#Академія_приватності
🏆 ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
Друзі, місяць тому ми анонсували прийом заявок на участь в Освітньому таборі “Академія приватності”, що реалізується Privacy HUB за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.
Нашою цільовою аудиторією були викладачі українських закладів вищої освіти у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і прагнуть розширювати горизонти пізнання своїх студентів.
🤩І наша команда була неймовірна вражена!
Близько трьох сотень заявок від викладачів університетів з усієї України. Серед заявників – ректори, проректори, декани, керівники кафедр і професори. Десятки достойник мотиваційних листів, які показали нам, що “Академія приватності” є, дійсно, актуальною та може стати платформою для якісних змін в українській освіті. Це дуже надихає.
Нас приємно здивувала обізнаність викладачів щодо важливості захисту персональних даних у їхніх сферах. Ми раді, що маємо змогу співпрацювати з професіоналами.
Серед усіх заявок наша команда відібрала найкращі, і деякі кандидати стали учасниками “Академії приватності”. На черзі – формування навчальних груп.
Але не варто засмучуватися тим, хто не потрапив в Освітній табір. Для усіх викладачів, які подали заявки, ми проведемо загальні лекції, присвячені темі захисту персональних даних в освітньому процесі.
Також підготовлений учасниками силабус курсу із захисту персональних даних буде впроваджено в навчальний процес ЗВО за підтримки Міністерства освіти і науки. Всі підготовлені під час Освітнього табору матеріали, які можуть стати у нагоді викладачам майбутнього курсу, будуть публічними та доступними.
До “Академії приватності” залишилося трохи більше місяця – і ми продовжуємо нашу активну підготовку. Про усі апдейди читайте у наших наступних постах у рубриці #Академія_приватності.
🇺🇦 Все буде Україна! Разом до перемог на усіх фронтах!
🏆 ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
Друзі, місяць тому ми анонсували прийом заявок на участь в Освітньому таборі “Академія приватності”, що реалізується Privacy HUB за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.
Нашою цільовою аудиторією були викладачі українських закладів вищої освіти у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і прагнуть розширювати горизонти пізнання своїх студентів.
🤩І наша команда була неймовірна вражена!
Близько трьох сотень заявок від викладачів університетів з усієї України. Серед заявників – ректори, проректори, декани, керівники кафедр і професори. Десятки достойник мотиваційних листів, які показали нам, що “Академія приватності” є, дійсно, актуальною та може стати платформою для якісних змін в українській освіті. Це дуже надихає.
Нас приємно здивувала обізнаність викладачів щодо важливості захисту персональних даних у їхніх сферах. Ми раді, що маємо змогу співпрацювати з професіоналами.
Серед усіх заявок наша команда відібрала найкращі, і деякі кандидати стали учасниками “Академії приватності”. На черзі – формування навчальних груп.
Але не варто засмучуватися тим, хто не потрапив в Освітній табір. Для усіх викладачів, які подали заявки, ми проведемо загальні лекції, присвячені темі захисту персональних даних в освітньому процесі.
Також підготовлений учасниками силабус курсу із захисту персональних даних буде впроваджено в навчальний процес ЗВО за підтримки Міністерства освіти і науки. Всі підготовлені під час Освітнього табору матеріали, які можуть стати у нагоді викладачам майбутнього курсу, будуть публічними та доступними.
До “Академії приватності” залишилося трохи більше місяця – і ми продовжуємо нашу активну підготовку. Про усі апдейди читайте у наших наступних постах у рубриці #Академія_приватності.
🇺🇦 Все буде Україна! Разом до перемог на усіх фронтах!
#Інформаційна_безпека
🛡ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
Сьогодні пропонуємо вам подивитися на захист даних системніше. Псевдонімізація та анонімізація – лише краплі в океані інформаційної безпеки. Тому продовжуємо досліджувати океан інфобезу разом!
📍Чому варто враховувати контекст для захисту даних
Ще на початку 21 століття, Хелен Ніссенбаум презентувала світу нову теорію, яка пояснює, що приватність не може існувати ізольовано. Приватність – це контекстуальна цілісність.
За аргументацією пані Ніссенбаум це випливає з наступних постулатів:
🔹Приватність існує в межах «відповідних інформаційних потоків».
🔹«Відповідні інформаційні потоки» – це потоки даних, що формуються в межах «рамок інформаційного контексту».
🔹«Рамки інформаційного контексту» закладаються 5 незалежними параметрами: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі.
🔹Концепція та регулювання приватності змінюється залежно від етичних міркувань суспільства.
Як бачимо, приватність існує в динамічних умовах потоків даних. Дані прив’язані не лише до суб’єкта даних, вони координуються в межах згаданих рамок інформаційного контексту. Більш того, обмін даними відбувається в реальному світі. Суспільство, розвиток технологій викликають зміни в потоках та розподілі цінностей в приватності. Відповідно, приватність не може існувати і забезпечуватися, виходячи тільки з індивідуальних інтересів суб’єкта даних.
Саме через такий відхід від індивідуальності та абстракцію інтересів, ця теорія приватності (fyi: існують й інші теорії) піддається критиці. Це суперечить улюбленому людиноцентристському підходу філософії ЄС. Тим не менш, саме розгляд приватності як контекстуальної цілісності допоможе вам розгорнути інформаційну безпеку. Цей підхід зараз активно застосовується навіть у написанні політик приватності та формуванні правил обміну даних в компаніях.
📍Який контекст варто враховувати
Від теорії до практики, нижче зупиняємося на конкретних факторах, які варто враховувати в побудові своєї стратегії захисту даних:
🔹Середовище: в більшості випадках дані не існують у вакуумі. Шлях виглядає приблизно так: дані – застосунок/ПЗ – сервери – мережа. Уявіть, що ви лише псевдонімізували дані - накрили ковдрою. Ковдру все однл може будь-хто побачити, якщо не закриєте кімнату. Отже, потрібно враховувати шари середовища, в якому існують дані.
🔹Суб’єкти доступу: Звертаємо увагу, що в обмінах даними і системі інформаційної безпеки бере участь не лише суб’єкт даних. У вас є ще менеджмент, адміністратор доступів, stakeholder процесу і володілець даних у межах системи та працівники, залучені до обробки. Всі ці люди впливають на конструкцію вашої системи захисту та можуть мати доступ до даних у різних випадках.
🔹Обставини доступу: Ось тут згадуємо 5 параметрів пані Ніссенбаум: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі. Однак, у цьому списку не вистачає певних категорій, які потрібні за GDPR. Згадайте про ROPA (реєстр обробок даних) та DPIA (оцінка ризиків обробки даних). Регулятори вимагають оцінювати більше факторів, ніж 5. Як мінімум, це ще мета, обсяги обробки, строки, підстави та країни.
🔹Ризики: Нарешті приватність не є бінарною. Так, абсолютного захисту не існує і дані все ще можуть бути вразливими, але це не означає, що не потрібно нічого роботи. Дані потрібно убезпечувати, а заходи безпеки мають бути контекстними та співмірними з реально існуючими ризиками, щоб середовище нормально функціонувало та суб’єкти системи мали доступ.
Будувати захист даних – не тільки обирати сучасні та надійні PETs. Радше, це побудова цілої архітектури з власною екосистемою. Будь-які рішення щодо захисту даних впливають на всю систему. Тому намагайтеся підходити до цього питання комплексно, як це заповідає концепція проєктованої приватності.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Стаття Ніссенбаум
🔹Огляд Мукеша Сінгха, CISSP, з інформаційної безпеки
🛡ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
Сьогодні пропонуємо вам подивитися на захист даних системніше. Псевдонімізація та анонімізація – лише краплі в океані інформаційної безпеки. Тому продовжуємо досліджувати океан інфобезу разом!
📍Чому варто враховувати контекст для захисту даних
Ще на початку 21 століття, Хелен Ніссенбаум презентувала світу нову теорію, яка пояснює, що приватність не може існувати ізольовано. Приватність – це контекстуальна цілісність.
За аргументацією пані Ніссенбаум це випливає з наступних постулатів:
🔹Приватність існує в межах «відповідних інформаційних потоків».
🔹«Відповідні інформаційні потоки» – це потоки даних, що формуються в межах «рамок інформаційного контексту».
🔹«Рамки інформаційного контексту» закладаються 5 незалежними параметрами: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі.
🔹Концепція та регулювання приватності змінюється залежно від етичних міркувань суспільства.
Як бачимо, приватність існує в динамічних умовах потоків даних. Дані прив’язані не лише до суб’єкта даних, вони координуються в межах згаданих рамок інформаційного контексту. Більш того, обмін даними відбувається в реальному світі. Суспільство, розвиток технологій викликають зміни в потоках та розподілі цінностей в приватності. Відповідно, приватність не може існувати і забезпечуватися, виходячи тільки з індивідуальних інтересів суб’єкта даних.
Саме через такий відхід від індивідуальності та абстракцію інтересів, ця теорія приватності (fyi: існують й інші теорії) піддається критиці. Це суперечить улюбленому людиноцентристському підходу філософії ЄС. Тим не менш, саме розгляд приватності як контекстуальної цілісності допоможе вам розгорнути інформаційну безпеку. Цей підхід зараз активно застосовується навіть у написанні політик приватності та формуванні правил обміну даних в компаніях.
📍Який контекст варто враховувати
Від теорії до практики, нижче зупиняємося на конкретних факторах, які варто враховувати в побудові своєї стратегії захисту даних:
🔹Середовище: в більшості випадках дані не існують у вакуумі. Шлях виглядає приблизно так: дані – застосунок/ПЗ – сервери – мережа. Уявіть, що ви лише псевдонімізували дані - накрили ковдрою. Ковдру все однл може будь-хто побачити, якщо не закриєте кімнату. Отже, потрібно враховувати шари середовища, в якому існують дані.
🔹Суб’єкти доступу: Звертаємо увагу, що в обмінах даними і системі інформаційної безпеки бере участь не лише суб’єкт даних. У вас є ще менеджмент, адміністратор доступів, stakeholder процесу і володілець даних у межах системи та працівники, залучені до обробки. Всі ці люди впливають на конструкцію вашої системи захисту та можуть мати доступ до даних у різних випадках.
🔹Обставини доступу: Ось тут згадуємо 5 параметрів пані Ніссенбаум: суб’єкт даних, відправник, одержувач, тип інформації та принцип передачі. Однак, у цьому списку не вистачає певних категорій, які потрібні за GDPR. Згадайте про ROPA (реєстр обробок даних) та DPIA (оцінка ризиків обробки даних). Регулятори вимагають оцінювати більше факторів, ніж 5. Як мінімум, це ще мета, обсяги обробки, строки, підстави та країни.
🔹Ризики: Нарешті приватність не є бінарною. Так, абсолютного захисту не існує і дані все ще можуть бути вразливими, але це не означає, що не потрібно нічого роботи. Дані потрібно убезпечувати, а заходи безпеки мають бути контекстними та співмірними з реально існуючими ризиками, щоб середовище нормально функціонувало та суб’єкти системи мали доступ.
Будувати захист даних – не тільки обирати сучасні та надійні PETs. Радше, це побудова цілої архітектури з власною екосистемою. Будь-які рішення щодо захисту даних впливають на всю систему. Тому намагайтеся підходити до цього питання комплексно, як це заповідає концепція проєктованої приватності.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Стаття Ніссенбаум
🔹Огляд Мукеша Сінгха, CISSP, з інформаційної безпеки
#Санкції
💶 ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
Компанії та установи створюють безпекові політики для співробітників, забороняють їм працювати на особистих пристроях, забезпечують корпоративними гаджетами для роботи, встановлюють обмеження MDM. Але всі ці заходи не допоможуть, якщо співробітник ігнорує, а компанія – не стежить за безпосереднім дотриманням вимог. Наочним прикладом є нещодавній штраф данському муніципалітету Лолланн.
❓Що відбулося?
У грудні 2020 року Данський регулятор дізнався з повідомлення муніципалітету Лолланн, що у співробітника муніципалітету було викрадено робочий телефон. Телефон використовувався для доступу до робочої поштової скриньки співробітника, в якій містилася інформація про імена кількох громадян, номери соціального страхування, відомості про стан здоров'я та зловживання.
Телефон не був захищений паролем, оскільки ця функція була відключена. Таким чином, доступ до інформації, що зберігається на телефоні, було отримано. Муніципалітет зазначив, що протягом кількох років співробітники могли відключити обов'язкові паролі на телефонах та планшетах, щоб користуватися робочими гаджетами без введення паролю.
❓Яка думка регулятора?
Оскільки муніципалітети обробляють великі обсяги персональних даних громадян, вони несуть відповідальність за належне поводження з цими даними. Мобільні пристрої іноді крадуть, зламують або втрачають. Відповідно, регулятор був передбачувано категоричним: “Якщо сторонні особи можуть легко отримати доступ до інформації на пристроях, то муніципалітети не справляються з цією відповідальністю”.
Регулятор наголосив, що контролер даних повинен виходити з того, що не всі співробітники постійно дотримуються внутрішніх інструкцій, згідно з якими мобільні пристрої завжди повинні бути захищені паролем. Отже, ефективний захист буде залежати від того, чи такий пароль можна обійти, наприклад, завдяки тому, що користувач здатен відключити пароль.
Крім того, регулятор вважає, що викрадені мобільні пристрої зараз стали ретельніше перевірятися на наявність персональних даних, таких як дані кредитних карток і номери соціального страхування, до того, як вони будуть утилізовані, наприклад, шляхом перепродажу. А це значно підвищує ризики.
❓Що було порушено?
Стаття 32 GDPR, в якій зазначено, що контролер і процесор повинні вжити необхідних технічних і організаційних заходів для гарантування рівня безпеки відповідно до ризику.
Обробка персональних даних муніципалітетом Лолланн не відповідала зазначеному правилу.
Муніципалітет повинен був захистити свої мобільні пристрої паролем, який співробітники не могли б деактивувати самостійно.
❓Який штраф?
Муніципалітет Лолланн був оштрафований на 50 000 датських крон (€6700).
Надаючи відповідну рекомендацію поліції, регулятор прийняв до уваги той факт, що це – державний орган, який загалом несе особливу відповідальність за захист даних громадян. Муніципалітет Лолланн обробляє великі обсяги даних, зокрема чутливих, і , на думку регулятора, має місце невиконання технічних заходів.
Муніципалітет негайно вжив заходів щодо виправлення ситуації у вигляді нових запобіжних заходів та змін у технічному оснащенні телефонів, що надаються співробітникам.
🏆 ВИСНОВКИ
Не нехтуйте технічними та організаційними заходами: вони мають бути не просто красиво написані у внутрішніх політиках та угодах про обробку персональних даних, але й втілені в життя. Необхідно проводити тренінги для співробітників, а також роз'яснювальну роботу щодо важливості захисту персональних даних. Це потрібно для того, щоб паролі заважали зловмисникам, а не самим співробітникам.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Пресреліз рішення
💶 ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
Компанії та установи створюють безпекові політики для співробітників, забороняють їм працювати на особистих пристроях, забезпечують корпоративними гаджетами для роботи, встановлюють обмеження MDM. Але всі ці заходи не допоможуть, якщо співробітник ігнорує, а компанія – не стежить за безпосереднім дотриманням вимог. Наочним прикладом є нещодавній штраф данському муніципалітету Лолланн.
❓Що відбулося?
У грудні 2020 року Данський регулятор дізнався з повідомлення муніципалітету Лолланн, що у співробітника муніципалітету було викрадено робочий телефон. Телефон використовувався для доступу до робочої поштової скриньки співробітника, в якій містилася інформація про імена кількох громадян, номери соціального страхування, відомості про стан здоров'я та зловживання.
Телефон не був захищений паролем, оскільки ця функція була відключена. Таким чином, доступ до інформації, що зберігається на телефоні, було отримано. Муніципалітет зазначив, що протягом кількох років співробітники могли відключити обов'язкові паролі на телефонах та планшетах, щоб користуватися робочими гаджетами без введення паролю.
❓Яка думка регулятора?
Оскільки муніципалітети обробляють великі обсяги персональних даних громадян, вони несуть відповідальність за належне поводження з цими даними. Мобільні пристрої іноді крадуть, зламують або втрачають. Відповідно, регулятор був передбачувано категоричним: “Якщо сторонні особи можуть легко отримати доступ до інформації на пристроях, то муніципалітети не справляються з цією відповідальністю”.
Регулятор наголосив, що контролер даних повинен виходити з того, що не всі співробітники постійно дотримуються внутрішніх інструкцій, згідно з якими мобільні пристрої завжди повинні бути захищені паролем. Отже, ефективний захист буде залежати від того, чи такий пароль можна обійти, наприклад, завдяки тому, що користувач здатен відключити пароль.
Крім того, регулятор вважає, що викрадені мобільні пристрої зараз стали ретельніше перевірятися на наявність персональних даних, таких як дані кредитних карток і номери соціального страхування, до того, як вони будуть утилізовані, наприклад, шляхом перепродажу. А це значно підвищує ризики.
❓Що було порушено?
Стаття 32 GDPR, в якій зазначено, що контролер і процесор повинні вжити необхідних технічних і організаційних заходів для гарантування рівня безпеки відповідно до ризику.
Обробка персональних даних муніципалітетом Лолланн не відповідала зазначеному правилу.
Муніципалітет повинен був захистити свої мобільні пристрої паролем, який співробітники не могли б деактивувати самостійно.
❓Який штраф?
Муніципалітет Лолланн був оштрафований на 50 000 датських крон (€6700).
Надаючи відповідну рекомендацію поліції, регулятор прийняв до уваги той факт, що це – державний орган, який загалом несе особливу відповідальність за захист даних громадян. Муніципалітет Лолланн обробляє великі обсяги даних, зокрема чутливих, і , на думку регулятора, має місце невиконання технічних заходів.
Муніципалітет негайно вжив заходів щодо виправлення ситуації у вигляді нових запобіжних заходів та змін у технічному оснащенні телефонів, що надаються співробітникам.
🏆 ВИСНОВКИ
Не нехтуйте технічними та організаційними заходами: вони мають бути не просто красиво написані у внутрішніх політиках та угодах про обробку персональних даних, але й втілені в життя. Необхідно проводити тренінги для співробітників, а також роз'яснювальну роботу щодо важливості захисту персональних даних. Це потрібно для того, щоб паролі заважали зловмисникам, а не самим співробітникам.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Пресреліз рішення
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [05.09 — 11.09]
① Європейська рада із захисту даних (EDPB) випустила огляд фінансових та людських ресурсів, наданих державами-членами для наглядових органів із захисту даних. Згідно з даними, 77% із 30 DPA повідомили, що не мають достатнього бюджету, а 87% повідомили, що не мають достатньо людських ресурсів. EDPB випустив декілька висновків щодо проекту рішення щодо обов’язкових корпоративних правил групи Samres (контролер, процесор) та Hilti
➁ Європейський інспектор із захисту даних випустив висновок щодо пропозиції Регламенту щодо стандартів якості та безпеки для речовин людського походження, призначених для застосування людиною, та про скасування Директив 2002/98/ЄС та 2004/23/ЄС
➂ В Нідерландах опублікований огляд виконання GDPR. Результати показали потенційні проблеми щодо чітких галузевих правил і норм, непередбачуваних моделей застосування та м’якого підходу до сповіщення про порушення безпеки даних
➃ Ірландський регулятор оштрафував Instagram за порушення приватності дітей на 405 мільйонів євро
➄ Регулятор Британії випустив проект рекомендацій щодо технологій підвищення приватності (PETs)
➅ Регулятор Франції опублікував вказівки та найкращі практики використання автентифікації за допомогою цифрового токену
➆ Вищий регіональний суд Карлсруе скасував рішення Палати державних закупівель землі Баден-Вюртемберг, яке заблокувало лікарням обробку цифрових даних дочірньою компанією США в Люксембурзі
➇ Державна рада Бельгії звернулася до Суду ЄС з проханням винести попереднє рішення щодо законності норм, що передбачають обов’язкове зняття відбитків пальців дітей для ідентифікаційних карток і документів на проживання
➈ Австрійський регулятор постановив, що юридична фірма мала правові підстави для представлення персональних даних (ПД) суб’єкта даних як доказу в судовому розгляді відповідно до ст. 6(1)(f) GDPR
➉ Датський регулятор оголосив догану роздрібному продавцю споживчої електроніки за порушення статті 32(1) GDPR через те, що він не видалив ПД на використаному телевізорі
⑪ Ісландський регулятор постановив, що існує конфлікт інтересів, коли DPO одночасно є старшим юристом компанії, заступником генерального директора та членом правління. Однак DPO може займати посаду відповідального за комплаєнс
⑫ Румунський регулятор оштрафував Alpha Bank România на 1000 євро за помилкове відправлення документа, який містив ПД 4 осіб, іншому одержувачу через WhatsApp
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [05.09 — 11.09]
① Європейська рада із захисту даних (EDPB) випустила огляд фінансових та людських ресурсів, наданих державами-членами для наглядових органів із захисту даних. Згідно з даними, 77% із 30 DPA повідомили, що не мають достатнього бюджету, а 87% повідомили, що не мають достатньо людських ресурсів. EDPB випустив декілька висновків щодо проекту рішення щодо обов’язкових корпоративних правил групи Samres (контролер, процесор) та Hilti
➁ Європейський інспектор із захисту даних випустив висновок щодо пропозиції Регламенту щодо стандартів якості та безпеки для речовин людського походження, призначених для застосування людиною, та про скасування Директив 2002/98/ЄС та 2004/23/ЄС
➂ В Нідерландах опублікований огляд виконання GDPR. Результати показали потенційні проблеми щодо чітких галузевих правил і норм, непередбачуваних моделей застосування та м’якого підходу до сповіщення про порушення безпеки даних
➃ Ірландський регулятор оштрафував Instagram за порушення приватності дітей на 405 мільйонів євро
➄ Регулятор Британії випустив проект рекомендацій щодо технологій підвищення приватності (PETs)
➅ Регулятор Франції опублікував вказівки та найкращі практики використання автентифікації за допомогою цифрового токену
➆ Вищий регіональний суд Карлсруе скасував рішення Палати державних закупівель землі Баден-Вюртемберг, яке заблокувало лікарням обробку цифрових даних дочірньою компанією США в Люксембурзі
➇ Державна рада Бельгії звернулася до Суду ЄС з проханням винести попереднє рішення щодо законності норм, що передбачають обов’язкове зняття відбитків пальців дітей для ідентифікаційних карток і документів на проживання
➈ Австрійський регулятор постановив, що юридична фірма мала правові підстави для представлення персональних даних (ПД) суб’єкта даних як доказу в судовому розгляді відповідно до ст. 6(1)(f) GDPR
➉ Датський регулятор оголосив догану роздрібному продавцю споживчої електроніки за порушення статті 32(1) GDPR через те, що він не видалив ПД на використаному телевізорі
⑪ Ісландський регулятор постановив, що існує конфлікт інтересів, коли DPO одночасно є старшим юристом компанії, заступником генерального директора та членом правління. Однак DPO може займати посаду відповідального за комплаєнс
⑫ Румунський регулятор оштрафував Alpha Bank România на 1000 євро за помилкове відправлення документа, який містив ПД 4 осіб, іншому одержувачу через WhatsApp
🇺🇦 Все буде Україна!
#Аналітика
🔬ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
Більшість користувачів інтернету мали справу із токенами доступу, навіть якщо вони про це і не здогадувалися. З точки зору захисту персональних даних їх використання може нести певні ризики, саме тому CNIL розробили короткий огляд, який ми сьогодні проаналізуємо.
📍Автентифікація через токени доступу
Існує багато випадків, коли токени використовуються для автентифікації. Наприклад, при використанні онлайн ресурсів токени можуть зберігати певні дані, щоб користувачі не доводилось повторно вводити свої дані, або під час двофакторної автентифікації.
Токени можуть мати різну форму: ключі, диски, картки навіть біометричний ID може бути використано як токен. Але у рамках цього допису ми концентруємо увагу на цифровому токені.
Зазвичай при використанні цифрових токенів для автентифікації, вони передаються сервером на термінал і мають лімітований період існування. Такі токени можуть бути у вигляді посилання, яке передається через емейл, або смс.
❓Коли використовують цифрові токени?
Певно найпоширенішим використанням є зберігання вмісту корзини на вебсторінках, що продають товари, але цифрові токени використовуються і для:
🔹 підтвердження створення аккаунту, або паролю;
🔹 автоматичного підключення до сервера для полегшення доступу до певної послуги (приклад з корзиною)
❓Які ризики використання токенів?
Токени можуть бути як корисними, так і небезпечними. Річ у тім, що токен доступу у формі посилання можна вважати способом доступу персональних даних. Так, найпоширеніший спосіб зловмисного використання токенів є фішинг. Фішинг – вид шахрайства, кінцевою метою якого є доступ до даних. Зазвичай шахрай надсилає посилання, яке мімікрує відомий сайт. На копії сайта довірливий або неуважний користувач вводить свої дані, тим самим надаючи шахраю доступ до них.
📍Загальні рекомендації використання токенів доступу
🔸 логуйте створення і використання токенів;
🔸 визначте період валідності;
🔸 створюйте посилання автентифікації таким чином, аби вони не містили персональних даних;
🔸 не робіть токен єдиним способом автентифікації (користувач змінив пароль за допомогою посилання з токеном, але для входу в особистий кабінет йому все ще потрібно ввести новий пароль);
🔸 обмежте кількість разів використання токену;
🔸 автоматично анулюйте валідність токена при багаторазовому використанні.
📍Приклад від CNIL
Якщо ви створювали аккаунт, то певно знаєте процедуру з підтвердження його шляхом переходу за посиланням на вашій пошті. Задля убезпечення даної процедури CNIL рекомендує:
🔹 строк посилання з токеном має бути не більшим за пару хвилин;
🔹 після переходу за посиланням, токен доступу не має автоматично надавати доступ до аккаунту;
🔹 надішліть користувачу повідомлення про успішно створений аккаунт/змінений пароль.
🏆 ВИСНОВКИ
Токени доступу є досить корисною технологією, яка сильно спрощує користування мережею інтернет. Але без належних заходів захисту токени можуть принести більше шкоди, ніж користі, тому їх потрібно належним чином їх убезпечувати.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Огляд від CNIL (французька)
🔬ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
Більшість користувачів інтернету мали справу із токенами доступу, навіть якщо вони про це і не здогадувалися. З точки зору захисту персональних даних їх використання може нести певні ризики, саме тому CNIL розробили короткий огляд, який ми сьогодні проаналізуємо.
📍Автентифікація через токени доступу
Існує багато випадків, коли токени використовуються для автентифікації. Наприклад, при використанні онлайн ресурсів токени можуть зберігати певні дані, щоб користувачі не доводилось повторно вводити свої дані, або під час двофакторної автентифікації.
Токени можуть мати різну форму: ключі, диски, картки навіть біометричний ID може бути використано як токен. Але у рамках цього допису ми концентруємо увагу на цифровому токені.
Зазвичай при використанні цифрових токенів для автентифікації, вони передаються сервером на термінал і мають лімітований період існування. Такі токени можуть бути у вигляді посилання, яке передається через емейл, або смс.
❓Коли використовують цифрові токени?
Певно найпоширенішим використанням є зберігання вмісту корзини на вебсторінках, що продають товари, але цифрові токени використовуються і для:
🔹 підтвердження створення аккаунту, або паролю;
🔹 автоматичного підключення до сервера для полегшення доступу до певної послуги (приклад з корзиною)
❓Які ризики використання токенів?
Токени можуть бути як корисними, так і небезпечними. Річ у тім, що токен доступу у формі посилання можна вважати способом доступу персональних даних. Так, найпоширеніший спосіб зловмисного використання токенів є фішинг. Фішинг – вид шахрайства, кінцевою метою якого є доступ до даних. Зазвичай шахрай надсилає посилання, яке мімікрує відомий сайт. На копії сайта довірливий або неуважний користувач вводить свої дані, тим самим надаючи шахраю доступ до них.
📍Загальні рекомендації використання токенів доступу
🔸 логуйте створення і використання токенів;
🔸 визначте період валідності;
🔸 створюйте посилання автентифікації таким чином, аби вони не містили персональних даних;
🔸 не робіть токен єдиним способом автентифікації (користувач змінив пароль за допомогою посилання з токеном, але для входу в особистий кабінет йому все ще потрібно ввести новий пароль);
🔸 обмежте кількість разів використання токену;
🔸 автоматично анулюйте валідність токена при багаторазовому використанні.
📍Приклад від CNIL
Якщо ви створювали аккаунт, то певно знаєте процедуру з підтвердження його шляхом переходу за посиланням на вашій пошті. Задля убезпечення даної процедури CNIL рекомендує:
🔹 строк посилання з токеном має бути не більшим за пару хвилин;
🔹 після переходу за посиланням, токен доступу не має автоматично надавати доступ до аккаунту;
🔹 надішліть користувачу повідомлення про успішно створений аккаунт/змінений пароль.
🏆 ВИСНОВКИ
Токени доступу є досить корисною технологією, яка сильно спрощує користування мережею інтернет. Але без належних заходів захисту токени можуть принести більше шкоди, ніж користі, тому їх потрібно належним чином їх убезпечувати.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Огляд від CNIL (французька)
#Інформаційна_безпека
🛡RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
Для захисту даних важливо розуміти ризики та загрози. Нещодавно ENISA опублікувала дослідження атак ransomware (програм-вимагачів) за період з травня 2021 до червня 2022 року. В агенції наголошують, що хоча цей вид атак існує давно, останнім часом він набув нових варіантів та все ще поширений. Нижче говоримо про атаки ransomware та їх статистику.
📍Атаки ransomware
При атаці ransomware особи беруть під контроль активи організацій та вимагають викуп в обмін на повернення доступу до активу. ENISA пропонує виділити їх типи за такими ключовими елементами:
🔹 Активи – проти чого спрямована атака. Це можуть бути дані, вебсайт, екрани моніторів, облікові записи, пам'ять пристроїв, хмарні середовища тощо.
🔹 Дії – що хакери роблять з активами і як перехоплюють контроль: блокування, шифрування, видалення та крадіжка, але тут все залежить від фантазії хакера.
🔹 Шантаж – кульмінація атаки, до якого розвитку подій бути готовим.
По-перше, не всі атаки мотивовані фінансово. За даними ENISA іноді вимагають навіть змін у корпоративних політиках, стратегіях компанії, передати вірус іншим особам тощо. По-друге, хакери використовують багато важелів у перемовинах: оприлюднення атаки, частковий або повний витік даних, DDoS атаки на цільову інфраструктуру та інші.
📍Статистика та наслідки
З 3 640 атак ransomware, що за даними ENISA відбулись з травня 2021 по червень 2022 року по всьому світу, організація розглянула 623 атаки з особливим фокусом на Європу, Англію та США.
За результатами дослідження:
🔹 У 46,2% постраждали саме дані. В середньому це понад 10 терабайт даних на місяць.
🔹 58,2% викрадених даних містять персональні дані. З них 33% - це дані працівників, 18,3% - дані клієнтів.
🔹 У 37,88% інцидентів зловмисники повністю опублікували дані, що свідчить про невдачу перемовин. Приблизно 62,12% компаній вдалось якимось чином дійти згоди або вирішити питання щодо вимоги хакерів.
🔹 Топ-3 країни за кількістю атак: США, Німеччина та Франція.
🔹 Постраждали компанії будь-якого розміру в усіх можливих секторах. Топ-3 галузей, що постраждали: важка промисловість, інформаційні послуги, державний сектор.
🔹 Топ-3 види програм-агентів для атаки:
🔸LockBit (зазвичай шифрують дані та погрожують їх повною публікацією; частіше використовуються для шифрування фінансових даних та атак на компанії та уряд)
🔸Conti (система вимагання аналогічна LockBit; частіше помічений у Північній Америці та Західній Європі; часто страждають роздрібна торгівля, виробництво, будівництво)
🔸Hive (зазвичай використовує потрійну систему вимагання: викрадення даних, часткова публікація даних, DDoS атаки; часто зустрічається в секторі здоров’я)
*Для ваших IT-фахівців буде також цікаво подивитись на особливості побудови агентів та шляхи, які вони зазвичай використовують для проникнення в систему та дій з даними.
🏆 ВИСНОВКИ
Як бачимо, будь-хто може стати мішенню атак ransomware. Майже у половині інцидентів страждають саме дані, з яких левова частка - персональні. Рекомендуємо звернути увагу та оцінити ризики для вашої організації, аби завжди бути готовими до будь-яких обставин.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Дослідження ENISA
🔹Огляд агентів ransomware
🛡RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
Для захисту даних важливо розуміти ризики та загрози. Нещодавно ENISA опублікувала дослідження атак ransomware (програм-вимагачів) за період з травня 2021 до червня 2022 року. В агенції наголошують, що хоча цей вид атак існує давно, останнім часом він набув нових варіантів та все ще поширений. Нижче говоримо про атаки ransomware та їх статистику.
📍Атаки ransomware
При атаці ransomware особи беруть під контроль активи організацій та вимагають викуп в обмін на повернення доступу до активу. ENISA пропонує виділити їх типи за такими ключовими елементами:
🔹 Активи – проти чого спрямована атака. Це можуть бути дані, вебсайт, екрани моніторів, облікові записи, пам'ять пристроїв, хмарні середовища тощо.
🔹 Дії – що хакери роблять з активами і як перехоплюють контроль: блокування, шифрування, видалення та крадіжка, але тут все залежить від фантазії хакера.
🔹 Шантаж – кульмінація атаки, до якого розвитку подій бути готовим.
По-перше, не всі атаки мотивовані фінансово. За даними ENISA іноді вимагають навіть змін у корпоративних політиках, стратегіях компанії, передати вірус іншим особам тощо. По-друге, хакери використовують багато важелів у перемовинах: оприлюднення атаки, частковий або повний витік даних, DDoS атаки на цільову інфраструктуру та інші.
📍Статистика та наслідки
З 3 640 атак ransomware, що за даними ENISA відбулись з травня 2021 по червень 2022 року по всьому світу, організація розглянула 623 атаки з особливим фокусом на Європу, Англію та США.
За результатами дослідження:
🔹 У 46,2% постраждали саме дані. В середньому це понад 10 терабайт даних на місяць.
🔹 58,2% викрадених даних містять персональні дані. З них 33% - це дані працівників, 18,3% - дані клієнтів.
🔹 У 37,88% інцидентів зловмисники повністю опублікували дані, що свідчить про невдачу перемовин. Приблизно 62,12% компаній вдалось якимось чином дійти згоди або вирішити питання щодо вимоги хакерів.
🔹 Топ-3 країни за кількістю атак: США, Німеччина та Франція.
🔹 Постраждали компанії будь-якого розміру в усіх можливих секторах. Топ-3 галузей, що постраждали: важка промисловість, інформаційні послуги, державний сектор.
🔹 Топ-3 види програм-агентів для атаки:
🔸LockBit (зазвичай шифрують дані та погрожують їх повною публікацією; частіше використовуються для шифрування фінансових даних та атак на компанії та уряд)
🔸Conti (система вимагання аналогічна LockBit; частіше помічений у Північній Америці та Західній Європі; часто страждають роздрібна торгівля, виробництво, будівництво)
🔸Hive (зазвичай використовує потрійну систему вимагання: викрадення даних, часткова публікація даних, DDoS атаки; часто зустрічається в секторі здоров’я)
*Для ваших IT-фахівців буде також цікаво подивитись на особливості побудови агентів та шляхи, які вони зазвичай використовують для проникнення в систему та дій з даними.
🏆 ВИСНОВКИ
Як бачимо, будь-хто може стати мішенню атак ransomware. Майже у половині інцидентів страждають саме дані, з яких левова частка - персональні. Рекомендуємо звернути увагу та оцінити ризики для вашої організації, аби завжди бути готовими до будь-яких обставин.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Дослідження ENISA
🔹Огляд агентів ransomware
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [12.09 — 18.09]
① Європейська комісія оприлюднила проект Закону про кіберстійкість. Закон підвищує стандарти правил кібербезпеки та сприятиме «більш безпечному апаратному та програмному забезпеченню». Закон має на меті усунути вразливості кібербезпеки і краще інформувати користувачів. Закон вимагатиме від виробників програмного та апаратного забезпечення покращити безпеку продуктів від етапу проектування протягом життєвого циклу продуктів.
➁ Європейська рада із захисту даних оприлюднила заяву 03/2022 щодо Європейського кодексу поліцейської співпраці.
➂ Іспанський регулятор запустив інструмент для аналізу факторів ризику обробки персональних даних відповідно до GDPR. Цей інструмент дозволяє компаніям швидко провести оцінку ризиків обробки даних.
➃ В Каліфорнії підписаний Закон про віково-відповідний дизайн, який набуде чинності 1 липня 2024 року. Закон вводить вимоги до компаній, які надають онлайн-послуги чи продукти, до яких може мати доступ дитина, та вимагає, щоб усі параметри приватності за замовчуванням забезпечували високий рівень захисту приватності, і що інформація про приватність, умови обслуговування, політики та стандарти були стислими, помітними та зрозумілими для віку дітей.
➄ Privacy International випустила звіт про захист приватності при наскрізному шифруванні.
➅ З´явилося рішення Ірландського регулятора, яким накладено штраф 405 мільйонів євро на Instagram.
➆ Регулятор Кореї наклав штраф у розмірі 69,2 мільярда KRW (приблизно 50 мільйонів євро) на Google LLC і штраф у розмірі 30,8 мільярда KRW (приблизно. 22 мільйони євро) на Meta Platforms, Inc.
➇ Регулятор Франції (CNIL) оштрафував постачальника юридичних послуг Infogreffe на 250 000 євро. Було виявило порушення вимог щодо зберігання даних згідно зі ст. 5(1)(e) GDPR та зобов’язань щодо безпеки даних згідно зі ст. 32. Дані 25% користувачів Infogreffe зберігалися на веб-сайті понад заявлений 36-місячний період.
➈ Італійський регулятор постановив, що муніципалітет порушив статті 5, 12, 13 і 24 GDPR через використання своєї системи відеоспостереження, і порушив статтю 38(6) GDPR, призначивши свого DPO для захисту в судовому процесі.
➉ Данський регулятор ухвалив догану процесору за порушення статті 32(1) GDPR через недостатнє тестування нової функціональності системи, що призвело до того, що опікуна та піклувальники отримали доступ до інформації про прийомних дітей.
⑪ Данський регулятор ухвалив догану контролеру за порушення ст. 5 GDPR через відсутність достатньо чітких процедур аудиту процесорів та дотримання існуючих процедур.
⑫ Бельгійський регулятор оштрафував медичну лабораторію на 20 000 євро за порушення статей 5(1)(f), 12, 13, 14, 24, 25, 32, 35(1) і 35(3) GDPR через відсутність безпеки даних, політики приватності на своєму веб-сайті, а також неіснуючу оцінку впливу на захист даних.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [12.09 — 18.09]
① Європейська комісія оприлюднила проект Закону про кіберстійкість. Закон підвищує стандарти правил кібербезпеки та сприятиме «більш безпечному апаратному та програмному забезпеченню». Закон має на меті усунути вразливості кібербезпеки і краще інформувати користувачів. Закон вимагатиме від виробників програмного та апаратного забезпечення покращити безпеку продуктів від етапу проектування протягом життєвого циклу продуктів.
➁ Європейська рада із захисту даних оприлюднила заяву 03/2022 щодо Європейського кодексу поліцейської співпраці.
➂ Іспанський регулятор запустив інструмент для аналізу факторів ризику обробки персональних даних відповідно до GDPR. Цей інструмент дозволяє компаніям швидко провести оцінку ризиків обробки даних.
➃ В Каліфорнії підписаний Закон про віково-відповідний дизайн, який набуде чинності 1 липня 2024 року. Закон вводить вимоги до компаній, які надають онлайн-послуги чи продукти, до яких може мати доступ дитина, та вимагає, щоб усі параметри приватності за замовчуванням забезпечували високий рівень захисту приватності, і що інформація про приватність, умови обслуговування, політики та стандарти були стислими, помітними та зрозумілими для віку дітей.
➄ Privacy International випустила звіт про захист приватності при наскрізному шифруванні.
➅ З´явилося рішення Ірландського регулятора, яким накладено штраф 405 мільйонів євро на Instagram.
➆ Регулятор Кореї наклав штраф у розмірі 69,2 мільярда KRW (приблизно 50 мільйонів євро) на Google LLC і штраф у розмірі 30,8 мільярда KRW (приблизно. 22 мільйони євро) на Meta Platforms, Inc.
➇ Регулятор Франції (CNIL) оштрафував постачальника юридичних послуг Infogreffe на 250 000 євро. Було виявило порушення вимог щодо зберігання даних згідно зі ст. 5(1)(e) GDPR та зобов’язань щодо безпеки даних згідно зі ст. 32. Дані 25% користувачів Infogreffe зберігалися на веб-сайті понад заявлений 36-місячний період.
➈ Італійський регулятор постановив, що муніципалітет порушив статті 5, 12, 13 і 24 GDPR через використання своєї системи відеоспостереження, і порушив статтю 38(6) GDPR, призначивши свого DPO для захисту в судовому процесі.
➉ Данський регулятор ухвалив догану процесору за порушення статті 32(1) GDPR через недостатнє тестування нової функціональності системи, що призвело до того, що опікуна та піклувальники отримали доступ до інформації про прийомних дітей.
⑪ Данський регулятор ухвалив догану контролеру за порушення ст. 5 GDPR через відсутність достатньо чітких процедур аудиту процесорів та дотримання існуючих процедур.
⑫ Бельгійський регулятор оштрафував медичну лабораторію на 20 000 євро за порушення статей 5(1)(f), 12, 13, 14, 24, 25, 32, 35(1) і 35(3) GDPR через відсутність безпеки даних, політики приватності на своєму веб-сайті, а також неіснуючу оцінку впливу на захист даних.
🇺🇦 Все буде Україна!
#Академія_приватності
🔍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Ми оголошуємо набір студентів університетів для участі в “Академії приватності”!
А говорили, що захід для викладачів 🧐
Все правильно! Нашою основною цільовою аудиторією є викладачі закладів вищої освіти. Однак кінцева мета “Академії приватності” – не лише поглибити знання українських викладачів, але й створити навчальну програму із захисту персональних даних для студентів українських університетів.
Ця програма, а також система її викладання мають відповідати сучасним тенденціям, а головне – потребам і запитам студентів. Тому думка прогресивного студентства обов’язково має бути врахована.
Для більш ефективної роботи у кожну з команд викладачів різних спеціальностей ми прагнемо залучити студента, який допоможе врахувати інтереси здобувачів освіти, адаптувати новітні форми викладання.
Запрошуємо долучитися до “Академії приватності” студентів старших курсів ЗВО у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і мають своє бачення щодо вдосконалення системи викладання в українських закладах вищої освіти.
Серед усіх кандидатів ми оберемо 6 студентів, які 12–16 жовтня зможуть долучитися до “Академії приватності” онлайн чи офлайн у м. Києві.
Для участі необхідно до 30 вересня заповнити анкету за посиланням: https://forms.gle/UMEmDAMyQTM7iKbx5
Ми чекаємо на заявки і будемо вдячні, якщо розкажете про цю можливість знайомим студентам.
🇺🇦 Все буде Україна!
🔍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Ми оголошуємо набір студентів університетів для участі в “Академії приватності”!
А говорили, що захід для викладачів 🧐
Все правильно! Нашою основною цільовою аудиторією є викладачі закладів вищої освіти. Однак кінцева мета “Академії приватності” – не лише поглибити знання українських викладачів, але й створити навчальну програму із захисту персональних даних для студентів українських університетів.
Ця програма, а також система її викладання мають відповідати сучасним тенденціям, а головне – потребам і запитам студентів. Тому думка прогресивного студентства обов’язково має бути врахована.
Для більш ефективної роботи у кожну з команд викладачів різних спеціальностей ми прагнемо залучити студента, який допоможе врахувати інтереси здобувачів освіти, адаптувати новітні форми викладання.
Запрошуємо долучитися до “Академії приватності” студентів старших курсів ЗВО у сфері права, міжнародного права, кібербезпеки, охорони здоров’я, медіа та реклами, які зацікавлені тематикою захисту персональних даних і мають своє бачення щодо вдосконалення системи викладання в українських закладах вищої освіти.
Серед усіх кандидатів ми оберемо 6 студентів, які 12–16 жовтня зможуть долучитися до “Академії приватності” онлайн чи офлайн у м. Києві.
Для участі необхідно до 30 вересня заповнити анкету за посиланням: https://forms.gle/UMEmDAMyQTM7iKbx5
Ми чекаємо на заявки і будемо вдячні, якщо розкажете про цю можливість знайомим студентам.
🇺🇦 Все буде Україна!
#а_як_у_нас
🇺🇦 ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
Вже півроку йдуть активні бойові дії з російськими окупантами. Наші хлопці та дівчата метр за метром просувають лінію фронту, аби повністю звільнити нашу славну Україну. Але бойові дії тривають, і через повномасштабну агресію рф мільйони українців були вимушені покинути свої домівки. Відповідно, держава має надати допомогу внутрішньо переміщеним особам (ВПО).
Наразі органи державної влади та органи місцевого самоврядування отримують інформацію від ВПО через Google-форми. Офіс Уповноваженого з прав людини звернув увагу на цей факт і надав свої рекомендації.
🔸Використання Google-форм
Перше, на що звертає увагу Уповноважений, – це, власне, склад та зміст персональних даних, що обробляються з використанням гугл-форм. Даних, дійсно, немало, але цікавий інший момент: використання таких форм не відповідає вимогам законодавства про захист персональних даних. Так, відповідно до статті 4 ЗУ “Про ЗПД”, якщо володілець персональних даних є представником публічного сектору, то і розпорядником даних обов'язково має бути саме підприємство державної або комунальної форми власності.
🔸Повідомлення про обробку даних і підстава для обробки даних
Інше порушення, яке впадає в око – це типове для України ігнорування статті 12 Закону, тобто неповідомлення про обробку персональних даних. Більше того, майже кожна гугл-форма за давньою української традицією має чекбокс на отримання згоди. Але публічному сектору не потрібна згода на обробку персональних даних, адже для них є власна підстава, регламентована п. 2 ч.1 ст. 11 ЗУ “Про ЗПД”: на манер регламенту “паблік інтерест”, на наш манер – “дозвіл на обробку персональних даних”. Відповідно, згода не потрібна.
🔸Що ж рекомендує Уповноважений?
Очевидно, що усунути порушення захисту персональних даних і права на приватність. Тому органи публічної влади мають відмовитися від використання гугл-форм і використовувати власні офіційні вебсайти для обробки даних ВПО. Крім того, Уповноважений рекомендує провести фактично GDPR-compliance, а саме:
🔹Визначити мету обробки
🔹Визначити підстави для обробки
🔹Розробити повідомлення про обробку персональних даних
🔹Визначити порядок обробки персональних даних, враховуючи Типовий порядок обробки персональних даних
🔹Визначити перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки
🔹Визначити організаційні заходи
🔹Підписати із працівниками NDA
🔹Призначити DPO
🔹Визначити, чи проводиться обробка чутливих даних і, якщо так, то повідомити про це Уповноваженого
🏆 ВИСНОВКИ
Той факт, що Уповноважений звертає увагу на такі питання захисту персональних даних, вже є позитивною тенденцією. Сподіваємося, що важливі зрушення у розумінні та підходах до захисту персональних даних у подальшому будуть стосуватися усіх секторів та галузей економіки України.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рекомендації Уповноваженого Верховної Ради України з прав людини щодо деяких питань обробки персональних даних внутрішньо переміщених осіб органами державної влади та органами місцевого самоврядування
🇺🇦 ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
Вже півроку йдуть активні бойові дії з російськими окупантами. Наші хлопці та дівчата метр за метром просувають лінію фронту, аби повністю звільнити нашу славну Україну. Але бойові дії тривають, і через повномасштабну агресію рф мільйони українців були вимушені покинути свої домівки. Відповідно, держава має надати допомогу внутрішньо переміщеним особам (ВПО).
Наразі органи державної влади та органи місцевого самоврядування отримують інформацію від ВПО через Google-форми. Офіс Уповноваженого з прав людини звернув увагу на цей факт і надав свої рекомендації.
🔸Використання Google-форм
Перше, на що звертає увагу Уповноважений, – це, власне, склад та зміст персональних даних, що обробляються з використанням гугл-форм. Даних, дійсно, немало, але цікавий інший момент: використання таких форм не відповідає вимогам законодавства про захист персональних даних. Так, відповідно до статті 4 ЗУ “Про ЗПД”, якщо володілець персональних даних є представником публічного сектору, то і розпорядником даних обов'язково має бути саме підприємство державної або комунальної форми власності.
🔸Повідомлення про обробку даних і підстава для обробки даних
Інше порушення, яке впадає в око – це типове для України ігнорування статті 12 Закону, тобто неповідомлення про обробку персональних даних. Більше того, майже кожна гугл-форма за давньою української традицією має чекбокс на отримання згоди. Але публічному сектору не потрібна згода на обробку персональних даних, адже для них є власна підстава, регламентована п. 2 ч.1 ст. 11 ЗУ “Про ЗПД”: на манер регламенту “паблік інтерест”, на наш манер – “дозвіл на обробку персональних даних”. Відповідно, згода не потрібна.
🔸Що ж рекомендує Уповноважений?
Очевидно, що усунути порушення захисту персональних даних і права на приватність. Тому органи публічної влади мають відмовитися від використання гугл-форм і використовувати власні офіційні вебсайти для обробки даних ВПО. Крім того, Уповноважений рекомендує провести фактично GDPR-compliance, а саме:
🔹Визначити мету обробки
🔹Визначити підстави для обробки
🔹Розробити повідомлення про обробку персональних даних
🔹Визначити порядок обробки персональних даних, враховуючи Типовий порядок обробки персональних даних
🔹Визначити перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки
🔹Визначити організаційні заходи
🔹Підписати із працівниками NDA
🔹Призначити DPO
🔹Визначити, чи проводиться обробка чутливих даних і, якщо так, то повідомити про це Уповноваженого
🏆 ВИСНОВКИ
Той факт, що Уповноважений звертає увагу на такі питання захисту персональних даних, вже є позитивною тенденцією. Сподіваємося, що важливі зрушення у розумінні та підходах до захисту персональних даних у подальшому будуть стосуватися усіх секторів та галузей економіки України.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рекомендації Уповноваженого Верховної Ради України з прав людини щодо деяких питань обробки персональних даних внутрішньо переміщених осіб органами державної влади та органами місцевого самоврядування
#Санкції
💶 ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
Ірландський регулятор DPC оштрафував компанію Meta за порушення GDPR за результатами дворічного розслідування щодо обробки даних дітей соціальною мережею Instagram. Це найбільший штраф, накладений ірландським регулятором, та другий за величиною за історію GDPR.
📍Контекст
Через негативний вплив вдобайок на психічне здоров'я неповнолітніх, Instagram приховав відображення кількості вподобайок під дописами від користувачів соцмережі. Ця зміна підштовхнула неповнолітніх до створення бізнес-акаунтів, щоб скористатися додатковими функціями, наприклад, статистикою щодо вподобайок.
❓У чому полягало правопорушення?
Розслідування щодо Instagram було зосереджено на двох питаннях:
🔹Публікація даних. Підліткам у віці 13-17 років було дозволено вести "бізнес-акаунти" в Instagram, що призвело до публікації номерів телефонів та адрес електронної пошти користувачів.
🔹Публічність. Всі акаунти, включаючи акаунти дітей, за замовчуванням були встановлені як загальнодоступні, якщо не змінити налаштування приватності.
❓Які правові підстави були використані помилково?
🔻Виконання договору. Обробка не була необхідна для виконання договору, а публікація контактних даних – очікуваною. Порушено принципу пропорційності. Була технічна можливість під час реєстрації відрізнити дітей-користувачів на основі інформації про вік і уникнути публікації їхніх контактних даних.
🔻Легітимний інтерес. Відсутність збалансованості. Діти не були попереджені про те, що їх контактні дані стануть публічними. Інформація про обробку не була достатньо прозорою та зрозумілою. Також не були застосовані достатні та адекватні додаткові гарантії.
🔻Публічність за замовчуванням. Порушено принципи мінімізації та приватності за замовчуванням: дані користувачів-дітей, які бажали мати приватний акаунт в Instagram, не обмежувалися лише тим, що було необхідним для такої мети обробки. До того ж, Meta не провела DPIA.
❓Як визначили штраф?
У грудні 2021 року DPC подав проєкт рішення до всіх європейських зацікавлених наглядових органів. Оскільки деякі держави-члени висловили заперечення, DPC передав справу на розгляд EDPB. Після обов'язкового до виконання рішення EDPB від 28.07.2022 року, DPC оголосив своє остаточне рішення щодо Meta, наклавши штраф у розмірі €405 млн та низку коригувальних заходів:
🔹надавати користувачам-дітям інформацію у чіткій та прозорій формі;
🔹повідомити всіх користувачів, які перейшли на бізнес-акаунт в період з 25.05.2018 по 04.09.2019 та були дітьми, про те, що компанія скасувала вимогу про публікацію контактної інформації;
🔹провести DPIA;
🔹переглянути підстави обробки даних.
За заявою Meta, компанія повною мірою співпрацювала з DPC під час розслідування, але не погоджується із сумою штрафу. Рік тому Meta оновила налаштування: для всіх, кому не виповнилося 18 років, автоматично встановлюється приватний статус облікового запису, тому тільки люди, яких вони знають, можуть бачити те, що вони публікують, і дорослі не можуть надсилати повідомлення підліткам, які не “стежать” за ними.
🏆 ВИСНОВКИ
Штраф є знаковим не лише через кількість нулів, але й тому, що він показує, наскільки чутливим стає питання захисту неповнолітніх. У роботі з даними дітей необхідно бути ще більш обережними та забезпечувати найсуворіші налаштування приватності за замовчуванням.
38 стаття преамбули GDPR підкреслює, що у випадках, коли дані дітей використовуються для створення профілів користувачів, повинні застосовуватися спеціальні засоби захисту, оскільки діти можуть бути менш обізнані про ризики, наслідки та гарантії, а також про свої права щодо обробки їхніх даних.
Наразі ірландський регулятор готує щонайменше 6 інших розслідувань щодо сервісів, що належать Meta, а також розслідує обробку даних дітей TikTok. Тому очікуйте нових дописів у рубриці #Санкції.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора
💶 ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
Ірландський регулятор DPC оштрафував компанію Meta за порушення GDPR за результатами дворічного розслідування щодо обробки даних дітей соціальною мережею Instagram. Це найбільший штраф, накладений ірландським регулятором, та другий за величиною за історію GDPR.
📍Контекст
Через негативний вплив вдобайок на психічне здоров'я неповнолітніх, Instagram приховав відображення кількості вподобайок під дописами від користувачів соцмережі. Ця зміна підштовхнула неповнолітніх до створення бізнес-акаунтів, щоб скористатися додатковими функціями, наприклад, статистикою щодо вподобайок.
❓У чому полягало правопорушення?
Розслідування щодо Instagram було зосереджено на двох питаннях:
🔹Публікація даних. Підліткам у віці 13-17 років було дозволено вести "бізнес-акаунти" в Instagram, що призвело до публікації номерів телефонів та адрес електронної пошти користувачів.
🔹Публічність. Всі акаунти, включаючи акаунти дітей, за замовчуванням були встановлені як загальнодоступні, якщо не змінити налаштування приватності.
❓Які правові підстави були використані помилково?
🔻Виконання договору. Обробка не була необхідна для виконання договору, а публікація контактних даних – очікуваною. Порушено принципу пропорційності. Була технічна можливість під час реєстрації відрізнити дітей-користувачів на основі інформації про вік і уникнути публікації їхніх контактних даних.
🔻Легітимний інтерес. Відсутність збалансованості. Діти не були попереджені про те, що їх контактні дані стануть публічними. Інформація про обробку не була достатньо прозорою та зрозумілою. Також не були застосовані достатні та адекватні додаткові гарантії.
🔻Публічність за замовчуванням. Порушено принципи мінімізації та приватності за замовчуванням: дані користувачів-дітей, які бажали мати приватний акаунт в Instagram, не обмежувалися лише тим, що було необхідним для такої мети обробки. До того ж, Meta не провела DPIA.
❓Як визначили штраф?
У грудні 2021 року DPC подав проєкт рішення до всіх європейських зацікавлених наглядових органів. Оскільки деякі держави-члени висловили заперечення, DPC передав справу на розгляд EDPB. Після обов'язкового до виконання рішення EDPB від 28.07.2022 року, DPC оголосив своє остаточне рішення щодо Meta, наклавши штраф у розмірі €405 млн та низку коригувальних заходів:
🔹надавати користувачам-дітям інформацію у чіткій та прозорій формі;
🔹повідомити всіх користувачів, які перейшли на бізнес-акаунт в період з 25.05.2018 по 04.09.2019 та були дітьми, про те, що компанія скасувала вимогу про публікацію контактної інформації;
🔹провести DPIA;
🔹переглянути підстави обробки даних.
За заявою Meta, компанія повною мірою співпрацювала з DPC під час розслідування, але не погоджується із сумою штрафу. Рік тому Meta оновила налаштування: для всіх, кому не виповнилося 18 років, автоматично встановлюється приватний статус облікового запису, тому тільки люди, яких вони знають, можуть бачити те, що вони публікують, і дорослі не можуть надсилати повідомлення підліткам, які не “стежать” за ними.
🏆 ВИСНОВКИ
Штраф є знаковим не лише через кількість нулів, але й тому, що він показує, наскільки чутливим стає питання захисту неповнолітніх. У роботі з даними дітей необхідно бути ще більш обережними та забезпечувати найсуворіші налаштування приватності за замовчуванням.
38 стаття преамбули GDPR підкреслює, що у випадках, коли дані дітей використовуються для створення профілів користувачів, повинні застосовуватися спеціальні засоби захисту, оскільки діти можуть бути менш обізнані про ризики, наслідки та гарантії, а також про свої права щодо обробки їхніх даних.
Наразі ірландський регулятор готує щонайменше 6 інших розслідувань щодо сервісів, що належать Meta, а також розслідує обробку даних дітей TikTok. Тому очікуйте нових дописів у рубриці #Санкції.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [19.09 — 25.09]
① Європейська рада із захисту даних (EDPB) випустила Висновок 25/2022 щодо критеріїв сертифікації European Privacy Seal (EuroPriSe) для сертифікації операцій обробки процесорами, будучи проти, оскільки «обсяг схеми сертифікації недостатньо чіткий»
➁ Іспанський регулятор (AEPD) і Європейський інспектор із захисту даних (EDPS) випустили спільний документ, спрямований на роз’яснення поширених помилок, пов’язаних із системами машинного навчання, підкреслюючи при цьому важливість «принципів захисту даних»
➂ Управління із захисту даних Франції (CNIL) створило проект технічних рекомендацій щодо прикладних програмних інтерфейсів (API), фідбек можна залишити до 1 листопада
➃ Берлінський регулятор оштрафував продавця роздрібної торгівлі на суму 525 000 євро за порушення вимог до DPO. Розслідування виявило ймовірний конфлікт інтересів між статусом DPO та наявності обов’язків щодо прийняття рішень, що порушувало ст. 38(6) GDPR. Компанія отримала попередження від регулятора ще у 2021 році.
➄ Регулятор Британії (ICO) розпочав другу консультацію щодо проекту кодексу журналістики. Кодекс покликаний запропонувати «практичний посібник» для медіа організацій і репортерів щодо дотримання правил захисту даних при використанні персональних даних у журналістських цілях
➅ Орган захисту даних Франції (CNIL) опублікував набір ресурсів щодо штучного інтелекту, а у своєму недавньому дослідженні щодо майбутнього регулювання штучного інтелекту, Державна рада Франції рекомендувала надати CNIL повноваження щодо накладення штрафів за порушення регулювання штучного інтелекту
➆ Регулятор Данії випустив відповіді на поширені питання щодо використання Google Analytics
➇ Британський регулятор оголосив про намір оштрафувати TikTok на 27 мільйонів фунтів за потенційні порушення щодо обробки даних неповнолітніх без згоди, незаконної обробки даних спеціальної категорії даних та недостатньої прозорості
➈ Хорватський регулятор виніс попередження банку за надмірну публікацію персональних даних переможців призових ігор на своїй веб-сторінці
➉ Хорватський регулятор визначив, що фотографія людини, яка замаскувалась в куртці та носить захисну маску не становить персональні дані, оскільки середньостатистична особа не зможе ідентифікувати таку особу
⑪ Хорватський регулятор виніс попередження Центру соціального забезпечення за порушення ст.ст. 5 та 6 GDPR, опублікувавши персональні дані своїх працівників на своїй дошці оголошень
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [19.09 — 25.09]
① Європейська рада із захисту даних (EDPB) випустила Висновок 25/2022 щодо критеріїв сертифікації European Privacy Seal (EuroPriSe) для сертифікації операцій обробки процесорами, будучи проти, оскільки «обсяг схеми сертифікації недостатньо чіткий»
➁ Іспанський регулятор (AEPD) і Європейський інспектор із захисту даних (EDPS) випустили спільний документ, спрямований на роз’яснення поширених помилок, пов’язаних із системами машинного навчання, підкреслюючи при цьому важливість «принципів захисту даних»
➂ Управління із захисту даних Франції (CNIL) створило проект технічних рекомендацій щодо прикладних програмних інтерфейсів (API), фідбек можна залишити до 1 листопада
➃ Берлінський регулятор оштрафував продавця роздрібної торгівлі на суму 525 000 євро за порушення вимог до DPO. Розслідування виявило ймовірний конфлікт інтересів між статусом DPO та наявності обов’язків щодо прийняття рішень, що порушувало ст. 38(6) GDPR. Компанія отримала попередження від регулятора ще у 2021 році.
➄ Регулятор Британії (ICO) розпочав другу консультацію щодо проекту кодексу журналістики. Кодекс покликаний запропонувати «практичний посібник» для медіа організацій і репортерів щодо дотримання правил захисту даних при використанні персональних даних у журналістських цілях
➅ Орган захисту даних Франції (CNIL) опублікував набір ресурсів щодо штучного інтелекту, а у своєму недавньому дослідженні щодо майбутнього регулювання штучного інтелекту, Державна рада Франції рекомендувала надати CNIL повноваження щодо накладення штрафів за порушення регулювання штучного інтелекту
➆ Регулятор Данії випустив відповіді на поширені питання щодо використання Google Analytics
➇ Британський регулятор оголосив про намір оштрафувати TikTok на 27 мільйонів фунтів за потенційні порушення щодо обробки даних неповнолітніх без згоди, незаконної обробки даних спеціальної категорії даних та недостатньої прозорості
➈ Хорватський регулятор виніс попередження банку за надмірну публікацію персональних даних переможців призових ігор на своїй веб-сторінці
➉ Хорватський регулятор визначив, що фотографія людини, яка замаскувалась в куртці та носить захисну маску не становить персональні дані, оскільки середньостатистична особа не зможе ідентифікувати таку особу
⑪ Хорватський регулятор виніс попередження Центру соціального забезпечення за порушення ст.ст. 5 та 6 GDPR, опублікувавши персональні дані своїх працівників на своїй дошці оголошень
🇺🇦 Все буде Україна!
#Аналітика
🔬ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
20 вересня французький регулятор СNIL анонсував публічне обговорення проєкту своїх рекомендацій щодо використання application programming interfaces (APIs) для цілей безпечної передачі даних у приватному та публічному секторах. Публічне обговорення триватиме до 1 листопада 2022 року, а тому усі зацікавлені можуть поділитися своєю експертною думкою, а наприкінці року регулятор затвердить остаточні рекомендації та надасть практичний інструмент для їх впровадження.
📍Мета рекомендацій
Протягом кількох останніх років СNIL спостерігав зростання обміну персональними даними, що, на думку регулятора, викликано збільшенням інтересу до повторного використання даних для різних цілей. У зв’язку з цим, регулятор вирішив запропонувати представникам публічного та приватного секторів технічні та організаційні заходи, які відповідають найкращим практикам використання API та гарантують безпечну передачу персональних даних.
📍 Сфера застосування
Рекомендації спрямовані на визначення випадків, у яких є доцільним використання API для безпечного обміну персональними даними чи інформацією, отриманою в результаті їх анонімізації, а також на поширення певних передових практик щодо їх реалізації та використання.
У проєкті рекомендацій СNIL визначає три функціональні ролі у процесі використання API для обміну даними – володілець даних, менеджер API та повторний користувач даними, та відповідно адаптує різні категорії технічних заходів під кожну з цих ролей.
📍Випадки, коли СNIL рекомендує використовувати API
Використанню API слід надавати перевагу, коли:
🔸 дані передаються декільком повторним користувачам та/або
🔸 дані часто оновлюються, та/або
🔸 повторним користувачам потрібно регулярно отримувати доступ до них, та/або
🔸 їх зберігання повторним користувачем не є необхідним (одноразове використання або безперервна обробка без потреби у зберіганні), та/або
🔸 повторному користувачеві не потрібен постійний доступ до всіх даних, а лише до підмножини даних, яку неможливо визначити заздалегідь, та/або
🔸методи, що використовуються для гарантування безпеки, ймовірно будуть оновлені.
СNIL зауважує, що використання API дозволяє краще керувати обміном даних, з одного боку, контролюючи доступ, деталізацію даних, до яких здійснюється доступ, і, де це можливо, цілі, для яких дані використовуються, а з іншого боку, завдяки впровадженню стандартизованого інтерфейсу обміну, дозволяючи безпечну передачу інформації, пов’язаної з обміном даними (період зберігання, управління реалізацією прав тощо).
📍Ризики використання API
Серед ризиків, які виділяє СNIL:
🔸 нецільове використання даних і втрата конфіденційності;
🔸 зменшення точності даних;
🔸 втрата контролю та доступу до даних;
🔸 збільшення можливостей для потенційних атак.
📍Взаємодія між учасниками обміну даних через API
Організації, які беруть участь у обміні даними через API, повинні координувати свої дії та формалізувати свою взаємодію у документації із визначенням ролі та обов’язків кожного суб’єкта. Організації повинні налагодити співпрацю, щоб надавати чітку та повну інформацію особам щодо обробки та надання їхніх персональних даних.
🏆 ВИСНОВКИ
API змінили світ, у якому ми живемо. Вони використовуються, коли ми гортаємо соціальні мережі, здійснюємо онлайн-покупки, керуємо автомобілем або дивимося Netflix. Найважливіше, аби передача персональних даних із використанням API була безпечною, a всі актори у цьому процесі розуміли свої обов’язки та відповідальність.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Проєкт рекомендацій СNIL для публічного обговорення
🔬ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
20 вересня французький регулятор СNIL анонсував публічне обговорення проєкту своїх рекомендацій щодо використання application programming interfaces (APIs) для цілей безпечної передачі даних у приватному та публічному секторах. Публічне обговорення триватиме до 1 листопада 2022 року, а тому усі зацікавлені можуть поділитися своєю експертною думкою, а наприкінці року регулятор затвердить остаточні рекомендації та надасть практичний інструмент для їх впровадження.
📍Мета рекомендацій
Протягом кількох останніх років СNIL спостерігав зростання обміну персональними даними, що, на думку регулятора, викликано збільшенням інтересу до повторного використання даних для різних цілей. У зв’язку з цим, регулятор вирішив запропонувати представникам публічного та приватного секторів технічні та організаційні заходи, які відповідають найкращим практикам використання API та гарантують безпечну передачу персональних даних.
📍 Сфера застосування
Рекомендації спрямовані на визначення випадків, у яких є доцільним використання API для безпечного обміну персональними даними чи інформацією, отриманою в результаті їх анонімізації, а також на поширення певних передових практик щодо їх реалізації та використання.
У проєкті рекомендацій СNIL визначає три функціональні ролі у процесі використання API для обміну даними – володілець даних, менеджер API та повторний користувач даними, та відповідно адаптує різні категорії технічних заходів під кожну з цих ролей.
📍Випадки, коли СNIL рекомендує використовувати API
Використанню API слід надавати перевагу, коли:
🔸 дані передаються декільком повторним користувачам та/або
🔸 дані часто оновлюються, та/або
🔸 повторним користувачам потрібно регулярно отримувати доступ до них, та/або
🔸 їх зберігання повторним користувачем не є необхідним (одноразове використання або безперервна обробка без потреби у зберіганні), та/або
🔸 повторному користувачеві не потрібен постійний доступ до всіх даних, а лише до підмножини даних, яку неможливо визначити заздалегідь, та/або
🔸методи, що використовуються для гарантування безпеки, ймовірно будуть оновлені.
СNIL зауважує, що використання API дозволяє краще керувати обміном даних, з одного боку, контролюючи доступ, деталізацію даних, до яких здійснюється доступ, і, де це можливо, цілі, для яких дані використовуються, а з іншого боку, завдяки впровадженню стандартизованого інтерфейсу обміну, дозволяючи безпечну передачу інформації, пов’язаної з обміном даними (період зберігання, управління реалізацією прав тощо).
📍Ризики використання API
Серед ризиків, які виділяє СNIL:
🔸 нецільове використання даних і втрата конфіденційності;
🔸 зменшення точності даних;
🔸 втрата контролю та доступу до даних;
🔸 збільшення можливостей для потенційних атак.
📍Взаємодія між учасниками обміну даних через API
Організації, які беруть участь у обміні даними через API, повинні координувати свої дії та формалізувати свою взаємодію у документації із визначенням ролі та обов’язків кожного суб’єкта. Організації повинні налагодити співпрацю, щоб надавати чітку та повну інформацію особам щодо обробки та надання їхніх персональних даних.
🏆 ВИСНОВКИ
API змінили світ, у якому ми живемо. Вони використовуються, коли ми гортаємо соціальні мережі, здійснюємо онлайн-покупки, керуємо автомобілем або дивимося Netflix. Найважливіше, аби передача персональних даних із використанням API була безпечною, a всі актори у цьому процесі розуміли свої обов’язки та відповідальність.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Проєкт рекомендацій СNIL для публічного обговорення
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [26.09 — 02.10]
① Французький регулятор (CNIL) проаналізував основні типи систем перевірки віку, щоб пояснити свою позицію щодо перевірки віку в Інтернеті
➁ Французький регулятор (CNIL) створив чек-лист додержання вимог GDPR для контролерів, які керують сховищами даних про здоров’я
➂ Регулятор Словенії роз’яснив, що кожен збирач підписів на підтримку з політичною метою (референдуми, вибори) є контролером даних і тому зобов’язаний забезпечити обробку персональних даних відповідно до GDPR, в тому числі проінформувати, як він буде обробляти персональні дані
➃ Іспанський регулятор дійшов висновку, що компанія з виготовлення весільних суконь (контролер) розмістила фотографію скаржника без згоди в Instagram, чим порушила ст. 6 GDPR. Регулятор наклав на контролера штраф у розмірі 10 тисяч євро
➄ Бельгійський апеляційний суд (Марктенхоф) передав два питання до Суду Європейського Союзу: чи є рядок TC (код, що містить рішення щодо згоди користувача) персональними даними, і запитав про природу спільних контролерів
➅ Регулятор Баден-Вюртембергу оштрафував компанію з будівництва нерухомості на 50 000 євро та геодезиста на 5 000 євро за неправомірне використання даних земельної книги в порушення статей 6(1)(f) і 14 GDPR
➆ Угорський регулятор постановив, що запис голосу, який здійснив працівник контролера на свій мобільний телефон під час ремонтних робіт вдома у суб’єкта даних, про що останній не був повідомлений є незаконним, оскільки порушує принципи обмеження мети, мінімізації даних і не не було інформування суб’єкта даних. Контролера оштрафували на 700 євро
➇ Ісландський регулятор постановив, що обробка персональних даних для проекту дослідження генів відповідає GDPR, оскільки, серед іншого, можна створити наукову статтю, не будучи контролером проаналізованих персональних даних
➈ Італійський регулятор оштрафував Федерацію сомельє, готельєрів і рестораторів на 5000 євро за порушення принципів законності та мінімізації даних за публікацію оскаржуваного дисциплінарного стягнення всупереч внутрішнім правилам процедури
➉ Окружний суд Амстердама зобов’язав кредитора видалити суб’єкта даних із кредитного реєстру. Інтерес суб’єкта даних у видаленні переважав над законними інтересами кредитора у кредитному реєстрі, оскільки суб’єкт даних представляв низький фінансовий ризик
⑪ Іспанський регулятор постановив, що банк не порушив безпеку обробки, коли суб’єкт даних повідомив його про можливу шахрайську транзакцію, оскільки банк виконав свої зобов’язання згідно зі ст. 32 GDPR
⑫ Іспанський регулятор оштрафував роботодавця на 3000 євро за списання коштів з банківського рахунку колишнього працівника за деякі послуги. DPA постановив, що контролер обробляв персональні дані без правової підстави відповідно до статті 6 GDPR
🇺🇦Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [26.09 — 02.10]
① Французький регулятор (CNIL) проаналізував основні типи систем перевірки віку, щоб пояснити свою позицію щодо перевірки віку в Інтернеті
➁ Французький регулятор (CNIL) створив чек-лист додержання вимог GDPR для контролерів, які керують сховищами даних про здоров’я
➂ Регулятор Словенії роз’яснив, що кожен збирач підписів на підтримку з політичною метою (референдуми, вибори) є контролером даних і тому зобов’язаний забезпечити обробку персональних даних відповідно до GDPR, в тому числі проінформувати, як він буде обробляти персональні дані
➃ Іспанський регулятор дійшов висновку, що компанія з виготовлення весільних суконь (контролер) розмістила фотографію скаржника без згоди в Instagram, чим порушила ст. 6 GDPR. Регулятор наклав на контролера штраф у розмірі 10 тисяч євро
➄ Бельгійський апеляційний суд (Марктенхоф) передав два питання до Суду Європейського Союзу: чи є рядок TC (код, що містить рішення щодо згоди користувача) персональними даними, і запитав про природу спільних контролерів
➅ Регулятор Баден-Вюртембергу оштрафував компанію з будівництва нерухомості на 50 000 євро та геодезиста на 5 000 євро за неправомірне використання даних земельної книги в порушення статей 6(1)(f) і 14 GDPR
➆ Угорський регулятор постановив, що запис голосу, який здійснив працівник контролера на свій мобільний телефон під час ремонтних робіт вдома у суб’єкта даних, про що останній не був повідомлений є незаконним, оскільки порушує принципи обмеження мети, мінімізації даних і не не було інформування суб’єкта даних. Контролера оштрафували на 700 євро
➇ Ісландський регулятор постановив, що обробка персональних даних для проекту дослідження генів відповідає GDPR, оскільки, серед іншого, можна створити наукову статтю, не будучи контролером проаналізованих персональних даних
➈ Італійський регулятор оштрафував Федерацію сомельє, готельєрів і рестораторів на 5000 євро за порушення принципів законності та мінімізації даних за публікацію оскаржуваного дисциплінарного стягнення всупереч внутрішнім правилам процедури
➉ Окружний суд Амстердама зобов’язав кредитора видалити суб’єкта даних із кредитного реєстру. Інтерес суб’єкта даних у видаленні переважав над законними інтересами кредитора у кредитному реєстрі, оскільки суб’єкт даних представляв низький фінансовий ризик
⑪ Іспанський регулятор постановив, що банк не порушив безпеку обробки, коли суб’єкт даних повідомив його про можливу шахрайську транзакцію, оскільки банк виконав свої зобов’язання згідно зі ст. 32 GDPR
⑫ Іспанський регулятор оштрафував роботодавця на 3000 євро за списання коштів з банківського рахунку колишнього працівника за деякі послуги. DPA постановив, що контролер обробляв персональні дані без правової підстави відповідно до статті 6 GDPR
🇺🇦Все буде Україна!
#Санкції
💶 ШТРАФ ЗА ВІГІЛАНТИЗМ
Є такі люди, які від природи мають загострене почуття справедливості. У деяких випадках це гарна риса, а у деяких — не дуже.
До чого це ми? А до того, що герой цього допису як раз і є тією людиною.
Його історія завершилася штрафом у 600 євро.
❓Що трапилося?
У дитячому садочку працювала викладачка, яка публічно заявляла, що вона на 50% особа з інвалідністю. Наш вігілант дізнався, що це неправда і надіслав електронного листа до органу публічної влади. Серед іншого, у листі був судовий протокол у якому були дані про здоров'я викладачки. Невідомо, як влада відреагувала на інформацію, що викладачка каже неправду, але відомо, що відправнику листа було виписано штраф у 600 євро за незаконну обробку персональних даних.
❓Що було порушено?
Австрійський регулятор констатував порушення статті 5.1.а, а також статті 9.1, 9.2. Тобто обробка чутливих персональних даних без згоди.
🏆 ВИСНОВКИ
Відповідно до статті 9 Регламенту, не потрібно отримувати згоду на обробку чутливих даних, які були публічно розголошені суб'єктом персональних даних.
Схоже, саме на цей виняток і опирався герой допису, коли відправлял емейл до органів публічної влади. Але він упустив момент, що дані, які стосуються здоров'я, навіть якщо людина повністю здорова, це все одно чутлива інформація, що потребує згоди на її обробку.
Таким чином, аби уникнути штрафу, йому слідувало б закликати органи провести власне розслідування і встановити факти, а не займатися вігілантизмом.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора (німецькою)
💶 ШТРАФ ЗА ВІГІЛАНТИЗМ
Є такі люди, які від природи мають загострене почуття справедливості. У деяких випадках це гарна риса, а у деяких — не дуже.
До чого це ми? А до того, що герой цього допису як раз і є тією людиною.
Його історія завершилася штрафом у 600 євро.
❓Що трапилося?
У дитячому садочку працювала викладачка, яка публічно заявляла, що вона на 50% особа з інвалідністю. Наш вігілант дізнався, що це неправда і надіслав електронного листа до органу публічної влади. Серед іншого, у листі був судовий протокол у якому були дані про здоров'я викладачки. Невідомо, як влада відреагувала на інформацію, що викладачка каже неправду, але відомо, що відправнику листа було виписано штраф у 600 євро за незаконну обробку персональних даних.
❓Що було порушено?
Австрійський регулятор констатував порушення статті 5.1.а, а також статті 9.1, 9.2. Тобто обробка чутливих персональних даних без згоди.
🏆 ВИСНОВКИ
Відповідно до статті 9 Регламенту, не потрібно отримувати згоду на обробку чутливих даних, які були публічно розголошені суб'єктом персональних даних.
Схоже, саме на цей виняток і опирався герой допису, коли відправлял емейл до органів публічної влади. Але він упустив момент, що дані, які стосуються здоров'я, навіть якщо людина повністю здорова, це все одно чутлива інформація, що потребує згоди на її обробку.
Таким чином, аби уникнути штрафу, йому слідувало б закликати органи провести власне розслідування і встановити факти, а не займатися вігілантизмом.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора (німецькою)
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [03.10 — 09.10]
① Президент США підписав указ про впровадження Рамкової угоди щодо приватності даних між ЄС і США (“EU-US Data Privacy Framework”). У супровідному інформаційному листі пояснюється, що EU-US DPF має на меті відновити підставу для транскордонних передач даних в США
➁ Британський регулятор опублікував інструкції для маркетологів, які використовують "живі" (неавтоматичні) маркетингові дзвінки
➂ Генеральний адвокат (AG) Суду Європейського Союзу (CJEU) Мануель Кампос Санчес-Бордона надав висновок у справі C‑300/21 UI v Österreichische Post AG, що ст. 82 GDPR слід тлумачити так, що для цілей присудження компенсації за шкоду, яку особа зазнала внаслідок порушення GDPR, просте порушення положення саме по собі не є достатнім, якщо таке порушення не супроводжується відповідними матеріальними чи нематеріальними збитками. Компенсація за нематеріальну шкоду, передбачену GDPR, не охоплює простого засмучення, яке зацікавлена особа може відчути в результаті порушення положень GDPR
➃ Комітет координованого нагляду (група національних наглядових органів і Європейського інспектора із захисту даних) опублікував дворічний звіт про роботу, виконану з моменту його створення щодо посилення співпраці між різними органами нагляду за захистом даних і забезпечення ефективного нагляду за масштабними ІТ-системами ЄС
➄ Шведський регулятор опублікував Керівництва щодо обробки персональних даних, пов’язаних із кримінальними правопорушеннями, компаніями, які здійснюють попередню перевірку даних
➅ Данський регулятор опублікував Керівництва щодо відповідності GDPR у виборчих кампаніях
➆ Фінський регулятор опублікував Керівництва із обробки даних у відносинах соціального забезпечення
➇ Британський регулятор наклав штрафи на Easylife Ltd у розмірі 1,35 мільйона фунтів та 130 000 фунтів за порушення ст. 5(1)(a) UK GDPR і Положення про приватність та електронну комунікацію (PECR) відповідно
➈ В США журі присяжних визнало колишнього начальника охорони Uber винним у приховуванні витоку даних, відкупившись від хакерів. Йому загрожує до 8 років ув’язнення
➉ Meta врегулювала позов проти двох компаній, які збирали дані користувачів Facebook і Instagram. ізраїльська BrandTotal і делаверська Unimania погодилися не збирати більше дані із платформ Meta чи отримувати прибуток від зібраних даних. Компанії погодилися виплатити Meta невідому «значну суму». Meta подала позов через те, що розширення браузерів компаній збирали дані користувачів Facebook і Instagram для рекламодавців
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [03.10 — 09.10]
① Президент США підписав указ про впровадження Рамкової угоди щодо приватності даних між ЄС і США (“EU-US Data Privacy Framework”). У супровідному інформаційному листі пояснюється, що EU-US DPF має на меті відновити підставу для транскордонних передач даних в США
➁ Британський регулятор опублікував інструкції для маркетологів, які використовують "живі" (неавтоматичні) маркетингові дзвінки
➂ Генеральний адвокат (AG) Суду Європейського Союзу (CJEU) Мануель Кампос Санчес-Бордона надав висновок у справі C‑300/21 UI v Österreichische Post AG, що ст. 82 GDPR слід тлумачити так, що для цілей присудження компенсації за шкоду, яку особа зазнала внаслідок порушення GDPR, просте порушення положення саме по собі не є достатнім, якщо таке порушення не супроводжується відповідними матеріальними чи нематеріальними збитками. Компенсація за нематеріальну шкоду, передбачену GDPR, не охоплює простого засмучення, яке зацікавлена особа може відчути в результаті порушення положень GDPR
➃ Комітет координованого нагляду (група національних наглядових органів і Європейського інспектора із захисту даних) опублікував дворічний звіт про роботу, виконану з моменту його створення щодо посилення співпраці між різними органами нагляду за захистом даних і забезпечення ефективного нагляду за масштабними ІТ-системами ЄС
➄ Шведський регулятор опублікував Керівництва щодо обробки персональних даних, пов’язаних із кримінальними правопорушеннями, компаніями, які здійснюють попередню перевірку даних
➅ Данський регулятор опублікував Керівництва щодо відповідності GDPR у виборчих кампаніях
➆ Фінський регулятор опублікував Керівництва із обробки даних у відносинах соціального забезпечення
➇ Британський регулятор наклав штрафи на Easylife Ltd у розмірі 1,35 мільйона фунтів та 130 000 фунтів за порушення ст. 5(1)(a) UK GDPR і Положення про приватність та електронну комунікацію (PECR) відповідно
➈ В США журі присяжних визнало колишнього начальника охорони Uber винним у приховуванні витоку даних, відкупившись від хакерів. Йому загрожує до 8 років ув’язнення
➉ Meta врегулювала позов проти двох компаній, які збирали дані користувачів Facebook і Instagram. ізраїльська BrandTotal і делаверська Unimania погодилися не збирати більше дані із платформ Meta чи отримувати прибуток від зібраних даних. Компанії погодилися виплатити Meta невідому «значну суму». Meta подала позов через те, що розширення браузерів компаній збирали дані користувачів Facebook і Instagram для рекламодавців
🇺🇦 Все буде Україна!
#Академія_приватності
🎉 “АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
Жодні дії чи провокації ворога не можуть зупинити незламних українців на шляху свого розвитку та побудови кращого суспільства. І в цьому наша сила і запорука перемоги! 💙💛
Ми навчилися бути гнучкими і дуже швидко реагувати на будь-які виклики. Саме так сталося з “Академією приватності”: ми змінили формат, проте наша місія залишилася незмінною — сформувати культуру приватності в Україні та запровадити стандарти викладання курсу із захисту персональних даних в українських університетах.
І вже сьогодні наша “Академія приватності” успішно стартувала в онлайн-форматі!
30 викладачів з 25 українських університетів взяли участь у перших лекціях з основ захисту персональних даних та опановували спеціалізованою термінологією.
Учасники також взяли участь у дискусії щодо стандартів вищої освіти в Україні та різних країнах світу і визначили точки росту та ініціативи щодо покращення якості української освіти.
Ми вдячні усім викладачам, які підтримали нас, незважаючи на будь-які обставини, змогли приєднатися до заходу, задавати цікаві питання та вести обговорення.
А попереду у нас ще чотири дні, насичені навчанням, роботою і нетворкінгом. І вже зовсім скоро ми розкажемо вам про наші результати у рубриці #Академія_приватності.
Stay tuned!
🎉 “АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
Жодні дії чи провокації ворога не можуть зупинити незламних українців на шляху свого розвитку та побудови кращого суспільства. І в цьому наша сила і запорука перемоги! 💙💛
Ми навчилися бути гнучкими і дуже швидко реагувати на будь-які виклики. Саме так сталося з “Академією приватності”: ми змінили формат, проте наша місія залишилася незмінною — сформувати культуру приватності в Україні та запровадити стандарти викладання курсу із захисту персональних даних в українських університетах.
І вже сьогодні наша “Академія приватності” успішно стартувала в онлайн-форматі!
30 викладачів з 25 українських університетів взяли участь у перших лекціях з основ захисту персональних даних та опановували спеціалізованою термінологією.
Учасники також взяли участь у дискусії щодо стандартів вищої освіти в Україні та різних країнах світу і визначили точки росту та ініціативи щодо покращення якості української освіти.
Ми вдячні усім викладачам, які підтримали нас, незважаючи на будь-які обставини, змогли приєднатися до заходу, задавати цікаві питання та вести обговорення.
А попереду у нас ще чотири дні, насичені навчанням, роботою і нетворкінгом. І вже зовсім скоро ми розкажемо вам про наші результати у рубриці #Академія_приватності.
Stay tuned!
#Інформаційна_безпека
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
🛡ISO 27001: BEST OF THE BEST
Широко відомим є факт, що GDPR вимагає впроваджувати адекватні технічні та організаційні заходи для захисту персональних даних, проте ці вимоги є досить аморфними. Звичайно, завжди можна сісти і покреативити разом із CTO. Втім, International Organization for Standardization (ISO) вже подумали все за вас і ще в 2005 році (з оновленнями в 2013 та 2017) представили стандарт, який досі є знаком якості та best practice в комплаєнсі з GDPR – ISO 27001.
📍Чому ISO 27001
Цей стандарт – база інформаційної безпеки. Він впроваджує систему управління інформаційною безпекою – систему політик і процедур, яка включає юридичні, технічні та фізичні засоби управління ІТ-ризиками.
Стандарт чітко відповідає вимогам ст. 5, 24, 25, 28, 30 та 32 GDPR. Тут згадуємо про кібербезпекову тріаду: конфіденційність, цілісність даних і доступність, також не забуваємо про ризик-орієнтований підхід до безпеки даних, вимоги до передачі обробки даних процесорам, повідомлення про інциденти з даними, data protection by design та by default тощо.
Крім того, в Україні ISO 27001 також визнається як аналог комплексної системи захисту інформації для критичної інфраструктури та державних інформаційних ресурсів (Закон України “Про захист інформації в інформаційно-комунікаційних системах”). Якщо ви маєте сертифікат 27001 – можна не страждати зі старою і бюрократичною процедурою створення КСЗІ.
📍Основні вимоги ISO 27001
🔹Управління активами: Організація має ідентифікувати всі свої активи та задокументувати правила використання інформації. Крім того, вся інформація повинна бути класифікована з точки зору її цінності, чутливості та критичності для організації, а також законних вимог до захисту тих чи інших даних.
🔹Оперативна безпека: Регулює основні операційні процедури та обов’язки в організації, такі як розділення середовища розробки, тестування та операційного середовища; управління змінами; та документування робочих процедур.
🔹Контроль доступу: Охоплює правила доступу користувачів, надання привілейованих прав доступу, обов’язки користувачів, а також керування доступом до системи.
🔹Управління інцидентами інформаційної безпеки: Передбачає правила звітування про інциденти та потенційні ризики ІТ-безпеки, керування інцидентами та вдосконалення цих процесів.
🔹Забезпечення людського фактору: Працівники та підрядники мають знати про свої обов’язки щодо інформаційної безпеки і виконувати їх. Організації повинні забезпечити навчання та запровадити офіційні дисциплінарні заходи до порушників.
🔹Безперервність бізнесу: Організаціям необхідно визначити вимоги до безперервності управління інформаційною безпекою в несприятливих ситуаціях, документувати та підтримувати засоби контролю безпеки, щоб забезпечити необхідний рівень безперервності, і регулярно перевіряти ці засоби контролю.
📍Не ISO 27001 єдиним
Як ми вже писали, ISO 27001 – база. У його продовження звертаємо увагу ще на ISO 27701, який безпосередньо стосується приватності даних і підходить для більшості організацій. Крім того, існує багато галузевих стандартів. Наприклад, стандарти безпеки хмар, безпеки персональних даних в публічних хмарах, стандарти безпеки для аудиторів тощо.
Більше того, існують інші організації, які займаються стандартизацією. Найвідоміший після ISO – National Institute of Standards and Technology (NIST) в США. Хоча це американська урядова організація, у світі їх гайдлайни та стандарти теж вважаються best practice. Далі вже часто йдуть національні стандарти.
🏆ЗАМІСТЬ ВИСНОВКУ
ISO 27001 не гарантує вам повну відповідність GDPR і не є обов’язковим. Але це досить добрий набір політик та процедур. Якщо у організації є час, ресурси і терпіння то варто задуматись над отриманням сертифікату від ISO. Якщо зазначеного немає – не бійтесь креативити та спілкуватись із CTO. А стандарти від ISO можуть бути використані для натхнення.
Щиро вітаємо зі святом захисників і захисниць України! Дякуємо за вашу силу, мужність і самовідданість💙💛
🇺🇦Все буде Україна завдяки ВАМ!
_____
ℹ️ Джерела:
🔹ISO 27001
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [10.10 — 16.10]
① Європейська рада із захисту даних (EDPB) прийняла першу європейську печатку захисту даних відповідно до статті 42(5) GDPR
➁ EDPB надіслала Європейській комісії «список бажаних» процедур, які включають «повноваження щодо розслідування органів із захисту даних» і «процесуальні строки»
➂ EDPB випустила Заяву 04/2022 щодо вибору дизайну для цифрового євро з точки зору приватності та захисту даних
➃ Європейський інспектор із захисту даних випустив Висновок 20/2022 про Рекомендації щодо Рішення Ради про початок переговорів від імені Європейського Союзу щодо Конвенції Ради Європи про штучний інтелект, права людини, демократію та верховенство права
➄ OECD опублікувала звіт про транскордонні потоки даних
➅ Регулятор Британії відкрив консультації щодо проекту керівництв щодо моніторингу на роботі
➅ Ірландський регулятор видав керівництва щодо прав доступу суб’єктів
➆ Польський регулятор опублікував керівництва щодо повідомлення судами про порушення даних
➇ Регулятор Естонії оновив інструкції щодо публікації інформації щодо порушення платежів
➈ Національний центр кібербезпеки Британії опублікував рекомендації щодо кібербезпеки в ланцюгах поставок
➉ Нідерландський суд зобов’язав компанію з розробки програмного забезпечення зі Флориди виплатити 75 000 євро колишньому співробітнику, який відмовився залишити свою веб-камеру ввімкненою
⑪ Вищий адміністративний суд Хорватії постановив, що система відеоспостереження багатоквартирної будівлі була створена відповідно до GDPR та національного законодавства, згідно з яким дві третини співвласників повинні дозволити використання системи
⑫ Хорватський регулятор дійшов висновку, що учбовий заклад порушив ст. 25 і 32 GDPR, втративши диплом магістра та екзаменаційну відомість колишнього студента
⑬ Регулятор Іспанії зобов’язав оператора мобільного зв’язку задовольнити запит на доступ до даних померлого члена сім’ї та їхнє видалення відповідно до ст. 15 і 17 GDPR. Він постановив, що у разі сумніву щодо особи запитуючої сторони контролер повинен запитати додаткову інформацію, а не залишати запит без відповіді
⑭ Регулятор Британії наклав штраф у розмірі 1 350 000 фунтів стерлінгів на роздрібного торговця, який надсилає своїм клієнтам каталоги, за порушення ст. 9 і 13 GDPR шляхом профілювання даних про особливу категорію (здоров’я) своїх клієнтів на основі їхніх покупок продуктів без отримання згоди або інформування про це
🇺🇦Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [10.10 — 16.10]
① Європейська рада із захисту даних (EDPB) прийняла першу європейську печатку захисту даних відповідно до статті 42(5) GDPR
➁ EDPB надіслала Європейській комісії «список бажаних» процедур, які включають «повноваження щодо розслідування органів із захисту даних» і «процесуальні строки»
➂ EDPB випустила Заяву 04/2022 щодо вибору дизайну для цифрового євро з точки зору приватності та захисту даних
➃ Європейський інспектор із захисту даних випустив Висновок 20/2022 про Рекомендації щодо Рішення Ради про початок переговорів від імені Європейського Союзу щодо Конвенції Ради Європи про штучний інтелект, права людини, демократію та верховенство права
➄ OECD опублікувала звіт про транскордонні потоки даних
➅ Регулятор Британії відкрив консультації щодо проекту керівництв щодо моніторингу на роботі
➅ Ірландський регулятор видав керівництва щодо прав доступу суб’єктів
➆ Польський регулятор опублікував керівництва щодо повідомлення судами про порушення даних
➇ Регулятор Естонії оновив інструкції щодо публікації інформації щодо порушення платежів
➈ Національний центр кібербезпеки Британії опублікував рекомендації щодо кібербезпеки в ланцюгах поставок
➉ Нідерландський суд зобов’язав компанію з розробки програмного забезпечення зі Флориди виплатити 75 000 євро колишньому співробітнику, який відмовився залишити свою веб-камеру ввімкненою
⑪ Вищий адміністративний суд Хорватії постановив, що система відеоспостереження багатоквартирної будівлі була створена відповідно до GDPR та національного законодавства, згідно з яким дві третини співвласників повинні дозволити використання системи
⑫ Хорватський регулятор дійшов висновку, що учбовий заклад порушив ст. 25 і 32 GDPR, втративши диплом магістра та екзаменаційну відомість колишнього студента
⑬ Регулятор Іспанії зобов’язав оператора мобільного зв’язку задовольнити запит на доступ до даних померлого члена сім’ї та їхнє видалення відповідно до ст. 15 і 17 GDPR. Він постановив, що у разі сумніву щодо особи запитуючої сторони контролер повинен запитати додаткову інформацію, а не залишати запит без відповіді
⑭ Регулятор Британії наклав штраф у розмірі 1 350 000 фунтів стерлінгів на роздрібного торговця, який надсилає своїм клієнтам каталоги, за порушення ст. 9 і 13 GDPR шляхом профілювання даних про особливу категорію (здоров’я) своїх клієнтів на основі їхніх покупок продуктів без отримання згоди або інформування про це
🇺🇦Все буде Україна!