#Академія_приватності
🚀 «АКАДЕМІЇ ПРИВАТНОСТІ» (BY PRIVACY HUB) БУТИ!
Початок повномасштабного вторгнення РФ в Україну вніс свої корективи у життя кожного з нас. Проєкти нашої команди також були призупинені, але лише тимчасово.
Умови воєнного стану вкотре довели, наскільки важливим є захист персональних даних не тільки для захисту приватності, але й для збереження життя українців.
Окрім цього, ми натхнені наданням Україні статусу кандидата на вступ до ЄС, що має прискорити адаптацію українського законодавства у сфері захисту персональних даних до стандартів ЄС та Ради Європи.
Тож, Privacy HUB з новими силами і з урахуванням умов війни поновлює підготовку до Освітнього табору “Академія приватності”, який ми раніше анонсували на каналі.
❓Що це буде?
Наша команда реалізує Освітній табір «Академія приватності» за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.
«Академія приватності» – це 5-ти денний табір для викладачів ЗВО з усієї України, метою якого є розробка стандартів викладання та навчальної програми (силабусу) із курсу захисту персональних даних для студентів у сфері права, кібербезпеки, охорони здоров’я, медіа та реклами.
Менторами у цьому процесі будуть виступати українські та міжнародні експерти із захисту персональних даних, які допоможуть поглибити знання викладачів, створити силабус, а у подальшому сприятимуть широкому впровадженню курсу у навчальний процес.
❓ Коли?
12-16 жовтня 2022 року
❓ У якому форматі?
«Академія приватності» буде проводитися у змішаному форматі: офлайн у Києві та онлайн. Про місце проведення ми додатково повідомимо ближче до заходу.
❓ Як взяти участь?
Викладачам ЗВО потрібно заповнити анкету та очікувати, коли ми зв’яжемося з ними.
❓ Чи платна участь?
Участь безкоштовна. Питання щодо забезпечення проживання у м. Києві може вирішуватися окремо з кожним учасником.
❓ Куди звернутися з питаннями щодо участі?
Будь-які питання можна адресувати на електронну адресу board@privacyhub.today.
Слідкуйте за реалізацією проєкту у рубриці #Академія_приватності.
💙💛 Все буде Україна!
🚀 «АКАДЕМІЇ ПРИВАТНОСТІ» (BY PRIVACY HUB) БУТИ!
Початок повномасштабного вторгнення РФ в Україну вніс свої корективи у життя кожного з нас. Проєкти нашої команди також були призупинені, але лише тимчасово.
Умови воєнного стану вкотре довели, наскільки важливим є захист персональних даних не тільки для захисту приватності, але й для збереження життя українців.
Окрім цього, ми натхнені наданням Україні статусу кандидата на вступ до ЄС, що має прискорити адаптацію українського законодавства у сфері захисту персональних даних до стандартів ЄС та Ради Європи.
Тож, Privacy HUB з новими силами і з урахуванням умов війни поновлює підготовку до Освітнього табору “Академія приватності”, який ми раніше анонсували на каналі.
❓Що це буде?
Наша команда реалізує Освітній табір «Академія приватності» за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.
«Академія приватності» – це 5-ти денний табір для викладачів ЗВО з усієї України, метою якого є розробка стандартів викладання та навчальної програми (силабусу) із курсу захисту персональних даних для студентів у сфері права, кібербезпеки, охорони здоров’я, медіа та реклами.
Менторами у цьому процесі будуть виступати українські та міжнародні експерти із захисту персональних даних, які допоможуть поглибити знання викладачів, створити силабус, а у подальшому сприятимуть широкому впровадженню курсу у навчальний процес.
❓ Коли?
12-16 жовтня 2022 року
❓ У якому форматі?
«Академія приватності» буде проводитися у змішаному форматі: офлайн у Києві та онлайн. Про місце проведення ми додатково повідомимо ближче до заходу.
❓ Як взяти участь?
Викладачам ЗВО потрібно заповнити анкету та очікувати, коли ми зв’яжемося з ними.
❓ Чи платна участь?
Участь безкоштовна. Питання щодо забезпечення проживання у м. Києві може вирішуватися окремо з кожним учасником.
❓ Куди звернутися з питаннями щодо участі?
Будь-які питання можна адресувати на електронну адресу board@privacyhub.today.
Слідкуйте за реалізацією проєкту у рубриці #Академія_приватності.
💙💛 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [01.08 — 7.08]
① Суд Європейського Союзу виніс рішення, яке роз’яснює, як непряме розкриття даних про сексуальну орієнтацію захищено статтею 9 GDPR. Суд пояснив, що таке розкриття даних підпадає під спеціальні категорії персональних даних у статті 9. Рішення може створити прецедент для тлумачення законної обробки спеціальних категорій даних органами та компаніями із захисту даних. Як зазначено в рішенні «Суд вважає, що з конкретних іменних даних, що стосуються подружжя, співмешканця або партнера заявника, можна вивести певну інформацію щодо статевого життя чи сексуальної орієнтації заявника та його дружини, співмешканця чи партнера.» (параграф 119).
➁ Регулятор Франції створив інструменти, які допомагають професійним спортивним командам дотримуватися правил захисту даних. Посібник із самооцінки допомагає організаціям вивчити правила обробки даних співробітників і волонтерів для дотримання законодавства. Він пропонує довідник щодо основних понять, зокрема персональних даних, обробки даних і цілей, представлених у контексті спорту.
➂ Європейська рада із захисту даних прийняла Висновок 17/2022 щодо проекту рішення іспанського наглядового органу щодо обов’язкових корпоративних правил контролера ANTOLIN Group
➃ Регулятор Нижньої Саксонії оштрафував неназваний банк на суму 900 000 євро за ймовірне порушення GDPR. Компанія нібито аналізувала дані нинішніх і колишніх клієнтів без їхньої згоди. Було також розглянуто онлайн поведінку клієнтів, загальну кількість онлайн-банківських переказів. Ругулятор постановив, що така обробка не може ґрунтуватися на законному інтересі згідно зі статтею 6(1)(f). Штраф не остаточний.
➄ Гіганту рекламних технологій Criteo загрожує штраф у розмірі 60 мільйонів євро у Франції за порушення GDPR.
➅ Регулятор Австрії наказав банку видалити копію водійського посвідчення, яке він зберіг для дотримання Закону про відмивання грошей; банк не був зобов'язаний перевіряти особу суб'єкта даних згідно із законом.
➆ Регулятор Бельгії постановив, що обговорення персональних даних суб’єкта даних, пов’язаних зі здоров’ям, на нараді персоналу, де вона була відсутня, і включення даних до протоколу наради було несумісним з метою початкової обробки (управління персоналом) і не мало підстав для обробки.
➇ Регулятор Бельгії постановив, що контролер може покладатися на законний інтерес як правову основу для надсилання колишнім клієнтам повідомлень прямого маркетингу, якщо відносини закінчилися «не так давно» і суб’єкт даних не заперечував проти такої обробки.
➈ Адміністративний суд Франкфурта постановив, що німецька влада не зобов’язана використовувати наскрізне шифрування під час спілкування з постачальником зброї; транспортне шифрування (TLS) було сумісним із необхідним рівнем захисту даних.
➉ Італійський DPA наказав Google деіндексувати статтю про кримінальне розслідування щодо суб’єкта даних, оскільки відсутній суспільний інтерес до новини, незважаючи на те, що стаття була точною та актуальною.
🆕 НОВИНИ ТИЖНЯ [01.08 — 7.08]
① Суд Європейського Союзу виніс рішення, яке роз’яснює, як непряме розкриття даних про сексуальну орієнтацію захищено статтею 9 GDPR. Суд пояснив, що таке розкриття даних підпадає під спеціальні категорії персональних даних у статті 9. Рішення може створити прецедент для тлумачення законної обробки спеціальних категорій даних органами та компаніями із захисту даних. Як зазначено в рішенні «Суд вважає, що з конкретних іменних даних, що стосуються подружжя, співмешканця або партнера заявника, можна вивести певну інформацію щодо статевого життя чи сексуальної орієнтації заявника та його дружини, співмешканця чи партнера.» (параграф 119).
➁ Регулятор Франції створив інструменти, які допомагають професійним спортивним командам дотримуватися правил захисту даних. Посібник із самооцінки допомагає організаціям вивчити правила обробки даних співробітників і волонтерів для дотримання законодавства. Він пропонує довідник щодо основних понять, зокрема персональних даних, обробки даних і цілей, представлених у контексті спорту.
➂ Європейська рада із захисту даних прийняла Висновок 17/2022 щодо проекту рішення іспанського наглядового органу щодо обов’язкових корпоративних правил контролера ANTOLIN Group
➃ Регулятор Нижньої Саксонії оштрафував неназваний банк на суму 900 000 євро за ймовірне порушення GDPR. Компанія нібито аналізувала дані нинішніх і колишніх клієнтів без їхньої згоди. Було також розглянуто онлайн поведінку клієнтів, загальну кількість онлайн-банківських переказів. Ругулятор постановив, що така обробка не може ґрунтуватися на законному інтересі згідно зі статтею 6(1)(f). Штраф не остаточний.
➄ Гіганту рекламних технологій Criteo загрожує штраф у розмірі 60 мільйонів євро у Франції за порушення GDPR.
➅ Регулятор Австрії наказав банку видалити копію водійського посвідчення, яке він зберіг для дотримання Закону про відмивання грошей; банк не був зобов'язаний перевіряти особу суб'єкта даних згідно із законом.
➆ Регулятор Бельгії постановив, що обговорення персональних даних суб’єкта даних, пов’язаних зі здоров’ям, на нараді персоналу, де вона була відсутня, і включення даних до протоколу наради було несумісним з метою початкової обробки (управління персоналом) і не мало підстав для обробки.
➇ Регулятор Бельгії постановив, що контролер може покладатися на законний інтерес як правову основу для надсилання колишнім клієнтам повідомлень прямого маркетингу, якщо відносини закінчилися «не так давно» і суб’єкт даних не заперечував проти такої обробки.
➈ Адміністративний суд Франкфурта постановив, що німецька влада не зобов’язана використовувати наскрізне шифрування під час спілкування з постачальником зброї; транспортне шифрування (TLS) було сумісним із необхідним рівнем захисту даних.
➉ Італійський DPA наказав Google деіндексувати статтю про кримінальне розслідування щодо суб’єкта даних, оскільки відсутній суспільний інтерес до новини, незважаючи на те, що стаття була точною та актуальною.
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [08.08 — 14.08]
① Австрійська ГО «NOYB» подала 226 скарг щодо порушень GDPR до 18 регуляторів ЄЕС проти веб-сайтів, які використовують популярне програмне забезпечення OneTrust для банерів cookie із оманливими налаштуваннями.
➁ Європейський інспектор із захисту даних (EDPS) опублікував висновок щодо рекомендації до рішення Європейської Ради, що дозволяє розпочати переговори про включення положень про транскордонні потоки даних до Угоди між Європейським Союзом та Японією про економічне партнерство
➂ EDPS опублікував висновок щодо пропозиції до регламенту про перетворення мережі даних бухгалтерського обліку ферм у мережу даних сталого розвитку ферм (FSDN)
➃ Google погодився виплатити штраф у розмірі 60 мільйонів австралійських доларів Комісії з питань конкуренції та захисту прав споживачів Австралії. Федеральний суд визнав, що Google ввів в оману австралійських споживачів, переконавши, що компанія не збирає дані про їх місцезнаходження за допомогою пристроїв Android
➄ Управління Уповноваженого з питань приватності Канади оприлюднило результати свого піврічного опитування щодо практики приватності та заходів комплаєнсу в організаціях. Опитування 751 компанії показало, що 59% респондентів мають повідомлення про приватність, що на 6% менше, ніж у попередньому опитуванні в 2019 році. Відсоток компаній, які застосовують більшість вимог дотримання приватності, також знизився з 62% до 57%, тоді як 86 % компаній заявили, що знають свої зобов’язання згідно з канадським законодавством про приватність. Крім того, 90% компаній зазначили, що не переживали порушень захисту даних.
➅ Регулятор Словенії створив інфографіку, щоб допомогти контролерам даних проводити оцінку впливу на захист даних.
➆ Регуляторний телекомунікаційний орган Індії опублікував консультаційний документ під назвою «Використання штучного інтелекту та великих даних у телекомунікаційному секторі». У документі пропонуються потенційні можливості використання штучного інтелекту та великих даних у таких сферах, як якість обслуговування, керування спектром і безпека мережі, а також наводяться приклади операторів зв’язку, які вже використовують ці технології. У документі також розглядалися ризики, пов’язані з впровадженням штучного інтелекту та великих даних, включаючи неетичне використання, упередження даних і алгоритмів, а також проблеми приватності
➇ Апеляційний суд Арнем-Леувардена постановив, що подання звіту, що містить персональні дані третіх сторін, під час судового розгляду не є порушенням GDPR, оскільки контролер повинен був зробити це відповідно до статті 6(1)(c) GDPR (обробка необхідна для дотримання юридичних зобов’язань)
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [08.08 — 14.08]
① Австрійська ГО «NOYB» подала 226 скарг щодо порушень GDPR до 18 регуляторів ЄЕС проти веб-сайтів, які використовують популярне програмне забезпечення OneTrust для банерів cookie із оманливими налаштуваннями.
➁ Європейський інспектор із захисту даних (EDPS) опублікував висновок щодо рекомендації до рішення Європейської Ради, що дозволяє розпочати переговори про включення положень про транскордонні потоки даних до Угоди між Європейським Союзом та Японією про економічне партнерство
➂ EDPS опублікував висновок щодо пропозиції до регламенту про перетворення мережі даних бухгалтерського обліку ферм у мережу даних сталого розвитку ферм (FSDN)
➃ Google погодився виплатити штраф у розмірі 60 мільйонів австралійських доларів Комісії з питань конкуренції та захисту прав споживачів Австралії. Федеральний суд визнав, що Google ввів в оману австралійських споживачів, переконавши, що компанія не збирає дані про їх місцезнаходження за допомогою пристроїв Android
➄ Управління Уповноваженого з питань приватності Канади оприлюднило результати свого піврічного опитування щодо практики приватності та заходів комплаєнсу в організаціях. Опитування 751 компанії показало, що 59% респондентів мають повідомлення про приватність, що на 6% менше, ніж у попередньому опитуванні в 2019 році. Відсоток компаній, які застосовують більшість вимог дотримання приватності, також знизився з 62% до 57%, тоді як 86 % компаній заявили, що знають свої зобов’язання згідно з канадським законодавством про приватність. Крім того, 90% компаній зазначили, що не переживали порушень захисту даних.
➅ Регулятор Словенії створив інфографіку, щоб допомогти контролерам даних проводити оцінку впливу на захист даних.
➆ Регуляторний телекомунікаційний орган Індії опублікував консультаційний документ під назвою «Використання штучного інтелекту та великих даних у телекомунікаційному секторі». У документі пропонуються потенційні можливості використання штучного інтелекту та великих даних у таких сферах, як якість обслуговування, керування спектром і безпека мережі, а також наводяться приклади операторів зв’язку, які вже використовують ці технології. У документі також розглядалися ризики, пов’язані з впровадженням штучного інтелекту та великих даних, включаючи неетичне використання, упередження даних і алгоритмів, а також проблеми приватності
➇ Апеляційний суд Арнем-Леувардена постановив, що подання звіту, що містить персональні дані третіх сторін, під час судового розгляду не є порушенням GDPR, оскільки контролер повинен був зробити це відповідно до статті 6(1)(c) GDPR (обробка необхідна для дотримання юридичних зобов’язань)
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [15.08 — 21.08]
① Верховна Рада України вдруге провалила прийняття Закону про захист персональних даних у першому читанні. За проголосувало 212 народних обранців з 226 необхідних. Автори пообіцяли подати законопроект знову.
➁ В мережі інтернет з´явилися повідомлення про злом офіційного сайту адміністрації Кривого Рогу (kr.gov.ua), в ході якого було злито у відкритий доступ файл із 342,294 рядками, які містять ПІБ та телефони громадян. Загалом у файлі 227,220 унікальних номерів телефонів. На жаль, офіційних коментарів з цього приводу немає.
➂ Орган із захисту даних Латвії, Державна інспекція даних, опублікував допис у блозі, у якому пояснюється роль офіцеру із захисту даних.
➃ Управління комісара з питань інформації Великобританії випустило шість кроків для малого бізнесу, які отримують скарги від суб´єктів персональних даних.
➄ Національна комісія із захисту даних Люксембургу надіслала нагадування муніципалітетам щодо вимог до офіцеру із захисту даних (DPO) відповідно до GDPR. Регулятор виявив, що «деякі муніципалітети ще не виконали» зобов’язання по DPO, і почала інформувати їх про необхідність узгодження зі статтею 37.1(a) GDPR. Муніципалітети також повинні будуть надати контактну інформацію своїх DPO до регулятора після призначення.
➅ Регулятор Данії підтримав заборону на використання Google Workspace муніципалітетом Гельсінгера.
➆ Закупівельна палата землі Баден-Вюртемберг постановила, що компанію необхідно виключити з процедури публічних закупівель, оскільки її пропозиція порушує GDPR. Це пояснюється тим, що дотримання законодавства про захист даних було вимогою тендеру. Палата постановила, що пропозиція містила незаконну передачу даних клієнтів третій країні (їхній материнській компанії, розташованій у США), оскільки до них могла отримати доступ материнська компанія.
➇ Грецький регулятор частково скасував своє попереднє рішення та зменшив штраф з 20 000 євро до 5 000 євро для компанії, яка продає спортивний одяг, у світлі нових доказів того, що порушення права на заперечення було наслідком ізольованої помилки, а не зловмисного наміру. Перш за все, DPA погодився, що порушення, схоже, було спричинене недбалістю контролера (окрема помилка), а не злим умислом. По-друге, було виявлено, що контролер запровадив і дотримувався відповідних процедур для забезпечення правильного імплементування права на заперечення (стаття 21 GDPR) і права на видалення (стаття 17 GDPR) суб’єктів даних.
➈ Норвезький регулятор оштрафував компанію з управління майном на 30 500 євро за два незаконні кредитні рейтинги, що є порушенням статті 6(1)(f) GDPR, двом особам, з якими вона не мала стосунків, але з якими пов’язана компанія мала спір.
➉ Датський регулятор запропонував оштрафувати муніципалітет у розмірі 6700 євро за те, що останній не перешкоджав своїм службовцям вручну вимикати коди доступу на своїх мобільних телефонах, які містили персональні дані громадян, таким чином наражаючи їх на непотрібний ризик.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [15.08 — 21.08]
① Верховна Рада України вдруге провалила прийняття Закону про захист персональних даних у першому читанні. За проголосувало 212 народних обранців з 226 необхідних. Автори пообіцяли подати законопроект знову.
➁ В мережі інтернет з´явилися повідомлення про злом офіційного сайту адміністрації Кривого Рогу (kr.gov.ua), в ході якого було злито у відкритий доступ файл із 342,294 рядками, які містять ПІБ та телефони громадян. Загалом у файлі 227,220 унікальних номерів телефонів. На жаль, офіційних коментарів з цього приводу немає.
➂ Орган із захисту даних Латвії, Державна інспекція даних, опублікував допис у блозі, у якому пояснюється роль офіцеру із захисту даних.
➃ Управління комісара з питань інформації Великобританії випустило шість кроків для малого бізнесу, які отримують скарги від суб´єктів персональних даних.
➄ Національна комісія із захисту даних Люксембургу надіслала нагадування муніципалітетам щодо вимог до офіцеру із захисту даних (DPO) відповідно до GDPR. Регулятор виявив, що «деякі муніципалітети ще не виконали» зобов’язання по DPO, і почала інформувати їх про необхідність узгодження зі статтею 37.1(a) GDPR. Муніципалітети також повинні будуть надати контактну інформацію своїх DPO до регулятора після призначення.
➅ Регулятор Данії підтримав заборону на використання Google Workspace муніципалітетом Гельсінгера.
➆ Закупівельна палата землі Баден-Вюртемберг постановила, що компанію необхідно виключити з процедури публічних закупівель, оскільки її пропозиція порушує GDPR. Це пояснюється тим, що дотримання законодавства про захист даних було вимогою тендеру. Палата постановила, що пропозиція містила незаконну передачу даних клієнтів третій країні (їхній материнській компанії, розташованій у США), оскільки до них могла отримати доступ материнська компанія.
➇ Грецький регулятор частково скасував своє попереднє рішення та зменшив штраф з 20 000 євро до 5 000 євро для компанії, яка продає спортивний одяг, у світлі нових доказів того, що порушення права на заперечення було наслідком ізольованої помилки, а не зловмисного наміру. Перш за все, DPA погодився, що порушення, схоже, було спричинене недбалістю контролера (окрема помилка), а не злим умислом. По-друге, було виявлено, що контролер запровадив і дотримувався відповідних процедур для забезпечення правильного імплементування права на заперечення (стаття 21 GDPR) і права на видалення (стаття 17 GDPR) суб’єктів даних.
➈ Норвезький регулятор оштрафував компанію з управління майном на 30 500 євро за два незаконні кредитні рейтинги, що є порушенням статті 6(1)(f) GDPR, двом особам, з якими вона не мала стосунків, але з якими пов’язана компанія мала спір.
➉ Датський регулятор запропонував оштрафувати муніципалітет у розмірі 6700 євро за те, що останній не перешкоджав своїм службовцям вручну вимикати коди доступу на своїх мобільних телефонах, які містили персональні дані громадян, таким чином наражаючи їх на непотрібний ризик.
🇺🇦 Все буде Україна!
#Аналітика
🔬 ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
Регулятор Британії (ICO) випустив інструкцію для малого бізнесу, що робити зі скаргою від суб'єкта персональних даних. Інструкція містить шість кроків:
1. Підтвердіть отримання скарги
Відповідайте якнайшвидше, щоб повідомити споживачу, що ви отримали його скаргу щодо захисту даних і розглядаєте її. Ваша відповідь має містити інформацію про те, що ви будете робити на кожному етапі. Повідомте, коли споживач може очікувати від вас додаткову інформацію, а також надайте актуальну контактну інформацію. Наприклад, ви можете надіслати посилання на вашу процедуру розгляду скарг, якщо вона у вас є. Відповідна процедура подання скарг може містити інформацію про те, як люди можуть подавати скарги щодо захисту даних, як ви їх розглядатимете та скільки часу це займе.
У разі необхідності ви також повинні перевірити, чи надійшла скарга від уповноваженої особи. Це може бути, якщо третя сторона подала скаргу від імені особи, дані якої ви обробляєте. Ви повинні перевірити, чи мають вони право отримувати інформацію про те, як оброблялися персональні дані.
2. З’ясуйте, що пішло не так
Ви повинні розглядати будь-які скарги щодо захисту даних якомога швидше. Почніть зі збору якомога більше інформації. Вам необхідно якомога ретельніше, об’єктивніше та точніше встановити всі відповідні факти. Якщо необхідно, попросіть свого клієнта надати додаткову інформацію. Переконайтеся, що ви перевірили всі деталі скарги на інформацію, яку ви маєте. Чим краще ви розумієте проблему, тим краще у вас буде можливість її вирішити.
3. Надавайте регулярні оновлення щодо скарги
Якщо розгляд скарги, ймовірно, займе деякий час, надайте додаткову відповідь після першої. Проінформуйте суб'єкта, що ви працюєте над вирішенням проблеми. По можливості використовуйте зрозумілу мову, а не жаргон чи юридичні терміни. Чітке інформування людей допомагає зміцнити довіру, і все пройде легко, якщо кожен знає, чого очікувати.
4. Фіксуйте ваші дії
Запишіть дату отримання скарги щодо захисту даних і дату, коли потрібно відповісти. Зберігайте деталі будь-яких пов’язаних розмов і копії всіх відповідних документів від початку до кінця, включно з причинами прийнятих вами рішень і будь-якими вжитими або невжитими діями. Це також надасть докази того, що ви зробили.
5. Відповідайте на скаргу
Завершивши розгляд скарги, повідомте людині про результати. Чітко поясніть, що ви зробили для вирішення скарги щодо захисту даних, і про будь-які дії, які ви вжили в результаті. Включіть достатньо інформації, щоб допомогти зрозуміти, як ви дійшли висновку. Може бути корисно структурно виділити окремі пункти скарги та відповісти на кожен з них, надавши відповідні докази, де це можливо.
Ви також повинні повідомити скаржника, що він має право поскаржитися до регулятора. Дотримуйтеся чіткої, конкретної та прямолінійної мови. Це допоможе донести ваше повідомлення до людини та уникнути будь-яких можливих непорозумінь. Надайте контактні дані, щоб вам можна було поставити додаткові запитання, якщо це необхідно.
6. Засвойте отримані уроки
Після того, як ви відповіли скаржнику, скористайтеся можливістю переглянути та оцінити, що сталося. Подумайте, чи можна чогось навчитися або вдосконалитися, щоб запобігти майбутнім скаргам. Якщо хтось скаже вам, що подає скаргу регулятору, вам не потрібно повідомляти регулятора. Регулятор сам зв’яжеться, якщо йому знадобиться додаткова інформація.
🇺🇦 Все буде Україна! Наближаємо нашу Перемогу!
_________
ℹ️ Джерела:
🔹Інструкція ICO
🔬 ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
Регулятор Британії (ICO) випустив інструкцію для малого бізнесу, що робити зі скаргою від суб'єкта персональних даних. Інструкція містить шість кроків:
1. Підтвердіть отримання скарги
Відповідайте якнайшвидше, щоб повідомити споживачу, що ви отримали його скаргу щодо захисту даних і розглядаєте її. Ваша відповідь має містити інформацію про те, що ви будете робити на кожному етапі. Повідомте, коли споживач може очікувати від вас додаткову інформацію, а також надайте актуальну контактну інформацію. Наприклад, ви можете надіслати посилання на вашу процедуру розгляду скарг, якщо вона у вас є. Відповідна процедура подання скарг може містити інформацію про те, як люди можуть подавати скарги щодо захисту даних, як ви їх розглядатимете та скільки часу це займе.
У разі необхідності ви також повинні перевірити, чи надійшла скарга від уповноваженої особи. Це може бути, якщо третя сторона подала скаргу від імені особи, дані якої ви обробляєте. Ви повинні перевірити, чи мають вони право отримувати інформацію про те, як оброблялися персональні дані.
2. З’ясуйте, що пішло не так
Ви повинні розглядати будь-які скарги щодо захисту даних якомога швидше. Почніть зі збору якомога більше інформації. Вам необхідно якомога ретельніше, об’єктивніше та точніше встановити всі відповідні факти. Якщо необхідно, попросіть свого клієнта надати додаткову інформацію. Переконайтеся, що ви перевірили всі деталі скарги на інформацію, яку ви маєте. Чим краще ви розумієте проблему, тим краще у вас буде можливість її вирішити.
3. Надавайте регулярні оновлення щодо скарги
Якщо розгляд скарги, ймовірно, займе деякий час, надайте додаткову відповідь після першої. Проінформуйте суб'єкта, що ви працюєте над вирішенням проблеми. По можливості використовуйте зрозумілу мову, а не жаргон чи юридичні терміни. Чітке інформування людей допомагає зміцнити довіру, і все пройде легко, якщо кожен знає, чого очікувати.
4. Фіксуйте ваші дії
Запишіть дату отримання скарги щодо захисту даних і дату, коли потрібно відповісти. Зберігайте деталі будь-яких пов’язаних розмов і копії всіх відповідних документів від початку до кінця, включно з причинами прийнятих вами рішень і будь-якими вжитими або невжитими діями. Це також надасть докази того, що ви зробили.
5. Відповідайте на скаргу
Завершивши розгляд скарги, повідомте людині про результати. Чітко поясніть, що ви зробили для вирішення скарги щодо захисту даних, і про будь-які дії, які ви вжили в результаті. Включіть достатньо інформації, щоб допомогти зрозуміти, як ви дійшли висновку. Може бути корисно структурно виділити окремі пункти скарги та відповісти на кожен з них, надавши відповідні докази, де це можливо.
Ви також повинні повідомити скаржника, що він має право поскаржитися до регулятора. Дотримуйтеся чіткої, конкретної та прямолінійної мови. Це допоможе донести ваше повідомлення до людини та уникнути будь-яких можливих непорозумінь. Надайте контактні дані, щоб вам можна було поставити додаткові запитання, якщо це необхідно.
6. Засвойте отримані уроки
Після того, як ви відповіли скаржнику, скористайтеся можливістю переглянути та оцінити, що сталося. Подумайте, чи можна чогось навчитися або вдосконалитися, щоб запобігти майбутнім скаргам. Якщо хтось скаже вам, що подає скаргу регулятору, вам не потрібно повідомляти регулятора. Регулятор сам зв’яжеться, якщо йому знадобиться додаткова інформація.
🇺🇦 Все буде Україна! Наближаємо нашу Перемогу!
_________
ℹ️ Джерела:
🔹Інструкція ICO
#Інформаційна_безпека
🛡 АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Як пам’ятаємо, WP29 випустили найсвіжіший гайд з анонімізації, з best practices та рекомендаціями, ще далекого 2014 року. Здавалося б, за 8 років мав відбутися цілий технологічний прорив. Направду ж – ніт, але давайте подивимося ближче.
❓Чи з’явилися нові техніки анонімізації?
За нашим скромним дослідженням, зовсім нових технік серед best practices не згадують.
Техніки, рекомендовані WP29, і зараз залишаються базовими та найбільш поширеними. Безперечно, ці методи ускладнюють та часто комбінують по-різному, однак основа – це k-анонімність, l-урізноманітнення, Т-наближення, диференційована приватність.
❓Чи є нові напрямки розвитку анонімізації?
Звичайно, їх безліч. З найбільш практичних проблем:
🔹Приватність груп користувачів: Більшість наявних підходів зосереджені виключно на приватності окремої особи. Наприклад, модель k-анонімності створює класи з k-користувачами в кожному класі. З одного боку, цей підхід ховає кожного користувача в натовпі інших k-користувачів. З іншого боку, він явно розкриває інформацію про групи користувачів.
🔹 Втрата інформації через надмірне узагальнення: Більшість підходів анонімізують кожен параметр у наборі даних або питому частину. Оскільки деякі параметри не є вразливими з точки зору приватності, їхнє узагальнення значно впливає на корисність даних.
🔹Вибіркова анонімізація: У кожної людини різні вимоги та занепокоєння щодо приватності. Наприклад, у соціальній мережі деякі користувачі хочуть приховати лише інформацію про стосунки (тобто коханця), тоді як деякі користувачі можуть захотіти приховати всю інформацію про соціальні зв’язки (тобто всіх друзів). І тут ми говоримо не просто приховати від загалу, але й від контролера, процесорів тощо.
🔹Анонімізація незбалансованих наборів даних: У деяких випадках розподіл значень у наборі даних є нерівномірним, і його анонімізація є дуже складною. У таких наборах даних застосування жорстких обмежень, таких як створення кожного класу l- різноманітним або t-близьким, на практиці неможливе.
❓Чи очікувати технологічного прориву?
You never know, але навряд.
По-перше, у перегонах озброєнь між анонімізацією і повторною ідентифікацією реідентифікатори постійно переважають. У публічному доступі можна віднайти дуже багато ключів до дешифрації даних, та й ніхто не скасовував хакерів.
По-друге, давайте дивитися правді в очі. Повна анонімізація майже не несе практичної цінності. Якщо повністю почистити ваші набори даних, ви зможете їх використати лише для статистики в дуже обмеженому вигляді. Відповідно, немає сенсу розробляти такі всеохоплюючі технології анонімізації, хіба якщо це ваше хобі.
🤔То що робити
Прийняти концепцію анонімізації такою, як є, та оцінити вже розроблені підходи❤️🩹
Не забувайте, що ваша мета не просто анонімізувати, а досягти компромісу між приватністю та цілями обробки. Комплексу різних PET та організаційних заходів на практиці цілком достатньо. Вірте в себе та ваших СТО.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Стаття 1: Узагальнююче дослідження технік анонімізації
🔹Стаття 2: Дослідження окремих способів анонімізації
🔹Стаття 3: Анонімізація неструктурованих даних
🔹Книга BROKEN PROMISES OF PRIVACY: RESPONDING TO THE SURPRISING FAILURE OF ANONYMIZATION, Paul Ohm
🛡 АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Як пам’ятаємо, WP29 випустили найсвіжіший гайд з анонімізації, з best practices та рекомендаціями, ще далекого 2014 року. Здавалося б, за 8 років мав відбутися цілий технологічний прорив. Направду ж – ніт, але давайте подивимося ближче.
❓Чи з’явилися нові техніки анонімізації?
За нашим скромним дослідженням, зовсім нових технік серед best practices не згадують.
Техніки, рекомендовані WP29, і зараз залишаються базовими та найбільш поширеними. Безперечно, ці методи ускладнюють та часто комбінують по-різному, однак основа – це k-анонімність, l-урізноманітнення, Т-наближення, диференційована приватність.
❓Чи є нові напрямки розвитку анонімізації?
Звичайно, їх безліч. З найбільш практичних проблем:
🔹Приватність груп користувачів: Більшість наявних підходів зосереджені виключно на приватності окремої особи. Наприклад, модель k-анонімності створює класи з k-користувачами в кожному класі. З одного боку, цей підхід ховає кожного користувача в натовпі інших k-користувачів. З іншого боку, він явно розкриває інформацію про групи користувачів.
🔹 Втрата інформації через надмірне узагальнення: Більшість підходів анонімізують кожен параметр у наборі даних або питому частину. Оскільки деякі параметри не є вразливими з точки зору приватності, їхнє узагальнення значно впливає на корисність даних.
🔹Вибіркова анонімізація: У кожної людини різні вимоги та занепокоєння щодо приватності. Наприклад, у соціальній мережі деякі користувачі хочуть приховати лише інформацію про стосунки (тобто коханця), тоді як деякі користувачі можуть захотіти приховати всю інформацію про соціальні зв’язки (тобто всіх друзів). І тут ми говоримо не просто приховати від загалу, але й від контролера, процесорів тощо.
🔹Анонімізація незбалансованих наборів даних: У деяких випадках розподіл значень у наборі даних є нерівномірним, і його анонімізація є дуже складною. У таких наборах даних застосування жорстких обмежень, таких як створення кожного класу l- різноманітним або t-близьким, на практиці неможливе.
❓Чи очікувати технологічного прориву?
You never know, але навряд.
По-перше, у перегонах озброєнь між анонімізацією і повторною ідентифікацією реідентифікатори постійно переважають. У публічному доступі можна віднайти дуже багато ключів до дешифрації даних, та й ніхто не скасовував хакерів.
По-друге, давайте дивитися правді в очі. Повна анонімізація майже не несе практичної цінності. Якщо повністю почистити ваші набори даних, ви зможете їх використати лише для статистики в дуже обмеженому вигляді. Відповідно, немає сенсу розробляти такі всеохоплюючі технології анонімізації, хіба якщо це ваше хобі.
🤔То що робити
Прийняти концепцію анонімізації такою, як є, та оцінити вже розроблені підходи❤️🩹
Не забувайте, що ваша мета не просто анонімізувати, а досягти компромісу між приватністю та цілями обробки. Комплексу різних PET та організаційних заходів на практиці цілком достатньо. Вірте в себе та ваших СТО.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Стаття 1: Узагальнююче дослідження технік анонімізації
🔹Стаття 2: Дослідження окремих способів анонімізації
🔹Стаття 3: Анонімізація неструктурованих даних
🔹Книга BROKEN PROMISES OF PRIVACY: RESPONDING TO THE SURPRISING FAILURE OF ANONYMIZATION, Paul Ohm
#Санкції
💶 ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
Профілювання користувача використовується як основа для створення та подальшого показу персоналізованої реклами. Більшість користувачів навіть не підозрюють про гігабайти даних, які компанії збирають про них та їхню цифрову активність.
Відповідно до GDPR, правовою підставою обробки даних для профілювання має бути явна згода суб'єкта, тобто користувача. Але компанії продовжують нехтувати цією нормою заради жаданого прибутку від реклами, чим накликають на себе не тільки гнів регуляторів, але й великі штрафи.
❓Що сталося?
Німецький банк Hannoversche Volksbank теж марив новими можливостями, які надасть персоналізована реклама.
Він аналізував та оцінював дані поточних та колишніх клієнтів без їхньої згоди: обсяг покупок через застосунки, частоту використання принтеру для друку виписок, загальну суму переказів у онлайн-банкінгу порівняно зі здійсненням операцій у відділеннях тощо.
Додатково було залучено ще стороннього постачальника послуг. Крім того, результати аналізу порівнювалися з даними кредитної агенції та збагачувалися на їх основі.
Мета – виявити клієнтів, які є прихильниками електронного зв'язку, та звертатися до них електронними каналами в договірних або рекламних цілях. Більшості клієнтів інформація про обробку була надіслана заздалегідь разом з іншими документами. Однак це не замінило необхідної згоди.
❓Що було порушено?
Банк посилався на легітимний інтерес відповідно до статті 6(1)(f) GDPR. Однак ця правова підстава не дозволяє здійснювати профілювання в рекламних цілях шляхом оцінки великих масивів даних. Проведена банком оцінка балансу інтересів не відповідає вимогам. Обробка даних була незаконною.
❓Який штраф?
Державна уповноважена із захисту даних (LfD) Нижньої Саксонії оштрафувала Hannoversche Volksbank на €900,000 та змусила їхніх маркетологів спуститися з небес на землю.
При призначенні штрафу було взято до уваги, що результати оцінок не були використані. Крім того, компанія виявила готовність до співпраці.
🏆 ВИСНОВКИ
Разом з регулятором нагадуємо про баланс інтересів та розумні очікування суб'єктів.
Справді, звернення до (потенційних) клієнтів із рекламою відповідає інтересам контролера. Однак цей інтерес є менш важливим. У суб'єктів даних повинна бути можливість заперечення (яку не потрібно обґрунтовувати). Інтереси суб'єктів превалюють.
При зважуванні інтересів потрібно брати до уваги також розумні очікування клієнтів. Тому в таких випадках контролери даних не можуть посилатися на баланс інтересів і натомість мають отримати згоду.
Оскільки дані з різних сфер життя можна зв'язати між собою, залучення зовнішніх агентств дозволяє створювати більш точні профілі. Клієнти не можуть очікувати такого, тому для залучення також необхідно отримати згоду.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Пресреліз
💶 ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
Профілювання користувача використовується як основа для створення та подальшого показу персоналізованої реклами. Більшість користувачів навіть не підозрюють про гігабайти даних, які компанії збирають про них та їхню цифрову активність.
Відповідно до GDPR, правовою підставою обробки даних для профілювання має бути явна згода суб'єкта, тобто користувача. Але компанії продовжують нехтувати цією нормою заради жаданого прибутку від реклами, чим накликають на себе не тільки гнів регуляторів, але й великі штрафи.
❓Що сталося?
Німецький банк Hannoversche Volksbank теж марив новими можливостями, які надасть персоналізована реклама.
Він аналізував та оцінював дані поточних та колишніх клієнтів без їхньої згоди: обсяг покупок через застосунки, частоту використання принтеру для друку виписок, загальну суму переказів у онлайн-банкінгу порівняно зі здійсненням операцій у відділеннях тощо.
Додатково було залучено ще стороннього постачальника послуг. Крім того, результати аналізу порівнювалися з даними кредитної агенції та збагачувалися на їх основі.
Мета – виявити клієнтів, які є прихильниками електронного зв'язку, та звертатися до них електронними каналами в договірних або рекламних цілях. Більшості клієнтів інформація про обробку була надіслана заздалегідь разом з іншими документами. Однак це не замінило необхідної згоди.
❓Що було порушено?
Банк посилався на легітимний інтерес відповідно до статті 6(1)(f) GDPR. Однак ця правова підстава не дозволяє здійснювати профілювання в рекламних цілях шляхом оцінки великих масивів даних. Проведена банком оцінка балансу інтересів не відповідає вимогам. Обробка даних була незаконною.
❓Який штраф?
Державна уповноважена із захисту даних (LfD) Нижньої Саксонії оштрафувала Hannoversche Volksbank на €900,000 та змусила їхніх маркетологів спуститися з небес на землю.
При призначенні штрафу було взято до уваги, що результати оцінок не були використані. Крім того, компанія виявила готовність до співпраці.
🏆 ВИСНОВКИ
Разом з регулятором нагадуємо про баланс інтересів та розумні очікування суб'єктів.
Справді, звернення до (потенційних) клієнтів із рекламою відповідає інтересам контролера. Однак цей інтерес є менш важливим. У суб'єктів даних повинна бути можливість заперечення (яку не потрібно обґрунтовувати). Інтереси суб'єктів превалюють.
При зважуванні інтересів потрібно брати до уваги також розумні очікування клієнтів. Тому в таких випадках контролери даних не можуть посилатися на баланс інтересів і натомість мають отримати згоду.
Оскільки дані з різних сфер життя можна зв'язати між собою, залучення зовнішніх агентств дозволяє створювати більш точні профілі. Клієнти не можуть очікувати такого, тому для залучення також необхідно отримати згоду.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Пресреліз
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [22.08 — 28.08]
① Noyb.eu подав скаргу на Google до Управління захисту даних Франції (CNIL). На їхню думку, технологічний гігант неодноразово ігнорував рішення Європейського суду щодо електронних листів прямого маркетингу та використовував свою електронну платформу Gmail для надсилання небажаних рекламних листів без згоди користувачів
➁ Роздрібний косметичний гігант Sephora повинен буде заплатити 1,2 мільйона доларів за продаж особистої інформації споживачів і необробку запитів на відмову в порушення каліфорнійського Закону про приватність споживачів. В ЄС же румунський регулятор оштрафував Sephora Romania на 2000 євро, оскільки вони продовжували надсилати суб’єкту даних маркетингові повідомлення через SMS після того, як вона скористалася своїм правом на заперечення
➂ Орган захисту даних Туреччини опублікував проект інструкцій щодо обробки генетичних даних
➃ Національний секретаріат із захисту прав споживачів Бразилії Senacon оголосив про штраф у розмірі 6,6 мільйонів проти Facebook Meta, пов’язаного з 443 000 бразильців, залучених у скандал із Cambridge Analytica у 2018 році
➄ Куба прийняла Закон про захист персональних даних
➅ Рада Європейського Союзу опублікувала останній компромісний текст для запропонованого Закону про дані
➆ Компанія Meta Platforms погодилася врегулювати позов у федеральному суді Сан-Франциско про відшкодування збитків за надання третім сторонам (в тому числі Cambridge Analytica) доступу до персональних даних користувачів
➇ Національний центр кібербезпеки Британії опублікував Посібник із найкращих практик інформаційної безпеки для спільних підприємств в будівельному секторі
➈ Регулятор Бремена визнав, що публікація даних боржників про неплатоспроможність на веб-сайтах юридичних фірм не має належної правової підстави
➉ Італійський регулятор оштрафував Deutsche Bank на 20 000 євро за несвоєчасну відповідь на запит суб’єкта даних на доступ
⑪ Нідерландський окружний суд Мідден-Нідерланду постановив, що муніципалітет не зобов’язаний розкривати імена та адреси суб’єктів даних, які шукають паранормальну активність на кладовищі, батькам двох померлих дітей, похованих там
⑫ Румунський регулятор оштрафував салон краси на 2500 євро за те, що він мав камери відеоспостереження, встановлені в салоні та зовні салону, надмірно спостерігаючи як за клієнтами, так і за працівниками, не повідомляючи їх
⑬ Регулятор Іспанії наклав штраф у розмірі 5000 євро на агентство нерухомості за порушення GDPR, оскільки договір не містив пункту, який інформував би клієнта про те, як оброблялися його персональні дані
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [22.08 — 28.08]
① Noyb.eu подав скаргу на Google до Управління захисту даних Франції (CNIL). На їхню думку, технологічний гігант неодноразово ігнорував рішення Європейського суду щодо електронних листів прямого маркетингу та використовував свою електронну платформу Gmail для надсилання небажаних рекламних листів без згоди користувачів
➁ Роздрібний косметичний гігант Sephora повинен буде заплатити 1,2 мільйона доларів за продаж особистої інформації споживачів і необробку запитів на відмову в порушення каліфорнійського Закону про приватність споживачів. В ЄС же румунський регулятор оштрафував Sephora Romania на 2000 євро, оскільки вони продовжували надсилати суб’єкту даних маркетингові повідомлення через SMS після того, як вона скористалася своїм правом на заперечення
➂ Орган захисту даних Туреччини опублікував проект інструкцій щодо обробки генетичних даних
➃ Національний секретаріат із захисту прав споживачів Бразилії Senacon оголосив про штраф у розмірі 6,6 мільйонів проти Facebook Meta, пов’язаного з 443 000 бразильців, залучених у скандал із Cambridge Analytica у 2018 році
➄ Куба прийняла Закон про захист персональних даних
➅ Рада Європейського Союзу опублікувала останній компромісний текст для запропонованого Закону про дані
➆ Компанія Meta Platforms погодилася врегулювати позов у федеральному суді Сан-Франциско про відшкодування збитків за надання третім сторонам (в тому числі Cambridge Analytica) доступу до персональних даних користувачів
➇ Національний центр кібербезпеки Британії опублікував Посібник із найкращих практик інформаційної безпеки для спільних підприємств в будівельному секторі
➈ Регулятор Бремена визнав, що публікація даних боржників про неплатоспроможність на веб-сайтах юридичних фірм не має належної правової підстави
➉ Італійський регулятор оштрафував Deutsche Bank на 20 000 євро за несвоєчасну відповідь на запит суб’єкта даних на доступ
⑪ Нідерландський окружний суд Мідден-Нідерланду постановив, що муніципалітет не зобов’язаний розкривати імена та адреси суб’єктів даних, які шукають паранормальну активність на кладовищі, батькам двох померлих дітей, похованих там
⑫ Румунський регулятор оштрафував салон краси на 2500 євро за те, що він мав камери відеоспостереження, встановлені в салоні та зовні салону, надмірно спостерігаючи як за клієнтами, так і за працівниками, не повідомляючи їх
⑬ Регулятор Іспанії наклав штраф у розмірі 5000 євро на агентство нерухомості за порушення GDPR, оскільки договір не містив пункту, який інформував би клієнта про те, як оброблялися його персональні дані
🇺🇦 Все буде Україна!
#Дайджест_місяця
🔆 ДАЙДЖЕСТ СЕРПНЯ
На вулиці стало прохолодніше, листя жовтіє, а значить, що вже настала осінь. Але ми так і не підбили підсумки серпня, тому робимо це на п'ятий день вересня. Останній місяць літа видався досить активним для команди Прайвасі Хаб, адже ми готуємся до реалізації нашого проєкту “Академія Приватності”, яка відбудеться вже у жовтні.
Останнім часом у чаті збільшилися кількість питаннь щодо нашої книги “GDPR: посібник з виживання”. Принагідно доповідаємо, що перший тираж майже повністю закінчився. Тому, якщо у новому навчальному році ви хотіли би поглибити свої знання із Загального Регламенту, то “Посібник з виживання” — це гарна можливість це зробити. Ваші питання щодо книги можете адресувати @Daquezee.
🏆 РЕЙТИНГ ДОПИСІВ СЕРПНЯ
#Санкції
📍€1,1 МЛН ЗА ТЕСТ-ДРАЙВ
📍ЩЕ НЕ ЗАБУЛИ ПРО COVID?
📍ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR
📍ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [25.07 — 31.07]
📍НОВИНИ ТИЖНЯ [01.08 — 7.08]
📍НОВИНИ ТИЖНЯ [08.08 — 14.08]
📍НОВИНИ ТИЖНЯ [15.08 — 21.08]
📍НОВИНИ ТИЖНЯ [22.08 — 28.08]
#Аналітика
📍ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
📍ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ
📍НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?
📍ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
#Інформаційна_безпека
📍ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
📍АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ
📍АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
🔆 ДАЙДЖЕСТ СЕРПНЯ
На вулиці стало прохолодніше, листя жовтіє, а значить, що вже настала осінь. Але ми так і не підбили підсумки серпня, тому робимо це на п'ятий день вересня. Останній місяць літа видався досить активним для команди Прайвасі Хаб, адже ми готуємся до реалізації нашого проєкту “Академія Приватності”, яка відбудеться вже у жовтні.
Останнім часом у чаті збільшилися кількість питаннь щодо нашої книги “GDPR: посібник з виживання”. Принагідно доповідаємо, що перший тираж майже повністю закінчився. Тому, якщо у новому навчальному році ви хотіли би поглибити свої знання із Загального Регламенту, то “Посібник з виживання” — це гарна можливість це зробити. Ваші питання щодо книги можете адресувати @Daquezee.
🏆 РЕЙТИНГ ДОПИСІВ СЕРПНЯ
#Санкції
📍€1,1 МЛН ЗА ТЕСТ-ДРАЙВ
📍ЩЕ НЕ ЗАБУЛИ ПРО COVID?
📍ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR
📍ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [25.07 — 31.07]
📍НОВИНИ ТИЖНЯ [01.08 — 7.08]
📍НОВИНИ ТИЖНЯ [08.08 — 14.08]
📍НОВИНИ ТИЖНЯ [15.08 — 21.08]
📍НОВИНИ ТИЖНЯ [22.08 — 28.08]
#Аналітика
📍ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
📍ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ
📍НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?
📍ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
#Інформаційна_безпека
📍ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
📍АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ
📍АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [29.08 — 04.09]
① Британський регулятор (ICO) порушив кримінальне розслідування щодо восьми осіб, які ймовірно викрали дані про дані про ДТП з автосервісів для написанні потенційних позовів про тілесні ушкодження.
➁ Норвезький регулятор опублікував звіт про моніторинг та контроль за цифровою діяльністю співробітників, зокрема, зазначив про проблемы, з якими стикаються працівники.
➂ Офіс уповноваженого з питань інформації та приватності Британської Колумбії опублікував інструкції для політичних кандидатів та їхніх співробітників щодо поводження з персональною інформацією в цілях політичних кампаній.
➃ Орган захисту даних Бразилії збирає фідбек до 28 вересня зацікавлених сторін щодо можливих керівництв щодо високоризикових обробки персональних даних.
➄ Канадське бюро інтернет-реклами (IAB) опублікувало огляд, вступаючого в силу законодавства, пов’язаного з приватністю та штучним інтелектом.
➅ Адміністрація кіберпростору Китаю (CAC) оголосила про публікацію Рекомендацій щодо декларації безпеки експорту даних, щоб допомогти процесорам даних дотримуватися Заходів щодо оцінки безпеки експорту даних.
➆ У консультативному висновку хорватський регулятор зазначив, що сканування посвідчень працівників та їхніх банківських карток не може ґрунтуватися на такій підставі як дотримання юридичних обов´язків, оскільки жодне національне законодавство не вимагало від них цього. Регулятор також виключив дійсність згоди працівника та висловив думку, що, хоча роботодавці можуть використовувати законні інтереси, вони все одно повинні дотримуватися принципів захисту даних.
➇ Регіональний суд Касселя постановив, що запит на доступ відповідно до статті 15 GDPR для цілей, не пов’язаних із захистом даних, є зловживанням правами, оскільки на цей запит не поширюється захисна мета GDPR.
➈ Грецький регулятор оштрафував медичний діагностичний центр на 30 000 євро за порушення принципу цілісності та конфіденційності через втрату зображень мамографії суб’єкта даних через недостатні технічні та організаційні заходи.
➉ Італійський регулятор оштрафував UniCredit S.p.A. на 70 000 євро за вимогу, щоб суб’єкт даних подав запит на доступ лише за допомогою спеціальної форми, а також за ненадання всієї інформації, яка вимагається відповідно до ст. 15 GDPR.
⑪ Державна рада Нідерландів постановила, що суб’єкт даних зловживав своїми процесуальними правами, оскільки він хаотично надсилав запити на доступ до різних муніципалітетів, ігнорував усі повідомлення від них і безпосередньо подавав апеляції проти них за те, що вони не виконали його запит своєчасно.
⑫ Румунський регулятор оштрафував роботодавця на 1000 євро за те, що він незаконно обробив персональні дані своїх працівників, записавшись від їх імені на вакцинацію від COVID-19 без їхньої згоди.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [29.08 — 04.09]
① Британський регулятор (ICO) порушив кримінальне розслідування щодо восьми осіб, які ймовірно викрали дані про дані про ДТП з автосервісів для написанні потенційних позовів про тілесні ушкодження.
➁ Норвезький регулятор опублікував звіт про моніторинг та контроль за цифровою діяльністю співробітників, зокрема, зазначив про проблемы, з якими стикаються працівники.
➂ Офіс уповноваженого з питань інформації та приватності Британської Колумбії опублікував інструкції для політичних кандидатів та їхніх співробітників щодо поводження з персональною інформацією в цілях політичних кампаній.
➃ Орган захисту даних Бразилії збирає фідбек до 28 вересня зацікавлених сторін щодо можливих керівництв щодо високоризикових обробки персональних даних.
➄ Канадське бюро інтернет-реклами (IAB) опублікувало огляд, вступаючого в силу законодавства, пов’язаного з приватністю та штучним інтелектом.
➅ Адміністрація кіберпростору Китаю (CAC) оголосила про публікацію Рекомендацій щодо декларації безпеки експорту даних, щоб допомогти процесорам даних дотримуватися Заходів щодо оцінки безпеки експорту даних.
➆ У консультативному висновку хорватський регулятор зазначив, що сканування посвідчень працівників та їхніх банківських карток не може ґрунтуватися на такій підставі як дотримання юридичних обов´язків, оскільки жодне національне законодавство не вимагало від них цього. Регулятор також виключив дійсність згоди працівника та висловив думку, що, хоча роботодавці можуть використовувати законні інтереси, вони все одно повинні дотримуватися принципів захисту даних.
➇ Регіональний суд Касселя постановив, що запит на доступ відповідно до статті 15 GDPR для цілей, не пов’язаних із захистом даних, є зловживанням правами, оскільки на цей запит не поширюється захисна мета GDPR.
➈ Грецький регулятор оштрафував медичний діагностичний центр на 30 000 євро за порушення принципу цілісності та конфіденційності через втрату зображень мамографії суб’єкта даних через недостатні технічні та організаційні заходи.
➉ Італійський регулятор оштрафував UniCredit S.p.A. на 70 000 євро за вимогу, щоб суб’єкт даних подав запит на доступ лише за допомогою спеціальної форми, а також за ненадання всієї інформації, яка вимагається відповідно до ст. 15 GDPR.
⑪ Державна рада Нідерландів постановила, що суб’єкт даних зловживав своїми процесуальними правами, оскільки він хаотично надсилав запити на доступ до різних муніципалітетів, ігнорував усі повідомлення від них і безпосередньо подавав апеляції проти них за те, що вони не виконали його запит своєчасно.
⑫ Румунський регулятор оштрафував роботодавця на 1000 євро за те, що він незаконно обробив персональні дані своїх працівників, записавшись від їх імені на вакцинацію від COVID-19 без їхньої згоди.
🇺🇦 Все буде Україна!
#Академія_приватності
🏆 ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
Друзі, місяць тому ми анонсували прийом заявок на участь в Освітньому таборі “Академія приватності”, що реалізується Privacy HUB за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.
Нашою цільовою аудиторією були викладачі українських закладів вищої освіти у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і прагнуть розширювати горизонти пізнання своїх студентів.
🤩І наша команда була неймовірна вражена!
Близько трьох сотень заявок від викладачів університетів з усієї України. Серед заявників – ректори, проректори, декани, керівники кафедр і професори. Десятки достойник мотиваційних листів, які показали нам, що “Академія приватності” є, дійсно, актуальною та може стати платформою для якісних змін в українській освіті. Це дуже надихає.
Нас приємно здивувала обізнаність викладачів щодо важливості захисту персональних даних у їхніх сферах. Ми раді, що маємо змогу співпрацювати з професіоналами.
Серед усіх заявок наша команда відібрала найкращі, і деякі кандидати стали учасниками “Академії приватності”. На черзі – формування навчальних груп.
Але не варто засмучуватися тим, хто не потрапив в Освітній табір. Для усіх викладачів, які подали заявки, ми проведемо загальні лекції, присвячені темі захисту персональних даних в освітньому процесі.
Також підготовлений учасниками силабус курсу із захисту персональних даних буде впроваджено в навчальний процес ЗВО за підтримки Міністерства освіти і науки. Всі підготовлені під час Освітнього табору матеріали, які можуть стати у нагоді викладачам майбутнього курсу, будуть публічними та доступними.
До “Академії приватності” залишилося трохи більше місяця – і ми продовжуємо нашу активну підготовку. Про усі апдейди читайте у наших наступних постах у рубриці #Академія_приватності.
🇺🇦 Все буде Україна! Разом до перемог на усіх фронтах!
🏆 ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
Друзі, місяць тому ми анонсували прийом заявок на участь в Освітньому таборі “Академія приватності”, що реалізується Privacy HUB за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.
Нашою цільовою аудиторією були викладачі українських закладів вищої освіти у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і прагнуть розширювати горизонти пізнання своїх студентів.
🤩І наша команда була неймовірна вражена!
Близько трьох сотень заявок від викладачів університетів з усієї України. Серед заявників – ректори, проректори, декани, керівники кафедр і професори. Десятки достойник мотиваційних листів, які показали нам, що “Академія приватності” є, дійсно, актуальною та може стати платформою для якісних змін в українській освіті. Це дуже надихає.
Нас приємно здивувала обізнаність викладачів щодо важливості захисту персональних даних у їхніх сферах. Ми раді, що маємо змогу співпрацювати з професіоналами.
Серед усіх заявок наша команда відібрала найкращі, і деякі кандидати стали учасниками “Академії приватності”. На черзі – формування навчальних груп.
Але не варто засмучуватися тим, хто не потрапив в Освітній табір. Для усіх викладачів, які подали заявки, ми проведемо загальні лекції, присвячені темі захисту персональних даних в освітньому процесі.
Також підготовлений учасниками силабус курсу із захисту персональних даних буде впроваджено в навчальний процес ЗВО за підтримки Міністерства освіти і науки. Всі підготовлені під час Освітнього табору матеріали, які можуть стати у нагоді викладачам майбутнього курсу, будуть публічними та доступними.
До “Академії приватності” залишилося трохи більше місяця – і ми продовжуємо нашу активну підготовку. Про усі апдейди читайте у наших наступних постах у рубриці #Академія_приватності.
🇺🇦 Все буде Україна! Разом до перемог на усіх фронтах!
#Інформаційна_безпека
🛡ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
Сьогодні пропонуємо вам подивитися на захист даних системніше. Псевдонімізація та анонімізація – лише краплі в океані інформаційної безпеки. Тому продовжуємо досліджувати океан інфобезу разом!
📍Чому варто враховувати контекст для захисту даних
Ще на початку 21 століття, Хелен Ніссенбаум презентувала світу нову теорію, яка пояснює, що приватність не може існувати ізольовано. Приватність – це контекстуальна цілісність.
За аргументацією пані Ніссенбаум це випливає з наступних постулатів:
🔹Приватність існує в межах «відповідних інформаційних потоків».
🔹«Відповідні інформаційні потоки» – це потоки даних, що формуються в межах «рамок інформаційного контексту».
🔹«Рамки інформаційного контексту» закладаються 5 незалежними параметрами: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі.
🔹Концепція та регулювання приватності змінюється залежно від етичних міркувань суспільства.
Як бачимо, приватність існує в динамічних умовах потоків даних. Дані прив’язані не лише до суб’єкта даних, вони координуються в межах згаданих рамок інформаційного контексту. Більш того, обмін даними відбувається в реальному світі. Суспільство, розвиток технологій викликають зміни в потоках та розподілі цінностей в приватності. Відповідно, приватність не може існувати і забезпечуватися, виходячи тільки з індивідуальних інтересів суб’єкта даних.
Саме через такий відхід від індивідуальності та абстракцію інтересів, ця теорія приватності (fyi: існують й інші теорії) піддається критиці. Це суперечить улюбленому людиноцентристському підходу філософії ЄС. Тим не менш, саме розгляд приватності як контекстуальної цілісності допоможе вам розгорнути інформаційну безпеку. Цей підхід зараз активно застосовується навіть у написанні політик приватності та формуванні правил обміну даних в компаніях.
📍Який контекст варто враховувати
Від теорії до практики, нижче зупиняємося на конкретних факторах, які варто враховувати в побудові своєї стратегії захисту даних:
🔹Середовище: в більшості випадках дані не існують у вакуумі. Шлях виглядає приблизно так: дані – застосунок/ПЗ – сервери – мережа. Уявіть, що ви лише псевдонімізували дані - накрили ковдрою. Ковдру все однл може будь-хто побачити, якщо не закриєте кімнату. Отже, потрібно враховувати шари середовища, в якому існують дані.
🔹Суб’єкти доступу: Звертаємо увагу, що в обмінах даними і системі інформаційної безпеки бере участь не лише суб’єкт даних. У вас є ще менеджмент, адміністратор доступів, stakeholder процесу і володілець даних у межах системи та працівники, залучені до обробки. Всі ці люди впливають на конструкцію вашої системи захисту та можуть мати доступ до даних у різних випадках.
🔹Обставини доступу: Ось тут згадуємо 5 параметрів пані Ніссенбаум: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі. Однак, у цьому списку не вистачає певних категорій, які потрібні за GDPR. Згадайте про ROPA (реєстр обробок даних) та DPIA (оцінка ризиків обробки даних). Регулятори вимагають оцінювати більше факторів, ніж 5. Як мінімум, це ще мета, обсяги обробки, строки, підстави та країни.
🔹Ризики: Нарешті приватність не є бінарною. Так, абсолютного захисту не існує і дані все ще можуть бути вразливими, але це не означає, що не потрібно нічого роботи. Дані потрібно убезпечувати, а заходи безпеки мають бути контекстними та співмірними з реально існуючими ризиками, щоб середовище нормально функціонувало та суб’єкти системи мали доступ.
Будувати захист даних – не тільки обирати сучасні та надійні PETs. Радше, це побудова цілої архітектури з власною екосистемою. Будь-які рішення щодо захисту даних впливають на всю систему. Тому намагайтеся підходити до цього питання комплексно, як це заповідає концепція проєктованої приватності.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Стаття Ніссенбаум
🔹Огляд Мукеша Сінгха, CISSP, з інформаційної безпеки
🛡ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
Сьогодні пропонуємо вам подивитися на захист даних системніше. Псевдонімізація та анонімізація – лише краплі в океані інформаційної безпеки. Тому продовжуємо досліджувати океан інфобезу разом!
📍Чому варто враховувати контекст для захисту даних
Ще на початку 21 століття, Хелен Ніссенбаум презентувала світу нову теорію, яка пояснює, що приватність не може існувати ізольовано. Приватність – це контекстуальна цілісність.
За аргументацією пані Ніссенбаум це випливає з наступних постулатів:
🔹Приватність існує в межах «відповідних інформаційних потоків».
🔹«Відповідні інформаційні потоки» – це потоки даних, що формуються в межах «рамок інформаційного контексту».
🔹«Рамки інформаційного контексту» закладаються 5 незалежними параметрами: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі.
🔹Концепція та регулювання приватності змінюється залежно від етичних міркувань суспільства.
Як бачимо, приватність існує в динамічних умовах потоків даних. Дані прив’язані не лише до суб’єкта даних, вони координуються в межах згаданих рамок інформаційного контексту. Більш того, обмін даними відбувається в реальному світі. Суспільство, розвиток технологій викликають зміни в потоках та розподілі цінностей в приватності. Відповідно, приватність не може існувати і забезпечуватися, виходячи тільки з індивідуальних інтересів суб’єкта даних.
Саме через такий відхід від індивідуальності та абстракцію інтересів, ця теорія приватності (fyi: існують й інші теорії) піддається критиці. Це суперечить улюбленому людиноцентристському підходу філософії ЄС. Тим не менш, саме розгляд приватності як контекстуальної цілісності допоможе вам розгорнути інформаційну безпеку. Цей підхід зараз активно застосовується навіть у написанні політик приватності та формуванні правил обміну даних в компаніях.
📍Який контекст варто враховувати
Від теорії до практики, нижче зупиняємося на конкретних факторах, які варто враховувати в побудові своєї стратегії захисту даних:
🔹Середовище: в більшості випадках дані не існують у вакуумі. Шлях виглядає приблизно так: дані – застосунок/ПЗ – сервери – мережа. Уявіть, що ви лише псевдонімізували дані - накрили ковдрою. Ковдру все однл може будь-хто побачити, якщо не закриєте кімнату. Отже, потрібно враховувати шари середовища, в якому існують дані.
🔹Суб’єкти доступу: Звертаємо увагу, що в обмінах даними і системі інформаційної безпеки бере участь не лише суб’єкт даних. У вас є ще менеджмент, адміністратор доступів, stakeholder процесу і володілець даних у межах системи та працівники, залучені до обробки. Всі ці люди впливають на конструкцію вашої системи захисту та можуть мати доступ до даних у різних випадках.
🔹Обставини доступу: Ось тут згадуємо 5 параметрів пані Ніссенбаум: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі. Однак, у цьому списку не вистачає певних категорій, які потрібні за GDPR. Згадайте про ROPA (реєстр обробок даних) та DPIA (оцінка ризиків обробки даних). Регулятори вимагають оцінювати більше факторів, ніж 5. Як мінімум, це ще мета, обсяги обробки, строки, підстави та країни.
🔹Ризики: Нарешті приватність не є бінарною. Так, абсолютного захисту не існує і дані все ще можуть бути вразливими, але це не означає, що не потрібно нічого роботи. Дані потрібно убезпечувати, а заходи безпеки мають бути контекстними та співмірними з реально існуючими ризиками, щоб середовище нормально функціонувало та суб’єкти системи мали доступ.
Будувати захист даних – не тільки обирати сучасні та надійні PETs. Радше, це побудова цілої архітектури з власною екосистемою. Будь-які рішення щодо захисту даних впливають на всю систему. Тому намагайтеся підходити до цього питання комплексно, як це заповідає концепція проєктованої приватності.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Стаття Ніссенбаум
🔹Огляд Мукеша Сінгха, CISSP, з інформаційної безпеки
#Санкції
💶 ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
Компанії та установи створюють безпекові політики для співробітників, забороняють їм працювати на особистих пристроях, забезпечують корпоративними гаджетами для роботи, встановлюють обмеження MDM. Але всі ці заходи не допоможуть, якщо співробітник ігнорує, а компанія – не стежить за безпосереднім дотриманням вимог. Наочним прикладом є нещодавній штраф данському муніципалітету Лолланн.
❓Що відбулося?
У грудні 2020 року Данський регулятор дізнався з повідомлення муніципалітету Лолланн, що у співробітника муніципалітету було викрадено робочий телефон. Телефон використовувався для доступу до робочої поштової скриньки співробітника, в якій містилася інформація про імена кількох громадян, номери соціального страхування, відомості про стан здоров'я та зловживання.
Телефон не був захищений паролем, оскільки ця функція була відключена. Таким чином, доступ до інформації, що зберігається на телефоні, було отримано. Муніципалітет зазначив, що протягом кількох років співробітники могли відключити обов'язкові паролі на телефонах та планшетах, щоб користуватися робочими гаджетами без введення паролю.
❓Яка думка регулятора?
Оскільки муніципалітети обробляють великі обсяги персональних даних громадян, вони несуть відповідальність за належне поводження з цими даними. Мобільні пристрої іноді крадуть, зламують або втрачають. Відповідно, регулятор був передбачувано категоричним: “Якщо сторонні особи можуть легко отримати доступ до інформації на пристроях, то муніципалітети не справляються з цією відповідальністю”.
Регулятор наголосив, що контролер даних повинен виходити з того, що не всі співробітники постійно дотримуються внутрішніх інструкцій, згідно з якими мобільні пристрої завжди повинні бути захищені паролем. Отже, ефективний захист буде залежати від того, чи такий пароль можна обійти, наприклад, завдяки тому, що користувач здатен відключити пароль.
Крім того, регулятор вважає, що викрадені мобільні пристрої зараз стали ретельніше перевірятися на наявність персональних даних, таких як дані кредитних карток і номери соціального страхування, до того, як вони будуть утилізовані, наприклад, шляхом перепродажу. А це значно підвищує ризики.
❓Що було порушено?
Стаття 32 GDPR, в якій зазначено, що контролер і процесор повинні вжити необхідних технічних і організаційних заходів для гарантування рівня безпеки відповідно до ризику.
Обробка персональних даних муніципалітетом Лолланн не відповідала зазначеному правилу.
Муніципалітет повинен був захистити свої мобільні пристрої паролем, який співробітники не могли б деактивувати самостійно.
❓Який штраф?
Муніципалітет Лолланн був оштрафований на 50 000 датських крон (€6700).
Надаючи відповідну рекомендацію поліції, регулятор прийняв до уваги той факт, що це – державний орган, який загалом несе особливу відповідальність за захист даних громадян. Муніципалітет Лолланн обробляє великі обсяги даних, зокрема чутливих, і , на думку регулятора, має місце невиконання технічних заходів.
Муніципалітет негайно вжив заходів щодо виправлення ситуації у вигляді нових запобіжних заходів та змін у технічному оснащенні телефонів, що надаються співробітникам.
🏆 ВИСНОВКИ
Не нехтуйте технічними та організаційними заходами: вони мають бути не просто красиво написані у внутрішніх політиках та угодах про обробку персональних даних, але й втілені в життя. Необхідно проводити тренінги для співробітників, а також роз'яснювальну роботу щодо важливості захисту персональних даних. Це потрібно для того, щоб паролі заважали зловмисникам, а не самим співробітникам.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Пресреліз рішення
💶 ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
Компанії та установи створюють безпекові політики для співробітників, забороняють їм працювати на особистих пристроях, забезпечують корпоративними гаджетами для роботи, встановлюють обмеження MDM. Але всі ці заходи не допоможуть, якщо співробітник ігнорує, а компанія – не стежить за безпосереднім дотриманням вимог. Наочним прикладом є нещодавній штраф данському муніципалітету Лолланн.
❓Що відбулося?
У грудні 2020 року Данський регулятор дізнався з повідомлення муніципалітету Лолланн, що у співробітника муніципалітету було викрадено робочий телефон. Телефон використовувався для доступу до робочої поштової скриньки співробітника, в якій містилася інформація про імена кількох громадян, номери соціального страхування, відомості про стан здоров'я та зловживання.
Телефон не був захищений паролем, оскільки ця функція була відключена. Таким чином, доступ до інформації, що зберігається на телефоні, було отримано. Муніципалітет зазначив, що протягом кількох років співробітники могли відключити обов'язкові паролі на телефонах та планшетах, щоб користуватися робочими гаджетами без введення паролю.
❓Яка думка регулятора?
Оскільки муніципалітети обробляють великі обсяги персональних даних громадян, вони несуть відповідальність за належне поводження з цими даними. Мобільні пристрої іноді крадуть, зламують або втрачають. Відповідно, регулятор був передбачувано категоричним: “Якщо сторонні особи можуть легко отримати доступ до інформації на пристроях, то муніципалітети не справляються з цією відповідальністю”.
Регулятор наголосив, що контролер даних повинен виходити з того, що не всі співробітники постійно дотримуються внутрішніх інструкцій, згідно з якими мобільні пристрої завжди повинні бути захищені паролем. Отже, ефективний захист буде залежати від того, чи такий пароль можна обійти, наприклад, завдяки тому, що користувач здатен відключити пароль.
Крім того, регулятор вважає, що викрадені мобільні пристрої зараз стали ретельніше перевірятися на наявність персональних даних, таких як дані кредитних карток і номери соціального страхування, до того, як вони будуть утилізовані, наприклад, шляхом перепродажу. А це значно підвищує ризики.
❓Що було порушено?
Стаття 32 GDPR, в якій зазначено, що контролер і процесор повинні вжити необхідних технічних і організаційних заходів для гарантування рівня безпеки відповідно до ризику.
Обробка персональних даних муніципалітетом Лолланн не відповідала зазначеному правилу.
Муніципалітет повинен був захистити свої мобільні пристрої паролем, який співробітники не могли б деактивувати самостійно.
❓Який штраф?
Муніципалітет Лолланн був оштрафований на 50 000 датських крон (€6700).
Надаючи відповідну рекомендацію поліції, регулятор прийняв до уваги той факт, що це – державний орган, який загалом несе особливу відповідальність за захист даних громадян. Муніципалітет Лолланн обробляє великі обсяги даних, зокрема чутливих, і , на думку регулятора, має місце невиконання технічних заходів.
Муніципалітет негайно вжив заходів щодо виправлення ситуації у вигляді нових запобіжних заходів та змін у технічному оснащенні телефонів, що надаються співробітникам.
🏆 ВИСНОВКИ
Не нехтуйте технічними та організаційними заходами: вони мають бути не просто красиво написані у внутрішніх політиках та угодах про обробку персональних даних, але й втілені в життя. Необхідно проводити тренінги для співробітників, а також роз'яснювальну роботу щодо важливості захисту персональних даних. Це потрібно для того, щоб паролі заважали зловмисникам, а не самим співробітникам.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Пресреліз рішення
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [05.09 — 11.09]
① Європейська рада із захисту даних (EDPB) випустила огляд фінансових та людських ресурсів, наданих державами-членами для наглядових органів із захисту даних. Згідно з даними, 77% із 30 DPA повідомили, що не мають достатнього бюджету, а 87% повідомили, що не мають достатньо людських ресурсів. EDPB випустив декілька висновків щодо проекту рішення щодо обов’язкових корпоративних правил групи Samres (контролер, процесор) та Hilti
➁ Європейський інспектор із захисту даних випустив висновок щодо пропозиції Регламенту щодо стандартів якості та безпеки для речовин людського походження, призначених для застосування людиною, та про скасування Директив 2002/98/ЄС та 2004/23/ЄС
➂ В Нідерландах опублікований огляд виконання GDPR. Результати показали потенційні проблеми щодо чітких галузевих правил і норм, непередбачуваних моделей застосування та м’якого підходу до сповіщення про порушення безпеки даних
➃ Ірландський регулятор оштрафував Instagram за порушення приватності дітей на 405 мільйонів євро
➄ Регулятор Британії випустив проект рекомендацій щодо технологій підвищення приватності (PETs)
➅ Регулятор Франції опублікував вказівки та найкращі практики використання автентифікації за допомогою цифрового токену
➆ Вищий регіональний суд Карлсруе скасував рішення Палати державних закупівель землі Баден-Вюртемберг, яке заблокувало лікарням обробку цифрових даних дочірньою компанією США в Люксембурзі
➇ Державна рада Бельгії звернулася до Суду ЄС з проханням винести попереднє рішення щодо законності норм, що передбачають обов’язкове зняття відбитків пальців дітей для ідентифікаційних карток і документів на проживання
➈ Австрійський регулятор постановив, що юридична фірма мала правові підстави для представлення персональних даних (ПД) суб’єкта даних як доказу в судовому розгляді відповідно до ст. 6(1)(f) GDPR
➉ Датський регулятор оголосив догану роздрібному продавцю споживчої електроніки за порушення статті 32(1) GDPR через те, що він не видалив ПД на використаному телевізорі
⑪ Ісландський регулятор постановив, що існує конфлікт інтересів, коли DPO одночасно є старшим юристом компанії, заступником генерального директора та членом правління. Однак DPO може займати посаду відповідального за комплаєнс
⑫ Румунський регулятор оштрафував Alpha Bank România на 1000 євро за помилкове відправлення документа, який містив ПД 4 осіб, іншому одержувачу через WhatsApp
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [05.09 — 11.09]
① Європейська рада із захисту даних (EDPB) випустила огляд фінансових та людських ресурсів, наданих державами-членами для наглядових органів із захисту даних. Згідно з даними, 77% із 30 DPA повідомили, що не мають достатнього бюджету, а 87% повідомили, що не мають достатньо людських ресурсів. EDPB випустив декілька висновків щодо проекту рішення щодо обов’язкових корпоративних правил групи Samres (контролер, процесор) та Hilti
➁ Європейський інспектор із захисту даних випустив висновок щодо пропозиції Регламенту щодо стандартів якості та безпеки для речовин людського походження, призначених для застосування людиною, та про скасування Директив 2002/98/ЄС та 2004/23/ЄС
➂ В Нідерландах опублікований огляд виконання GDPR. Результати показали потенційні проблеми щодо чітких галузевих правил і норм, непередбачуваних моделей застосування та м’якого підходу до сповіщення про порушення безпеки даних
➃ Ірландський регулятор оштрафував Instagram за порушення приватності дітей на 405 мільйонів євро
➄ Регулятор Британії випустив проект рекомендацій щодо технологій підвищення приватності (PETs)
➅ Регулятор Франції опублікував вказівки та найкращі практики використання автентифікації за допомогою цифрового токену
➆ Вищий регіональний суд Карлсруе скасував рішення Палати державних закупівель землі Баден-Вюртемберг, яке заблокувало лікарням обробку цифрових даних дочірньою компанією США в Люксембурзі
➇ Державна рада Бельгії звернулася до Суду ЄС з проханням винести попереднє рішення щодо законності норм, що передбачають обов’язкове зняття відбитків пальців дітей для ідентифікаційних карток і документів на проживання
➈ Австрійський регулятор постановив, що юридична фірма мала правові підстави для представлення персональних даних (ПД) суб’єкта даних як доказу в судовому розгляді відповідно до ст. 6(1)(f) GDPR
➉ Датський регулятор оголосив догану роздрібному продавцю споживчої електроніки за порушення статті 32(1) GDPR через те, що він не видалив ПД на використаному телевізорі
⑪ Ісландський регулятор постановив, що існує конфлікт інтересів, коли DPO одночасно є старшим юристом компанії, заступником генерального директора та членом правління. Однак DPO може займати посаду відповідального за комплаєнс
⑫ Румунський регулятор оштрафував Alpha Bank România на 1000 євро за помилкове відправлення документа, який містив ПД 4 осіб, іншому одержувачу через WhatsApp
🇺🇦 Все буде Україна!
#Аналітика
🔬ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
Більшість користувачів інтернету мали справу із токенами доступу, навіть якщо вони про це і не здогадувалися. З точки зору захисту персональних даних їх використання може нести певні ризики, саме тому CNIL розробили короткий огляд, який ми сьогодні проаналізуємо.
📍Автентифікація через токени доступу
Існує багато випадків, коли токени використовуються для автентифікації. Наприклад, при використанні онлайн ресурсів токени можуть зберігати певні дані, щоб користувачі не доводилось повторно вводити свої дані, або під час двофакторної автентифікації.
Токени можуть мати різну форму: ключі, диски, картки навіть біометричний ID може бути використано як токен. Але у рамках цього допису ми концентруємо увагу на цифровому токені.
Зазвичай при використанні цифрових токенів для автентифікації, вони передаються сервером на термінал і мають лімітований період існування. Такі токени можуть бути у вигляді посилання, яке передається через емейл, або смс.
❓Коли використовують цифрові токени?
Певно найпоширенішим використанням є зберігання вмісту корзини на вебсторінках, що продають товари, але цифрові токени використовуються і для:
🔹 підтвердження створення аккаунту, або паролю;
🔹 автоматичного підключення до сервера для полегшення доступу до певної послуги (приклад з корзиною)
❓Які ризики використання токенів?
Токени можуть бути як корисними, так і небезпечними. Річ у тім, що токен доступу у формі посилання можна вважати способом доступу персональних даних. Так, найпоширеніший спосіб зловмисного використання токенів є фішинг. Фішинг – вид шахрайства, кінцевою метою якого є доступ до даних. Зазвичай шахрай надсилає посилання, яке мімікрує відомий сайт. На копії сайта довірливий або неуважний користувач вводить свої дані, тим самим надаючи шахраю доступ до них.
📍Загальні рекомендації використання токенів доступу
🔸 логуйте створення і використання токенів;
🔸 визначте період валідності;
🔸 створюйте посилання автентифікації таким чином, аби вони не містили персональних даних;
🔸 не робіть токен єдиним способом автентифікації (користувач змінив пароль за допомогою посилання з токеном, але для входу в особистий кабінет йому все ще потрібно ввести новий пароль);
🔸 обмежте кількість разів використання токену;
🔸 автоматично анулюйте валідність токена при багаторазовому використанні.
📍Приклад від CNIL
Якщо ви створювали аккаунт, то певно знаєте процедуру з підтвердження його шляхом переходу за посиланням на вашій пошті. Задля убезпечення даної процедури CNIL рекомендує:
🔹 строк посилання з токеном має бути не більшим за пару хвилин;
🔹 після переходу за посиланням, токен доступу не має автоматично надавати доступ до аккаунту;
🔹 надішліть користувачу повідомлення про успішно створений аккаунт/змінений пароль.
🏆 ВИСНОВКИ
Токени доступу є досить корисною технологією, яка сильно спрощує користування мережею інтернет. Але без належних заходів захисту токени можуть принести більше шкоди, ніж користі, тому їх потрібно належним чином їх убезпечувати.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Огляд від CNIL (французька)
🔬ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
Більшість користувачів інтернету мали справу із токенами доступу, навіть якщо вони про це і не здогадувалися. З точки зору захисту персональних даних їх використання може нести певні ризики, саме тому CNIL розробили короткий огляд, який ми сьогодні проаналізуємо.
📍Автентифікація через токени доступу
Існує багато випадків, коли токени використовуються для автентифікації. Наприклад, при використанні онлайн ресурсів токени можуть зберігати певні дані, щоб користувачі не доводилось повторно вводити свої дані, або під час двофакторної автентифікації.
Токени можуть мати різну форму: ключі, диски, картки навіть біометричний ID може бути використано як токен. Але у рамках цього допису ми концентруємо увагу на цифровому токені.
Зазвичай при використанні цифрових токенів для автентифікації, вони передаються сервером на термінал і мають лімітований період існування. Такі токени можуть бути у вигляді посилання, яке передається через емейл, або смс.
❓Коли використовують цифрові токени?
Певно найпоширенішим використанням є зберігання вмісту корзини на вебсторінках, що продають товари, але цифрові токени використовуються і для:
🔹 підтвердження створення аккаунту, або паролю;
🔹 автоматичного підключення до сервера для полегшення доступу до певної послуги (приклад з корзиною)
❓Які ризики використання токенів?
Токени можуть бути як корисними, так і небезпечними. Річ у тім, що токен доступу у формі посилання можна вважати способом доступу персональних даних. Так, найпоширеніший спосіб зловмисного використання токенів є фішинг. Фішинг – вид шахрайства, кінцевою метою якого є доступ до даних. Зазвичай шахрай надсилає посилання, яке мімікрує відомий сайт. На копії сайта довірливий або неуважний користувач вводить свої дані, тим самим надаючи шахраю доступ до них.
📍Загальні рекомендації використання токенів доступу
🔸 логуйте створення і використання токенів;
🔸 визначте період валідності;
🔸 створюйте посилання автентифікації таким чином, аби вони не містили персональних даних;
🔸 не робіть токен єдиним способом автентифікації (користувач змінив пароль за допомогою посилання з токеном, але для входу в особистий кабінет йому все ще потрібно ввести новий пароль);
🔸 обмежте кількість разів використання токену;
🔸 автоматично анулюйте валідність токена при багаторазовому використанні.
📍Приклад від CNIL
Якщо ви створювали аккаунт, то певно знаєте процедуру з підтвердження його шляхом переходу за посиланням на вашій пошті. Задля убезпечення даної процедури CNIL рекомендує:
🔹 строк посилання з токеном має бути не більшим за пару хвилин;
🔹 після переходу за посиланням, токен доступу не має автоматично надавати доступ до аккаунту;
🔹 надішліть користувачу повідомлення про успішно створений аккаунт/змінений пароль.
🏆 ВИСНОВКИ
Токени доступу є досить корисною технологією, яка сильно спрощує користування мережею інтернет. Але без належних заходів захисту токени можуть принести більше шкоди, ніж користі, тому їх потрібно належним чином їх убезпечувати.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Огляд від CNIL (французька)
#Інформаційна_безпека
🛡RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
Для захисту даних важливо розуміти ризики та загрози. Нещодавно ENISA опублікувала дослідження атак ransomware (програм-вимагачів) за період з травня 2021 до червня 2022 року. В агенції наголошують, що хоча цей вид атак існує давно, останнім часом він набув нових варіантів та все ще поширений. Нижче говоримо про атаки ransomware та їх статистику.
📍Атаки ransomware
При атаці ransomware особи беруть під контроль активи організацій та вимагають викуп в обмін на повернення доступу до активу. ENISA пропонує виділити їх типи за такими ключовими елементами:
🔹 Активи – проти чого спрямована атака. Це можуть бути дані, вебсайт, екрани моніторів, облікові записи, пам'ять пристроїв, хмарні середовища тощо.
🔹 Дії – що хакери роблять з активами і як перехоплюють контроль: блокування, шифрування, видалення та крадіжка, але тут все залежить від фантазії хакера.
🔹 Шантаж – кульмінація атаки, до якого розвитку подій бути готовим.
По-перше, не всі атаки мотивовані фінансово. За даними ENISA іноді вимагають навіть змін у корпоративних політиках, стратегіях компанії, передати вірус іншим особам тощо. По-друге, хакери використовують багато важелів у перемовинах: оприлюднення атаки, частковий або повний витік даних, DDoS атаки на цільову інфраструктуру та інші.
📍Статистика та наслідки
З 3 640 атак ransomware, що за даними ENISA відбулись з травня 2021 по червень 2022 року по всьому світу, організація розглянула 623 атаки з особливим фокусом на Європу, Англію та США.
За результатами дослідження:
🔹 У 46,2% постраждали саме дані. В середньому це понад 10 терабайт даних на місяць.
🔹 58,2% викрадених даних містять персональні дані. З них 33% - це дані працівників, 18,3% - дані клієнтів.
🔹 У 37,88% інцидентів зловмисники повністю опублікували дані, що свідчить про невдачу перемовин. Приблизно 62,12% компаній вдалось якимось чином дійти згоди або вирішити питання щодо вимоги хакерів.
🔹 Топ-3 країни за кількістю атак: США, Німеччина та Франція.
🔹 Постраждали компанії будь-якого розміру в усіх можливих секторах. Топ-3 галузей, що постраждали: важка промисловість, інформаційні послуги, державний сектор.
🔹 Топ-3 види програм-агентів для атаки:
🔸LockBit (зазвичай шифрують дані та погрожують їх повною публікацією; частіше використовуються для шифрування фінансових даних та атак на компанії та уряд)
🔸Conti (система вимагання аналогічна LockBit; частіше помічений у Північній Америці та Західній Європі; часто страждають роздрібна торгівля, виробництво, будівництво)
🔸Hive (зазвичай використовує потрійну систему вимагання: викрадення даних, часткова публікація даних, DDoS атаки; часто зустрічається в секторі здоров’я)
*Для ваших IT-фахівців буде також цікаво подивитись на особливості побудови агентів та шляхи, які вони зазвичай використовують для проникнення в систему та дій з даними.
🏆 ВИСНОВКИ
Як бачимо, будь-хто може стати мішенню атак ransomware. Майже у половині інцидентів страждають саме дані, з яких левова частка - персональні. Рекомендуємо звернути увагу та оцінити ризики для вашої організації, аби завжди бути готовими до будь-яких обставин.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Дослідження ENISA
🔹Огляд агентів ransomware
🛡RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
Для захисту даних важливо розуміти ризики та загрози. Нещодавно ENISA опублікувала дослідження атак ransomware (програм-вимагачів) за період з травня 2021 до червня 2022 року. В агенції наголошують, що хоча цей вид атак існує давно, останнім часом він набув нових варіантів та все ще поширений. Нижче говоримо про атаки ransomware та їх статистику.
📍Атаки ransomware
При атаці ransomware особи беруть під контроль активи організацій та вимагають викуп в обмін на повернення доступу до активу. ENISA пропонує виділити їх типи за такими ключовими елементами:
🔹 Активи – проти чого спрямована атака. Це можуть бути дані, вебсайт, екрани моніторів, облікові записи, пам'ять пристроїв, хмарні середовища тощо.
🔹 Дії – що хакери роблять з активами і як перехоплюють контроль: блокування, шифрування, видалення та крадіжка, але тут все залежить від фантазії хакера.
🔹 Шантаж – кульмінація атаки, до якого розвитку подій бути готовим.
По-перше, не всі атаки мотивовані фінансово. За даними ENISA іноді вимагають навіть змін у корпоративних політиках, стратегіях компанії, передати вірус іншим особам тощо. По-друге, хакери використовують багато важелів у перемовинах: оприлюднення атаки, частковий або повний витік даних, DDoS атаки на цільову інфраструктуру та інші.
📍Статистика та наслідки
З 3 640 атак ransomware, що за даними ENISA відбулись з травня 2021 по червень 2022 року по всьому світу, організація розглянула 623 атаки з особливим фокусом на Європу, Англію та США.
За результатами дослідження:
🔹 У 46,2% постраждали саме дані. В середньому це понад 10 терабайт даних на місяць.
🔹 58,2% викрадених даних містять персональні дані. З них 33% - це дані працівників, 18,3% - дані клієнтів.
🔹 У 37,88% інцидентів зловмисники повністю опублікували дані, що свідчить про невдачу перемовин. Приблизно 62,12% компаній вдалось якимось чином дійти згоди або вирішити питання щодо вимоги хакерів.
🔹 Топ-3 країни за кількістю атак: США, Німеччина та Франція.
🔹 Постраждали компанії будь-якого розміру в усіх можливих секторах. Топ-3 галузей, що постраждали: важка промисловість, інформаційні послуги, державний сектор.
🔹 Топ-3 види програм-агентів для атаки:
🔸LockBit (зазвичай шифрують дані та погрожують їх повною публікацією; частіше використовуються для шифрування фінансових даних та атак на компанії та уряд)
🔸Conti (система вимагання аналогічна LockBit; частіше помічений у Північній Америці та Західній Європі; часто страждають роздрібна торгівля, виробництво, будівництво)
🔸Hive (зазвичай використовує потрійну систему вимагання: викрадення даних, часткова публікація даних, DDoS атаки; часто зустрічається в секторі здоров’я)
*Для ваших IT-фахівців буде також цікаво подивитись на особливості побудови агентів та шляхи, які вони зазвичай використовують для проникнення в систему та дій з даними.
🏆 ВИСНОВКИ
Як бачимо, будь-хто може стати мішенню атак ransomware. Майже у половині інцидентів страждають саме дані, з яких левова частка - персональні. Рекомендуємо звернути увагу та оцінити ризики для вашої організації, аби завжди бути готовими до будь-яких обставин.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Дослідження ENISA
🔹Огляд агентів ransomware
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [12.09 — 18.09]
① Європейська комісія оприлюднила проект Закону про кіберстійкість. Закон підвищує стандарти правил кібербезпеки та сприятиме «більш безпечному апаратному та програмному забезпеченню». Закон має на меті усунути вразливості кібербезпеки і краще інформувати користувачів. Закон вимагатиме від виробників програмного та апаратного забезпечення покращити безпеку продуктів від етапу проектування протягом життєвого циклу продуктів.
➁ Європейська рада із захисту даних оприлюднила заяву 03/2022 щодо Європейського кодексу поліцейської співпраці.
➂ Іспанський регулятор запустив інструмент для аналізу факторів ризику обробки персональних даних відповідно до GDPR. Цей інструмент дозволяє компаніям швидко провести оцінку ризиків обробки даних.
➃ В Каліфорнії підписаний Закон про віково-відповідний дизайн, який набуде чинності 1 липня 2024 року. Закон вводить вимоги до компаній, які надають онлайн-послуги чи продукти, до яких може мати доступ дитина, та вимагає, щоб усі параметри приватності за замовчуванням забезпечували високий рівень захисту приватності, і що інформація про приватність, умови обслуговування, політики та стандарти були стислими, помітними та зрозумілими для віку дітей.
➄ Privacy International випустила звіт про захист приватності при наскрізному шифруванні.
➅ З´явилося рішення Ірландського регулятора, яким накладено штраф 405 мільйонів євро на Instagram.
➆ Регулятор Кореї наклав штраф у розмірі 69,2 мільярда KRW (приблизно 50 мільйонів євро) на Google LLC і штраф у розмірі 30,8 мільярда KRW (приблизно. 22 мільйони євро) на Meta Platforms, Inc.
➇ Регулятор Франції (CNIL) оштрафував постачальника юридичних послуг Infogreffe на 250 000 євро. Було виявило порушення вимог щодо зберігання даних згідно зі ст. 5(1)(e) GDPR та зобов’язань щодо безпеки даних згідно зі ст. 32. Дані 25% користувачів Infogreffe зберігалися на веб-сайті понад заявлений 36-місячний період.
➈ Італійський регулятор постановив, що муніципалітет порушив статті 5, 12, 13 і 24 GDPR через використання своєї системи відеоспостереження, і порушив статтю 38(6) GDPR, призначивши свого DPO для захисту в судовому процесі.
➉ Данський регулятор ухвалив догану процесору за порушення статті 32(1) GDPR через недостатнє тестування нової функціональності системи, що призвело до того, що опікуна та піклувальники отримали доступ до інформації про прийомних дітей.
⑪ Данський регулятор ухвалив догану контролеру за порушення ст. 5 GDPR через відсутність достатньо чітких процедур аудиту процесорів та дотримання існуючих процедур.
⑫ Бельгійський регулятор оштрафував медичну лабораторію на 20 000 євро за порушення статей 5(1)(f), 12, 13, 14, 24, 25, 32, 35(1) і 35(3) GDPR через відсутність безпеки даних, політики приватності на своєму веб-сайті, а також неіснуючу оцінку впливу на захист даних.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [12.09 — 18.09]
① Європейська комісія оприлюднила проект Закону про кіберстійкість. Закон підвищує стандарти правил кібербезпеки та сприятиме «більш безпечному апаратному та програмному забезпеченню». Закон має на меті усунути вразливості кібербезпеки і краще інформувати користувачів. Закон вимагатиме від виробників програмного та апаратного забезпечення покращити безпеку продуктів від етапу проектування протягом життєвого циклу продуктів.
➁ Європейська рада із захисту даних оприлюднила заяву 03/2022 щодо Європейського кодексу поліцейської співпраці.
➂ Іспанський регулятор запустив інструмент для аналізу факторів ризику обробки персональних даних відповідно до GDPR. Цей інструмент дозволяє компаніям швидко провести оцінку ризиків обробки даних.
➃ В Каліфорнії підписаний Закон про віково-відповідний дизайн, який набуде чинності 1 липня 2024 року. Закон вводить вимоги до компаній, які надають онлайн-послуги чи продукти, до яких може мати доступ дитина, та вимагає, щоб усі параметри приватності за замовчуванням забезпечували високий рівень захисту приватності, і що інформація про приватність, умови обслуговування, політики та стандарти були стислими, помітними та зрозумілими для віку дітей.
➄ Privacy International випустила звіт про захист приватності при наскрізному шифруванні.
➅ З´явилося рішення Ірландського регулятора, яким накладено штраф 405 мільйонів євро на Instagram.
➆ Регулятор Кореї наклав штраф у розмірі 69,2 мільярда KRW (приблизно 50 мільйонів євро) на Google LLC і штраф у розмірі 30,8 мільярда KRW (приблизно. 22 мільйони євро) на Meta Platforms, Inc.
➇ Регулятор Франції (CNIL) оштрафував постачальника юридичних послуг Infogreffe на 250 000 євро. Було виявило порушення вимог щодо зберігання даних згідно зі ст. 5(1)(e) GDPR та зобов’язань щодо безпеки даних згідно зі ст. 32. Дані 25% користувачів Infogreffe зберігалися на веб-сайті понад заявлений 36-місячний період.
➈ Італійський регулятор постановив, що муніципалітет порушив статті 5, 12, 13 і 24 GDPR через використання своєї системи відеоспостереження, і порушив статтю 38(6) GDPR, призначивши свого DPO для захисту в судовому процесі.
➉ Данський регулятор ухвалив догану процесору за порушення статті 32(1) GDPR через недостатнє тестування нової функціональності системи, що призвело до того, що опікуна та піклувальники отримали доступ до інформації про прийомних дітей.
⑪ Данський регулятор ухвалив догану контролеру за порушення ст. 5 GDPR через відсутність достатньо чітких процедур аудиту процесорів та дотримання існуючих процедур.
⑫ Бельгійський регулятор оштрафував медичну лабораторію на 20 000 євро за порушення статей 5(1)(f), 12, 13, 14, 24, 25, 32, 35(1) і 35(3) GDPR через відсутність безпеки даних, політики приватності на своєму веб-сайті, а також неіснуючу оцінку впливу на захист даних.
🇺🇦 Все буде Україна!
#Академія_приватності
🔍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Ми оголошуємо набір студентів університетів для участі в “Академії приватності”!
А говорили, що захід для викладачів 🧐
Все правильно! Нашою основною цільовою аудиторією є викладачі закладів вищої освіти. Однак кінцева мета “Академії приватності” – не лише поглибити знання українських викладачів, але й створити навчальну програму із захисту персональних даних для студентів українських університетів.
Ця програма, а також система її викладання мають відповідати сучасним тенденціям, а головне – потребам і запитам студентів. Тому думка прогресивного студентства обов’язково має бути врахована.
Для більш ефективної роботи у кожну з команд викладачів різних спеціальностей ми прагнемо залучити студента, який допоможе врахувати інтереси здобувачів освіти, адаптувати новітні форми викладання.
Запрошуємо долучитися до “Академії приватності” студентів старших курсів ЗВО у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і мають своє бачення щодо вдосконалення системи викладання в українських закладах вищої освіти.
Серед усіх кандидатів ми оберемо 6 студентів, які 12–16 жовтня зможуть долучитися до “Академії приватності” онлайн чи офлайн у м. Києві.
Для участі необхідно до 30 вересня заповнити анкету за посиланням: https://forms.gle/UMEmDAMyQTM7iKbx5
Ми чекаємо на заявки і будемо вдячні, якщо розкажете про цю можливість знайомим студентам.
🇺🇦 Все буде Україна!
🔍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Ми оголошуємо набір студентів університетів для участі в “Академії приватності”!
А говорили, що захід для викладачів 🧐
Все правильно! Нашою основною цільовою аудиторією є викладачі закладів вищої освіти. Однак кінцева мета “Академії приватності” – не лише поглибити знання українських викладачів, але й створити навчальну програму із захисту персональних даних для студентів українських університетів.
Ця програма, а також система її викладання мають відповідати сучасним тенденціям, а головне – потребам і запитам студентів. Тому думка прогресивного студентства обов’язково має бути врахована.
Для більш ефективної роботи у кожну з команд викладачів різних спеціальностей ми прагнемо залучити студента, який допоможе врахувати інтереси здобувачів освіти, адаптувати новітні форми викладання.
Запрошуємо долучитися до “Академії приватності” студентів старших курсів ЗВО у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і мають своє бачення щодо вдосконалення системи викладання в українських закладах вищої освіти.
Серед усіх кандидатів ми оберемо 6 студентів, які 12–16 жовтня зможуть долучитися до “Академії приватності” онлайн чи офлайн у м. Києві.
Для участі необхідно до 30 вересня заповнити анкету за посиланням: https://forms.gle/UMEmDAMyQTM7iKbx5
Ми чекаємо на заявки і будемо вдячні, якщо розкажете про цю можливість знайомим студентам.
🇺🇦 Все буде Україна!