатки для відстеження — додаток для відстеження COVID-19 і мобільний додаток Чемпіонату світу з футболу — обидва, за словами дослідників, містять шпигунське програмне забезпечення
➅ Управління із захисту даних землі Баден-Вюртемберг випустило вказівки щодо того, як інтегрувати відео на свої веб-сайти відповідно до норм захисту даних
➆ Грецький регулятор оштрафував Національний банк Греції на 20 000 євро за порушення ст. 13 GDPR через те, що той не повідомив клієнтів про те, що чіп їхніх дебетових/кредитних карток збирав інформацію про останні 10 транзакцій. Регулятор також вважає, що контролер встановив чіп без законної підстави та з порушенням принципу прозорості
➇ Угорський регулятор наказав оператору веб-сайту прогнозу погоди припинити передачу даних до США через рекламні сервіси Google. Регулятор постановив, що оператор веб-сайту використовував Google Analytics, не запровадивши відповідних гарантій для передачі даних у США, як того вимагає ст. 46 GDPR
➈ Апеляційний суд Амстердама постановив, що журналістські інтереси власника веб-сайту переважають над правом на приватність суб’єкта даних щодо статей, де останній був викритий як шахрай
➉ Після аудиту норвезького Директорату виправної служби регулятор наказав йому відсортувати та задокументувати свої обов’язки контролера та оновити внутрішні засоби контролю для управління приватністю та захистом персональних даних у всій організації
⑪ Регулятор Іспанії оштрафував United Parcel Service (UPS) на 70 000 євро за те, що вони залишили посилку сусідам суб’єкта даних без його попередньої згоди, таким чином незаконно розкривши дані одержувача третій особі
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [07.11 — 13.11]
① Європейський парламент («ЄП») оголосив про ухвалення пропозиції щодо Директиви про заходи щодо високого спільного рівня кібербезпеки в Союзі, яка скасовує Директиву (ЄС) 2016/1148 («Директива NIS2»). Також ЄП ухвалив пропозицію щодо Регламенту щодо цифрової операційної стійкості фінансового сектору («DORA»)
➁ Європейська комісія оголосила, що прийняла пропозицію регламенту щодо збору та обміну даними щодо послуг короткострокової оренди житла. Органи зможуть отримувати персональні дані про орендодавців та їхню діяльність
➂ Управління із захисту даних Гессена (HBDI) випустило заяву, в якій міститься інформація про використання Google Fonts. Якщо Google Fonts інтегровані в Інтернеті, браузер користувача завантажує ці шрифти під час доступу до веб-сайту та зв’язується з серверами Google для цієї мети. У результаті, пояснили в HBDI, персональні дані користувача передаються в Google
➃ Регулятор Словакії опублікував оновлений Висновок щодо отримання згоди згідно з положеннями Закону про електронний зв'язок
➄ Регулятор Франції попередив відвідувачів майбутнього Чемпіонату світу з футболу в Катарі використовувати порожній смартфон або «пустий» телефон. Катар розробив два мобільних додатки для відстеження — додаток для відстеження COVID-19 і мобільний додаток Чемпіонату світу з футболу — обидва, за словами дослідників, містять шпигунське програмне забезпечення
➅ Управління із захисту даних землі Баден-Вюртемберг випустило вказівки щодо того, як інтегрувати відео на свої веб-сайти відповідно до норм захисту даних
➆ Грецький регулятор оштрафував Національний банк Греції на 20 000 євро за порушення ст. 13 GDPR через те, що той не повідомив клієнтів про те, що чіп їхніх дебетових/кредитних карток збирав інформацію про останні 10 транзакцій. Регулятор також вважає, що контролер встановив чіп без законної підстави та з порушенням принципу прозорості
➇ Угорський регулятор наказав оператору веб-сайту прогнозу погоди припинити передачу даних до США через рекламні сервіси Google. Регулятор постановив, що оператор веб-сайту використовував Google Analytics, не запровадивши відповідних гарантій для передачі даних у США, як того вимагає ст. 46 GDPR
➈ Апеляційний суд Амстердама постановив, що журналістські інтереси власника веб-сайту переважають над правом на приватність суб’єкта даних щодо статей, де останній був викритий як шахрай
➉ Після аудиту норвезького Директорату виправної служби регулятор наказав йому відсортувати та задокументувати свої обов’язки контролера та оновити внутрішні засоби контролю для управління приватністю та захистом персональних даних у всій організації
⑪ Регулятор Іспанії оштрафував United Parcel Service (UPS) на 70 000 євро за те, що вони залишили посилку сусідам суб’єкта даних без його попередньої згоди, таким чином незаконно розкривши дані одержувача третій особі
🇺🇦 Все буде Україна!