#Інформаційна_безпека
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [10.10 — 16.10]
① Європейська рада із захисту даних (EDPB) прийняла першу європейську печатку захисту даних відповідно до статті 42(5) GDPR
➁ EDPB надіслала Європейській комісії «список бажаних» процедур, які включають «повноваження щодо розслідування органів із захисту даних» і «процесуальні строки»
➂ EDPB випустила Заяву 04/2022 щодо вибору дизайну для цифрового євро з точки зору приватності та захисту даних
➃ Європейський інспектор із захисту даних випустив Висновок 20/2022 про Рекомендації щодо Рішення Ради про початок переговорів від імені Європейського Союзу щодо Конвенції Ради Європи про штучний інтелект, права людини, демократію та верховенство права
➄ OECD опублікувала звіт про транскордонні потоки даних
➅ Регулятор Британії відкрив консультації щодо проекту керівництв щодо моніторингу на роботі
➅ Ірландський регулятор видав керівництва щодо прав доступу суб’єктів
➆ Польський регулятор опублікував керівництва щодо повідомлення судами про порушення даних
➇ Регулятор Естонії оновив інструкції щодо публікації інформації щодо порушення платежів
➈ Національний центр кібербезпеки Британії опублікував рекомендації щодо кібербезпеки в ланцюгах поставок
➉ Нідерландський суд зобов’язав компанію з розробки програмного забезпечення зі Флориди виплатити 75 000 євро колишньому співробітнику, який відмовився залишити свою веб-камеру ввімкненою
⑪ Вищий адміністративний суд Хорватії постановив, що система відеоспостереження багатоквартирної будівлі була створена відповідно до GDPR та національного законодавства, згідно з яким дві третини співвласників повинні дозволити використання системи
⑫ Хорватський регулятор дійшов висновку, що учбовий заклад порушив ст. 25 і 32 GDPR, втративши диплом магістра та екзаменаційну відомість колишнього студента
⑬ Регулятор Іспанії зобов’язав оператора мобільного зв’язку задовольнити запит на доступ до даних померлого члена сім’ї та їхнє видалення відповідно до ст. 15 і 17 GDPR. Він постановив, що у разі сумніву щодо особи запитуючої сторони контролер повинен запитати додаткову інформацію, а не залишати запит без відповіді
⑭ Регулятор Британії наклав штраф у розмірі 1 350 000 фунтів стерлінгів на роздрібного торговця, який надсилає своїм клієнтам каталоги, за порушення ст. 9 і 13 GDPR шляхом профілювання даних про особливу категорію (здоров’я) своїх клієнтів на основі їхніх покупок продуктів без отримання згоди або інформування про це
🇺🇦Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [10.10 — 16.10]
① Європейська рада із захисту даних (EDPB) прийняла першу європейську печатку захисту даних відповідно до статті 42(5) GDPR
➁ EDPB надіслала Європейській комісії «список бажаних» процедур, які включають «повноваження щодо розслідування органів із захисту даних» і «процесуальні строки»
➂ EDPB випустила Заяву 04/2022 щодо вибору дизайну для цифрового євро з точки зору приватності та захисту даних
➃ Європейський інспектор із захисту даних випустив Висновок 20/2022 про Рекомендації щодо Рішення Ради про початок переговорів від імені Європейського Союзу щодо Конвенції Ради Європи про штучний інтелект, права людини, демократію та верховенство права
➄ OECD опублікувала звіт про транскордонні потоки даних
➅ Регулятор Британії відкрив консультації щодо проекту керівництв щодо моніторингу на роботі
➅ Ірландський регулятор видав керівництва щодо прав доступу суб’єктів
➆ Польський регулятор опублікував керівництва щодо повідомлення судами про порушення даних
➇ Регулятор Естонії оновив інструкції щодо публікації інформації щодо порушення платежів
➈ Національний центр кібербезпеки Британії опублікував рекомендації щодо кібербезпеки в ланцюгах поставок
➉ Нідерландський суд зобов’язав компанію з розробки програмного забезпечення зі Флориди виплатити 75 000 євро колишньому співробітнику, який відмовився залишити свою веб-камеру ввімкненою
⑪ Вищий адміністративний суд Хорватії постановив, що система відеоспостереження багатоквартирної будівлі була створена відповідно до GDPR та національного законодавства, згідно з яким дві третини співвласників повинні дозволити використання системи
⑫ Хорватський регулятор дійшов висновку, що учбовий заклад порушив ст. 25 і 32 GDPR, втративши диплом магістра та екзаменаційну відомість колишнього студента
⑬ Регулятор Іспанії зобов’язав оператора мобільного зв’язку задовольнити запит на доступ до даних померлого члена сім’ї та їхнє видалення відповідно до ст. 15 і 17 GDPR. Він постановив, що у разі сумніву щодо особи запитуючої сторони контролер повинен запитати додаткову інформацію, а не залишати запит без відповіді
⑭ Регулятор Британії наклав штраф у розмірі 1 350 000 фунтів стерлінгів на роздрібного торговця, який надсилає своїм клієнтам каталоги, за порушення ст. 9 і 13 GDPR шляхом профілювання даних про особливу категорію (здоров’я) своїх клієнтів на основі їхніх покупок продуктів без отримання згоди або інформування про це
🇺🇦Все буде Україна!
#Санкції
💶 ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
Впевнені, кожен задумувався: Що буде після повідомлення регулятора про інцидент з даними відповідно до ст. 33 GDPR? Чи варто робити повідомлення? Чи прийде регулятор сварити, чи проігнорує, чи раптом допоможе?
Власне, нижче описуємо для вас один із реальних сценаріїв.
❓Що відбулося?
Румунський телеком-оператор Curtea Veche Publishing SRL повідомив національного регулятора про цілих 2 інциденти, через які виникла серйозна загроза персональним даним:
🔹розміщення на публічному форумі бази даних клієнтів оператора з 2019 по 2021 рік (10379 суб’єктів даних);
🔹DDoS-атака, що призвела до несанкціонованого доступу та втрати цілісності та доступу до певних даних працівників (100 суб’єктів даних).
❓Що зробив регулятор?
Звичайно, регулятор зацікавився, чому сталися цілих 2 серйозних інциденти, ще й в телеком-оператора, і прийшов з розслідуванням. За його результатами, було виявлено, що інциденти фактично сталися через недбалість контролера. Телеком-оператор невірно оцінив ризики та не вжив достатніх технічних та організаційних заходів захисту даних.
❓Що було порушено?
Було порушено окремі обов’язки щодо захисту персональних даних, передбачені ст. 32 GDPR:
🔹 не було забезпечено конфіденційність, цілісність, доступність і стійкість систем та процесів обробки даних (п. 1(b));
🔹 не було забезпечено можливість відновлення доступу до персональних даних у разі інциденту (п. 1(c));
🔹 оператор не врахував при оцінці рівня та забезпеченні безпеки ризики випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних (п. 2).
❓Який штраф?
Штраф склав приблизно 5000 євро. При визначенні розміру регулятор врахував, що оператор повідомив про інциденти та сприяв розслідуванню.
Додатково, оператор зобов’язаний оцінити наново рівень та ризики безпеки даних та оновити технічні та організаційні заходи. Регулятор пізніше перевірить оновлення.
🏆 ВИСНОВКИ
Якщо ви повідомите про інцидент з даними регулятора, він може прийти до вас з розслідуванням.
Але чи погано це? Ми думаємо, що ні. Як бачимо, регулятор враховує, що компанія належним чином виконує свої обов’язки щодо повідомлення про інцидент та добровільно співпрацює в розслідуванні.
Неповідомлення ж рахувалось би як ще одне порушення.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Новина Національного регулятора Румунії
💶 ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
Впевнені, кожен задумувався: Що буде після повідомлення регулятора про інцидент з даними відповідно до ст. 33 GDPR? Чи варто робити повідомлення? Чи прийде регулятор сварити, чи проігнорує, чи раптом допоможе?
Власне, нижче описуємо для вас один із реальних сценаріїв.
❓Що відбулося?
Румунський телеком-оператор Curtea Veche Publishing SRL повідомив національного регулятора про цілих 2 інциденти, через які виникла серйозна загроза персональним даним:
🔹розміщення на публічному форумі бази даних клієнтів оператора з 2019 по 2021 рік (10379 суб’єктів даних);
🔹DDoS-атака, що призвела до несанкціонованого доступу та втрати цілісності та доступу до певних даних працівників (100 суб’єктів даних).
❓Що зробив регулятор?
Звичайно, регулятор зацікавився, чому сталися цілих 2 серйозних інциденти, ще й в телеком-оператора, і прийшов з розслідуванням. За його результатами, було виявлено, що інциденти фактично сталися через недбалість контролера. Телеком-оператор невірно оцінив ризики та не вжив достатніх технічних та організаційних заходів захисту даних.
❓Що було порушено?
Було порушено окремі обов’язки щодо захисту персональних даних, передбачені ст. 32 GDPR:
🔹 не було забезпечено конфіденційність, цілісність, доступність і стійкість систем та процесів обробки даних (п. 1(b));
🔹 не було забезпечено можливість відновлення доступу до персональних даних у разі інциденту (п. 1(c));
🔹 оператор не врахував при оцінці рівня та забезпеченні безпеки ризики випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних (п. 2).
❓Який штраф?
Штраф склав приблизно 5000 євро. При визначенні розміру регулятор врахував, що оператор повідомив про інциденти та сприяв розслідуванню.
Додатково, оператор зобов’язаний оцінити наново рівень та ризики безпеки даних та оновити технічні та організаційні заходи. Регулятор пізніше перевірить оновлення.
🏆 ВИСНОВКИ
Якщо ви повідомите про інцидент з даними регулятора, він може прийти до вас з розслідуванням.
Але чи погано це? Ми думаємо, що ні. Як бачимо, регулятор враховує, що компанія належним чином виконує свої обов’язки щодо повідомлення про інцидент та добровільно співпрацює в розслідуванні.
Неповідомлення ж рахувалось би як ще одне порушення.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Новина Національного регулятора Румунії
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [17.10 — 23.10]
① Європейська рада із захисту даних опублікувала оновлення своїх керівництв щодо визначення головного наглядового органу контролера або процесора. Оновлення відкриті для публічних коментарів до 2 грудня
➁ Суд Європейського Союзу (СЄС) виніс рішення у справі C-77/21 Digi Távközlési és Szolgáltató Kft. v. Nemzeti Adatvédelmi és Információszabadság Hatóság, розтлумачивши принципи цільового обмеження та обмеження зберігання
➂ Регулятор Британії опублікував Керівництва щодо прямого маркетингу за допомогою електронної пошти
➃ Регулятор Франції видав оновлені рекомендації щодо безпеки паролів
➄ Уповноважений з питань інформації та приватності Онтаріо опублікував інформаційний бюлетень «Як захиститися від програм-вимагачів»
➅ Орган із захисту даних Японії випустив набір інструментів для картографування даних
➆ Суддя Оксфордського суду задовольнила два позови проти жителя Сполученого Королівства, який вторгся в приватне життя сусіда за допомогою камер дверного дзвінка Ring. Відповідач постановив, що сусід порушив закони Сполученого Королівства про приватність, встановивши камери в сараї, який виходив на будинок позивача, записуючи зображення та аудіо, які потім надсилалися на телефон відповідача
➇ Французький орган із захисту даних оштрафував компанію Clearview AI на 20 мільйонів євро
➈ Берлінський регулятор постановив, що фотограф порушив статтю 6(1) GDPR через відсутність підстави для публікації фотографій суб’єкта даних на його веб-сайті. Відступ від GDPR для журналістики згідно із законодавством Німеччини, який надається відповідно до статті 85(2) GDPR, не застосовувався, оскільки публікація мала комерційну мету
➉ Окружний суд Амстердама постановив, що банк не зобов’язаний видаляти суб’єкта даних із кредитного реєстру. Суд визнав 5-річний період після останнього кредиту пропорційним для видалення з реєстру, але суб’єкт даних не мав заборгованості лише 2 роки поспіль
⑪ Регулятор Іспанії оштрафувало навчальну академію на 12 000 євро за порушення статті 6(1) GDPR через незаконну публікацію рейтингового списку, який містив результати процесу відбору та чутливі дані про здоров’я (інвалідність)
🆕 НОВИНИ ТИЖНЯ [17.10 — 23.10]
① Європейська рада із захисту даних опублікувала оновлення своїх керівництв щодо визначення головного наглядового органу контролера або процесора. Оновлення відкриті для публічних коментарів до 2 грудня
➁ Суд Європейського Союзу (СЄС) виніс рішення у справі C-77/21 Digi Távközlési és Szolgáltató Kft. v. Nemzeti Adatvédelmi és Információszabadság Hatóság, розтлумачивши принципи цільового обмеження та обмеження зберігання
➂ Регулятор Британії опублікував Керівництва щодо прямого маркетингу за допомогою електронної пошти
➃ Регулятор Франції видав оновлені рекомендації щодо безпеки паролів
➄ Уповноважений з питань інформації та приватності Онтаріо опублікував інформаційний бюлетень «Як захиститися від програм-вимагачів»
➅ Орган із захисту даних Японії випустив набір інструментів для картографування даних
➆ Суддя Оксфордського суду задовольнила два позови проти жителя Сполученого Королівства, який вторгся в приватне життя сусіда за допомогою камер дверного дзвінка Ring. Відповідач постановив, що сусід порушив закони Сполученого Королівства про приватність, встановивши камери в сараї, який виходив на будинок позивача, записуючи зображення та аудіо, які потім надсилалися на телефон відповідача
➇ Французький орган із захисту даних оштрафував компанію Clearview AI на 20 мільйонів євро
➈ Берлінський регулятор постановив, що фотограф порушив статтю 6(1) GDPR через відсутність підстави для публікації фотографій суб’єкта даних на його веб-сайті. Відступ від GDPR для журналістики згідно із законодавством Німеччини, який надається відповідно до статті 85(2) GDPR, не застосовувався, оскільки публікація мала комерційну мету
➉ Окружний суд Амстердама постановив, що банк не зобов’язаний видаляти суб’єкта даних із кредитного реєстру. Суд визнав 5-річний період після останнього кредиту пропорційним для видалення з реєстру, але суб’єкт даних не мав заборгованості лише 2 роки поспіль
⑪ Регулятор Іспанії оштрафувало навчальну академію на 12 000 євро за порушення статті 6(1) GDPR через незаконну публікацію рейтингового списку, який містив результати процесу відбору та чутливі дані про здоров’я (інвалідність)
#Санкції
💶 “З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
Інколи компанії знають більше про нас, ніж ми самі. Профілювання клієнтів дозволяє зробити багато висновків про спосіб життя, звички, уподобання, ба навіть про стан здоров’я. Так за допомогою простого аналізу покупок людини, реально навіть поставити діагноз. А компанії й раді порушувати право на приватність клієнтів, аби підняти власні продажі.
❓Що сталося?
Компанія Easylife Limited є роздрібним продавцем, який продає товари для дому, а також послуги та продукти. Розслідування британського регулятора ICO виявило, що коли клієнт купував товар з каталогу "Клуб здоров'я" Easylife, компанія робила припущення про стан його здоров'я, а потім продавала йому товари, пов'язані зі здоров'ям, без його згоди. Так компанія створила профілі 145 400 осіб на основі певних "тригерних продуктів". Наприклад, якщо людина купила відкривачку для банок або піднос для обіду, Easylife використовує ці дані про покупку, щоб припустити, що у неї артрит, а потім запропонувати їй суглобові пластирі з глюкозаміном.
❓Які були порушення?
🔸 Використання історії покупок для таргетування клієнтів
Компанія Easylife не повідомила своїх клієнтів про те, що таке профілювання буде мати місце. Це була "незаконна і невидима" обробка спеціальних категорій даних в порушення статті 5(1)(а) GDPR. ICO також процитував серпневе рішення Суду справедливості ЄС, що спеціальною категорією також є “дані, що опосередковано розкривають дані про стан здоров’я після інтелектуальної операції, що включає дедукцію та перехресне посилання”.
Упущення компанії Easylife отримати чітку згоду суб’єктів даних на обробку їхніх чутливих даних означало, що вона не мала правових підстав для такої обробки. Оцінка законного інтересу, на яку компанія посилалася, не відображала профілювання клієнтів.
🔸 Небажані прямі маркетингові дзвінки
Easylife також здійснила понад 1,3 млн прямих маркетингових дзвінків клієнтам, які зареєструвалися в TPS (Службі телефонних преференцій), що суперечить правилу 21 PECR. Положення 21 PECR забороняє особі здійснювати небажані прямі маркетингові дзвінки будь-кому, хто зареєстрував свої номери в TPS, якщо тільки вони не повідомили про те, що вони бажають отримувати такі дзвінки.
ICO вважає порушення Easylife "недбалістю найвищого рівня", оскільки компанія знала або повинна була знати про свої зобов'язання за PECR і не вжила розумних заходів для запобігання цьому порушенню.
❓Який штраф?
ICO оштрафував Easylife на £1,48 млн:
🔹£1,35 млн за використання персональних даних клієнтів для продажу продуктів, пов'язаних зі здоров'ям, без їхньої згоди
При визначенні штрафу ICO зазначив, що неможливо кількісно оцінити рівень завданої шкоди через "невидимий" характер обробки, але переслідування та націлювання на потенційно вразливих осіб, більшість з яких є людьми похилого віку з довготривалими захворюваннями, можуть бути широкомасштабними. Компанія Easylife не вжила заходів, таких як DPIA, які могли б запобігти порушенню. Також була врахована її погана репутацію щодо дотримання нормативних вимог.
🔹£130 000 за здійснення небажаних прямих маркетингових дзвінків
Обставини, які обтяжують: маркетинг компанії Easylife був "агресивним"; компанія не звернулася за консультацією до регулятора.
Обставини, які пом’якшують: значний штраф в рамках паралельного розслідування порушень GDPR; заходи щодо виправлення ситуації (перевірка TPS, призначення нового партнера з телемаркетингу та запровадження нової системи управління даними).
Easylife зазначила, що має намір оскаржити рішення ICO як щодо відповідальності, так і щодо розміру штрафних санкцій.
🏆 ВИСНОВКИ
Будь-яке виявлене порушення (навіть незначне) може спровокувати багатопланові розслідування. Так, у цій справі регулятор спочатку звернув увагу на порушення PECR, але подальше розслідування виявило порушення GDPR, що призвели до набагато більшого штрафу. Тому краще дотримуватися GDPR та уникнути уваги регулятора.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Повідомлення на сайті ICO
💶 “З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
Інколи компанії знають більше про нас, ніж ми самі. Профілювання клієнтів дозволяє зробити багато висновків про спосіб життя, звички, уподобання, ба навіть про стан здоров’я. Так за допомогою простого аналізу покупок людини, реально навіть поставити діагноз. А компанії й раді порушувати право на приватність клієнтів, аби підняти власні продажі.
❓Що сталося?
Компанія Easylife Limited є роздрібним продавцем, який продає товари для дому, а також послуги та продукти. Розслідування британського регулятора ICO виявило, що коли клієнт купував товар з каталогу "Клуб здоров'я" Easylife, компанія робила припущення про стан його здоров'я, а потім продавала йому товари, пов'язані зі здоров'ям, без його згоди. Так компанія створила профілі 145 400 осіб на основі певних "тригерних продуктів". Наприклад, якщо людина купила відкривачку для банок або піднос для обіду, Easylife використовує ці дані про покупку, щоб припустити, що у неї артрит, а потім запропонувати їй суглобові пластирі з глюкозаміном.
❓Які були порушення?
🔸 Використання історії покупок для таргетування клієнтів
Компанія Easylife не повідомила своїх клієнтів про те, що таке профілювання буде мати місце. Це була "незаконна і невидима" обробка спеціальних категорій даних в порушення статті 5(1)(а) GDPR. ICO також процитував серпневе рішення Суду справедливості ЄС, що спеціальною категорією також є “дані, що опосередковано розкривають дані про стан здоров’я після інтелектуальної операції, що включає дедукцію та перехресне посилання”.
Упущення компанії Easylife отримати чітку згоду суб’єктів даних на обробку їхніх чутливих даних означало, що вона не мала правових підстав для такої обробки. Оцінка законного інтересу, на яку компанія посилалася, не відображала профілювання клієнтів.
🔸 Небажані прямі маркетингові дзвінки
Easylife також здійснила понад 1,3 млн прямих маркетингових дзвінків клієнтам, які зареєструвалися в TPS (Службі телефонних преференцій), що суперечить правилу 21 PECR. Положення 21 PECR забороняє особі здійснювати небажані прямі маркетингові дзвінки будь-кому, хто зареєстрував свої номери в TPS, якщо тільки вони не повідомили про те, що вони бажають отримувати такі дзвінки.
ICO вважає порушення Easylife "недбалістю найвищого рівня", оскільки компанія знала або повинна була знати про свої зобов'язання за PECR і не вжила розумних заходів для запобігання цьому порушенню.
❓Який штраф?
ICO оштрафував Easylife на £1,48 млн:
🔹£1,35 млн за використання персональних даних клієнтів для продажу продуктів, пов'язаних зі здоров'ям, без їхньої згоди
При визначенні штрафу ICO зазначив, що неможливо кількісно оцінити рівень завданої шкоди через "невидимий" характер обробки, але переслідування та націлювання на потенційно вразливих осіб, більшість з яких є людьми похилого віку з довготривалими захворюваннями, можуть бути широкомасштабними. Компанія Easylife не вжила заходів, таких як DPIA, які могли б запобігти порушенню. Також була врахована її погана репутацію щодо дотримання нормативних вимог.
🔹£130 000 за здійснення небажаних прямих маркетингових дзвінків
Обставини, які обтяжують: маркетинг компанії Easylife був "агресивним"; компанія не звернулася за консультацією до регулятора.
Обставини, які пом’якшують: значний штраф в рамках паралельного розслідування порушень GDPR; заходи щодо виправлення ситуації (перевірка TPS, призначення нового партнера з телемаркетингу та запровадження нової системи управління даними).
Easylife зазначила, що має намір оскаржити рішення ICO як щодо відповідальності, так і щодо розміру штрафних санкцій.
🏆 ВИСНОВКИ
Будь-яке виявлене порушення (навіть незначне) може спровокувати багатопланові розслідування. Так, у цій справі регулятор спочатку звернув увагу на порушення PECR, але подальше розслідування виявило порушення GDPR, що призвели до набагато більшого штрафу. Тому краще дотримуватися GDPR та уникнути уваги регулятора.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Повідомлення на сайті ICO
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [24.10 — 30.10]
① На сайті Верховної Ради опубліковано черговий проект Закону про захист персональних даних
➁ На сайті Міжнародної організації зі стандартизації (ISO) опубліковано стандарт ISO/IEC 27001:2022 «Інформаційна безпека, кібербезпека та захист приватності — Системи управління інформаційною безпекою»
➂ Суд Європейського Союзу (CJEU) виніс своє рішення у справі C-129/21 Proximus NV проти Gegevensbeschermingsautoriteit, де розтлумачив згоду та право бути забутим відповідно до GDPR. За рішенням згода абонента оператора телефонного зв'язку необхідна для включення абонента в загальнодоступні телефонні довідники та довідкові служби, які публікуються іншими провайдерами, ніж оператор. Згода може бути надана як оператору, так і одному з провайдерів. Запит абонента на видалення його персональних даних із загальнодоступних телефонних довідників і довідкових служб є реалізацією права на видалення
➃ Генеральний адвокат Maciej Szpunar висловив свою думку у справі C-470/21 «La Quadrature du Net and Others» щодо збереження та доступу до певних даних користувачів Інтернету. На його думку, національний орган повинен мати доступ до даних фізичної особи, пов’язаних з IP-адресами, якщо такі дані є єдиним засобом розслідування, які дозволяють ідентифікувати власників адреси, підозрюваного у порушенні авторських прав в інтернеті
➄ Іспанський регулятор запускає консультативний інструмент щодо повідомлень про порушення даних
➅ Британський регулятор опублікував дві доповіді про належне використання біометричних технологій
➆ ОЕСР опублікував звіт про темні комерційні патерни
➇ Британський регулятор розпочинає консультації щодо інформації про здоров’я працівників
➈ Європейська комісія опублікувала «Етичні рекомендації щодо використання штучного інтелекту» в освітніх установах
➉ Регулятор Баден-Вюртемберга випустив іконки для повідомлень про обробку персональних даних
⑪ Бельгійський регулятор наказав контролеру, власнику парку відпочинку, дотримуватися принципу мінімізації даних. Контролер обробляв персональні дані, щоб запобігти шахрайському зловживанню дисконтною карткою для басейну, але без потреби вимагав фотографії та ступінь споріднення членів сім’ї суб’єкта даних, коли було б достатньо лише їхніх імен
⑫ Італійський регулятор визнав табличку із зображенням камери недостатньою для інформування про використання камер відеоспостереження та оштрафувало контролера на 2000 євро
⑬ Окружний суд Зеландії-Західного Брабанта постановив, що використання права на доступ у спробі отримати грошову компенсацію за невчасне прийняття рішення кваліфікується як зловживання правами. Особливо, коли контролер не мав персональних даних суб’єкта даних
⑭ Іспанський регулятор наказав видалити резюме, завантажене в загальнодоступну групу Facebook без згоди суб’єкта даних
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [24.10 — 30.10]
① На сайті Верховної Ради опубліковано черговий проект Закону про захист персональних даних
➁ На сайті Міжнародної організації зі стандартизації (ISO) опубліковано стандарт ISO/IEC 27001:2022 «Інформаційна безпека, кібербезпека та захист приватності — Системи управління інформаційною безпекою»
➂ Суд Європейського Союзу (CJEU) виніс своє рішення у справі C-129/21 Proximus NV проти Gegevensbeschermingsautoriteit, де розтлумачив згоду та право бути забутим відповідно до GDPR. За рішенням згода абонента оператора телефонного зв'язку необхідна для включення абонента в загальнодоступні телефонні довідники та довідкові служби, які публікуються іншими провайдерами, ніж оператор. Згода може бути надана як оператору, так і одному з провайдерів. Запит абонента на видалення його персональних даних із загальнодоступних телефонних довідників і довідкових служб є реалізацією права на видалення
➃ Генеральний адвокат Maciej Szpunar висловив свою думку у справі C-470/21 «La Quadrature du Net and Others» щодо збереження та доступу до певних даних користувачів Інтернету. На його думку, національний орган повинен мати доступ до даних фізичної особи, пов’язаних з IP-адресами, якщо такі дані є єдиним засобом розслідування, які дозволяють ідентифікувати власників адреси, підозрюваного у порушенні авторських прав в інтернеті
➄ Іспанський регулятор запускає консультативний інструмент щодо повідомлень про порушення даних
➅ Британський регулятор опублікував дві доповіді про належне використання біометричних технологій
➆ ОЕСР опублікував звіт про темні комерційні патерни
➇ Британський регулятор розпочинає консультації щодо інформації про здоров’я працівників
➈ Європейська комісія опублікувала «Етичні рекомендації щодо використання штучного інтелекту» в освітніх установах
➉ Регулятор Баден-Вюртемберга випустив іконки для повідомлень про обробку персональних даних
⑪ Бельгійський регулятор наказав контролеру, власнику парку відпочинку, дотримуватися принципу мінімізації даних. Контролер обробляв персональні дані, щоб запобігти шахрайському зловживанню дисконтною карткою для басейну, але без потреби вимагав фотографії та ступінь споріднення членів сім’ї суб’єкта даних, коли було б достатньо лише їхніх імен
⑫ Італійський регулятор визнав табличку із зображенням камери недостатньою для інформування про використання камер відеоспостереження та оштрафувало контролера на 2000 євро
⑬ Окружний суд Зеландії-Західного Брабанта постановив, що використання права на доступ у спробі отримати грошову компенсацію за невчасне прийняття рішення кваліфікується як зловживання правами. Особливо, коли контролер не мав персональних даних суб’єкта даних
⑭ Іспанський регулятор наказав видалити резюме, завантажене в загальнодоступну групу Facebook без згоди суб’єкта даних
🇺🇦 Все буде Україна!
#Санкції
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)
#Інформаційна_безпека
🛡 СЕЗАМ, ВІДКРИЙСЯ! РЕКОМЕНДАЦІЇ CNIL ЩОДО ПАРОЛІВ
Парольна автентифікація є найпростішим і найдешевшим способом контролю доступу і підтвердження особи. Французький регулятор CNIL надав нові рекомендації щодо використання паролів для гарантування мінімального рівня безпеки.
📍Про рекомендації
Рекомендації CNIL не є стандартом, але відповідають сучасним тенденціям, на які може спиратися будь-який контролер даних в контексті зобов'язань, передбачених статтями 5 (1)(f) та 32 GDPR, при використанні парольної автентифікації для захисту обробки персональних даних.
📍Інші заходи безпеки
Процесор. Якщо питання управління паролями, доручаються, повністю або частково, процесору, необхідно забезпечити дотримання умов статті 28 GDPR. Ролі та обов'язки повинні бути чітко визначені та формалізовані, необхідний рівень безпеки та цілі обробки, покладеної на процесора, повинні бути чітко визначені, враховуючи характер обробки та ризики.
Програмне забезпечення. Хоча видавці простого програмного забезпечення для управління паролями не підпадають під дію законодавства щодо захисту даних, користувачі повинні його дотримуватися.
❓Які ризики пов'язані з поганим управлінням паролями?
🔻простота пароля;
🔻перехоплення мережі з метою збору переданих паролів;
🔻незашифроване зберігання паролів;
🔻слабкість процедур відновлення пароля у разі його забування ("секретні" питання).
📍Основні рекомендації CNIL
🔹Фокус на ступінь складності пароля (ентропію), а не на мінімальну довжину, щоб забезпечити більшу свободу у визначенні надійних політик паролів, адаптованих до конкретних випадків використання.
🔹Скасовано варіант використання, заснованого на секретній інформації (додаткові питання), як заходу, що знижує вимоги до безпеки пароля.
🔹Скасовано вимогу оновлення паролів для стандартних облікових записів користувачів (поновлення залишається для "привілейованих" акаунтів, тобто типу адміністратора або з розширеними правами).
🔹Запровадження переліку складних, але відомих паролів, яких слід уникати з огляду на нові моделі атак.
🔹Роз'яснення правил створення та оновлення паролів для забезпечення послідовного рівня безпеки протягом усього життєвого циклу пароля, у вигляді кращих практик (менеджер паролів, відмова від використання очевидної інформації).
📍Вгадуваність
Поняття "вгадуваності" є новим підходом до визначення стійкості пароля. За допомогою спеціальної алгоритмічної обробки оцінюється, наскільки легко противнику підібрати заданий пароль. У літературі на цю тему рекомендується мінімальна стійкість до атаки 1014 спроб.
📍Варіанти використання
CNIL визначив 3 різні сучасні варіанти використання паролів, які пов'язані з різними мінімальними рівнями ентропії:
🔸проста парольна автентифікація;
🔸варіант, коли впроваджуються заходи, що обмежують ризики онлайн-атак;
🔸варіант із апаратним кодом розблокування.
📍Зберігання паролів
Паролі ніколи не повинні зберігатися у вигляді відкритого тексту. Якщо автентифікація відбувається на віддаленому сервері, а також в інших випадках, якщо це технічно можливо, пароль повинен бути перетворений за допомогою безпечної, незворотної криптографічної функції, у тому числі з використанням “солі” або ключа.
📍Компрометація пароля
Якщо контролер даних виявляє порушення даних, пов'язане з паролем особи:
🔹повідомити регулятора протягом 72 годин;
🔹вимагати від користувача змінити свій пароль при вході в систему;
🔹рекомендувати змінити паролі для інших сервісів, якщо використовувався один пароль.
❓Які ризики для організацій?
Серйозне порушення принципів безпеки → штрафні санкції у розмірі до 4% обороту або 20 000 000 євро.
CNIL також нагадує, що порушення, пов'язані з політикою паролів, одні з найпоширеніших та можуть призвести до витоку даних.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Паролі: Нові рекомендації CNIL для підвищення безпеки
🔹Запитання та відповіді щодо нових рекомендацій
🛡 СЕЗАМ, ВІДКРИЙСЯ! РЕКОМЕНДАЦІЇ CNIL ЩОДО ПАРОЛІВ
Парольна автентифікація є найпростішим і найдешевшим способом контролю доступу і підтвердження особи. Французький регулятор CNIL надав нові рекомендації щодо використання паролів для гарантування мінімального рівня безпеки.
📍Про рекомендації
Рекомендації CNIL не є стандартом, але відповідають сучасним тенденціям, на які може спиратися будь-який контролер даних в контексті зобов'язань, передбачених статтями 5 (1)(f) та 32 GDPR, при використанні парольної автентифікації для захисту обробки персональних даних.
📍Інші заходи безпеки
Процесор. Якщо питання управління паролями, доручаються, повністю або частково, процесору, необхідно забезпечити дотримання умов статті 28 GDPR. Ролі та обов'язки повинні бути чітко визначені та формалізовані, необхідний рівень безпеки та цілі обробки, покладеної на процесора, повинні бути чітко визначені, враховуючи характер обробки та ризики.
Програмне забезпечення. Хоча видавці простого програмного забезпечення для управління паролями не підпадають під дію законодавства щодо захисту даних, користувачі повинні його дотримуватися.
❓Які ризики пов'язані з поганим управлінням паролями?
🔻простота пароля;
🔻перехоплення мережі з метою збору переданих паролів;
🔻незашифроване зберігання паролів;
🔻слабкість процедур відновлення пароля у разі його забування ("секретні" питання).
📍Основні рекомендації CNIL
🔹Фокус на ступінь складності пароля (ентропію), а не на мінімальну довжину, щоб забезпечити більшу свободу у визначенні надійних політик паролів, адаптованих до конкретних випадків використання.
🔹Скасовано варіант використання, заснованого на секретній інформації (додаткові питання), як заходу, що знижує вимоги до безпеки пароля.
🔹Скасовано вимогу оновлення паролів для стандартних облікових записів користувачів (поновлення залишається для "привілейованих" акаунтів, тобто типу адміністратора або з розширеними правами).
🔹Запровадження переліку складних, але відомих паролів, яких слід уникати з огляду на нові моделі атак.
🔹Роз'яснення правил створення та оновлення паролів для забезпечення послідовного рівня безпеки протягом усього життєвого циклу пароля, у вигляді кращих практик (менеджер паролів, відмова від використання очевидної інформації).
📍Вгадуваність
Поняття "вгадуваності" є новим підходом до визначення стійкості пароля. За допомогою спеціальної алгоритмічної обробки оцінюється, наскільки легко противнику підібрати заданий пароль. У літературі на цю тему рекомендується мінімальна стійкість до атаки 1014 спроб.
📍Варіанти використання
CNIL визначив 3 різні сучасні варіанти використання паролів, які пов'язані з різними мінімальними рівнями ентропії:
🔸проста парольна автентифікація;
🔸варіант, коли впроваджуються заходи, що обмежують ризики онлайн-атак;
🔸варіант із апаратним кодом розблокування.
📍Зберігання паролів
Паролі ніколи не повинні зберігатися у вигляді відкритого тексту. Якщо автентифікація відбувається на віддаленому сервері, а також в інших випадках, якщо це технічно можливо, пароль повинен бути перетворений за допомогою безпечної, незворотної криптографічної функції, у тому числі з використанням “солі” або ключа.
📍Компрометація пароля
Якщо контролер даних виявляє порушення даних, пов'язане з паролем особи:
🔹повідомити регулятора протягом 72 годин;
🔹вимагати від користувача змінити свій пароль при вході в систему;
🔹рекомендувати змінити паролі для інших сервісів, якщо використовувався один пароль.
❓Які ризики для організацій?
Серйозне порушення принципів безпеки → штрафні санкції у розмірі до 4% обороту або 20 000 000 євро.
CNIL також нагадує, що порушення, пов'язані з політикою паролів, одні з найпоширеніших та можуть призвести до витоку даних.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Паролі: Нові рекомендації CNIL для підвищення безпеки
🔹Запитання та відповіді щодо нових рекомендацій
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [31.10 — 06.11]
① Під час 44-ї Глобальної асамблеї приватності 120 органів із захисту даних прийняли резолюції щодо технології розпізнавання облич («резолюція FRT») і регулювання кібербезпеки ("резолюцію з кібербезпеки"). Резолюція FRT окреслює шість принципів і очікувань від організацій, які прагнуть використовувати FRT, а саме: законність підстави; розумність, необхідність і пропорційність; захист прав людини; прозорість; підзвітність; захист даних
➁ Іспанський регулятор створив інструмент, щоб допомогти організаціям визначити, чи варто повідомляти регулятора із захисту даних про порушення безпеки даних. Інструмент «Brecha Advisory» є безкоштовним для використання. Він спрямований на те, щоб допомогти контролерам даних визначити, кого слід повідомити, які елементи в порушенні містять персональні дані та до якого регулятора із захисту даних необхідно повідомляти про порушення
➂ Британський регулятор випустив пост про використання soft opt-in організаціями для надсилання електронних маркетингових повідомлень своїм клієнтам, а на сайті опубліковані детальні керівництва
➃ Британський регулятор опублікував рекомендації «Як правильно та законно використовувати штучний інтелект та персональні дані»
➄ Іспанський регулятор оштрафував Techpump Solutions (власник сторінок з дорослим контентом) на 525.000 євро за порушення обробки даних після повідомлень про можливу обробку персональних даних дітей віком до 14 років
➅ Регулятор Латвії оштрафував інтернет-провайдера на 1.200.000 євро за розголошення неперевірених персональних даних клієнтів службам стягнення боргів
➆ Ісландський регулятор постановив, що банк не є контролером персональної інформації, яка передається через офісні електронні листи його співробітників відповідно до статті 4(7) GDPR, якщо електронні листи не стосуються діяльності банку
➇ Вищий регіональний суд Штутгарта постановив, що суб’єкт даних не може покладатися на своє право на виправлення відповідно до ст. 16 GDPR для скасування бану в Facebook, оскільки заборона була застосована правильно відповідно до політики Facebook і не порушувала свободу вираження поглядів
➈ Адміністративний суд Баварії відхилив апеляцію щодо встановлення лічильника води з радіопоказом в архітектурному бюро. Суд підтвердив, що, як такі, показання електронного лічильника води в офісі, навіть якщо його відвідує велика кількість людей, можуть становити персональні дані відповідно до статті 4(1) GDPR
➉ Бельгійський регулятор постановив, що організація для надання соціального житла може покладатися на ст. 6(1)(e) GDPR для розслідування іноземних активів суб’єктів даних і на ст. 49(1)(d) GDPR для міжнародної передачі даних у зв’язку з цією метою. Однак DPA оголосив контролеру догану за порушення статей 28(2) і 28(3) GDPR в угоді про обробку даних
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [31.10 — 06.11]
① Під час 44-ї Глобальної асамблеї приватності 120 органів із захисту даних прийняли резолюції щодо технології розпізнавання облич («резолюція FRT») і регулювання кібербезпеки ("резолюцію з кібербезпеки"). Резолюція FRT окреслює шість принципів і очікувань від організацій, які прагнуть використовувати FRT, а саме: законність підстави; розумність, необхідність і пропорційність; захист прав людини; прозорість; підзвітність; захист даних
➁ Іспанський регулятор створив інструмент, щоб допомогти організаціям визначити, чи варто повідомляти регулятора із захисту даних про порушення безпеки даних. Інструмент «Brecha Advisory» є безкоштовним для використання. Він спрямований на те, щоб допомогти контролерам даних визначити, кого слід повідомити, які елементи в порушенні містять персональні дані та до якого регулятора із захисту даних необхідно повідомляти про порушення
➂ Британський регулятор випустив пост про використання soft opt-in організаціями для надсилання електронних маркетингових повідомлень своїм клієнтам, а на сайті опубліковані детальні керівництва
➃ Британський регулятор опублікував рекомендації «Як правильно та законно використовувати штучний інтелект та персональні дані»
➄ Іспанський регулятор оштрафував Techpump Solutions (власник сторінок з дорослим контентом) на 525.000 євро за порушення обробки даних після повідомлень про можливу обробку персональних даних дітей віком до 14 років
➅ Регулятор Латвії оштрафував інтернет-провайдера на 1.200.000 євро за розголошення неперевірених персональних даних клієнтів службам стягнення боргів
➆ Ісландський регулятор постановив, що банк не є контролером персональної інформації, яка передається через офісні електронні листи його співробітників відповідно до статті 4(7) GDPR, якщо електронні листи не стосуються діяльності банку
➇ Вищий регіональний суд Штутгарта постановив, що суб’єкт даних не може покладатися на своє право на виправлення відповідно до ст. 16 GDPR для скасування бану в Facebook, оскільки заборона була застосована правильно відповідно до політики Facebook і не порушувала свободу вираження поглядів
➈ Адміністративний суд Баварії відхилив апеляцію щодо встановлення лічильника води з радіопоказом в архітектурному бюро. Суд підтвердив, що, як такі, показання електронного лічильника води в офісі, навіть якщо його відвідує велика кількість людей, можуть становити персональні дані відповідно до статті 4(1) GDPR
➉ Бельгійський регулятор постановив, що організація для надання соціального житла може покладатися на ст. 6(1)(e) GDPR для розслідування іноземних активів суб’єктів даних і на ст. 49(1)(d) GDPR для міжнародної передачі даних у зв’язку з цією метою. Однак DPA оголосив контролеру догану за порушення статей 28(2) і 28(3) GDPR в угоді про обробку даних
🇺🇦 Все буде Україна!
#Санкції
💶 GDPR НА ВАРТІ РЕПУТАЦІЇ
Коли законотворці розробляли концепцію Загального Регламенту, то однією із першочергових задекларованих цілей було змусити великі компанії більш бережно ставитися до захисту персональних даних.
Дехто вважає, що ця мета не була досягнута, але штрафи і зміна практик обробки персональних даних кажуть про інше. Але сьогодні не про це.
Сьогодні ми розглянемо справу, коли положення Регламенту було використано для захисту честі і гідності.
❓Що трапилось?
ОСОБА 1 звернулась до іспанського регулятора зі скаргою на ОСОБУ 2 через те, що остання опублікувала у себе в блозі інформацію про заявника.
Перед тим, як піти по допомогу до держави, заявник звертався безпосередньо до блогера із проханням видалити “невдалі” дописи, які, крім персональних даних заявника, його імені та фотографій, містили ще й недостовірні факти і відвертий наклеп.
Але блогерство – це теж свого роду мистецтво, і автор блогу вирішив проігнорувати прохання заявника, адже блогер – митець, і він так бачить.
"На жаль" для блогера і "на щастя" для заявника, регулятор бачив цю ситуацію під іншим кутом і виписав митцю штраф у 10.000 євро за порушення норм обробки персональних даних.
❓Що було порушено?
Блогер не мав правової підстави для обробки персональних даних, а також проігнорував законну вимогу суб'єкта персональних даних.
🏆 ВИСНОВКИ
У певних випадках блог може підпасти під “household exemption”, і тоді нема сенсу морочити голову положеннями GDPR, але про етику все ж варто не забувати.
Автор блогу проігнорував прохання видалити інформацію і не зміг довести, що його матеріал був правдивий, за що отримав досить серйозний штраф.
Тому пам'ятайте про етику, не ігноруйте запити суб'єктів і майте змогу довести, що опублікована вами інформація є достовірною.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Рішення АЕРD (іспанська мова)
💶 GDPR НА ВАРТІ РЕПУТАЦІЇ
Коли законотворці розробляли концепцію Загального Регламенту, то однією із першочергових задекларованих цілей було змусити великі компанії більш бережно ставитися до захисту персональних даних.
Дехто вважає, що ця мета не була досягнута, але штрафи і зміна практик обробки персональних даних кажуть про інше. Але сьогодні не про це.
Сьогодні ми розглянемо справу, коли положення Регламенту було використано для захисту честі і гідності.
❓Що трапилось?
ОСОБА 1 звернулась до іспанського регулятора зі скаргою на ОСОБУ 2 через те, що остання опублікувала у себе в блозі інформацію про заявника.
Перед тим, як піти по допомогу до держави, заявник звертався безпосередньо до блогера із проханням видалити “невдалі” дописи, які, крім персональних даних заявника, його імені та фотографій, містили ще й недостовірні факти і відвертий наклеп.
Але блогерство – це теж свого роду мистецтво, і автор блогу вирішив проігнорувати прохання заявника, адже блогер – митець, і він так бачить.
"На жаль" для блогера і "на щастя" для заявника, регулятор бачив цю ситуацію під іншим кутом і виписав митцю штраф у 10.000 євро за порушення норм обробки персональних даних.
❓Що було порушено?
Блогер не мав правової підстави для обробки персональних даних, а також проігнорував законну вимогу суб'єкта персональних даних.
🏆 ВИСНОВКИ
У певних випадках блог може підпасти під “household exemption”, і тоді нема сенсу морочити голову положеннями GDPR, але про етику все ж варто не забувати.
Автор блогу проігнорував прохання видалити інформацію і не зміг довести, що його матеріал був правдивий, за що отримав досить серйозний штраф.
Тому пам'ятайте про етику, не ігноруйте запити суб'єктів і майте змогу довести, що опублікована вами інформація є достовірною.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Рішення АЕРD (іспанська мова)
#Інформаційна_безпека
🛡 10 ТЕРАБАЙТІВ ДАНИХ ЩОМІСЯЦЯ
Цього жовтня ЄС провели місяць кібербезпеки. На його завершення, як вишенку на тортик, ENISA випустили звіт по загрозах інформаційній безпеці за період з липня 2021 по липень 2022.
Нижче ділимось ключовими знахідками та трендами.
❓Як страждають дані?
Щомісяця викрадається 10 терабайтів даних. Найчастіше це відбувалось через хакерський злам (~50%), зловмисне програмне забезпечення (~40%), соціальну інженерію (~20%) і помилки (13%).
При цьому найважливішими об’єктами атаки були сервери (майже 90%), люди (менше 30%) і розробники (менше 20%). Крім того, з’явився новий тренд – атаки на розумні речі (IoT).
80% інцидентів були спричинені загрозами ззовні організації, 20% – загрозами всередині.
У 82% інциденти спричинені людським фактором (хтось помилився, повівся на соціальну інженерію тощо).
❓Хто найбільше страждає від атак?
🔹Державний сектор – 24% (війна дуже вплинула на цю статистику);
🔹Постачальники цифрових послуг – 13%;
🔹Звичайні люди – 12%.
Загалом же, зловмисники не оминули жоден сектор суспільства, між ними розподілені інші 50% досліджуваних інцидентів.
❓Які загрози справджуються найчастіше?
🔹Програми-вимагачі (ransomware)
Система лише зростає. Приблизно 60% постраждалих платять викуп.
Нагадуємо, що детальний звіт на цю тему вийшов на каналі на початку вересня.
З нового, в США (Північна Кароліна та Флорида) цього року заборонили державному сектору сплачувати викупи та зобов’язали повідомляти про такі атаки. Це має стати дуже цікавим законодавчим експериментом.
Оскільки 90% інцидентів мотивуються насамперед фінансово, і тепер можливість отримання грошей зникає – кількість атак дійсно може зменшитись.
🔹Шкідливе програмне забезпечення (malware)
Зловмисники частіше стали використовувати помилки або недопрацювання розробників у програмному забезпеченні (66 випадків).
Якщо ж навіть випускались оновлення, в середньому 8 днів потрібно було зловмисникам, щоб запустити відповідний вірус. Хто не оновився – ми не винуваті.
🔹Соціальна інженерія
Фішинг залишається популярним, але виділяють нові форми: spear-phishing (ціль — конкретні організації або люди), whaling (ціль — впливові люди: політики, менеджмент), smishing (працює через SMS) і vishing (працює через голосові виклики).
🔹Загрози доступності
Звичайно ж, це DDoS-атаки. Так само популярні і лише ускладнюються.
Тренд — мультивекторність та поєднання різних засобів атаки.
У липні 2022 року в ЄС зафіксували найбільшу за всю історію DDoS-атаку, за версією ENISA, на користувачів платформи Prolexic (працює для захисту від DDoS та інших атак — іронічно).
Протягом 30 днів користувачі були атаковані 75 разів різними способами.
Крім того, з початку війни спостерігалося більше атак задля руйнування інтернет-інфраструктури, збоїв та перенаправлення інтернет-трафіку.
Цікаво, що ENISA включає в дослідження також фізичне руйнування потужностей на окупованих українських територіях.
🔹Дезінформація
Ескалюється за допомогою штучного інтелекту, дипфейків і дезінформації як послуги. Інформаційна війна триває на всіх фронтах.
До речі, окремо згадують TikTok як прекрасне джерело фейків за дизайном (публікації неверифікованих коротких відео) та Telegram як кейс по розповсюдженню фейків (новини з непідтвердженими джерелами поширюються більше, ніж з перевірених каналів).
🔹Атаки на ланцюги постачальників
Мається на увазі схема, коли атаку на іншу організацію використовують, щоб потім залізти вже у ваші дані.
Такі випадки поширюються – 17% інцидентів у 2021 році порівняно з менш ніж 1% у 2020.
Ось чому важливо розуміти ризики безпеки ваших контрагентів та просити в них гарантії щодо даних.
🏆 ВИСНОВКИ
Безпека і ще раз безпека.
Більше даних – більше загроз та інцидентів.
Неможливо передбачити все, але навіть найпростіші речі, такі як моніторинг помилок, оновлення та навчання людей, можуть допомогти.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Звіт ENISA щодо загроз інформаційної безпеки
🔹Наймасштабніша DDoS-атака в ЄС
🛡 10 ТЕРАБАЙТІВ ДАНИХ ЩОМІСЯЦЯ
Цього жовтня ЄС провели місяць кібербезпеки. На його завершення, як вишенку на тортик, ENISA випустили звіт по загрозах інформаційній безпеці за період з липня 2021 по липень 2022.
Нижче ділимось ключовими знахідками та трендами.
❓Як страждають дані?
Щомісяця викрадається 10 терабайтів даних. Найчастіше це відбувалось через хакерський злам (~50%), зловмисне програмне забезпечення (~40%), соціальну інженерію (~20%) і помилки (13%).
При цьому найважливішими об’єктами атаки були сервери (майже 90%), люди (менше 30%) і розробники (менше 20%). Крім того, з’явився новий тренд – атаки на розумні речі (IoT).
80% інцидентів були спричинені загрозами ззовні організації, 20% – загрозами всередині.
У 82% інциденти спричинені людським фактором (хтось помилився, повівся на соціальну інженерію тощо).
❓Хто найбільше страждає від атак?
🔹Державний сектор – 24% (війна дуже вплинула на цю статистику);
🔹Постачальники цифрових послуг – 13%;
🔹Звичайні люди – 12%.
Загалом же, зловмисники не оминули жоден сектор суспільства, між ними розподілені інші 50% досліджуваних інцидентів.
❓Які загрози справджуються найчастіше?
🔹Програми-вимагачі (ransomware)
Система лише зростає. Приблизно 60% постраждалих платять викуп.
Нагадуємо, що детальний звіт на цю тему вийшов на каналі на початку вересня.
З нового, в США (Північна Кароліна та Флорида) цього року заборонили державному сектору сплачувати викупи та зобов’язали повідомляти про такі атаки. Це має стати дуже цікавим законодавчим експериментом.
Оскільки 90% інцидентів мотивуються насамперед фінансово, і тепер можливість отримання грошей зникає – кількість атак дійсно може зменшитись.
🔹Шкідливе програмне забезпечення (malware)
Зловмисники частіше стали використовувати помилки або недопрацювання розробників у програмному забезпеченні (66 випадків).
Якщо ж навіть випускались оновлення, в середньому 8 днів потрібно було зловмисникам, щоб запустити відповідний вірус. Хто не оновився – ми не винуваті.
🔹Соціальна інженерія
Фішинг залишається популярним, але виділяють нові форми: spear-phishing (ціль — конкретні організації або люди), whaling (ціль — впливові люди: політики, менеджмент), smishing (працює через SMS) і vishing (працює через голосові виклики).
🔹Загрози доступності
Звичайно ж, це DDoS-атаки. Так само популярні і лише ускладнюються.
Тренд — мультивекторність та поєднання різних засобів атаки.
У липні 2022 року в ЄС зафіксували найбільшу за всю історію DDoS-атаку, за версією ENISA, на користувачів платформи Prolexic (працює для захисту від DDoS та інших атак — іронічно).
Протягом 30 днів користувачі були атаковані 75 разів різними способами.
Крім того, з початку війни спостерігалося більше атак задля руйнування інтернет-інфраструктури, збоїв та перенаправлення інтернет-трафіку.
Цікаво, що ENISA включає в дослідження також фізичне руйнування потужностей на окупованих українських територіях.
🔹Дезінформація
Ескалюється за допомогою штучного інтелекту, дипфейків і дезінформації як послуги. Інформаційна війна триває на всіх фронтах.
До речі, окремо згадують TikTok як прекрасне джерело фейків за дизайном (публікації неверифікованих коротких відео) та Telegram як кейс по розповсюдженню фейків (новини з непідтвердженими джерелами поширюються більше, ніж з перевірених каналів).
🔹Атаки на ланцюги постачальників
Мається на увазі схема, коли атаку на іншу організацію використовують, щоб потім залізти вже у ваші дані.
Такі випадки поширюються – 17% інцидентів у 2021 році порівняно з менш ніж 1% у 2020.
Ось чому важливо розуміти ризики безпеки ваших контрагентів та просити в них гарантії щодо даних.
🏆 ВИСНОВКИ
Безпека і ще раз безпека.
Більше даних – більше загроз та інцидентів.
Неможливо передбачити все, але навіть найпростіші речі, такі як моніторинг помилок, оновлення та навчання людей, можуть допомогти.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Звіт ENISA щодо загроз інформаційної безпеки
🔹Наймасштабніша DDoS-атака в ЄС
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [07.11 — 13.11]
① Європейський парламент («ЄП») оголосив про ухвалення пропозиції щодо Директиви про заходи щодо високого спільного рівня кібербезпеки в Союзі, яка скасовує Директиву (ЄС) 2016/1148 («Директива NIS2»). Також ЄП ухвалив пропозицію щодо Регламенту щодо цифрової операційної стійкості фінансового сектору («DORA»)
➁ Європейська комісія оголосила, що прийняла пропозицію регламенту щодо збору та обміну даними щодо послуг короткострокової оренди житла. Органи зможуть отримувати персональні дані про орендодавців та їхню діяльність
➂ Управління із захисту даних Гессена (HBDI) випустило заяву, в якій міститься інформація про використання Google Fonts. Якщо Google Fonts інтегровані в Інтернеті, браузер користувача завантажує ці шрифти під час доступу до веб-сайту та зв’язується з серверами Google для цієї мети. У результаті, пояснили в HBDI, персональні дані користувача передаються в Google
➃ Регулятор Словакії опублікував оновлений Висновок щодо отримання згоди згідно з положеннями Закону про електронний зв'язок
➄ Регулятор Франції попередив відвідувачів майбутнього Чемпіонату світу з футболу в Катарі використовувати порожній смартфон або «пустий» телефон. Катар розробив два мобільних додатки для відстеження — додаток для відстеження COVID-19 і мобільний додаток Чемпіонату світу з футболу — обидва, за словами дослідників, містять шпигунське програмне забезпечення
➅ Управління із захисту даних землі Баден-Вюртемберг випустило вказівки щодо того, як інтегрувати відео на свої веб-сайти відповідно до норм захисту даних
➆ Грецький регулятор оштрафував Національний банк Греції на 20 000 євро за порушення ст. 13 GDPR через те, що той не повідомив клієнтів про те, що чіп їхніх дебетових/кредитних карток збирав інформацію про останні 10 транзакцій. Регулятор також вважає, що контролер встановив чіп без законної підстави та з порушенням принципу прозорості
➇ Угорський регулятор наказав оператору веб-сайту прогнозу погоди припинити передачу даних до США через рекламні сервіси Google. Регулятор постановив, що оператор веб-сайту використовував Google Analytics, не запровадивши відповідних гарантій для передачі даних у США, як того вимагає ст. 46 GDPR
➈ Апеляційний суд Амстердама постановив, що журналістські інтереси власника веб-сайту переважають над правом на приватність суб’єкта даних щодо статей, де останній був викритий як шахрай
➉ Після аудиту норвезького Директорату виправної служби регулятор наказав йому відсортувати та задокументувати свої обов’язки контролера та оновити внутрішні засоби контролю для управління приватністю та захистом персональних даних у всій організації
⑪ Регулятор Іспанії оштрафував United Parcel Service (UPS) на 70 000 євро за те, що вони залишили посилку сусідам суб’єкта даних без його попередньої згоди, таким чином незаконно розкривши дані одержувача третій особі
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [07.11 — 13.11]
① Європейський парламент («ЄП») оголосив про ухвалення пропозиції щодо Директиви про заходи щодо високого спільного рівня кібербезпеки в Союзі, яка скасовує Директиву (ЄС) 2016/1148 («Директива NIS2»). Також ЄП ухвалив пропозицію щодо Регламенту щодо цифрової операційної стійкості фінансового сектору («DORA»)
➁ Європейська комісія оголосила, що прийняла пропозицію регламенту щодо збору та обміну даними щодо послуг короткострокової оренди житла. Органи зможуть отримувати персональні дані про орендодавців та їхню діяльність
➂ Управління із захисту даних Гессена (HBDI) випустило заяву, в якій міститься інформація про використання Google Fonts. Якщо Google Fonts інтегровані в Інтернеті, браузер користувача завантажує ці шрифти під час доступу до веб-сайту та зв’язується з серверами Google для цієї мети. У результаті, пояснили в HBDI, персональні дані користувача передаються в Google
➃ Регулятор Словакії опублікував оновлений Висновок щодо отримання згоди згідно з положеннями Закону про електронний зв'язок
➄ Регулятор Франції попередив відвідувачів майбутнього Чемпіонату світу з футболу в Катарі використовувати порожній смартфон або «пустий» телефон. Катар розробив два мобільних додатки для відстеження — додаток для відстеження COVID-19 і мобільний додаток Чемпіонату світу з футболу — обидва, за словами дослідників, містять шпигунське програмне забезпечення
➅ Управління із захисту даних землі Баден-Вюртемберг випустило вказівки щодо того, як інтегрувати відео на свої веб-сайти відповідно до норм захисту даних
➆ Грецький регулятор оштрафував Національний банк Греції на 20 000 євро за порушення ст. 13 GDPR через те, що той не повідомив клієнтів про те, що чіп їхніх дебетових/кредитних карток збирав інформацію про останні 10 транзакцій. Регулятор також вважає, що контролер встановив чіп без законної підстави та з порушенням принципу прозорості
➇ Угорський регулятор наказав оператору веб-сайту прогнозу погоди припинити передачу даних до США через рекламні сервіси Google. Регулятор постановив, що оператор веб-сайту використовував Google Analytics, не запровадивши відповідних гарантій для передачі даних у США, як того вимагає ст. 46 GDPR
➈ Апеляційний суд Амстердама постановив, що журналістські інтереси власника веб-сайту переважають над правом на приватність суб’єкта даних щодо статей, де останній був викритий як шахрай
➉ Після аудиту норвезького Директорату виправної служби регулятор наказав йому відсортувати та задокументувати свої обов’язки контролера та оновити внутрішні засоби контролю для управління приватністю та захистом персональних даних у всій організації
⑪ Регулятор Іспанії оштрафував United Parcel Service (UPS) на 70 000 євро за те, що вони залишили посилку сусідам суб’єкта даних без його попередньої згоди, таким чином незаконно розкривши дані одержувача третій особі
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [14.11 — 20.11]
① EDPB прийняв рекомендації щодо схвалення, а також елементи та принципи, які містяться в Обов’язкових корпоративних правилах для контролерів (залишити коментарі можна до 10.01.2023)
➁ EDPS випустив Висновки щодо пропозицій про вимоги до кібербезпеки для продуктів із цифровими елементами та Європейський акт про свободу ЗМІ
➂ Регулятор Британії опублікував вказівки щодо оцінки ризиків міжнародної передачі даних (TRA) та інструмент для проведення TRA
➃ Регулятор Франції оштрафував Discord на 800 000 євро за порушення строків зберігання даних і безпеки персональних даних (ПД)
➄ Регулятор Португалії оштрафував муніципалітет Сетубала на 170 000 євро за незаконну обробку ПД українських біженців, зокрема, не було повідомлено про обробку, не проведено DPIA, не призначено DPO, було надмірне збирання даних, не було адекватних TOMs
➅ Регулятор Румунії оштрафував Raiffeisen Bank на 28 000 євро за численні порушення GDPR
➆ Німецький федеральний комісар із захисту даних і свободи інформації (BfDI) видав поради щодо додатків «Ehteraz» і «Hayya», які є обов’язковими для в’їзду в Катар на Чемпіонат світу з футболу 2022. BfDI рекомендує встановлювати програми в разі крайньої необхідності. Регулятор порадив, щоб номери телефонів, зображення чи звукові файли не зберігалися на пристрої, який використовується для встановлення додатків, а також закликав користувачів видалити операційну систему та весь вміст на телефоні після використання додатків
➇ Регулятор Італії запустив новий онлайн-інструмент для повідомлення про небажані телефонні дзвінки
➈ Регулятор Австрії постановив, що контролер не може подавати скаргу проти себе, оскільки передумовою для права на скаргу (ст. 77(1) GDPR) є вплив на особу при обробці ПД
➉ Адміністративний суд Берліна постановив, що інтереси таємниці депутатів Бундестагу щодо їх «компенсації за віком через проблеми зі здоров’ям» переважають інтереси журналіста в зборі інформації, оскільки це стосується спеціальних категорій ПД
⑪ Регіональний суд Гіссена постановив, що жодних збитків за ст. 82(1) GDPR не було присуджено за збирання загальнодоступних ПД, оскільки простого порушення GDPR недостатньо для вимоги про відшкодування моральної шкоди
⑫ Вищий адмінсуд Польщі постановив, що запит на доступ до публічної інформації має бути відхилений або обмежений тією мірою, якою запитувана інформація містить ПД осіб, які не можуть бути анонімізовані
⑬ Регулятор Бельгії попередив контролера за публікацію рахунку з ПД у Facebook. Контролер не мав підстави (ст. 6 GDPR) і не видалив рахунок після того, як суб’єкт даних подав запит на видалення
🆕 НОВИНИ ТИЖНЯ [14.11 — 20.11]
① EDPB прийняв рекомендації щодо схвалення, а також елементи та принципи, які містяться в Обов’язкових корпоративних правилах для контролерів (залишити коментарі можна до 10.01.2023)
➁ EDPS випустив Висновки щодо пропозицій про вимоги до кібербезпеки для продуктів із цифровими елементами та Європейський акт про свободу ЗМІ
➂ Регулятор Британії опублікував вказівки щодо оцінки ризиків міжнародної передачі даних (TRA) та інструмент для проведення TRA
➃ Регулятор Франції оштрафував Discord на 800 000 євро за порушення строків зберігання даних і безпеки персональних даних (ПД)
➄ Регулятор Португалії оштрафував муніципалітет Сетубала на 170 000 євро за незаконну обробку ПД українських біженців, зокрема, не було повідомлено про обробку, не проведено DPIA, не призначено DPO, було надмірне збирання даних, не було адекватних TOMs
➅ Регулятор Румунії оштрафував Raiffeisen Bank на 28 000 євро за численні порушення GDPR
➆ Німецький федеральний комісар із захисту даних і свободи інформації (BfDI) видав поради щодо додатків «Ehteraz» і «Hayya», які є обов’язковими для в’їзду в Катар на Чемпіонат світу з футболу 2022. BfDI рекомендує встановлювати програми в разі крайньої необхідності. Регулятор порадив, щоб номери телефонів, зображення чи звукові файли не зберігалися на пристрої, який використовується для встановлення додатків, а також закликав користувачів видалити операційну систему та весь вміст на телефоні після використання додатків
➇ Регулятор Італії запустив новий онлайн-інструмент для повідомлення про небажані телефонні дзвінки
➈ Регулятор Австрії постановив, що контролер не може подавати скаргу проти себе, оскільки передумовою для права на скаргу (ст. 77(1) GDPR) є вплив на особу при обробці ПД
➉ Адміністративний суд Берліна постановив, що інтереси таємниці депутатів Бундестагу щодо їх «компенсації за віком через проблеми зі здоров’ям» переважають інтереси журналіста в зборі інформації, оскільки це стосується спеціальних категорій ПД
⑪ Регіональний суд Гіссена постановив, що жодних збитків за ст. 82(1) GDPR не було присуджено за збирання загальнодоступних ПД, оскільки простого порушення GDPR недостатньо для вимоги про відшкодування моральної шкоди
⑫ Вищий адмінсуд Польщі постановив, що запит на доступ до публічної інформації має бути відхилений або обмежений тією мірою, якою запитувана інформація містить ПД осіб, які не можуть бути анонімізовані
⑬ Регулятор Бельгії попередив контролера за публікацію рахунку з ПД у Facebook. Контролер не мав підстави (ст. 6 GDPR) і не видалив рахунок після того, як суб’єкт даних подав запит на видалення
🌟 ДЕНЬ ПРИВАТНОСТІ 2023
Зазвичай 28 січня для нашого товариства є ледь не головним днем року. Ми, справді, вже звикли готувати для вас щось особливе до цієї дати. А у 2022 році ця дата набула ще одного сенсу, адже авторським колективом Privacy HUB була презентована перша книга "GDPR: Посібник з виживання". Іронічно, як назва визначила наше буття
Але 2023 рік буде переможним для України. Вся наша країна, всі ми б'ємося за свободу, за права людини і за право обирати свій власний шлях. Ми боремось і за право на приватність.
В 1983 році у Німеччині було закріплене так зване “informationelle selbstbestimmung”, що в перекладі на українську мову буде означати інформаційне самовизначення.
Інформаційне самовизначення відображає право особи самостійно визначати, яка інформація про її приватне життя може бути передана іншим. Іншими словами, особа вільна обирати, що буде відбуватись з її даними, відповідно особа вільна обирати свій шлях.
Більше того, повага до права на приватність і його захист фактично є запорукою здорової демократії, яку ми як суспільство хочемо побудувати в нашій славній Україні. Ми продовжуємо боротьбу, адже, як казав Тарас Шевченко: “Борітесь – поборете!”. Ми обов'язково поборемо і переможемо.
Віримо, що вже до наступного дня приватності наша команда підготує для вас щось цікаве і корисне. До тих пір тримаймо стрій.
🇺🇦 Все буде Україна!
А в Україні буде культура приватності!
Зазвичай 28 січня для нашого товариства є ледь не головним днем року. Ми, справді, вже звикли готувати для вас щось особливе до цієї дати. А у 2022 році ця дата набула ще одного сенсу, адже авторським колективом Privacy HUB була презентована перша книга "GDPR: Посібник з виживання". Іронічно, як назва визначила наше буття
Але 2023 рік буде переможним для України. Вся наша країна, всі ми б'ємося за свободу, за права людини і за право обирати свій власний шлях. Ми боремось і за право на приватність.
В 1983 році у Німеччині було закріплене так зване “informationelle selbstbestimmung”, що в перекладі на українську мову буде означати інформаційне самовизначення.
Інформаційне самовизначення відображає право особи самостійно визначати, яка інформація про її приватне життя може бути передана іншим. Іншими словами, особа вільна обирати, що буде відбуватись з її даними, відповідно особа вільна обирати свій шлях.
Більше того, повага до права на приватність і його захист фактично є запорукою здорової демократії, яку ми як суспільство хочемо побудувати в нашій славній Україні. Ми продовжуємо боротьбу, адже, як казав Тарас Шевченко: “Борітесь – поборете!”. Ми обов'язково поборемо і переможемо.
Віримо, що вже до наступного дня приватності наша команда підготує для вас щось цікаве і корисне. До тих пір тримаймо стрій.
🇺🇦 Все буде Україна!
А в Україні буде культура приватності!
Друзі, привіт! Ви як?
Давно не бачилися, і ми за вами скучили.
Зима видалася непростою: ракетні удари, блекаути, новини з фронту. Сподіваємося, що ви розумієте, чому контенту у нашому каналі стало менше.
Але зима вже нарешті закінчилася: ми не замерзли, вистояли і продовжуємо боротьбу.
З настанням весни ми поновлюємо роботу нашого каналу і знов будемо готувати для вас дописи про захист персональних даних і право на приватність.
На жаль, поки що ми не можемо обіцяти по три дописи щотижня, як це було раніше. Але будемо намагатися не зникати так надовго. Якщо ви накидаєте нам багацько реакцій і коментарів на цей допис, ми будемо ще стараннішими 😉
Проте, яка б тяжка не була ця зима, ми все ж таки не сиділи склавши руки. Тому до вашої уваги наш міні-дайджест цієї зими:
🔸Долучилися до створення онлайн-курсу про безпеку волонтерів під час війни “Рятуй, не ризикуй”. Експертами курсу є представники Української Волонтерської Служби, Center for Civil Liberties / Центру Громадянських Свобод, Восток SOS, Veteran Hub і ми. Пройти курс можна на порталі EdEra. Для зручності одразу надаємо вам посилання.
🔸Зробили прогноз для IAPP щодо можливих змін у законодавстві України на 2023 рік.
🔸Дали коментар щодо ситуації навколо захисту персональних даних для міжнародного онлайн видання The Legal Industry Reviews. Публікація матеріалу очікується 8 березня.
За вікном весніє, а ми потрошку повертаємося до роботи, бо захист персональних даних та приватність завжди на часі.
Лупаймо сю скалу!
Дякуємо, що ви з нами!
🇺🇦 Все буде Україна!
Давно не бачилися, і ми за вами скучили.
Зима видалася непростою: ракетні удари, блекаути, новини з фронту. Сподіваємося, що ви розумієте, чому контенту у нашому каналі стало менше.
Але зима вже нарешті закінчилася: ми не замерзли, вистояли і продовжуємо боротьбу.
З настанням весни ми поновлюємо роботу нашого каналу і знов будемо готувати для вас дописи про захист персональних даних і право на приватність.
На жаль, поки що ми не можемо обіцяти по три дописи щотижня, як це було раніше. Але будемо намагатися не зникати так надовго. Якщо ви накидаєте нам багацько реакцій і коментарів на цей допис, ми будемо ще стараннішими 😉
Проте, яка б тяжка не була ця зима, ми все ж таки не сиділи склавши руки. Тому до вашої уваги наш міні-дайджест цієї зими:
🔸Долучилися до створення онлайн-курсу про безпеку волонтерів під час війни “Рятуй, не ризикуй”. Експертами курсу є представники Української Волонтерської Служби, Center for Civil Liberties / Центру Громадянських Свобод, Восток SOS, Veteran Hub і ми. Пройти курс можна на порталі EdEra. Для зручності одразу надаємо вам посилання.
🔸Зробили прогноз для IAPP щодо можливих змін у законодавстві України на 2023 рік.
🔸Дали коментар щодо ситуації навколо захисту персональних даних для міжнародного онлайн видання The Legal Industry Reviews. Публікація матеріалу очікується 8 березня.
За вікном весніє, а ми потрошку повертаємося до роботи, бо захист персональних даних та приватність завжди на часі.
Лупаймо сю скалу!
Дякуємо, що ви з нами!
🇺🇦 Все буде Україна!
#Санкції
💶 ВІДПОВІДАТИ НА ЗАПИТИ ЧИ НЕ ВІДПОВІДАТИ? – ПИТАННЯ ЗАЙВЕ
Гамлетівське питання втрачає актуальність, адже GDPR захищає права суб'єктів даних та прямо передбачає обов'язки організацій, що обробляють дані. Якщо ж компанія вирішує не відповідати на запити суб'єктів даних, то відповідати все одно доведеться… перед регулятором.
Так Офіс Омбудсмена з питань захисту даних (фінський регулятор) наклав штраф у розмірі 750 000 євро на колекторську компанію Alektum Oy.
❓Що сталося?
Фінський регулятор розпочав розслідування після отримання трьох скарг від фізичних осіб на те, що компанія не відповідає на запити про доступ до даних. Одному зі скаржників пощастило отримати відповідь, але запитувану копію своїх персональних даних він так і не побачив.
Щодо іншого випадку компанія пояснила відсутність відповіді тим, що вони більше не обробляють персональні дані цього суб'єкта. Хоча навіть в такому випадку компанія була зобов'язана відповісти на запит і заявити про відсутність обробки.
Далі фантазія компанії, напевно, закінчилася, бо більше пояснень вони не надали. Тому регулятор справедливо вирішив, що компанія погано була ознайомлена з вимогами законодавства. А незнання законів, як ми знаємо, не звільняє від відповідальності.
❓Що погіршило ситуацію?
Під час розслідування регулятор використовував різні засоби для консультацій з Alektum Oy. Але компанія неохоче пояснювала свої дії та не співпрацювала, чим порушила зобов’язання співпрацювати з регулятором і надавати інформацію на його запити.
Регулятор взяв до уваги й те, що справа стосувалася правового захисту фізичних осіб. Так, наприклад, боржник має право знати про загрозу судового позову про стягнення і т.п.
🏆 ВИСНОВКИ
Важливо, щоб компанії серйозно ставилися до запитів суб'єктів даних і обробляли їх швидко та професійно відповідно до вимог GDPR.
Також не варто забувати про те, що при прийнятті рішення щодо штрафу та його розміру враховується рівень співпраці з регулятором з метою усунення порушення та пом'якшення можливих негативних наслідків.
Щиросердне зізнання, прозорість, співпраця та робота над помилками зекономлять нервові клітини та гроші, а ще врятують репутацію в очах регулятора.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Прес-реліз від регулятора (фінською)
🔹Рішення регулятора (фінською)
💶 ВІДПОВІДАТИ НА ЗАПИТИ ЧИ НЕ ВІДПОВІДАТИ? – ПИТАННЯ ЗАЙВЕ
Гамлетівське питання втрачає актуальність, адже GDPR захищає права суб'єктів даних та прямо передбачає обов'язки організацій, що обробляють дані. Якщо ж компанія вирішує не відповідати на запити суб'єктів даних, то відповідати все одно доведеться… перед регулятором.
Так Офіс Омбудсмена з питань захисту даних (фінський регулятор) наклав штраф у розмірі 750 000 євро на колекторську компанію Alektum Oy.
❓Що сталося?
Фінський регулятор розпочав розслідування після отримання трьох скарг від фізичних осіб на те, що компанія не відповідає на запити про доступ до даних. Одному зі скаржників пощастило отримати відповідь, але запитувану копію своїх персональних даних він так і не побачив.
Щодо іншого випадку компанія пояснила відсутність відповіді тим, що вони більше не обробляють персональні дані цього суб'єкта. Хоча навіть в такому випадку компанія була зобов'язана відповісти на запит і заявити про відсутність обробки.
Далі фантазія компанії, напевно, закінчилася, бо більше пояснень вони не надали. Тому регулятор справедливо вирішив, що компанія погано була ознайомлена з вимогами законодавства. А незнання законів, як ми знаємо, не звільняє від відповідальності.
❓Що погіршило ситуацію?
Під час розслідування регулятор використовував різні засоби для консультацій з Alektum Oy. Але компанія неохоче пояснювала свої дії та не співпрацювала, чим порушила зобов’язання співпрацювати з регулятором і надавати інформацію на його запити.
Регулятор взяв до уваги й те, що справа стосувалася правового захисту фізичних осіб. Так, наприклад, боржник має право знати про загрозу судового позову про стягнення і т.п.
🏆 ВИСНОВКИ
Важливо, щоб компанії серйозно ставилися до запитів суб'єктів даних і обробляли їх швидко та професійно відповідно до вимог GDPR.
Також не варто забувати про те, що при прийнятті рішення щодо штрафу та його розміру враховується рівень співпраці з регулятором з метою усунення порушення та пом'якшення можливих негативних наслідків.
Щиросердне зізнання, прозорість, співпраця та робота над помилками зекономлять нервові клітини та гроші, а ще врятують репутацію в очах регулятора.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Прес-реліз від регулятора (фінською)
🔹Рішення регулятора (фінською)
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [13.03 — 19.03]
① EDPB розпочинає координоване правозастосування щодо ролі DPO. Протягом 2023 року 26 регуляторів з усієї ЄЕЗ (включно з EDPS) візьмуть участь у CEF 2023. За результатами ухвалять рішення щодо національних заходів супервізії та правозастосування. Головна ідея в тому, щоб забезпечити DPO засобами для належної роботи в організаціях.
➁ Європейський парламент ухвалив Закон про дані, що встановлює нові правила справедливого доступу до та використання індустріальних даних. Правила регулюють обмін даними, отриманими в результаті використання підключених продуктів або пов'язаних з ними послуг (наприклад, інтернет речей, промислові машини), щоб забезпечити справедливість у договорах про обмін даними. Це дасть можливість ширшому колу приватних і державних організацій обмінюватися даними.
➂ Агентство ЄС з кібербезпеки випустило посібник, що описує процес стандартизації кібербезпеки штучного інтелекту. Документ містить оновлену інформацію про існуючі стандарти, а також ті, що перебувають у процесі розробки та на стадії розгляду.
➃ Британський регулятор ICO оновив свої рекомендації щодо захисту даних у сфері штучного інтелекту. Оновлені розділи стосуються підзвітності та управління, прозорості та законності, окремий розділ присвячений міркуванням справедливості захисту даних протягом усього життєвого циклу ШІ.
➄ ICO також випустив новий гайд, який допоможе UX-дизайнерам, продукт-менеджерам та інженерам-програмістам впровадити захист даних за замовчуванням. Гайд містить як приклади передового досвіду, так і практичні кроки, яких можуть вжити організації для дотримання законодавства про захист даних при розробці вебсайтів, додатків та інших технологічних продуктів і послуг.
➅ У революційному рішенні за однією із 101 скарг noyb, австрійський регулятор постановив, що використання пікселя відстеження Facebook прямо порушує GDPR і так зване рішення "Шремс II" про трансатлантичні потоки даних.
➆ Окружний суд Амстердама постановив, що компанія Facebook Ireland обробляла персональні дані голландських користувачів у рекламних цілях без законної підстави та надавала дані користувачів третім особам без належного повідомлення протягом 2010-2020 років.
➇ Федеральна торгова комісія США завершила мирову угоду з компанією Epic Games на суму $520 млн щодо ймовірних порушень Закону про захист приватності дітей в Інтернеті. Мирова угода покриває претензії ФТК щодо збору даних користувачів віком до 13 років без їхньої згоди та незаконних повідомлень, які завдали шкоди гравцям відеоігри Fortnite.
➈ Firefox для Android запустив функцію "Total Cookie Protection", яка, як повідомляється в блозі компанії, не дозволяє файлам cookie відстежувати користувачів під час переходу з вебсайту на вебсайт.
➉ Офіс Уповноваженого з питань приватності Канади опублікував рекомендації для підлітків щодо приватності та текстових повідомлень сексуального характеру.
⑪ Генеральний адвокат Суду ЄC постановив, що автоматизована обробка даних з метою визначення ймовірності отримання кредиту є профайлінгом відповідно до GDPR.
⑫ Німецький регулятор опублікував звіт про діяльність за 2022 рік.
⑬ Чеський регулятор випустив короткий гайд по cookies для вебсайтів.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [13.03 — 19.03]
① EDPB розпочинає координоване правозастосування щодо ролі DPO. Протягом 2023 року 26 регуляторів з усієї ЄЕЗ (включно з EDPS) візьмуть участь у CEF 2023. За результатами ухвалять рішення щодо національних заходів супервізії та правозастосування. Головна ідея в тому, щоб забезпечити DPO засобами для належної роботи в організаціях.
➁ Європейський парламент ухвалив Закон про дані, що встановлює нові правила справедливого доступу до та використання індустріальних даних. Правила регулюють обмін даними, отриманими в результаті використання підключених продуктів або пов'язаних з ними послуг (наприклад, інтернет речей, промислові машини), щоб забезпечити справедливість у договорах про обмін даними. Це дасть можливість ширшому колу приватних і державних організацій обмінюватися даними.
➂ Агентство ЄС з кібербезпеки випустило посібник, що описує процес стандартизації кібербезпеки штучного інтелекту. Документ містить оновлену інформацію про існуючі стандарти, а також ті, що перебувають у процесі розробки та на стадії розгляду.
➃ Британський регулятор ICO оновив свої рекомендації щодо захисту даних у сфері штучного інтелекту. Оновлені розділи стосуються підзвітності та управління, прозорості та законності, окремий розділ присвячений міркуванням справедливості захисту даних протягом усього життєвого циклу ШІ.
➄ ICO також випустив новий гайд, який допоможе UX-дизайнерам, продукт-менеджерам та інженерам-програмістам впровадити захист даних за замовчуванням. Гайд містить як приклади передового досвіду, так і практичні кроки, яких можуть вжити організації для дотримання законодавства про захист даних при розробці вебсайтів, додатків та інших технологічних продуктів і послуг.
➅ У революційному рішенні за однією із 101 скарг noyb, австрійський регулятор постановив, що використання пікселя відстеження Facebook прямо порушує GDPR і так зване рішення "Шремс II" про трансатлантичні потоки даних.
➆ Окружний суд Амстердама постановив, що компанія Facebook Ireland обробляла персональні дані голландських користувачів у рекламних цілях без законної підстави та надавала дані користувачів третім особам без належного повідомлення протягом 2010-2020 років.
➇ Федеральна торгова комісія США завершила мирову угоду з компанією Epic Games на суму $520 млн щодо ймовірних порушень Закону про захист приватності дітей в Інтернеті. Мирова угода покриває претензії ФТК щодо збору даних користувачів віком до 13 років без їхньої згоди та незаконних повідомлень, які завдали шкоди гравцям відеоігри Fortnite.
➈ Firefox для Android запустив функцію "Total Cookie Protection", яка, як повідомляється в блозі компанії, не дозволяє файлам cookie відстежувати користувачів під час переходу з вебсайту на вебсайт.
➉ Офіс Уповноваженого з питань приватності Канади опублікував рекомендації для підлітків щодо приватності та текстових повідомлень сексуального характеру.
⑪ Генеральний адвокат Суду ЄC постановив, що автоматизована обробка даних з метою визначення ймовірності отримання кредиту є профайлінгом відповідно до GDPR.
⑫ Німецький регулятор опублікував звіт про діяльність за 2022 рік.
⑬ Чеський регулятор випустив короткий гайд по cookies для вебсайтів.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [20.03 — 26.03]
① Британський регулятор ICO випустив проєкт Кодексу дизайну, який відповідає віку або більш відомого як Дитячий кодекс. Документ стосується «сервісів інформаційного суспільства, доступ до яких можуть мати діти». ICO анонсував обговорення та заохочує надати відгук щодо проєкту до 19 травня 2023 року.
➁ П'ять генеральних прокурорів США досягли мирової угоди з Google на $9 млн через оманливу практику відстеження місцезнаходження. Google звинувачували у тому, що налаштування облікових записів "Location History" та "Web & App Activity" вводили в оману власників акаунтів та порушували законодавство про захист прав споживачів, як мінімум, з 2014 року.
➂ Комітет громадського управління OECD та робоча група вищих посадових осіб цифрового уряду розробили проєкт рекомендацій щодо впровадження та управління цифровими ідентифікаторами. Зацікавленим особам пропонується подати свої коментарі до проєкту до 31 березня 2023 року.
➃ 23 березня у Конгресі США перед Комітетом Палати представників з енергетики та торгівлі вперше в історії виступав СEO TikTok Шоу Цзи Чу. Парламентарі звинувачували Чу в його зв’язках із керівниками материнської компанії TikTok, ByteDance, які ніби-то мають зв’язки з комуністичною партією Китаю. Піднімалося питання безпеки даних американських користувачів, впливу TikTok на психологічне здоров’я підлітків, а також спроби перенесення даних американських користувачів на внутрішні сервери, що належать Oracle.
➄ Регулятор Данії Datatilsynet анонсував створення нового порталу для перегляду статистики щодо порушення безпеки даних. Регулятор зазначив, що опубліковані статистичні дані, серед іншого, включають «огляд загальної кількості повідомлених порушень, типів порушень, секторів, які повідомляють про порушення».
➅ Федеральна торгова комісія США висунула вимогу до провайдерів хмарних послуг про надання інформації про діяльність, яка впливає на конкуренцію та безпеку даних. Мета такого опитування – оцінити вплив хмарних послуг на конкретні галузі, включаючи охорону здоров’я, фінанси, транспорт, електронну комерцію та оборону. Запитувану інформацію необхідно надати до 22 травня 2023 року.
➆ Французький регулятор CNIL випустив статтю, присвячену цифровій ідентифікації. CNIL визначає концепцію цифрової ідентифікації, надає рекомендації щодо використання цифрових ідентифікаторів та мінімізації ризиків.
➇ Google звернувся до Високого суду Лондона з проханням відхилити позов щодо неправомірного використання даних з медичних карток 1,6 млн осіб, які британський медичний фонд передав DeepMind Technologies, що належить Google, для аналізу медичних даних «і виявлення гострих ушкоджень нирок».
➈ Правозахисна організація NOYB подала скарги до Уповноваженого Берліна з питань захисту даних і свободи інформації, стверджуючи, що кілька німецьких політичних партій займалися мікротаргетуванням виборців на основі даних про політичні погляди користувачів Facebook під час кампанії 2021 року.
➉ Сьогодні 27 березня (17:00 – 18:00 CET) американські урядовці проведуть конференцію на тему ‘EU-U.S. Data Privacy Framework: New Independent, Binding Redress Mechanism’. Участь у заході безкоштовна.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [20.03 — 26.03]
① Британський регулятор ICO випустив проєкт Кодексу дизайну, який відповідає віку або більш відомого як Дитячий кодекс. Документ стосується «сервісів інформаційного суспільства, доступ до яких можуть мати діти». ICO анонсував обговорення та заохочує надати відгук щодо проєкту до 19 травня 2023 року.
➁ П'ять генеральних прокурорів США досягли мирової угоди з Google на $9 млн через оманливу практику відстеження місцезнаходження. Google звинувачували у тому, що налаштування облікових записів "Location History" та "Web & App Activity" вводили в оману власників акаунтів та порушували законодавство про захист прав споживачів, як мінімум, з 2014 року.
➂ Комітет громадського управління OECD та робоча група вищих посадових осіб цифрового уряду розробили проєкт рекомендацій щодо впровадження та управління цифровими ідентифікаторами. Зацікавленим особам пропонується подати свої коментарі до проєкту до 31 березня 2023 року.
➃ 23 березня у Конгресі США перед Комітетом Палати представників з енергетики та торгівлі вперше в історії виступав СEO TikTok Шоу Цзи Чу. Парламентарі звинувачували Чу в його зв’язках із керівниками материнської компанії TikTok, ByteDance, які ніби-то мають зв’язки з комуністичною партією Китаю. Піднімалося питання безпеки даних американських користувачів, впливу TikTok на психологічне здоров’я підлітків, а також спроби перенесення даних американських користувачів на внутрішні сервери, що належать Oracle.
➄ Регулятор Данії Datatilsynet анонсував створення нового порталу для перегляду статистики щодо порушення безпеки даних. Регулятор зазначив, що опубліковані статистичні дані, серед іншого, включають «огляд загальної кількості повідомлених порушень, типів порушень, секторів, які повідомляють про порушення».
➅ Федеральна торгова комісія США висунула вимогу до провайдерів хмарних послуг про надання інформації про діяльність, яка впливає на конкуренцію та безпеку даних. Мета такого опитування – оцінити вплив хмарних послуг на конкретні галузі, включаючи охорону здоров’я, фінанси, транспорт, електронну комерцію та оборону. Запитувану інформацію необхідно надати до 22 травня 2023 року.
➆ Французький регулятор CNIL випустив статтю, присвячену цифровій ідентифікації. CNIL визначає концепцію цифрової ідентифікації, надає рекомендації щодо використання цифрових ідентифікаторів та мінімізації ризиків.
➇ Google звернувся до Високого суду Лондона з проханням відхилити позов щодо неправомірного використання даних з медичних карток 1,6 млн осіб, які британський медичний фонд передав DeepMind Technologies, що належить Google, для аналізу медичних даних «і виявлення гострих ушкоджень нирок».
➈ Правозахисна організація NOYB подала скарги до Уповноваженого Берліна з питань захисту даних і свободи інформації, стверджуючи, що кілька німецьких політичних партій займалися мікротаргетуванням виборців на основі даних про політичні погляди користувачів Facebook під час кампанії 2021 року.
➉ Сьогодні 27 березня (17:00 – 18:00 CET) американські урядовці проведуть конференцію на тему ‘EU-U.S. Data Privacy Framework: New Independent, Binding Redress Mechanism’. Участь у заході безкоштовна.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [27.03 — 02.04]
① Європол опублікував екстрений звіт, у якому попереджає, що ChatGPT та інші генеративні системи ШІ можуть бути використані для онлайн-шахрайства та інших кіберзлочинів. Надання ШІ конкретних кроків, якість згенерованого тексту, можливість програмування, здатність ШІ імітувати стиль і мову конкретних людей і т.п. значно полегшують злочинцям вчинення злочинів.
➁ Італійський регулятор наказав "тимчасово обмежити обробку даних італійських користувачів" розробником ChatGPT – компанією OpenAI – і розпочав розслідування. Регулятор послався на брак інформації, наданої користувачам, і відсутність правової підстави, що виправдовує "масовий збір і зберігання ПД". Також регулятора хвилює відсутність будь-якого механізму перевірки віку, що наражає дітей на небезпеку отримання відповідей, які не відповідають їх віку.
➂ Європейська комісія опублікувала робочу програму та бюджет програми "Цифрова Європа" на 2023-2024 роки. €113 млн виділено на ініціативи у сфері хмарних сервісів, даних та штучного інтелекту.
➃ Французькі захисники обурені схваленням законопроєкту про тимчасове використання "інтелектуальних систем спостереження" під час Олімпійських і Паралімпійських ігор 2024 в Парижі.
➄ Іспанський регулятор опублікував рекомендації із переліком превентивних заходів, призначені для державних органів, які здійснюють масовий обмін даними, та їхніх працівників, відповідальних за захист даних.
➅ Французький регулятор оштрафував компанію Cityscoot, яка займається прокатом самокатів, на €125K за збір та зберігання даних про геолокацію транспортних засобів. Компанія не виконала зобов'язання щодо мінімізації даних та договірних зобов'язань відповідно до GDPR, а також порушила національний закон, не проінформувавши користувачів і не отримавши їхньої згоди на доступ до даних.
➆ Окружний суд Північного округу Каліфорнії надав попереднє погодження на виплату Facebook $725 млн в рамках колективного позову, пов'язаного з претензіями Cambridge Analytica 2018 року. На сьогоднішній день це найбільше врегулювання колективного позову про захист ПД у США.
➇ Франція ратифікувала Конвенцію Ради Європи 108+, яка вносить зміни до оригінальної Конвенції 108 про захист осіб у зв'язку з автоматизованою обробкою ПД.
➈ Департамент науки, інновацій та технологій Великої Британії опублікував білу книгу, в якій виклав свій підхід до регулювання технологій штучного інтелекту. Підхід складається з п'яти принципів ШІ: безпека, прозорість, справедливість, підзвітність та управління, а також відшкодування збитків. Протягом наступних 12 місяців будуть розроблені рекомендації, які допоможуть організаціям впровадити нові правила.
➉ Агентство ЄС з кібербезпеки запустило новий інструмент для малих та середніх підприємств, який допоможе оцінити рівень їхньої "зрілості" у сфері кібербезпеки. Інструмент проводить оцінку за напрямками: ризики, пов'язані з персоналом, технології та процеси реагування на загрози кібербезпеки; а також надає "персоналізований" план виправлення ситуації.
⑪ Meta (Facebook та Instagram) переходить з незаконного контракту на не менш незаконну основу "законні інтереси" для реклами, після того, як noyb виграв серію скарг проти них. За планом Meta користувачі з ЄС зможуть подавати онлайн-заяву про відмову від реклами. noyb пильно слідкує за Meta та вже планує юридично оскаржити новий процес.
⑫ Норвезький регулятор опублікував інструкцію, яка допоможе бізнесу виявити потенційні кібератаки, що часто зростають під час свят, таких як Великдень. Інструкція описує поширені типи інцидентів і розповідає про те, як можна захистити приватність, коли організація зазнала таких атак.
⑬ Чеський регулятор оштрафував компанію Avast, що займається розробкою програмного забезпечення для кібербезпеки, на €13,7 млн за незаконну обробку даних. Організація із захисту прав споживачів FACUA, яка подала скаргу на компанію у 2020 році, заявила, що користувачів могли ідентифікувати через дані приватного перегляду веб-сторінок, зібрані та продані компанією без їхнього відома чи дозволу.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [27.03 — 02.04]
① Європол опублікував екстрений звіт, у якому попереджає, що ChatGPT та інші генеративні системи ШІ можуть бути використані для онлайн-шахрайства та інших кіберзлочинів. Надання ШІ конкретних кроків, якість згенерованого тексту, можливість програмування, здатність ШІ імітувати стиль і мову конкретних людей і т.п. значно полегшують злочинцям вчинення злочинів.
➁ Італійський регулятор наказав "тимчасово обмежити обробку даних італійських користувачів" розробником ChatGPT – компанією OpenAI – і розпочав розслідування. Регулятор послався на брак інформації, наданої користувачам, і відсутність правової підстави, що виправдовує "масовий збір і зберігання ПД". Також регулятора хвилює відсутність будь-якого механізму перевірки віку, що наражає дітей на небезпеку отримання відповідей, які не відповідають їх віку.
➂ Європейська комісія опублікувала робочу програму та бюджет програми "Цифрова Європа" на 2023-2024 роки. €113 млн виділено на ініціативи у сфері хмарних сервісів, даних та штучного інтелекту.
➃ Французькі захисники обурені схваленням законопроєкту про тимчасове використання "інтелектуальних систем спостереження" під час Олімпійських і Паралімпійських ігор 2024 в Парижі.
➄ Іспанський регулятор опублікував рекомендації із переліком превентивних заходів, призначені для державних органів, які здійснюють масовий обмін даними, та їхніх працівників, відповідальних за захист даних.
➅ Французький регулятор оштрафував компанію Cityscoot, яка займається прокатом самокатів, на €125K за збір та зберігання даних про геолокацію транспортних засобів. Компанія не виконала зобов'язання щодо мінімізації даних та договірних зобов'язань відповідно до GDPR, а також порушила національний закон, не проінформувавши користувачів і не отримавши їхньої згоди на доступ до даних.
➆ Окружний суд Північного округу Каліфорнії надав попереднє погодження на виплату Facebook $725 млн в рамках колективного позову, пов'язаного з претензіями Cambridge Analytica 2018 року. На сьогоднішній день це найбільше врегулювання колективного позову про захист ПД у США.
➇ Франція ратифікувала Конвенцію Ради Європи 108+, яка вносить зміни до оригінальної Конвенції 108 про захист осіб у зв'язку з автоматизованою обробкою ПД.
➈ Департамент науки, інновацій та технологій Великої Британії опублікував білу книгу, в якій виклав свій підхід до регулювання технологій штучного інтелекту. Підхід складається з п'яти принципів ШІ: безпека, прозорість, справедливість, підзвітність та управління, а також відшкодування збитків. Протягом наступних 12 місяців будуть розроблені рекомендації, які допоможуть організаціям впровадити нові правила.
➉ Агентство ЄС з кібербезпеки запустило новий інструмент для малих та середніх підприємств, який допоможе оцінити рівень їхньої "зрілості" у сфері кібербезпеки. Інструмент проводить оцінку за напрямками: ризики, пов'язані з персоналом, технології та процеси реагування на загрози кібербезпеки; а також надає "персоналізований" план виправлення ситуації.
⑪ Meta (Facebook та Instagram) переходить з незаконного контракту на не менш незаконну основу "законні інтереси" для реклами, після того, як noyb виграв серію скарг проти них. За планом Meta користувачі з ЄС зможуть подавати онлайн-заяву про відмову від реклами. noyb пильно слідкує за Meta та вже планує юридично оскаржити новий процес.
⑫ Норвезький регулятор опублікував інструкцію, яка допоможе бізнесу виявити потенційні кібератаки, що часто зростають під час свят, таких як Великдень. Інструкція описує поширені типи інцидентів і розповідає про те, як можна захистити приватність, коли організація зазнала таких атак.
⑬ Чеський регулятор оштрафував компанію Avast, що займається розробкою програмного забезпечення для кібербезпеки, на €13,7 млн за незаконну обробку даних. Організація із захисту прав споживачів FACUA, яка подала скаргу на компанію у 2020 році, заявила, що користувачів могли ідентифікувати через дані приватного перегляду веб-сторінок, зібрані та продані компанією без їхнього відома чи дозволу.
🇺🇦 Все буде Україна!
🎓 АКАДЕМІЯ ПРИВАТНОСТІ: СТАТТЯ ВІД IAPP
На сайті IAPP нещодавно була опублікована стаття про нашу Академію приватності під назвою "NGO seeks more Ukrainian privacy awareness amid Russian invasion". Нам дуже приємно, що найбільша у світі організація, що займається питаннями інформаційної приватності, визнала нашу працю.
Privacy HUB запустив першу в Україні Академію приватності восени 2022 року. Разом з національними та міжнародними експертами ми навчали провідних викладачів ЗВО сучасним практикам захисту персональних даних. Наш курс включав основні поняття приватності та захисту даних, правові аспекти обробки даних, обов'язки контролерів та процесорів, а також операційні та юридичні аспекти приватності, включаючи воркшопи щодо проєктованої приватності. Перший випуск нашої Академії приватності нараховував 30 викладачів з 25 університетів України.
Запрошуємо всіх бажаючих ознайомитися з повною версією статті на сайті IAPP, щоб дізнатися більше про те, як проходила Академія приватності під час війни.
Privacy HUB продовжує розробляти поглиблені курси, які відображають найновіші розробки та стандарти у сфері приватності, на основі яких викладачі зможуть будувати свої заняття. Тож чекайте на новини найближчим часом. Ми раді закріпити успіх першої Академії приватності та продовжувати просувати культуру приватності в Україні.
🇺🇦 Все буде Україна!
Команда Privacy HUB
На сайті IAPP нещодавно була опублікована стаття про нашу Академію приватності під назвою "NGO seeks more Ukrainian privacy awareness amid Russian invasion". Нам дуже приємно, що найбільша у світі організація, що займається питаннями інформаційної приватності, визнала нашу працю.
Privacy HUB запустив першу в Україні Академію приватності восени 2022 року. Разом з національними та міжнародними експертами ми навчали провідних викладачів ЗВО сучасним практикам захисту персональних даних. Наш курс включав основні поняття приватності та захисту даних, правові аспекти обробки даних, обов'язки контролерів та процесорів, а також операційні та юридичні аспекти приватності, включаючи воркшопи щодо проєктованої приватності. Перший випуск нашої Академії приватності нараховував 30 викладачів з 25 університетів України.
Запрошуємо всіх бажаючих ознайомитися з повною версією статті на сайті IAPP, щоб дізнатися більше про те, як проходила Академія приватності під час війни.
Privacy HUB продовжує розробляти поглиблені курси, які відображають найновіші розробки та стандарти у сфері приватності, на основі яких викладачі зможуть будувати свої заняття. Тож чекайте на новини найближчим часом. Ми раді закріпити успіх першої Академії приватності та продовжувати просувати культуру приватності в Україні.
🇺🇦 Все буде Україна!
Команда Privacy HUB