Privacy HUB
1.31K subscribers
22 photos
1 file
125 links
Новини, аналітика та навчальні матеріали з GDPR і Data Privacy.

Автори каналу:
@dawlessvlad @Daquezee
@NatalieNikol @p_l_n_p

Чат: http://bit.ly/PrivacyHubChat

Підтримати: https://www.patreon.com/privacy_hub
Download Telegram
⚡️ АНОНС

Запрошуємо на івент «PRIVACY RULES: як вони змінюються з війною, отриманням статусу кандидата в ЄС та GDPR для українських проєктів-біженців».

Дата та формат

26.07.2022 о 16:00 CET (онлайн)
англійською мовою

🎤 Експерти

▫️Дмитро Корчинський (CIPP/E, CIPM, FIP, старший спеціаліст із захисту даних у ПриватБанку)
▫️Катерина Міщенко (CIPP/E, керівник практики захисту даних у Avitar)
▫️Місті Петерсон (CIPP/США, радник практики приватності та безпеки даних King & Spalding)

Адженда

Як GDPR та/або національні правила країн ЄС впливають на українські та інші Pro Bono проєкти?

Яка роль приватності під час війни, ціна розголошення та передачі персональних даних?

Як ми можемо захистити свої персональні дані відповідно до законодавства ЄС, США та України?

Чи можна цифрові злочини, як-от злом бази даних або DoS-атаки, вважати воєнними злочинами?

👉 Реєструйтеся
Участь безкоштовна — тут

Захід відбувається в рамках проєкту MyPrivacy
#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [11.07 — 17.07]

Чи знаєте ви, що за тиждень у світі з'являються десятки рішень та роз'яснень у сфері приватності та захисту персональних даних? Ми встигаємо опублікувати лише три пости на тиждень і, на жаль, можемо пропустити якусь новину.

Відтепер раз на тиждень ви будете в курсі основних новин.

① Британія представила
192-сторінковий законопроект про захист даних і цифрової інформації та запропонувала регулювання штучного інтелекту.

Європейська комісія надіслала висновок Словенії, вимагаючи адаптації їхної системи захисту даних до GDPR через неврегулювання так званих коректуючих повноважень регулятора. Словенія має два місяці на відповідь, або справа може піти до Суду ЄС.

Італійський орган з питань конкуренції розпочав розслідування ймовірних антиконкурентних порушень, пов’язаних із практикою Google щодо переносимості даних (portability).

➃ Європейський інспектор із захисту даних (EDPS) висловив занепокоєння щодо реформ захисту даних у Британії, які можуть вплинути на оцінку рішення про адекватність.

Європейська рада із захисту даних (EDPB) оприлюднила набір критеріїв для визначення того, чи вимагають транскордонні справи тіснішої співпраці між регуляторами.

EDPB оприлюднила висновок щодо передачі даних в росію. Висновок говорить про погіршення ситуації із захистом даних в росії, а відповідно й необхідність додаткових заходів захисту при передачі даних в росію.

Управління із захисту даних Франції (CNIL) опублікувало висновки з членами EDPB щодо Акту про управління даними та Акту про дані.

EDPB та EDPS оприлюднили висновок щодо пропозиції Європейського простору даних у сфері охорони здоров’я.

➈ Регулятор Греції оштрафував Clearview AI на 20 мільйонів євро за порушення GDPR і заборонив системі з розпізнавання облич збирати та обробляти персональні дані греків.

TikTok отримав проблеми від рішення «персоналізувати» рекламу на основі легітимних інтересів.

Після розмови з наглядовим офісом регулятора Ірландії TikTok призупинив оновлення повідомлення про приватність в Європі, згідно з яким TikTok більше не буде запитувати згоду користувачів на отримання цільової реклами. Італійський же регулятор виніс попередження TikTok через обробку персональних даних для цільової реклами. Наостанок регулятор Іспанії оголосив про початок попереднього розслідування змін TikTok до повідомлення про приватність.

Іспанський регулятор оштрафував енергокомпанію на €60 000, яка надіслала договір суб’єкту даних за неправильною адресою, за порушення принципу точності.

Регулятор Фінляндії оштрафував видавця журналу на €85 000 за складну процедуру реалізації прав суб’єктів даних. Контролер вимагав від суб’єктів даних роздрукувати, заповнити, підписати та надіслати паперову форму для видалення своїх даних.

🇺🇦 Все буде Україна!
🇺🇦 ЗБІР КОШТІВ!

У мирні часи кофаундер Privacy HUB Влад Некрутенко писав би цікаві статті та дописи на теми приватності, захисту персональних даних.

Але в перші тижні повномасштабної війни Влад приєднався до сил територіальної оборони ЗСУ для захисту України від російських загарбників.

Зараз його підрозділу необхідні кошти для придбання комплекту цифрових радіоприймачів та акумуляторів для дронів.

Потрібно 7 радіостанцій (кожна радіостанція коштує ~500$), на загальну суму $3500 + батареї ~800$

Наша професійна спільнота добре розуміє важливість захищеного зв'язку.

Закликаємо вас допомогти!

Картка: 5375414124669374

Наближаємо перемогу разом!
🇺🇦
Privacy HUB
⚡️ АНОНС Запрошуємо на івент «PRIVACY RULES: як вони змінюються з війною, отриманням статусу кандидата в ЄС та GDPR для українських проєктів-біженців». Дата та формат 26.07.2022 о 16:00 CET (онлайн) англійською мовою 🎤 Експерти ▫️Дмитро Корчинський…
🔴 Нагадуємо, що вже завтра о 16:00 CET (17:00 за київським часом) відбудеться онлайн івент «PRIVACY RULES: як вони змінюються з війною, отриманням статусу кандидата в ЄС та GDPR для українських проєктів-біженців».

👉 Реєструйтеся тут
#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [18.07 — 24.07]

① Громадянин Німеччини подав позов проти Європейської Комісії, стверджуючи про порушення інституційного GDPR. Позивач стверджує, що Комісія незаконно передає дані до США всупереч рішенню Суду ЄС "Schrems II", а також стверджує про недостатню прозорість щодо практики обробки даних.

➁ Омбудсмен ЄС запросив Європейську комісію надати до 30 вересня додаткову інформацію в рамках свого розслідування щодо моніторингу застосування правил захисту даних в Ірландії, оскільки відповіді були далеко неповними.

➂ CNIL опублікував позицію щодо умов розміщення «доповнених» відеопристроїв у громадських місцях та чим вони відрізняються від біометричного відеоспостереженням.

➃ Законодавці США оприлюднили проект закону про приватність і захист даних з правками.

➄ Регулятор Берліну перевіряє договори на обробку даних веб-хостингів. Це сталося після повідомлень контролерів даних про те, що такі контракти несумісні з GDPR, і Регулятор Берліну видав чекліст та інструкцію, щоб забезпечити єдиний стандарт для договорів веб-хостингу.

➅ Сінгапурський регулятор опублікував посібник щодо захисту персональних даних для дизайну блокчейну.

➆ Італійський регулятор постановив, що компанія Google не була зобов’язана видаляти результати пошуку з посиланнями на певні новинні статті, оскільки публікація відповідної інформації була в інтересах суспільства, оскільки вона стосувалася поточного судового розгляду.

➇ Управління з питань захисту даних Данії оштрафувало юридичну фірму SIRIUS на 500 тисяч євро через проблеми з безпекою даних. Штраф пов’язаний із витоком даних у березні 2020 року, коли хакери отримали доступ до серверів юридичної фірми та зашифрували їх. Розслідування виявило, що SIRIUS були в процесі налаштування багатофакторної автентифікації на своїх серверах, коли хакери здійснили злам.

➈ Управління з питань захисту прав Іспанії оштрафувало банк за надсилання інвестиційного звіту не тому одержувачу, а саме колишній дружині суб’єкта даних. Це сталося через комп'ютерну помилку в банку. Початковий штраф у 70 000 євро було зменшено на 20% до 56 000 євро через добровільну сплату.

➉ Європейський інспектор із захисту даних видав позицію щодо пропозиції Директиви Європейського Парламенту та Ради щодо повернення та конфіскації активів, в цілому, підтримуючи її.

⑪ Адміністрація кіберпростору Китаю оштрафувала компанію Didi Global Co., Ltd на 8 000 000 000 юанів (приблизно 1,1 мільярда євро) за порушення Закону про захист персональної інформації, Закону про безпеку даних і Закону про кібербезпеку.

🇺🇦 Все буде Україна!
#ДайджестМісяця

🔆 ДАЙДЖЕСТ ЛИПНЯ

Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.

1️⃣ Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.

2️⃣ Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.

3️⃣ Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.

🏆 РЕЙТИНГ ДОПИСІВ ЛИПНЯ

#Санкції
📍ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
📍ЧИ У МОДІ TOMs?
📍В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
📍€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ

#Аналітика
📍ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
📍ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
📍ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
📍
ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!

#Інформаційна_безпека
📍ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
📍АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?

#Новини_тижня
📍НОВИНИ ТИЖНЯ [11.07 — 17.07]
📍НОВИНИ ТИЖНЯ [18.07 — 24.07]

Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу!
💙💛
#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [25.07 — 31.07]


Державний уповноважений із захисту даних Нижньої Саксонії наклав штраф у розмірі 1,1 млн євро на Volkswagen.

➁ Орган із захисту даних Іспанії (AEPD) опублікував блог про належну обробку та оцінку використання біометричних даних відповідно до GDPR. AEPD відзначив ряд факторів оцінки, включаючи «адекватність, пропорційність і необхідність».

➂ Регулятор Британії (ICO) опублікував оновлену інструкцію щодо використання зобов’язуючих корпоративних правил (BCR) як механізму транскордонних передачі даних. Оновлення спрямовані на «спрощений» підхід для контролерів і процесорів, причому ICO зазначає, що «запитуватиме супровідні документи та зобов’язання лише один раз під час процесу затвердження». Регулятор також назвав BCR механізмом «золотого стандарту» для транскордонних передач.

➃ Орган із захисту даних Данії опублікував анкету для контролерів даних, які використовують хмарні технології.

Європейська рада із захисту даних (EDPB) і Європейський наглядовий орган із захисту даних (EDPS) прийняли спільний висновок щодо проекту регламенту щодо запобігання та боротьби з сексуальним насильством над дітьми.

➅ Регулятор Франції (CNIL) опублікувала свої рекомендації щодо розробки систем перевірки віку. Беручи до уваги вимоги GDPR щодо мінімізації даних і обмеження цілей, CNIL пропонує підтверджувати вік користувачів за допомогою системи «довіреної третьої сторони», яка забезпечує «потрійний захист приватності» через практику анонімності.

➆ Датський регулятор виніс догану Управлінню даних охорони здоров’я Данії за порушення статті 32(1) GDPR через відсутність перевірки бази даних ліків на наявність помилок архітектури сервісу, що призвело до витоку даних 267 суб’єктів даних.

➇ Фінансовий суд Мюнхена постановив, що документи в податкових досьє (внутрішнє листування, заяви третіх осіб, нотатки та рукописні коментарі) не є персональними даними. Фінансовий суд розрізнив персональні дані як інформацію, що стосується ідентифікованої фізичної особи відповідно до статті 4(1) GDPR, і досьє або набори досьє.

➈ Австрійський федеральний адміністративний суд постановив, що точний метод, за допомогою якого страхова компанія розрахувала пропозицію про врегулювання диспуту, є комерційною таємницею, на яку поширюється стаття 15(4) GDPR, тобто не повинна бути надана суб´єкту даних. Слід зазначити, що контролер надіслав 200-сторінкову відповідь, включаючи, серед іншого, тип тарифу, виплачену суму відкупу, відповіді на медичну анкету та історію платежів.

➉ Національний інститут стандартів і технологій США (NIST) опублікував проект свого переглянутого керівництва з кібербезпеки, пов’язаного з HIPAA. Керівництво допоможе «зберігати конфіденційність, цілісність і доступність» даних пацієнтів відповідно до стандартів HIPAA.

🇺🇦 Все буде Україна!
Open Letter to IAPP.pdf
92.6 KB
🇺🇦 СМІЛИВІСТЬ: БУТИ УКРАЇНОЮ!

Сьогодні 162-й день жорстокої повномасштабної війни Росії проти України.

162 дні український народ мужньо бореться за свободу, незалежність і майбутнє не лише України, а й усього демократичного світу. Україна переможе! Але для цього весь світ має об’єднатися з Україною та ізолювати Росію. Разом ми маємо довести, що права людини є найвищою цінністю. Разом ми маємо їх захистити.

Ми публікуємо відкритий лист до Міжнародної асоціації фахівців з приватності із закликом до рішучих дій з ізоляції Росії та підтримки України.

❗️Закликаємо всіх українських фахівців підтримувати наш лист в LinkedIn та відправляти аналогічні листи міжнародним та європейським організаціям!

Ми маємо постійно говорити світові про війну в Україні. Маємо закликати світ надавати нам зброю та всіляку підтримку. Спільними зусиллями ми переможемо!

🇺🇦 Все буде Україна!
#Інформаційна_безпека

🛡ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ

Пам'ятаєте, як два тижні тому ми збирали гроші на рації для нашого співзасновника? Так ось, спільними зусиллями ми змогли закрити збір, за що ми дуже дякуємо всім, хто долучився. А тепер, як і обіцяли, ми трошки розповімо вам про зв'язок в умовах бойових дій.

📍Мобільний зв'язок

Багато хто чув, що використання мобільного поруч із ворогом (1 - 10 км до фронту) це не завжди оптимальний варіант, але мало хто знає причини.

Дійсно, мобільний зв'язок дозволяє оперативно передати інформацію, але мобільній зв‘язок не є безпечним каналом комунікації. Так, використовуючи мобілки, ви можете наразити себе та своїх побратимів на небезпеку адже:

🔹ворог може збирати IMEI телефонів та відслідковувати шляхи пересування солдатів на фронті;
🔹через скупчення мобільних телефонів ворог здійснює коригування роботи артилерії.

Окрім цього, телеком оператори можуть не мати змоги підтримувати зв‘язок на територіях ведення бойових дій.

Через це військові надають перевагу радіозв'язку. Але чи є рації панацею? Якщо коротко, то ні. Як і у випадку з кібербезпекою, жоден спосіб захисту не є 100% гарантією безпеки. Але давайте поговоримо про рації!

📍Рації

Існують аналогові та цифрові радіостанції. Спершу поговоримо про аналогові. Чи краще вони, ніж мобілки? Так, але вони все одно не є безпечними, тому їх не рекомендують використовувати в безпосередній близькості до ворога. Адже, знайшовши хвилю, на якій солдати ведуть переговори, ворог отримує змогу прослуховувати все, що виходить в ефір. Для цього існують недорогі (від ~2500$) засоби радіоелектронної розвідки, які моніторять ефір на заданому спектрі частот. Зазвичай спектр роботи такого засобу покриває більшість хвиль, на яких можуть працювати рації.

Отже, аналогові рації кращі, ніж мобілки, і їх загалом можна використовувати, але робити це краще в тилу.

Оптимальним способом зв'язку є цифрові рації. І на те є кілька причин:

🔸 на відміну від аналогових рацій, цифрова рація надає змогу зашифрувати дані засобами криптографічного зв‘язку. Можливо навіть використовувати добре відомий 256-бітовий алгоритм AES-256. Таким чином, при моніторингу ефіру ворог не має змоги зрозуміти, про що йде мова.

🔸 у більшості середніх цифрових рацій встановлене 40-бітове шифрування, зламування якого на потужному комп‘ютері може займати до 15 хвилин. Втім, для того, щоб це зробити, зашифровану інформацію необхідно надіслати на «велику землю» – штаб, в якому є такі потужності. На місці зламування здійснюється у порядку живої черги з іншими підрозділами, тобто весь процес може займати 2-3 дні. За цей час актуальність інформації зводиться нанівець, а підрозділ, який прослуховують, може змінити ключі шифрування. На передовій зв‘язківці можуть встановлювати до 30 різних ключів шифрування на кожен окремий день місяця, щоб запобігти прослуховуванню рацій на вже зламаних каналах. По спливу 30 днів ключі оновлюються.

Що робити, коли є лише аналогова рація?

У такому разі військові створюють таблиці термінів, у яких команди всередині підрозділів замінюються цифрами або словами-шифрами. Наприклад, “дуб, дуб, я береза, як чутно?”. Певний час ворог, прослуховуючи ефір, не втямить, про який дуб та березу йде мова.

Це теж не панацея: за кілька днів прослуховування ворог зрозуміє, що дуб це пост #1, а береза – це командний пункт. Тому, що роблять військові? Правильно, регулярно змінюють таблиці термінів. Цей спосіб, до речі, застосовують навіть при використанні цифрових рацій.

🏆 ВИСНОВКИ

Ефективна та швидка комунікація є основою основ не лише у цивільному житті, але й під час війни. Особливо під час війни. Вчасно передана інформація може врятувати життя та допомогти ефективно знищити ворога. Тому важливо користуватись максимально безпечними каналами зв'язку, а за неможливості використовувати допоміжні рішення, шифри.

💙 Ще раз дякуємо вам за те, що допомогли убезпечити комунікацію Влада та його побратимів.
💛 Продовжуємо працювати на Перемогу!

🇺🇦 Все буде Україна!
#Академія_приватності

🚀 «АКАДЕМІЇ ПРИВАТНОСТІ» (BY PRIVACY HUB) БУТИ!

Початок повномасштабного вторгнення РФ в Україну вніс свої корективи у життя кожного з нас. Проєкти нашої команди також були призупинені, але лише тимчасово.

Умови воєнного стану вкотре довели, наскільки важливим є захист персональних даних не тільки для захисту приватності, але й для збереження життя українців.

Окрім цього, ми натхнені наданням Україні статусу кандидата на вступ до ЄС, що має прискорити адаптацію українського законодавства у сфері захисту персональних даних до стандартів ЄС та Ради Європи.

Тож, Privacy HUB з новими силами і з урахуванням умов війни поновлює підготовку до Освітнього табору “Академія приватності”, який ми раніше анонсували на каналі.

Що це буде?

Наша команда реалізує Освітній табір «Академія приватності» за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.

«Академія приватності» – це 5-ти денний табір для викладачів ЗВО з усієї України, метою якого є розробка стандартів викладання та навчальної програми (силабусу) із курсу захисту персональних даних для студентів у сфері права, кібербезпеки, охорони здоров’я, медіа та реклами.

Менторами у цьому процесі будуть виступати українські та міжнародні експерти із захисту персональних даних, які допоможуть поглибити знання викладачів, створити силабус, а у подальшому сприятимуть широкому впровадженню курсу у навчальний процес.

Коли?

12-16 жовтня 2022 року

У якому форматі?

«Академія приватності» буде проводитися у змішаному форматі: офлайн у Києві та онлайн. Про місце проведення ми додатково повідомимо ближче до заходу.

Як взяти участь?

Викладачам ЗВО потрібно заповнити анкету та очікувати, коли ми зв’яжемося з ними.

Чи платна участь?

Участь безкоштовна. Питання щодо забезпечення проживання у м. Києві може вирішуватися окремо з кожним учасником.

Куди звернутися з питаннями щодо участі?

Будь-які питання можна адресувати на електронну адресу board@privacyhub.today.

Слідкуйте за реалізацією проєкту у рубриці #Академія_приватності.


💙💛 Все буде Україна!
#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [01.08 — 7.08]

① Суд Європейського Союзу виніс рішення, яке роз’яснює, як непряме розкриття даних про сексуальну орієнтацію захищено статтею 9 GDPR. Суд пояснив, що таке розкриття даних підпадає під спеціальні категорії персональних даних у статті 9. Рішення може створити прецедент для тлумачення законної обробки спеціальних категорій даних органами та компаніями із захисту даних. Як зазначено в рішенні «Суд вважає, що з конкретних іменних даних, що стосуються подружжя, співмешканця або партнера заявника, можна вивести певну інформацію щодо статевого життя чи сексуальної орієнтації заявника та його дружини, співмешканця чи партнера.» (параграф 119).

➁ Регулятор Франції створив інструменти, які допомагають професійним спортивним командам дотримуватися правил захисту даних. Посібник із самооцінки допомагає організаціям вивчити правила обробки даних співробітників і волонтерів для дотримання законодавства. Він пропонує довідник щодо основних понять, зокрема персональних даних, обробки даних і цілей, представлених у контексті спорту.

➂ Європейська рада із захисту даних прийняла Висновок 17/2022 щодо проекту рішення іспанського наглядового органу щодо обов’язкових корпоративних правил контролера ANTOLIN Group

➃ Регулятор Нижньої Саксонії оштрафував неназваний банк на суму 900 000 євро за ймовірне порушення GDPR. Компанія нібито аналізувала дані нинішніх і колишніх клієнтів без їхньої згоди. Було також розглянуто онлайн поведінку клієнтів, загальну кількість онлайн-банківських переказів. Ругулятор постановив, що така обробка не може ґрунтуватися на законному інтересі згідно зі статтею 6(1)(f). Штраф не остаточний.

➄ Гіганту рекламних технологій Criteo загрожує штраф у розмірі 60 мільйонів євро у Франції за порушення GDPR.

➅ Регулятор Австрії наказав банку видалити копію водійського посвідчення, яке він зберіг для дотримання Закону про відмивання грошей; банк не був зобов'язаний перевіряти особу суб'єкта даних згідно із законом.

➆ Регулятор Бельгії постановив, що обговорення персональних даних суб’єкта даних, пов’язаних зі здоров’ям, на нараді персоналу, де вона була відсутня, і включення даних до протоколу наради було несумісним з метою початкової обробки (управління персоналом) і не мало підстав для обробки.

➇ Регулятор Бельгії постановив, що контролер може покладатися на законний інтерес як правову основу для надсилання колишнім клієнтам повідомлень прямого маркетингу, якщо відносини закінчилися «не так давно» і суб’єкт даних не заперечував проти такої обробки.

➈ Адміністративний суд Франкфурта постановив, що німецька влада не зобов’язана використовувати наскрізне шифрування під час спілкування з постачальником зброї; транспортне шифрування (TLS) було сумісним із необхідним рівнем захисту даних.

➉ Італійський DPA наказав Google деіндексувати статтю про кримінальне розслідування щодо суб’єкта даних, оскільки відсутній суспільний інтерес до новини, незважаючи на те, що стаття була точною та актуальною.
#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [08.08 — 14.08]

① Австрійська ГО «NOYB» подала 226 скарг щодо порушень GDPR до 18 регуляторів ЄЕС проти веб-сайтів, які використовують популярне програмне забезпечення OneTrust для банерів cookie із оманливими налаштуваннями.

➁ Європейський інспектор із захисту даних (EDPS) опублікував висновок щодо рекомендації до рішення Європейської Ради, що дозволяє розпочати переговори про включення положень про транскордонні потоки даних до Угоди між Європейським Союзом та Японією про економічне партнерство

➂ EDPS опублікував висновок щодо пропозиції до регламенту про перетворення мережі даних бухгалтерського обліку ферм у мережу даних сталого розвитку ферм (FSDN)

➃ Google погодився виплатити штраф у розмірі 60 мільйонів австралійських доларів Комісії з питань конкуренції та захисту прав споживачів Австралії. Федеральний суд визнав, що Google ввів в оману австралійських споживачів, переконавши, що компанія не збирає дані про їх місцезнаходження за допомогою пристроїв Android

➄ Управління Уповноваженого з питань приватності Канади оприлюднило результати свого піврічного опитування щодо практики приватності та заходів комплаєнсу в організаціях. Опитування 751 компанії показало, що 59% респондентів мають повідомлення про приватність, що на 6% менше, ніж у попередньому опитуванні в 2019 році. Відсоток компаній, які застосовують більшість вимог дотримання приватності, також знизився з 62% до 57%, тоді як 86 % компаній заявили, що знають свої зобов’язання згідно з канадським законодавством про приватність. Крім того, 90% компаній зазначили, що не переживали порушень захисту даних.

➅ Регулятор Словенії створив інфографіку, щоб допомогти контролерам даних проводити оцінку впливу на захист даних.

➆ Регуляторний телекомунікаційний орган Індії опублікував консультаційний документ під назвою «Використання штучного інтелекту та великих даних у телекомунікаційному секторі». У документі пропонуються потенційні можливості використання штучного інтелекту та великих даних у таких сферах, як якість обслуговування, керування спектром і безпека мережі, а також наводяться приклади операторів зв’язку, які вже використовують ці технології. У документі також розглядалися ризики, пов’язані з впровадженням штучного інтелекту та великих даних, включаючи неетичне використання, упередження даних і алгоритмів, а також проблеми приватності

➇ Апеляційний суд Арнем-Леувардена постановив, що подання звіту, що містить персональні дані третіх сторін, під час судового розгляду не є порушенням GDPR, оскільки контролер повинен був зробити це відповідно до статті 6(1)(c) GDPR (обробка необхідна для дотримання юридичних зобов’язань)

🇺🇦 Все буде Україна!
#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [15.08 — 21.08]

① Верховна Рада України вдруге
провалила прийняття Закону про захист персональних даних у першому читанні. За проголосувало 212 народних обранців з 226 необхідних. Автори пообіцяли подати законопроект знову.

➁ В мережі інтернет з´явилися повідомлення про злом офіційного сайту адміністрації Кривого Рогу (kr.gov.ua), в ході якого було злито у відкритий доступ файл із 342,294 рядками, які містять ПІБ та телефони громадян. Загалом у файлі 227,220 унікальних номерів телефонів. На жаль, офіційних коментарів з цього приводу немає.

➂ Орган із захисту даних Латвії, Державна інспекція даних, опублікував допис у блозі, у якому пояснюється роль офіцеру із захисту даних.

Управління комісара з питань інформації Великобританії випустило шість кроків для малого бізнесу, які отримують скарги від суб´єктів персональних даних.

➄ Національна комісія із захисту даних Люксембургу надіслала нагадування муніципалітетам щодо вимог до офіцеру із захисту даних (DPO) відповідно до GDPR. Регулятор виявив, що «деякі муніципалітети ще не виконали» зобов’язання по DPO, і почала інформувати їх про необхідність узгодження зі статтею 37.1(a) GDPR. Муніципалітети також повинні будуть надати контактну інформацію своїх DPO до регулятора після призначення.

➅ Регулятор Данії підтримав заборону на використання Google Workspace муніципалітетом Гельсінгера.

➆ Закупівельна палата землі Баден-Вюртемберг постановила, що компанію необхідно виключити з процедури публічних закупівель, оскільки її пропозиція порушує GDPR. Це пояснюється тим, що дотримання законодавства про захист даних було вимогою тендеру. Палата постановила, що пропозиція містила незаконну передачу даних клієнтів третій країні (їхній материнській компанії, розташованій у США), оскільки до них могла отримати доступ материнська компанія.

Грецький регулятор частково скасував своє попереднє рішення та зменшив штраф з 20 000 євро до 5 000 євро для компанії, яка продає спортивний одяг, у світлі нових доказів того, що порушення права на заперечення було наслідком ізольованої помилки, а не зловмисного наміру. Перш за все, DPA погодився, що порушення, схоже, було спричинене недбалістю контролера (окрема помилка), а не злим умислом. По-друге, було виявлено, що контролер запровадив і дотримувався відповідних процедур для забезпечення правильного імплементування права на заперечення (стаття 21 GDPR) і права на видалення (стаття 17 GDPR) суб’єктів даних.

➈ Норвезький регулятор оштрафував компанію з управління майном на 30 500 євро за два незаконні кредитні рейтинги, що є порушенням статті 6(1)(f) GDPR, двом особам, з якими вона не мала стосунків, але з якими пов’язана компанія мала спір.

➉ Датський регулятор запропонував оштрафувати муніципалітет у розмірі 6700 євро за те, що останній не перешкоджав своїм службовцям вручну вимикати коди доступу на своїх мобільних телефонах, які містили персональні дані громадян, таким чином наражаючи їх на непотрібний ризик.

🇺🇦 Все буде Україна!
#Аналітика

🔬 ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА

Регулятор Британії (ICO) випустив інструкцію для малого бізнесу, що робити зі скаргою від суб'єкта персональних даних. Інструкція містить шість кроків:

1. Підтвердіть отримання скарги

Відповідайте якнайшвидше, щоб повідомити споживачу, що ви отримали його скаргу щодо захисту даних і розглядаєте її. Ваша відповідь має містити інформацію про те, що ви будете робити на кожному етапі. Повідомте, коли споживач може очікувати від вас додаткову інформацію, а також надайте актуальну контактну інформацію. Наприклад, ви можете надіслати посилання на вашу процедуру розгляду скарг, якщо вона у вас є. Відповідна процедура подання скарг може містити інформацію про те, як люди можуть подавати скарги щодо захисту даних, як ви їх розглядатимете та скільки часу це займе.

У разі необхідності ви також повинні перевірити, чи надійшла скарга від уповноваженої особи. Це може бути, якщо третя сторона подала скаргу від імені особи, дані якої ви обробляєте. Ви повинні перевірити, чи мають вони право отримувати інформацію про те, як оброблялися персональні дані.

2. З’ясуйте, що пішло не так

Ви повинні розглядати будь-які скарги щодо захисту даних якомога швидше. Почніть зі збору якомога більше інформації. Вам необхідно якомога ретельніше, об’єктивніше та точніше встановити всі відповідні факти. Якщо необхідно, попросіть свого клієнта надати додаткову інформацію. Переконайтеся, що ви перевірили всі деталі скарги на інформацію, яку ви маєте. Чим краще ви розумієте проблему, тим краще у вас буде можливість її вирішити.

3. Надавайте регулярні оновлення щодо скарги

Якщо розгляд скарги, ймовірно, займе деякий час, надайте додаткову відповідь після першої. Проінформуйте суб'єкта, що ви працюєте над вирішенням проблеми. По можливості використовуйте зрозумілу мову, а не жаргон чи юридичні терміни. Чітке інформування людей допомагає зміцнити довіру, і все пройде легко, якщо кожен знає, чого очікувати.

4. Фіксуйте ваші дії

Запишіть дату отримання скарги щодо захисту даних і дату, коли потрібно відповісти. Зберігайте деталі будь-яких пов’язаних розмов і копії всіх відповідних документів від початку до кінця, включно з причинами прийнятих вами рішень і будь-якими вжитими або невжитими діями. Це також надасть докази того, що ви зробили.

5. Відповідайте на скаргу

Завершивши розгляд скарги, повідомте людині про результати. Чітко поясніть, що ви зробили для вирішення скарги щодо захисту даних, і про будь-які дії, які ви вжили в результаті. Включіть достатньо інформації, щоб допомогти зрозуміти, як ви дійшли висновку. Може бути корисно структурно виділити окремі пункти скарги та відповісти на кожен з них, надавши відповідні докази, де це можливо.

Ви також повинні повідомити скаржника, що він має право поскаржитися до регулятора. Дотримуйтеся чіткої, конкретної та прямолінійної мови. Це допоможе донести ваше повідомлення до людини та уникнути будь-яких можливих непорозумінь. Надайте контактні дані, щоб вам можна було поставити додаткові запитання, якщо це необхідно.

6. Засвойте отримані уроки

Після того, як ви відповіли скаржнику, скористайтеся можливістю переглянути та оцінити, що сталося. Подумайте, чи можна чогось навчитися або вдосконалитися, щоб запобігти майбутнім скаргам. Якщо хтось скаже вам, що подає скаргу регулятору, вам не потрібно повідомляти регулятора. Регулятор сам зв’яжеться, якщо йому знадобиться додаткова інформація.

🇺🇦 Все буде Україна! Наближаємо нашу Перемогу!
_________
ℹ️ Джерела:
🔹Інструкція ICO
#Інформаційна_безпека

🛡 АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ

Як пам’ятаємо, WP29 випустили найсвіжіший гайд з анонімізації, з best practices та рекомендаціями, ще далекого 2014 року. Здавалося б, за 8 років мав відбутися цілий технологічний прорив. Направду ж – ніт, але давайте подивимося ближче.

Чи з’явилися нові техніки анонімізації?

За нашим скромним дослідженням, зовсім нових технік серед best practices не згадують.

Техніки, рекомендовані WP29, і зараз залишаються базовими та найбільш поширеними. Безперечно, ці методи ускладнюють та часто комбінують по-різному, однак основа – це k-анонімність, l-урізноманітнення, Т-наближення, диференційована приватність.

Чи є нові напрямки розвитку анонімізації?

Звичайно, їх безліч. З найбільш практичних проблем:

🔹Приватність груп користувачів: Більшість наявних підходів зосереджені виключно на приватності окремої особи. Наприклад, модель k-анонімності створює класи з k-користувачами в кожному класі. З одного боку, цей підхід ховає кожного користувача в натовпі інших k-користувачів. З іншого боку, він явно розкриває інформацію про групи користувачів.

🔹 Втрата інформації через надмірне узагальнення: Більшість підходів анонімізують кожен параметр у наборі даних або питому частину. Оскільки деякі параметри не є вразливими з точки зору приватності, їхнє узагальнення значно впливає на корисність даних.

🔹Вибіркова анонімізація: У кожної людини різні вимоги та занепокоєння щодо приватності. Наприклад, у соціальній мережі деякі користувачі хочуть приховати лише інформацію про стосунки (тобто коханця), тоді як деякі користувачі можуть захотіти приховати всю інформацію про соціальні зв’язки (тобто всіх друзів). І тут ми говоримо не просто приховати від загалу, але й від контролера, процесорів тощо.

🔹Анонімізація незбалансованих наборів даних: У деяких випадках розподіл значень у наборі даних є нерівномірним, і його анонімізація є дуже складною. У таких наборах даних застосування жорстких обмежень, таких як створення кожного класу l- різноманітним або t-близьким, на практиці неможливе.

Чи очікувати технологічного прориву?

You never know, але навряд.

По-перше, у перегонах озброєнь між анонімізацією і повторною ідентифікацією реідентифікатори постійно переважають. У публічному доступі можна віднайти дуже багато ключів до дешифрації даних, та й ніхто не скасовував хакерів.

По-друге, давайте дивитися правді в очі. Повна анонімізація майже не несе практичної цінності. Якщо повністю почистити ваші набори даних, ви зможете їх використати лише для статистики в дуже обмеженому вигляді. Відповідно, немає сенсу розробляти такі всеохоплюючі технології анонімізації, хіба якщо це ваше хобі.

🤔То що робити

Прийняти концепцію анонімізації такою, як є, та оцінити вже розроблені підходи❤️‍🩹

Не забувайте, що ваша мета не просто анонімізувати, а досягти компромісу між приватністю та цілями обробки. Комплексу різних PET та організаційних заходів на практиці цілком достатньо. Вірте в себе та ваших СТО.

🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹
Стаття 1: Узагальнююче дослідження технік анонімізації
🔹Стаття 2: Дослідження окремих способів анонімізації
🔹Стаття 3: Анонімізація неструктурованих даних
🔹Книга BROKEN PROMISES OF PRIVACY: RESPONDING TO THE SURPRISING FAILURE OF ANONYMIZATION, Paul Ohm
#Санкції

💶 ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ

Профілювання користувача використовується як основа для створення та подальшого показу персоналізованої реклами. Більшість користувачів навіть не підозрюють про гігабайти даних, які компанії збирають про них та їхню цифрову активність.

Відповідно до GDPR, правовою підставою обробки даних для профілювання має бути явна згода суб'єкта, тобто користувача. Але компанії продовжують нехтувати цією нормою заради жаданого прибутку від реклами, чим накликають на себе не тільки гнів регуляторів, але й великі штрафи.

Що сталося?

Німецький банк Hannoversche Volksbank теж марив новими можливостями, які надасть персоналізована реклама.

Він аналізував та оцінював дані поточних та колишніх клієнтів без їхньої згоди: обсяг покупок через застосунки, частоту використання принтеру для друку виписок, загальну суму переказів у онлайн-банкінгу порівняно зі здійсненням операцій у відділеннях тощо.

Додатково було залучено ще стороннього постачальника послуг. Крім того, результати аналізу порівнювалися з даними кредитної агенції та збагачувалися на їх основі.

Мета – виявити клієнтів, які є прихильниками електронного зв'язку, та звертатися до них електронними каналами в договірних або рекламних цілях. Більшості клієнтів інформація про обробку була надіслана заздалегідь разом з іншими документами. Однак це не замінило необхідної згоди.

Що було порушено?

Банк посилався на легітимний інтерес відповідно до статті 6(1)(f) GDPR. Однак ця правова підстава не дозволяє здійснювати профілювання в рекламних цілях шляхом оцінки великих масивів даних. Проведена банком оцінка балансу інтересів не відповідає вимогам. Обробка даних була незаконною.

Який штраф?

Державна уповноважена із захисту даних (LfD) Нижньої Саксонії оштрафувала Hannoversche Volksbank на €900,000 та змусила їхніх маркетологів спуститися з небес на землю.

При призначенні штрафу було взято до уваги, що результати оцінок не були використані. Крім того, компанія виявила готовність до співпраці.

🏆 ВИСНОВКИ

Разом з регулятором нагадуємо про баланс інтересів та розумні очікування суб'єктів.

Справді, звернення до (потенційних) клієнтів із рекламою відповідає інтересам контролера. Однак цей інтерес є менш важливим. У суб'єктів даних повинна бути можливість заперечення (яку не потрібно обґрунтовувати). Інтереси суб'єктів превалюють.

При зважуванні інтересів потрібно брати до уваги також розумні очікування клієнтів. Тому в таких випадках контролери даних не можуть посилатися на баланс інтересів і натомість мають отримати згоду.

Оскільки дані з різних сфер життя можна зв'язати між собою, залучення зовнішніх агентств дозволяє створювати більш точні профілі. Клієнти не можуть очікувати такого, тому для залучення також необхідно отримати згоду.

🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹
Пресреліз
#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [22.08 — 28.08]

Noyb.eu подав скаргу на Google до Управління захисту даних Франції (CNIL). На їхню думку, технологічний гігант неодноразово ігнорував рішення Європейського суду щодо електронних листів прямого маркетингу та використовував свою електронну платформу Gmail для надсилання небажаних рекламних листів без згоди користувачів

➁ Роздрібний косметичний гігант Sephora повинен буде заплатити 1,2 мільйона доларів за продаж особистої інформації споживачів і необробку запитів на відмову в порушення каліфорнійського Закону про приватність споживачів. В ЄС же румунський регулятор оштрафував Sephora Romania на 2000 євро, оскільки вони продовжували надсилати суб’єкту даних маркетингові повідомлення через SMS після того, як вона скористалася своїм правом на заперечення

➂ Орган захисту даних Туреччини опублікував проект інструкцій щодо обробки генетичних даних

Національний секретаріат із захисту прав споживачів Бразилії Senacon оголосив про штраф у розмірі 6,6 мільйонів проти Facebook Meta, пов’язаного з 443 000 бразильців, залучених у скандал із Cambridge Analytica у 2018 році

➄ Куба прийняла Закон про захист персональних даних

➅ Рада Європейського Союзу опублікувала останній компромісний текст для запропонованого Закону про дані

Компанія Meta Platforms погодилася врегулювати позов у федеральному суді Сан-Франциско про відшкодування збитків за надання третім сторонам (в тому числі Cambridge Analytica) доступу до персональних даних користувачів

Національний центр кібербезпеки Британії опублікував Посібник із найкращих практик інформаційної безпеки для спільних підприємств в будівельному секторі

Регулятор Бремена визнав, що публікація даних боржників про неплатоспроможність на веб-сайтах юридичних фірм не має належної правової підстави

Італійський регулятор оштрафував Deutsche Bank на 20 000 євро за несвоєчасну відповідь на запит суб’єкта даних на доступ

Нідерландський окружний суд Мідден-Нідерланду постановив, що муніципалітет не зобов’язаний розкривати імена та адреси суб’єктів даних, які шукають паранормальну активність на кладовищі, батькам двох померлих дітей, похованих там

⑫ Румунський регулятор оштрафував салон краси на 2500 євро за те, що він мав камери відеоспостереження, встановлені в салоні та зовні салону, надмірно спостерігаючи як за клієнтами, так і за працівниками, не повідомляючи їх

⑬ Регулятор Іспанії наклав штраф у розмірі 5000 євро на агентство нерухомості за порушення GDPR, оскільки договір не містив пункту, який інформував би клієнта про те, як оброблялися його персональні дані

🇺🇦 Все буде Україна!
#Дайджест_місяця

🔆 ДАЙДЖЕСТ СЕРПНЯ

На вулиці стало прохолодніше, листя жовтіє, а значить, що вже настала осінь. Але ми так і не підбили підсумки серпня, тому робимо це на п'ятий день вересня. Останній місяць літа видався досить активним для команди Прайвасі Хаб, адже ми готуємся до реалізації нашого проєкту “Академія Приватності”, яка відбудеться вже у жовтні.

Останнім часом у чаті збільшилися кількість питаннь щодо нашої книги GDPR: посібник з виживання”. Принагідно доповідаємо, що перший тираж майже повністю закінчився. Тому, якщо у новому навчальному році ви хотіли би поглибити свої знання із Загального Регламенту, то “Посібник з виживання” — це гарна можливість це зробити. Ваші питання щодо книги можете адресувати @Daquezee.

🏆 РЕЙТИНГ ДОПИСІВ СЕРПНЯ

#Санкції
📍€1,1 МЛН ЗА ТЕСТ-ДРАЙВ
📍ЩЕ НЕ ЗАБУЛИ ПРО COVID?
📍ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR
📍ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ

#Новини_тижня
📍НОВИНИ ТИЖНЯ [25.07 — 31.07]
📍НОВИНИ ТИЖНЯ [01.08 — 7.08]
📍НОВИНИ ТИЖНЯ [08.08 — 14.08]
📍НОВИНИ ТИЖНЯ [15.08 — 21.08]
📍НОВИНИ ТИЖНЯ [22.08 — 28.08]

#Аналітика
📍ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
📍ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ
📍НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?
📍ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА

#Інформаційна_безпека
📍ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
📍АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ
📍АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ

Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!