#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [03.04 — 09.04]
① Одразу два американських штати Арканзас і Пенсильванія просунулись у прийнятті профільних законів щодо захисту приватності. У Арканзасі проект 66, який створює захист онлайн неповнолітніх, включаючи вимоги щодо перевірки віку, був направлений на підпис губернатору. У Пенсильванії далі просунувся проект 708, який встановлює заходи захисту персональних даних споживачів, включаючи створення фонду захисту прав споживачів. Вітаємо рухи у сторону приватності!
➁ ICO підготував перелік питань, якими розробники мають задаватись при розробці генеративного ШІ. У вказівках для організацій, що розробляють або використовують генеративний ШІ, визначено вісім напрямків, на яких ICO буде зосереджуватися. Також зазначено, що зобов'язання із захисту даних повинні бути розглянуті "від самого початку, використовуючи концепцію проєктованої приватності."
➂ ICO оштрафував TikTok на £12,7 млн за зловживання даними дітей та порушення UK GDPR. Хоча умови обслуговування TikTok стверджують, що діти віком до 13 років не мають права створювати обліковий запис, ICO оцінив, що більше 1 млн дітей віком до 13 років знаходилися на платформі у 2020 р. ICO також заявив, що TikTok використовував персональні дані дітей віком до 13 років без згоди батьків та не вжив достатніх заходів для видалення неповнолітніх користувачів з платформи.
➃ Німецький регулятор подав позов до Tesla. У позові стверджувалося, що Tesla ввела споживачів в оману, не повідомивши їх про те, що режим «сторожової вежі», який записує оточення автомобіля, може порушувати норми захисту персональних даних, у випадках коли знімає осіб в громадських місцях без їхнього відома. Тепер виробник автомобілів на території Німеччини має повідомляти про ризики для приватності, пов'язані з камерами безпеки, що встановлені на автомобілях.
➄ Органи ЄС потребують розслідування технології ChatGPT. Європейська організація споживачів закликала ЄС і національні органи влади провести розслідування щодо ChatGPT і подібних чат-ботів з генеративним ШІ, висловлюючи занепокоєння тим, що нерегульована технологія ставить під загрозу непідготовлених споживачів.
➅ Розробник ChatGPT має намір викласти пропозиції щодо вирішення проблем, які призвели до заборони генеративного інструменту ШІ італійським регулятором. За словами компанії, вона спробує обґрунтувати свої правові підстави для обробки даних і надати план підвищення прозорості.
➆ EDPB оновлює гайд щодо повідомлення про порушення безпеки персональних даних. Регулятор опублікував оновлені рекомендації щодо сповіщення про порушення безпеки персональних даних відповідно до GDPR. У рекомендаціях зазначено, що кожен наглядовий орган держав-членів, де проживають відповідні суб’єкти даних, має бути повідомлений про порушення.
➇ Європейський комісар з питань юстиції та Комісія з питань захисту персональних даних Японії оголосили про успішне завершення першого раунду Угоди про взаємну адекватність між ЄС та Японією.
➈ Безкоштовний інструмент noyb дозволяє користувачам відмовитися від будь-якої обробки Meta на підставі "законного інтересу" і, як наслідок, заперечути проти використання персональних даних для таргетованої реклами. Мета повинна буде аргументувати, чому саме вона має переважний інтерес, а не користувач. Facebook повинен обробити це заперечення без затримок, але в будь-якому випадку протягом 1 місяця.
➉ Екс-працівник запросив доступ до 8 років електронних листів зі свого колишнього місця роботи, але бельгійський регулятор визнав запит надмірним. Працівник користувався спільною електронною адресою і не надав жодних доказів, які б свідчили про наявність особистих електронних листів. Регулятор наголосив на важливості чіткої внутрішньої політики щодо використання ел. пошти та ІТ-технологій. Запит було відхилено через непропорційне робоче навантаження, яке це могло б покласти на організацію, а також через чутливу інформацію, що містилася в листах.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [03.04 — 09.04]
① Одразу два американських штати Арканзас і Пенсильванія просунулись у прийнятті профільних законів щодо захисту приватності. У Арканзасі проект 66, який створює захист онлайн неповнолітніх, включаючи вимоги щодо перевірки віку, був направлений на підпис губернатору. У Пенсильванії далі просунувся проект 708, який встановлює заходи захисту персональних даних споживачів, включаючи створення фонду захисту прав споживачів. Вітаємо рухи у сторону приватності!
➁ ICO підготував перелік питань, якими розробники мають задаватись при розробці генеративного ШІ. У вказівках для організацій, що розробляють або використовують генеративний ШІ, визначено вісім напрямків, на яких ICO буде зосереджуватися. Також зазначено, що зобов'язання із захисту даних повинні бути розглянуті "від самого початку, використовуючи концепцію проєктованої приватності."
➂ ICO оштрафував TikTok на £12,7 млн за зловживання даними дітей та порушення UK GDPR. Хоча умови обслуговування TikTok стверджують, що діти віком до 13 років не мають права створювати обліковий запис, ICO оцінив, що більше 1 млн дітей віком до 13 років знаходилися на платформі у 2020 р. ICO також заявив, що TikTok використовував персональні дані дітей віком до 13 років без згоди батьків та не вжив достатніх заходів для видалення неповнолітніх користувачів з платформи.
➃ Німецький регулятор подав позов до Tesla. У позові стверджувалося, що Tesla ввела споживачів в оману, не повідомивши їх про те, що режим «сторожової вежі», який записує оточення автомобіля, може порушувати норми захисту персональних даних, у випадках коли знімає осіб в громадських місцях без їхнього відома. Тепер виробник автомобілів на території Німеччини має повідомляти про ризики для приватності, пов'язані з камерами безпеки, що встановлені на автомобілях.
➄ Органи ЄС потребують розслідування технології ChatGPT. Європейська організація споживачів закликала ЄС і національні органи влади провести розслідування щодо ChatGPT і подібних чат-ботів з генеративним ШІ, висловлюючи занепокоєння тим, що нерегульована технологія ставить під загрозу непідготовлених споживачів.
➅ Розробник ChatGPT має намір викласти пропозиції щодо вирішення проблем, які призвели до заборони генеративного інструменту ШІ італійським регулятором. За словами компанії, вона спробує обґрунтувати свої правові підстави для обробки даних і надати план підвищення прозорості.
➆ EDPB оновлює гайд щодо повідомлення про порушення безпеки персональних даних. Регулятор опублікував оновлені рекомендації щодо сповіщення про порушення безпеки персональних даних відповідно до GDPR. У рекомендаціях зазначено, що кожен наглядовий орган держав-членів, де проживають відповідні суб’єкти даних, має бути повідомлений про порушення.
➇ Європейський комісар з питань юстиції та Комісія з питань захисту персональних даних Японії оголосили про успішне завершення першого раунду Угоди про взаємну адекватність між ЄС та Японією.
➈ Безкоштовний інструмент noyb дозволяє користувачам відмовитися від будь-якої обробки Meta на підставі "законного інтересу" і, як наслідок, заперечути проти використання персональних даних для таргетованої реклами. Мета повинна буде аргументувати, чому саме вона має переважний інтерес, а не користувач. Facebook повинен обробити це заперечення без затримок, але в будь-якому випадку протягом 1 місяця.
➉ Екс-працівник запросив доступ до 8 років електронних листів зі свого колишнього місця роботи, але бельгійський регулятор визнав запит надмірним. Працівник користувався спільною електронною адресою і не надав жодних доказів, які б свідчили про наявність особистих електронних листів. Регулятор наголосив на важливості чіткої внутрішньої політики щодо використання ел. пошти та ІТ-технологій. Запит було відхилено через непропорційне робоче навантаження, яке це могло б покласти на організацію, а також через чутливу інформацію, що містилася в листах.
🇺🇦 Все буде Україна!
#Санкції
💶 ТОП 3 ШТРАФИ ЗА ПОРУШЕННЯ GDPR
або Розумний вчиться на чужих помилках
14 квітня 2016 року був прийнятий GDPR. Щоб відзначити цей день, ми вирішили поговорити про те, що найбільше мотивує компанії дотримуватися правил, встановлених Регламентом.Повага до прав людини та захисту персональних даних Штрафи!
Довідка:
GDPR дозволяє накладати штрафи в розмірі до 4% від глобального обороту компанії або €20 млн, залежно від того, яка сума є більшою. Штрафи повинні бути ефективними, пропорційними та стримуючими, щоб запобігти майбутнім порушенням. Також рекомендується враховувати такі обставини, як тяжкість, тривалість, вплив, наміри та співпраця.
Найпоширеніші порушення:
▪️Недотримання загальних принципів обробки даних
▪️Недостатня правова підстава для обробки даних
▪️Недостатні технічні та організаційні заходи для забезпечення інформаційної безпеки
▪️Недостатнє виконання інформаційних зобов'язань
▪️Недостатнє забезпечення прав суб'єкта даних
Перейдемо до наших рекордсменів, а також, на що варто звернути увагу, аби не бути серед них
🥉 Meta Platforms Ireland Limited – €390 млн
Рішення ірландського регулятора від 04.01.2023
За що? Недотримання загальних принципів обробки даних
Поки всі готувалися до набрання чинності GDPR у 2018 році, Meta вирішила “обійти гору” та перемогти хитрістю – компанія просто змінила Умови надання послуг. Правова підстава для більшості операцій перетворилась із “згоди” на “контракт”, включаючи надання персоналізованих послуг і поведінкової реклами. До того ж, інформація про правові підстави не була чітко викладена для користувачів. Скарги були подані від різних суб'єктів даних та об'єднані в один кейс.
На диво, регулятор спершу погодився з такою правовою підставою, що викликало заперечення у 10 із 47 зацікавлених наглядових органів (CSA). Крапку поставив EDPB, встановивши, що "контракт" не підходить у випадку поведінкової реклами. А штраф після усіх консультацій тільки збільшився: €210 млн (Facebook) + €180 млн (Instagram)
📌 На що звернути увагу? Прозорість інформації, принцип справедливості, законні підстави для обробки.
🥈 Meta Platforms, Inc. – €405 млн
Рішення ірландського регулятора від 05.09.2022
За що? Недотримання загальних принципів обробки даних
Розслідування стосувалося обробки персональних даних дітей-користувачів соціальної мережі Instagram. Зокрема, у розслідуванні розглядалися питання публічного розкриття емейлів та/або номерів телефонів дітей за допомогою функції бізнес-акаунта в Instagram, а також налаштування на публічність за замовчуванням для особистих акаунтів дітей в Instagram. До речі, тут теж не обійшлося без заперечень від CSA, тому знадобилося обов'язкове до виконання рішення EDPB.
📌 На що звернути увагу? Спеціальні засоби захисту при обробці даних дітей; надання інформації дітям у прозорій та зрозумілій формі; правові підстави обробки даних.
🥇 Amazon Europe Core S.à.r.l. – €746 млн
Рішення люксембурзького регулятора від 16.07.2021
За що? Недотримання загальних принципів обробки даних
Рекорд найбільшого штрафу в історії GDPR поки належить Amazon. Інтенсивна стратегія digital-маркетингу не довела до добра: "поведінковому аналізу та таргетованій рекламі" Amazon бракувало "вільної згоди". І якщо штраф здається вам величезним, подумайте, що за даними він становить лише 0,1% від світового обороту Amazon.
Скарга була подана французькою групою із захисту прав на приватність La Quadrature du Net ще у 2018. Але від французького регулятора була передана до Люксембургу через розташування там штаб-квартири Amazon.
Деталі досі оповиті таємницею, адже люксембурзьке законодавство зобов'язує регулятора зберігати професійну таємницю до остаточного рішення. Апеляція Amazon буде розглянута в люксембурзькому суді аж в січні 2024.
📌 На що звернути увагу? Правові підстави обробки, правила згоди.
🏆 ВИСНОВКИ
Звісно, турнірна таблиця неодноразово ще зміниться. Регулятори налаштовані серйозно, і вже зараз розслідується багато справ. Однак перш ніж запасатися попкорном, перевірте, чи відповідає ваша компанія вимогам GDPR.
🇺🇦 Все буде Україна!
💶 ТОП 3 ШТРАФИ ЗА ПОРУШЕННЯ GDPR
або Розумний вчиться на чужих помилках
14 квітня 2016 року був прийнятий GDPR. Щоб відзначити цей день, ми вирішили поговорити про те, що найбільше мотивує компанії дотримуватися правил, встановлених Регламентом.
Довідка:
GDPR дозволяє накладати штрафи в розмірі до 4% від глобального обороту компанії або €20 млн, залежно від того, яка сума є більшою. Штрафи повинні бути ефективними, пропорційними та стримуючими, щоб запобігти майбутнім порушенням. Також рекомендується враховувати такі обставини, як тяжкість, тривалість, вплив, наміри та співпраця.
Найпоширеніші порушення:
▪️Недотримання загальних принципів обробки даних
▪️Недостатня правова підстава для обробки даних
▪️Недостатні технічні та організаційні заходи для забезпечення інформаційної безпеки
▪️Недостатнє виконання інформаційних зобов'язань
▪️Недостатнє забезпечення прав суб'єкта даних
Перейдемо до наших рекордсменів, а також, на що варто звернути увагу, аби не бути серед них
🥉 Meta Platforms Ireland Limited – €390 млн
Рішення ірландського регулятора від 04.01.2023
За що? Недотримання загальних принципів обробки даних
Поки всі готувалися до набрання чинності GDPR у 2018 році, Meta вирішила “обійти гору” та перемогти хитрістю – компанія просто змінила Умови надання послуг. Правова підстава для більшості операцій перетворилась із “згоди” на “контракт”, включаючи надання персоналізованих послуг і поведінкової реклами. До того ж, інформація про правові підстави не була чітко викладена для користувачів. Скарги були подані від різних суб'єктів даних та об'єднані в один кейс.
На диво, регулятор спершу погодився з такою правовою підставою, що викликало заперечення у 10 із 47 зацікавлених наглядових органів (CSA). Крапку поставив EDPB, встановивши, що "контракт" не підходить у випадку поведінкової реклами. А штраф після усіх консультацій тільки збільшився: €210 млн (Facebook) + €180 млн (Instagram)
📌 На що звернути увагу? Прозорість інформації, принцип справедливості, законні підстави для обробки.
🥈 Meta Platforms, Inc. – €405 млн
Рішення ірландського регулятора від 05.09.2022
За що? Недотримання загальних принципів обробки даних
Розслідування стосувалося обробки персональних даних дітей-користувачів соціальної мережі Instagram. Зокрема, у розслідуванні розглядалися питання публічного розкриття емейлів та/або номерів телефонів дітей за допомогою функції бізнес-акаунта в Instagram, а також налаштування на публічність за замовчуванням для особистих акаунтів дітей в Instagram. До речі, тут теж не обійшлося без заперечень від CSA, тому знадобилося обов'язкове до виконання рішення EDPB.
📌 На що звернути увагу? Спеціальні засоби захисту при обробці даних дітей; надання інформації дітям у прозорій та зрозумілій формі; правові підстави обробки даних.
🥇 Amazon Europe Core S.à.r.l. – €746 млн
Рішення люксембурзького регулятора від 16.07.2021
За що? Недотримання загальних принципів обробки даних
Рекорд найбільшого штрафу в історії GDPR поки належить Amazon. Інтенсивна стратегія digital-маркетингу не довела до добра: "поведінковому аналізу та таргетованій рекламі" Amazon бракувало "вільної згоди". І якщо штраф здається вам величезним, подумайте, що за даними він становить лише 0,1% від світового обороту Amazon.
Скарга була подана французькою групою із захисту прав на приватність La Quadrature du Net ще у 2018. Але від французького регулятора була передана до Люксембургу через розташування там штаб-квартири Amazon.
Деталі досі оповиті таємницею, адже люксембурзьке законодавство зобов'язує регулятора зберігати професійну таємницю до остаточного рішення. Апеляція Amazon буде розглянута в люксембурзькому суді аж в січні 2024.
📌 На що звернути увагу? Правові підстави обробки, правила згоди.
🏆 ВИСНОВКИ
Звісно, турнірна таблиця неодноразово ще зміниться. Регулятори налаштовані серйозно, і вже зараз розслідується багато справ. Однак перш ніж запасатися попкорном, перевірте, чи відповідає ваша компанія вимогам GDPR.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [10.04 — 16.04]
① Іспанський регулятор почав попереднє розслідування щодо компанії OpenAI, а також звернувся до EDPB з проханням офіційно перевірити відповідність чату ChatGPT вимогам GDPR.
➁ EDPB створила спеціальну робочу групу з питань ChatGPT. Метою робочої групи є сприяння співробітництву та обмін інформацією про можливі правозастосовчі дії, що проводяться органами захисту даних.
➂ Французький регулятор отримав перші дві скарги на використання персональних даних ChatGPT.
➃ EDPB оголосила про прийняття обов'язкового до виконання рішення у справі щодо законності передачі даних компанією Meta Platforms Ireland Limited між ЄС та США для сервісу Facebook. Рішення вирішує розбіжності між регуляторами щодо того, чи повинен штраф та/або додатковий наказ про приведення обробки у відповідність бути включеним до остаточного рішення ірландського регулятора.
➄ Комітет Європейського парламенту з громадянських свобод, юстиції та внутрішніх справ ухвалив необов'язкову до виконання рекомендацію щодо відхилення запропонованої Рамкової угоди між ЄС та США про захист даних, так як покращення недостатньо, щоб виправдати рішення про адекватність.
➅ Австрійський регулятор ухвалив рішення на користь групи захисту приватності noyb в скаргах проти кількох австрійських газет. У 2021 році noyb подала скарги проти семи австрійських і німецьких ЗМІ за використання ними cookie paywalls. Вперше в масштабах ЄС австрійський регулятор постановив, що читачі можуть прямо сказати "так" або "ні" cookie paywalls – широко використовуваній ЗМІ моделі, яка вимагає від читачів згоди на обробку даних або оплати за підписку.
➆ IAPP опублікував інфографіку, що представляє ключові дані майбутнього звіту про приватність та довіру споживачів.
➇ Регулятор Нової Зеландії заявив, що витік даних Latitude Financial є найбільшим зареєстрованим витоком даних, який зачепив 20% населення. Хакер викрав облікові дані співробітників і отримав доступ до персональної інформації, яка зберігається у двох постачальників послуг компанії.
➈ Верховний суд Південної Кореї постановив, що Google повинна повідомити, чи передавала вона персональні дані громадян третім особам. Рішення прийнято на підставі скарги, поданої у 2014 р. чотирма позивачами проти Google та її південнокорейської дочірньої компанії. Позивачі стверджували, що компанія передавала дані про приватне життя користувачів програмі спостереження PRISM Агентства національної безпеки США.
➉ Vimeo погодилися на виплату $2,25 млн за позовом, в якому стверджувалося, що платформа для створення та редагування відео на основі ШІ збирала та зберігала біометричні дані користувачів без їхньої згоди, порушуючи Закон штату Іллінойс про приватність біометричної інформації.
⑪ Власник автомобіля Tesla подав позов на компанію, у якому стверджується, що співробітники компанії отримували доступ до відео та зображень, записаних камерами автомобілів клієнтів для розваг. Позов має гарні шанси перетворитися на колективний.
⑫ Генеральний директорат Франції з питань підприємництва розпочав публічні консультації щодо віртуальних всесвітів з ефектом занурення. До 02.05 зацікавлені сторони можуть подавати коментарі щодо таких технологій, як віртуальна та доповнена реальність, блокчейн-реальність та програмне забезпечення для створення 3D.
⑬ Бразильський регулятор опублікував Q&A, в яких викладено належні процедури для оцінки впливу на захист даних. Документ з 15 запитань охоплює основні питання, які виникають у суб'єктів щодо процесу, підготовки та вимог до проведення DPIA.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [10.04 — 16.04]
① Іспанський регулятор почав попереднє розслідування щодо компанії OpenAI, а також звернувся до EDPB з проханням офіційно перевірити відповідність чату ChatGPT вимогам GDPR.
➁ EDPB створила спеціальну робочу групу з питань ChatGPT. Метою робочої групи є сприяння співробітництву та обмін інформацією про можливі правозастосовчі дії, що проводяться органами захисту даних.
➂ Французький регулятор отримав перші дві скарги на використання персональних даних ChatGPT.
➃ EDPB оголосила про прийняття обов'язкового до виконання рішення у справі щодо законності передачі даних компанією Meta Platforms Ireland Limited між ЄС та США для сервісу Facebook. Рішення вирішує розбіжності між регуляторами щодо того, чи повинен штраф та/або додатковий наказ про приведення обробки у відповідність бути включеним до остаточного рішення ірландського регулятора.
➄ Комітет Європейського парламенту з громадянських свобод, юстиції та внутрішніх справ ухвалив необов'язкову до виконання рекомендацію щодо відхилення запропонованої Рамкової угоди між ЄС та США про захист даних, так як покращення недостатньо, щоб виправдати рішення про адекватність.
➅ Австрійський регулятор ухвалив рішення на користь групи захисту приватності noyb в скаргах проти кількох австрійських газет. У 2021 році noyb подала скарги проти семи австрійських і німецьких ЗМІ за використання ними cookie paywalls. Вперше в масштабах ЄС австрійський регулятор постановив, що читачі можуть прямо сказати "так" або "ні" cookie paywalls – широко використовуваній ЗМІ моделі, яка вимагає від читачів згоди на обробку даних або оплати за підписку.
➆ IAPP опублікував інфографіку, що представляє ключові дані майбутнього звіту про приватність та довіру споживачів.
➇ Регулятор Нової Зеландії заявив, що витік даних Latitude Financial є найбільшим зареєстрованим витоком даних, який зачепив 20% населення. Хакер викрав облікові дані співробітників і отримав доступ до персональної інформації, яка зберігається у двох постачальників послуг компанії.
➈ Верховний суд Південної Кореї постановив, що Google повинна повідомити, чи передавала вона персональні дані громадян третім особам. Рішення прийнято на підставі скарги, поданої у 2014 р. чотирма позивачами проти Google та її південнокорейської дочірньої компанії. Позивачі стверджували, що компанія передавала дані про приватне життя користувачів програмі спостереження PRISM Агентства національної безпеки США.
➉ Vimeo погодилися на виплату $2,25 млн за позовом, в якому стверджувалося, що платформа для створення та редагування відео на основі ШІ збирала та зберігала біометричні дані користувачів без їхньої згоди, порушуючи Закон штату Іллінойс про приватність біометричної інформації.
⑪ Власник автомобіля Tesla подав позов на компанію, у якому стверджується, що співробітники компанії отримували доступ до відео та зображень, записаних камерами автомобілів клієнтів для розваг. Позов має гарні шанси перетворитися на колективний.
⑫ Генеральний директорат Франції з питань підприємництва розпочав публічні консультації щодо віртуальних всесвітів з ефектом занурення. До 02.05 зацікавлені сторони можуть подавати коментарі щодо таких технологій, як віртуальна та доповнена реальність, блокчейн-реальність та програмне забезпечення для створення 3D.
⑬ Бразильський регулятор опублікував Q&A, в яких викладено належні процедури для оцінки впливу на захист даних. Документ з 15 запитань охоплює основні питання, які виникають у суб'єктів щодо процесу, підготовки та вимог до проведення DPIA.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [17.04 — 23.04]
① EDPB випустила річний звіт про свою діяльність за 2022 рік.
➁ EDPB затвердила остаточну версію гайду про право на доступ - ‘Guidelines on data subject rights - Right of access’, а також остаточні версії цільових оновлень ще двох гайдів ‘Guidelines for identifying a controller or processor’s lead supervisory authority’ та ‘Guidelines on data breach notification’.
➂ Європейська комісія оголосила про прийняття пропозиції щодо EU Cyber Solidarity Act, який спрямований на зміцнення потенціалу кібербезпеки в ЄС. Законопроєкт встановлює правила для кращого виявлення, підготовки та реагування на значні чи масштабні інциденти кібербезпеки шляхом створення європейського щита кібербезпеки.
➃ Італійський регулятор Garante опублікував інформаційну сторінку про dark patterns, де досліджуються оманливі паттерни проєктування, які можуть впливати на поведінку користувачів інтернету та перешкоджати захисту даних.
➄ Іспанський регулятор AEPD випустив інструкції для органів державного управління щодо проведення DPIA у процесі розробки законодавчих заходів, які включають обробку персональних даних.
➅ EDPB опублікувала звіт своєї робочої групи щодо розгляду 101 скарги, які були подані NOYB щодо законності передачі даних до США після рішення Schrems II. У звіті показано спільну позицію регуляторів щодо передачі даних між ЄС і США за допомогою Google Analytics і Facebook Business Tools, а також їх відповідність вимогам Chapter V GDPR.
➆ Ірландський регулятор DPС випустив рекомендації з дотримання вимог ст. 30 GDPR щодо ведення RoPA (обліку діяльності з обробки). DPC підготував інструкції після перевірки RoPA 30 організацій державного та приватного секторів та виявлення як позитивних тенденцій, так і недоліків.
➇ Британський регулятор ICO висунув догану поліції двох графств Суррей та Сассекс за використання застосунку, який записував й автоматично зберігав понад 200 000 телефонних дзвінків, ймовірно, з постраждалими, свідками та підозрюваними. У ICO заявили, що застосунок було завантажено на робочі телефони співробітників і, «дуже ймовірно», він збирав «велику кількість персональних даних», обробку яких ICO визнав «несправедливим і незаконним». ICO оголосив догану замість штрафу в 1 млн фунтів стерлінгів.
➈ Данський регулятор Datatilsynet опублікував опитувальник, які заповнюються муніципалітетами щодо компетентності муніципальних DPO.
➉ Ірландський регулятор DPС опублікував чотири посібники для батьків щодо прав дітей на захист даних відповідно до GDPR. Посібники описують основи прав дітей на захист даних, коли для обробки даних дітей може знадобитися згода батьків, поради щодо того, як батьки можуть захистити дані своїх дітей, і обмеження реалізації прав дітей на захист даних.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [17.04 — 23.04]
① EDPB випустила річний звіт про свою діяльність за 2022 рік.
➁ EDPB затвердила остаточну версію гайду про право на доступ - ‘Guidelines on data subject rights - Right of access’, а також остаточні версії цільових оновлень ще двох гайдів ‘Guidelines for identifying a controller or processor’s lead supervisory authority’ та ‘Guidelines on data breach notification’.
➂ Європейська комісія оголосила про прийняття пропозиції щодо EU Cyber Solidarity Act, який спрямований на зміцнення потенціалу кібербезпеки в ЄС. Законопроєкт встановлює правила для кращого виявлення, підготовки та реагування на значні чи масштабні інциденти кібербезпеки шляхом створення європейського щита кібербезпеки.
➃ Італійський регулятор Garante опублікував інформаційну сторінку про dark patterns, де досліджуються оманливі паттерни проєктування, які можуть впливати на поведінку користувачів інтернету та перешкоджати захисту даних.
➄ Іспанський регулятор AEPD випустив інструкції для органів державного управління щодо проведення DPIA у процесі розробки законодавчих заходів, які включають обробку персональних даних.
➅ EDPB опублікувала звіт своєї робочої групи щодо розгляду 101 скарги, які були подані NOYB щодо законності передачі даних до США після рішення Schrems II. У звіті показано спільну позицію регуляторів щодо передачі даних між ЄС і США за допомогою Google Analytics і Facebook Business Tools, а також їх відповідність вимогам Chapter V GDPR.
➆ Ірландський регулятор DPС випустив рекомендації з дотримання вимог ст. 30 GDPR щодо ведення RoPA (обліку діяльності з обробки). DPC підготував інструкції після перевірки RoPA 30 організацій державного та приватного секторів та виявлення як позитивних тенденцій, так і недоліків.
➇ Британський регулятор ICO висунув догану поліції двох графств Суррей та Сассекс за використання застосунку, який записував й автоматично зберігав понад 200 000 телефонних дзвінків, ймовірно, з постраждалими, свідками та підозрюваними. У ICO заявили, що застосунок було завантажено на робочі телефони співробітників і, «дуже ймовірно», він збирав «велику кількість персональних даних», обробку яких ICO визнав «несправедливим і незаконним». ICO оголосив догану замість штрафу в 1 млн фунтів стерлінгів.
➈ Данський регулятор Datatilsynet опублікував опитувальник, які заповнюються муніципалітетами щодо компетентності муніципальних DPO.
➉ Ірландський регулятор DPС опублікував чотири посібники для батьків щодо прав дітей на захист даних відповідно до GDPR. Посібники описують основи прав дітей на захист даних, коли для обробки даних дітей може знадобитися згода батьків, поради щодо того, як батьки можуть захистити дані своїх дітей, і обмеження реалізації прав дітей на захист даних.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [24.04 — 30.04]
① Кіберполіція України заарештувала чоловіка в Нетішині, який, як стверджується, продавав персональні дані, що належать більш ніж 300 млн громадян ЄС і України. У розпорядженні зловмисника були відомості щодо паспортних даних, номерів платників податків, свідоцтв про народження, водійських посвідчень, даних банківських рахунків. В залежності від обсягу даних фігурант просив за них від 500 до 2000 доларів. Попередньо встановлено, що покупцями були і громадяни країни-агресора. Наразі проводиться досудове розслідування за ч. 2 ст. 361-1, ст. 362 Кримінального кодексу України.
➁ EDPS опублікував свій річний звіт за 2022 рік.
➂ EDPB запустила гайд щодо захисту даних для малого та середнього бізнесу. Гайд містить різноманітні інструменти, практичні поради та конкретні приклади.
➃ Європейська комісія оголосила про перші визначення "Дуже великих онлайн-платформ та онлайн-пошукових систем" відповідно до Закону про цифрові послуги. 19 зареєстрованих суб'єктів (вони всі вам добре знайомі) візьмуть на себе додаткові регуляторні вимоги, оскільки вони акумулюють 45 млн активних користувачів щомісяця. Серед додаткових зобов'язань – мати чіткі пропозиції щодо прав користувачів, включаючи можливість відмовитися від таргетованої реклами, а також посилити заходи прозорості та підзвітності.
➄ Французький регулятор обговорив результати свого першого засідання "клубу комплаєнсу", присвяченого підключеним до Інтернету транспортним засобам. Першим завданням клубу буде допомога у виробленні практичних і оперативних рекомендацій щодо використання геолокаційних даних в контексті підключених транспортних засобів.
➅ Ірландська рада з громадянських свобод подала скаргу до Європейської комісії через неспроможність зібрати повний набір даних про транскордонні розслідування за весь час дії GDPR. Стверджується, що Європейська Комісія має "56-місячний дефіцит даних", що ускладнює виявлення системної неспроможності виконання GDPR органами захисту даних держав-членів. Крім того, постійна нездатність отримати такі дані ставить під загрозу фундаментальні права і свободи.
➆ Німецький регулятор розпочав розслідування щодо дотримання OpenAI GDPR. Основні питання – чи проведено DPIA і чи перебувають ризики захисту даних під контролем.
➇ Іспанський регулятор опублікував звіт за 2022 рік, у якому він отримав найбільшу кількість позовів за весь час свого існування.
➈ Група американських адвокатів хоче поговорити з клієнтами Starbucks з Каліфорнії, Флориди та Пенсильванії в рамках потенційного колективного позову щодо порушення права на приватність. Стверджується, що при виборі опції "необхідні файли cookie" в налаштуваннях сайт насправді не вимикає всі інші файли cookie, продовжуючи відстежувати активність користувачів в Інтернеті.
➉ Канадський Офіс суперінтенданта фінансових установ опублікував спільне дослідження з Інститутом глобальних ризиків, в якому розглядаються етичні, правові та фінансові наслідки застосування ШІ для фінансових установ. Основний висновок – необхідність адаптації систем управління ризиками ШІ до майбутніх нормативно-правових актів.
⑪ OpenAI запустив нову функцію приватності, яка дозволяє користувачам "утримувати свої розмови в ChatGPT від використання в навчанні" алгоритму. Ця функція дозволяє користувачам вимкнути історію чату за допомогою перемикача в налаштуваннях, і їхні розмови більше не будуть зберігатися в бічній панелі. Користувачі також тепер можуть надсилати собі на електронну пошту копію своїх даних для завантаження.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [24.04 — 30.04]
① Кіберполіція України заарештувала чоловіка в Нетішині, який, як стверджується, продавав персональні дані, що належать більш ніж 300 млн громадян ЄС і України. У розпорядженні зловмисника були відомості щодо паспортних даних, номерів платників податків, свідоцтв про народження, водійських посвідчень, даних банківських рахунків. В залежності від обсягу даних фігурант просив за них від 500 до 2000 доларів. Попередньо встановлено, що покупцями були і громадяни країни-агресора. Наразі проводиться досудове розслідування за ч. 2 ст. 361-1, ст. 362 Кримінального кодексу України.
➁ EDPS опублікував свій річний звіт за 2022 рік.
➂ EDPB запустила гайд щодо захисту даних для малого та середнього бізнесу. Гайд містить різноманітні інструменти, практичні поради та конкретні приклади.
➃ Європейська комісія оголосила про перші визначення "Дуже великих онлайн-платформ та онлайн-пошукових систем" відповідно до Закону про цифрові послуги. 19 зареєстрованих суб'єктів (вони всі вам добре знайомі) візьмуть на себе додаткові регуляторні вимоги, оскільки вони акумулюють 45 млн активних користувачів щомісяця. Серед додаткових зобов'язань – мати чіткі пропозиції щодо прав користувачів, включаючи можливість відмовитися від таргетованої реклами, а також посилити заходи прозорості та підзвітності.
➄ Французький регулятор обговорив результати свого першого засідання "клубу комплаєнсу", присвяченого підключеним до Інтернету транспортним засобам. Першим завданням клубу буде допомога у виробленні практичних і оперативних рекомендацій щодо використання геолокаційних даних в контексті підключених транспортних засобів.
➅ Ірландська рада з громадянських свобод подала скаргу до Європейської комісії через неспроможність зібрати повний набір даних про транскордонні розслідування за весь час дії GDPR. Стверджується, що Європейська Комісія має "56-місячний дефіцит даних", що ускладнює виявлення системної неспроможності виконання GDPR органами захисту даних держав-членів. Крім того, постійна нездатність отримати такі дані ставить під загрозу фундаментальні права і свободи.
➆ Німецький регулятор розпочав розслідування щодо дотримання OpenAI GDPR. Основні питання – чи проведено DPIA і чи перебувають ризики захисту даних під контролем.
➇ Іспанський регулятор опублікував звіт за 2022 рік, у якому він отримав найбільшу кількість позовів за весь час свого існування.
➈ Група американських адвокатів хоче поговорити з клієнтами Starbucks з Каліфорнії, Флориди та Пенсильванії в рамках потенційного колективного позову щодо порушення права на приватність. Стверджується, що при виборі опції "необхідні файли cookie" в налаштуваннях сайт насправді не вимикає всі інші файли cookie, продовжуючи відстежувати активність користувачів в Інтернеті.
➉ Канадський Офіс суперінтенданта фінансових установ опублікував спільне дослідження з Інститутом глобальних ризиків, в якому розглядаються етичні, правові та фінансові наслідки застосування ШІ для фінансових установ. Основний висновок – необхідність адаптації систем управління ризиками ШІ до майбутніх нормативно-правових актів.
⑪ OpenAI запустив нову функцію приватності, яка дозволяє користувачам "утримувати свої розмови в ChatGPT від використання в навчанні" алгоритму. Ця функція дозволяє користувачам вимкнути історію чату за допомогою перемикача в налаштуваннях, і їхні розмови більше не будуть зберігатися в бічній панелі. Користувачі також тепер можуть надсилати собі на електронну пошту копію своїх даних для завантаження.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [01.05 — 07.05]
① Ірландський регулятор DPС випустив рекомендації для роботодавців щодо обробки даних поточних, колишніх і майбутніх працівників. Рекомендації стосуються як обробки стандартних даних (імені та контактної інформації про співробітників), так й інформації про гігієну на виробництві, лікарняні, перевірки ефективності або дисциплінарні стягнення.
➁ У Міжнародний день праці Управління науково-технічної політики Білого дому (OSTP) звернулося з проханням надати публічні коментарі щодо автоматизованих інструментів, які використовують роботодавці для спостереження за працівниками. Громадські коментарі можна надсилати електронною поштою на worksurveillance@ostp.eop.gov до 15 червня 2023 року.
➂ Apple і Google випустили спільний драфт галузевих специфікацій для протидії небажаному відстеженню місцезнаходження за допомогою Bluetooth та сповіщення про це на платформах iOS і Android. До кінця 2023 року компанії випустять робочі специфікації, які будуть підтримуватися в майбутніх версіях операційних систем.
➃ Суд ЄС ухвалив перше рішення щодо моральної шкоди за порушення GDPR у справі про порушення прав споживачів. Суд зазначив, що право на компенсацію за GDPR підлягає трьом кумулятивним умовам: порушення GDPR, матеріальна чи нематеріальна шкода внаслідок цього порушення та причиново-наслідковий зв’язок між шкодою та порушенням. Право на компенсацію не залежить від “порогу серйозності нематеріальної шкоди”, а оцінка шкоди та визначення розміру компенсації має здійснюватися відповідно до національного законодавства.
➄ Суд ЄС у своєму рішенні постановив що право суб’єкта даних отримати копію своїх персональних даних означає, що йому має бути надано «точне та зрозуміле відтворення» всіх даних. “Це право передбачає право отримати копії витягів із документів або навіть цілих документів чи витягів із баз даних, які містять, серед іншого, ці дані, якщо надання такої копії має важливе значення для ефективного здійснення суб'єктом даних прав за GDPR”.
➅ Суд ЄС прийняв рішення про спільний контроль: чи слід тлумачити спільний контроль виключно як такий, що передбачає свідомо скоординовані дії щодо визначення мети та засобів обробки даних, чи спільний контроль можна тлумачити як ситуації, у яких немає чіткої домовленості щодо мети та засоби обробки даних та/або дії не узгоджені між суб’єктами.
➆ Суд ЄС за поданням німецького регулятора розглянув питання щодо того, чи нездатність контролера продемонструвати дотримання принципу підзвітності та пов'язаних вимог (зокрема, ведення RoPA) означає, що обробка даних контролером є незаконною.
➇ Офіс Європейського інспектора із захисту даних (EDPS) надав висновки щодо стандартів захисту даних в угодах Європейської комісії про обмін даними про злочини з країнами Латинської Америки. Ці висновки стосуються угод з владою Болівії, Бразилії, Еквадору, Мексики та Перу щодо обміну даними з Європолом.
➈ Іспанський регулятор AEPD створив посібник (іспанською), щоб допомогти компаніям і суб’єктам владних повноважень дотримуватися правил створення просторів даних (‘data spaces’) та дотримання законодавства із захисту даних.
➉ Британський регулятор ICO запрошує організацій та приватних осіб розказати про досвід у сфері захисту даних і модерації контенту для створення нових рекомендацій. Коментарі можна надати до 9 червня 2023 тут.
⑪ Норвезький регулятор Datatilsynet заборонив Статистичному управлінню Норвегії збирати дані про покупки продуктів харчування норвежцями. У Datatilsynet заявили, що зібрані дані можуть бути пов’язані з соціально-економічною інформацією, як-от доходи та рівень освіти. Регулятор вважає, що немає достатніх правових підстав для такої інвазивної обробки персональних даних.
⑫ Американські сенатори представили проєкт COPPA 2.0. Законопроєкт охоплює платформи, які мають обґрунтовану ймовірність використовуватися дітьми, та забороняє збирати персональні дані користувачів віком від 13 до 16 років без згоди, забороняє таргетовану рекламу для дітей і підлітків.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [01.05 — 07.05]
① Ірландський регулятор DPС випустив рекомендації для роботодавців щодо обробки даних поточних, колишніх і майбутніх працівників. Рекомендації стосуються як обробки стандартних даних (імені та контактної інформації про співробітників), так й інформації про гігієну на виробництві, лікарняні, перевірки ефективності або дисциплінарні стягнення.
➁ У Міжнародний день праці Управління науково-технічної політики Білого дому (OSTP) звернулося з проханням надати публічні коментарі щодо автоматизованих інструментів, які використовують роботодавці для спостереження за працівниками. Громадські коментарі можна надсилати електронною поштою на worksurveillance@ostp.eop.gov до 15 червня 2023 року.
➂ Apple і Google випустили спільний драфт галузевих специфікацій для протидії небажаному відстеженню місцезнаходження за допомогою Bluetooth та сповіщення про це на платформах iOS і Android. До кінця 2023 року компанії випустять робочі специфікації, які будуть підтримуватися в майбутніх версіях операційних систем.
➃ Суд ЄС ухвалив перше рішення щодо моральної шкоди за порушення GDPR у справі про порушення прав споживачів. Суд зазначив, що право на компенсацію за GDPR підлягає трьом кумулятивним умовам: порушення GDPR, матеріальна чи нематеріальна шкода внаслідок цього порушення та причиново-наслідковий зв’язок між шкодою та порушенням. Право на компенсацію не залежить від “порогу серйозності нематеріальної шкоди”, а оцінка шкоди та визначення розміру компенсації має здійснюватися відповідно до національного законодавства.
➄ Суд ЄС у своєму рішенні постановив що право суб’єкта даних отримати копію своїх персональних даних означає, що йому має бути надано «точне та зрозуміле відтворення» всіх даних. “Це право передбачає право отримати копії витягів із документів або навіть цілих документів чи витягів із баз даних, які містять, серед іншого, ці дані, якщо надання такої копії має важливе значення для ефективного здійснення суб'єктом даних прав за GDPR”.
➅ Суд ЄС прийняв рішення про спільний контроль: чи слід тлумачити спільний контроль виключно як такий, що передбачає свідомо скоординовані дії щодо визначення мети та засобів обробки даних, чи спільний контроль можна тлумачити як ситуації, у яких немає чіткої домовленості щодо мети та засоби обробки даних та/або дії не узгоджені між суб’єктами.
➆ Суд ЄС за поданням німецького регулятора розглянув питання щодо того, чи нездатність контролера продемонструвати дотримання принципу підзвітності та пов'язаних вимог (зокрема, ведення RoPA) означає, що обробка даних контролером є незаконною.
➇ Офіс Європейського інспектора із захисту даних (EDPS) надав висновки щодо стандартів захисту даних в угодах Європейської комісії про обмін даними про злочини з країнами Латинської Америки. Ці висновки стосуються угод з владою Болівії, Бразилії, Еквадору, Мексики та Перу щодо обміну даними з Європолом.
➈ Іспанський регулятор AEPD створив посібник (іспанською), щоб допомогти компаніям і суб’єктам владних повноважень дотримуватися правил створення просторів даних (‘data spaces’) та дотримання законодавства із захисту даних.
➉ Британський регулятор ICO запрошує організацій та приватних осіб розказати про досвід у сфері захисту даних і модерації контенту для створення нових рекомендацій. Коментарі можна надати до 9 червня 2023 тут.
⑪ Норвезький регулятор Datatilsynet заборонив Статистичному управлінню Норвегії збирати дані про покупки продуктів харчування норвежцями. У Datatilsynet заявили, що зібрані дані можуть бути пов’язані з соціально-економічною інформацією, як-от доходи та рівень освіти. Регулятор вважає, що немає достатніх правових підстав для такої інвазивної обробки персональних даних.
⑫ Американські сенатори представили проєкт COPPA 2.0. Законопроєкт охоплює платформи, які мають обґрунтовану ймовірність використовуватися дітьми, та забороняє збирати персональні дані користувачів віком від 13 до 16 років без згоди, забороняє таргетовану рекламу для дітей і підлітків.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [08.05 — 14.05]
① Представники австралійського бізнесу висловлюють занепокоєння через запропонований проєкт закону про захист персональних даних. Якщо законопроєкт приймуть в теперішньому стані, то він вимагатиме фундаментальних змін у процесах і практиках обробки персональних даних в усіх бізнес-секторах.
➁ Австрійський регулятор постановив, що Clearview AI “не має права обробляти біометричні дані” скаржника та зобов'язані видалити наявні в них дані. У noyb здивовані, що Clearview AI не отримали штрафу. Наразі ситуація виглядає так, що регулятор захищає лише тих людей, які скаржаться.
➂ ICO опублікували список питань, що поліція має задати собі, коли постає питання “Чи варто публікувати персональні дані для широкого загалу?”. Традиційно потрібно звернути увагу на необхідність і пропорційність.
➃ Іспанський регулятор створив гайд щодо шифрування, як одного із способів захисту персональних даних. У документі обговорюється, як оцінити, чи належним чином ця методика впроваджена в обробці персональних даних
➄ Google звинуватили в порушенні європейського законодавства, оскільки він роками зберігав персональні дані потенційних кандидатів на роботу.
➅ Європейський парламент проголосував за необов’язковий EU-US Data Privacy Framework. Тепер подальшу долю передачі персональних даних буде вирішувати Європейська Комісія.
➆ WhatsApp може покинути ринок Британії. WhatsApp неодноразово підкреслював, що застосунок перестане працювати у Сполученому Королівстві, якщо не будуть внесені зміни до запропонованого Online Safety Bill.
➇ Компанія Toyota Motor Corp заявила, що дані про транспортні засоби 2,15 млн користувачів в Японії, або майже всієї клієнтської бази, які підписалися на її основні хмарні сервісні платформи з 2012 року, були у відкритому доступі протягом десятиліття через людську помилку.
➈ Продукт під назвою Echo, створений ізраїльською компанією Rayzone Group, використовує інформацію, призначену для маркетологів, щоб допомогти владі відстежувати людей через їхні мобільні телефони.
➉ Провідні комітети Європейського парламенту дали зелене світло закону про штучний інтелект під час голосування в четвер, що відкриває шлях до його пленарного ухвалення в середині червня. Закон про ШІ є флагманським законодавчим актом, спрямованим на регулювання ШІ на основі його потенціалу заподіяння шкоди.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [08.05 — 14.05]
① Представники австралійського бізнесу висловлюють занепокоєння через запропонований проєкт закону про захист персональних даних. Якщо законопроєкт приймуть в теперішньому стані, то він вимагатиме фундаментальних змін у процесах і практиках обробки персональних даних в усіх бізнес-секторах.
➁ Австрійський регулятор постановив, що Clearview AI “не має права обробляти біометричні дані” скаржника та зобов'язані видалити наявні в них дані. У noyb здивовані, що Clearview AI не отримали штрафу. Наразі ситуація виглядає так, що регулятор захищає лише тих людей, які скаржаться.
➂ ICO опублікували список питань, що поліція має задати собі, коли постає питання “Чи варто публікувати персональні дані для широкого загалу?”. Традиційно потрібно звернути увагу на необхідність і пропорційність.
➃ Іспанський регулятор створив гайд щодо шифрування, як одного із способів захисту персональних даних. У документі обговорюється, як оцінити, чи належним чином ця методика впроваджена в обробці персональних даних
➄ Google звинуватили в порушенні європейського законодавства, оскільки він роками зберігав персональні дані потенційних кандидатів на роботу.
➅ Європейський парламент проголосував за необов’язковий EU-US Data Privacy Framework. Тепер подальшу долю передачі персональних даних буде вирішувати Європейська Комісія.
➆ WhatsApp може покинути ринок Британії. WhatsApp неодноразово підкреслював, що застосунок перестане працювати у Сполученому Королівстві, якщо не будуть внесені зміни до запропонованого Online Safety Bill.
➇ Компанія Toyota Motor Corp заявила, що дані про транспортні засоби 2,15 млн користувачів в Японії, або майже всієї клієнтської бази, які підписалися на її основні хмарні сервісні платформи з 2012 року, були у відкритому доступі протягом десятиліття через людську помилку.
➈ Продукт під назвою Echo, створений ізраїльською компанією Rayzone Group, використовує інформацію, призначену для маркетологів, щоб допомогти владі відстежувати людей через їхні мобільні телефони.
➉ Провідні комітети Європейського парламенту дали зелене світло закону про штучний інтелект під час голосування в четвер, що відкриває шлях до його пленарного ухвалення в середині червня. Закон про ШІ є флагманським законодавчим актом, спрямованим на регулювання ШІ на основі його потенціалу заподіяння шкоди.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [15.05 — 21.05]
① Справа про причетність компанії Meta до масового стеження в США отримала перше безпосереднє рішення. Тепер Meta зобов'язана виплатити штраф у розмірі €1,2 млрд. Для прийняття рішення знадобилося 10 років і 3 судові процедури. Meta повинна припинити будь-яку подальшу передачу персональних даних з ЄС до Сполучених Штатів, враховуючи, що на неї поширюється дія американських законів про стеження (наприклад, FISA 702). EDPB значною мірою скасувала рішення ірландського регулятора, наполягаючи на рекордному штрафі та на тому, що раніше передані дані були повернуті до ЄС.
➁ Керівна група з питань прозорості та згоди IAB Europe випустила версію 2.2 Рамкової політики прозорості та згоди. Основні зміни включають усунення правової основи законного інтересу для реклами та персоналізації контенту, покращення інформації, що надається кінцевим користувачам, та вимогу до постачальників надавати додаткову інформацію про їхню діяльність з обробки даних.
➂ EDPB опублікувала доопрацьовані рекомендації щодо використання біометричних технологій правоохоронними органами. Розпізнавання облич повинно використовуватися тільки в суворій відповідності з Директивою про правоохоронну діяльність, а також якщо це необхідно і пропорційно в контексті Хартії основних прав ЄС.
➃ Французький регулятор опублікував План дій у сфері ШІ. Він складається з чотирьох цілей: розуміння функціонування систем ШІ та їхнього впливу на людей; створення умов для розвитку прайвасі-френдлі ШІ та керівництво ним; об'єднання та підтримка інноваційних гравців в екосистемі ШІ у Франції та Європі; аудит і контроль систем ШІ та захист людей.
➄ Французький регулятор оштрафував Doctissimo на €380K за недотримання GDPR та національного закону. Після чотирьох розслідувань регулятор заявив, що вебсайт, орієнтований на медичні дані, зберігав дані довше, ніж це необхідно, не отримував згоди осіб на збір медичних даних, не забезпечував належний захист персональних даних і не виконував зобов'язань GDPR щодо файлів cookie.
➅ Французький регулятор відзвітував, що його план дій щодо cookie-файлів мав позитивний вплив на зниження інтенсивності відстеження на вебсайтах, які відвідують французи. В 2020-22 роках було накладено вісім санкцій, пов'язаних з файлами cookie, на загальну суму €421 млн.
➆ Секретаріат Казначейства Канади опублікував інструкцію для державних установ, які використовують деідентифікацію як метод захисту даних. Інструкція містить міркування щодо ризиків повторної ідентифікації персональних даних, методи деідентифікації та визначення ключових термінів, пов'язаних з деідентифікацією.
➇ Уряд Канади також опублікував Digital Privacy Playbook. Посібник слугує довідковим інструментом для організацій, які впроваджують програму приватності, незалежно від того, на якій стадії вона перебуває, використовуючи контрольний список.
➈ Австралійська телерадіомовна компанія створила інтерактивний інструмент, щоб допомогти громадянам зрозуміти, як викрадені через фрагменти персональних даних їх можуть ідентифікувати їх в Інтернеті. Інструмент був створений на основі бази даних австралійського експерта з онлайн-безпеки Троя Ханта "Have I been Pwned?". База даних дозволяє користувачам побачити, які типи їхньої персональної інформації були викрадені, і пояснює "ефект мозаїки", який демонструє, що чим більше персональної інформації в Інтернеті, тим менш захищеними є широкі верстви населення в мережі.
➉ Платформа обміну повідомленнями Discord оголосила, що зазнала витоку даних після того, як хакер отримав несанкціонований доступ до черги заявок на підтримку стороннього агента з обслуговування клієнтів. Компанія заявила, що була розкрита персональна інформація користувачів, а також "вміст" листування служби підтримки з вкладеннями.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [15.05 — 21.05]
① Справа про причетність компанії Meta до масового стеження в США отримала перше безпосереднє рішення. Тепер Meta зобов'язана виплатити штраф у розмірі €1,2 млрд. Для прийняття рішення знадобилося 10 років і 3 судові процедури. Meta повинна припинити будь-яку подальшу передачу персональних даних з ЄС до Сполучених Штатів, враховуючи, що на неї поширюється дія американських законів про стеження (наприклад, FISA 702). EDPB значною мірою скасувала рішення ірландського регулятора, наполягаючи на рекордному штрафі та на тому, що раніше передані дані були повернуті до ЄС.
➁ Керівна група з питань прозорості та згоди IAB Europe випустила версію 2.2 Рамкової політики прозорості та згоди. Основні зміни включають усунення правової основи законного інтересу для реклами та персоналізації контенту, покращення інформації, що надається кінцевим користувачам, та вимогу до постачальників надавати додаткову інформацію про їхню діяльність з обробки даних.
➂ EDPB опублікувала доопрацьовані рекомендації щодо використання біометричних технологій правоохоронними органами. Розпізнавання облич повинно використовуватися тільки в суворій відповідності з Директивою про правоохоронну діяльність, а також якщо це необхідно і пропорційно в контексті Хартії основних прав ЄС.
➃ Французький регулятор опублікував План дій у сфері ШІ. Він складається з чотирьох цілей: розуміння функціонування систем ШІ та їхнього впливу на людей; створення умов для розвитку прайвасі-френдлі ШІ та керівництво ним; об'єднання та підтримка інноваційних гравців в екосистемі ШІ у Франції та Європі; аудит і контроль систем ШІ та захист людей.
➄ Французький регулятор оштрафував Doctissimo на €380K за недотримання GDPR та національного закону. Після чотирьох розслідувань регулятор заявив, що вебсайт, орієнтований на медичні дані, зберігав дані довше, ніж це необхідно, не отримував згоди осіб на збір медичних даних, не забезпечував належний захист персональних даних і не виконував зобов'язань GDPR щодо файлів cookie.
➅ Французький регулятор відзвітував, що його план дій щодо cookie-файлів мав позитивний вплив на зниження інтенсивності відстеження на вебсайтах, які відвідують французи. В 2020-22 роках було накладено вісім санкцій, пов'язаних з файлами cookie, на загальну суму €421 млн.
➆ Секретаріат Казначейства Канади опублікував інструкцію для державних установ, які використовують деідентифікацію як метод захисту даних. Інструкція містить міркування щодо ризиків повторної ідентифікації персональних даних, методи деідентифікації та визначення ключових термінів, пов'язаних з деідентифікацією.
➇ Уряд Канади також опублікував Digital Privacy Playbook. Посібник слугує довідковим інструментом для організацій, які впроваджують програму приватності, незалежно від того, на якій стадії вона перебуває, використовуючи контрольний список.
➈ Австралійська телерадіомовна компанія створила інтерактивний інструмент, щоб допомогти громадянам зрозуміти, як викрадені через фрагменти персональних даних їх можуть ідентифікувати їх в Інтернеті. Інструмент був створений на основі бази даних австралійського експерта з онлайн-безпеки Троя Ханта "Have I been Pwned?". База даних дозволяє користувачам побачити, які типи їхньої персональної інформації були викрадені, і пояснює "ефект мозаїки", який демонструє, що чим більше персональної інформації в Інтернеті, тим менш захищеними є широкі верстви населення в мережі.
➉ Платформа обміну повідомленнями Discord оголосила, що зазнала витоку даних після того, як хакер отримав несанкціонований доступ до черги заявок на підтримку стороннього агента з обслуговування клієнтів. Компанія заявила, що була розкрита персональна інформація користувачів, а також "вміст" листування служби підтримки з вкладеннями.
🇺🇦 Все буде Україна!
⚡️ АНОНС
IAPP Ukraine KnowledgeNet Chapter розпочинає свою роботу як частина найбільшої у світі спільноти з питань приватності IAPP - Міжнародної асоціації професіоналів з питань приватності.
Запрошуємо на перший івент на тему: "Status of Data Protection Framework in Ukraine and Prospects of its Development"
(англійською мовою)
⏰ Дата та формат
06.06.2023 о 10:00 за Київським часом
в онлайн-форматі
🎤 Експерти
▫️Дмитро Корчинський (CIPP/E, CIPM, FIP, старший спеціаліст із захисту даних у ПриватБанку)
▫️Каріна Хусаїнова (CIPP/E, старший юридичний радник A&L Goodbody)
▫️Наталія Кіріченко (партнер, співкерівник практики інтелектуальної власності та технологій Kinstellar)
▫️Софія Бруцяк (CIPP/E, юрисконсульт TA Ventures)
📝 Адженда
❓Яка чинна нормативно-правова основа захисту персональних даних в Україні?
❓З якими викликами стикаються професіонали у сфері захисту персональних даних в Україні?
❓Яких змін ми можемо або повинні очікувати, щоб привести українське законодавство у відповідність до вимог GDPR?
👉 Реєструйтеся
Участь безкоштовна за обов'язковою реєстрацією — тут
👉 Донатьте
IAPP Ukraine KnowledgeNet Chapter використовує цю можливість, щоб зібрати пожертви для World Central Kitchen, які забезпечують їжею та продуктовими наборами найбільш вразливі верстви населення України та внутрішньо переміщених осіб. Задонатити — тут
IAPP Ukraine KnowledgeNet Chapter розпочинає свою роботу як частина найбільшої у світі спільноти з питань приватності IAPP - Міжнародної асоціації професіоналів з питань приватності.
Запрошуємо на перший івент на тему: "Status of Data Protection Framework in Ukraine and Prospects of its Development"
(англійською мовою)
⏰ Дата та формат
06.06.2023 о 10:00 за Київським часом
в онлайн-форматі
🎤 Експерти
▫️Дмитро Корчинський (CIPP/E, CIPM, FIP, старший спеціаліст із захисту даних у ПриватБанку)
▫️Каріна Хусаїнова (CIPP/E, старший юридичний радник A&L Goodbody)
▫️Наталія Кіріченко (партнер, співкерівник практики інтелектуальної власності та технологій Kinstellar)
▫️Софія Бруцяк (CIPP/E, юрисконсульт TA Ventures)
📝 Адженда
❓Яка чинна нормативно-правова основа захисту персональних даних в Україні?
❓З якими викликами стикаються професіонали у сфері захисту персональних даних в Україні?
❓Яких змін ми можемо або повинні очікувати, щоб привести українське законодавство у відповідність до вимог GDPR?
👉 Реєструйтеся
Участь безкоштовна за обов'язковою реєстрацією — тут
👉 Донатьте
IAPP Ukraine KnowledgeNet Chapter використовує цю можливість, щоб зібрати пожертви для World Central Kitchen, які забезпечують їжею та продуктовими наборами найбільш вразливі верстви населення України та внутрішньо переміщених осіб. Задонатити — тут
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [22.05 — 28.05]
① Electronic Privacy Information Center (EPIC) опублікував новий звіт з аналізом шкоди, яку завдають нові генеративні інструменти штучного інтелекту, такі як ChatGPT, Midjourney та DALL-E. Звіт містить численні тематичні дослідження, приклади та рекомендації, підтверджені дослідженнями.
➁ TikTok подав до суду на штат Монтана через прийняття закону, який встановлює заборону китайської платформи і спрямований на «захист персональних даних жителів Монтани від збирання Комуністичною партією Китаю». Закон має набрати чинності 1 січня 2024 року.
➂ EDPB опублікувала дайджест рішень щодо права на заперечення та права на видалення, прийнятих у рамках One-Stop-Shop механізму. У дайджесті представлені остаточні рішення за період з 20 серпня до 13 листопада 2022 року.
➃ Міністерство юстиції США видало від імені Федеральної торгової комісії ордер про порушення каліфорнійською освітньою платформою Edmodo вимог COPPA та передало його до окружного суду США Північного округу Каліфорнії. Edmodo перекладала відповідальність за дотримання COPPA на школи та вчителів, які використовували платформу у навчальному процесі, не повідомила належним чином про практику обробки даних та не отримала верифіковану згоду батьків на обробку даних дітей до 13 років.
➄ Регулятор Фінляндії наказав Фінському метеорологічному інституту припинити передачу даних між ЄС і США за допомогою Google Analytics і Google reCAPTCHA, встановлених на веб-сайті інституту. Регулятор встановив, що інститут не мав належної підстави для передачі даних до США та не провів TIA. Також регулятор наголосив, що передача даних до США не може ґрунтуватися на згоді на використання файлів cookie.
➅ Британський регулятор ICO випустив новий гайд щодо відповіді на запити на доступ до персональних даних, подані співробітниками.
➆ Нідерландська асоціація захисту прав споживачів Consumentenbond готує колективний позов проти Google та вимагає, щоб технічний гігант негайно припинив відстеження, збір і продаж даних споживачів без їхньої згоди та виплатив компенсацію всім нідерладським користувачам Google.
➇ Французький регулятор CNIL опублікував звіт за 2022 рік. Регулятор повідомляє, що загальна сума штрафів за 2022 рік склала 101 млн євро.
➈ TikTok постив дані користувачів (зокрема, контент з сексуальним на сильством щодо дітей, паспортні дані) у загальних чатах з тисячами співробітників у коорпоративному месенджері Lark, як зазначає The New York Times.
➉ Британський регулятор ICO оголосив догану Міністерству юстиції після того, як 14 пакетів із документами, що містили медичну інформацію та інші персональні дані, були залишені без охорони у в’язниці протягом 18 днів. У ICO заявили, що щонайменше 44 ув'язнених і персонал мали доступ до інформації, а персонал "не зробив нічого проактивного для гарантування безпеки персональних даних". Хоч залишені документи підлягали утилізації, це не зменшує обов’язку щодо відповідального поводження з ними до повного знищення.
⑪ Регулятор Баварії опублікував гайд щодо транскордонної передачі даних.
⑫ Французький регулятор CNIL закрив справу проти MICROSOFT IRELAND OPERATIONS LIMITED за практику використання файлів cookie, зокрема, використання рекламних cookie без згоди користувачів веб-сайту bing.com. У грудні 2022 року CNIL наклав на компанію 60 млн штраф та зобов’язала протягом трьох місяців змінити практику використання файлів cookie. Як повідомляє CNIL, компанія внесла необхідні технічні зміни.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [22.05 — 28.05]
① Electronic Privacy Information Center (EPIC) опублікував новий звіт з аналізом шкоди, яку завдають нові генеративні інструменти штучного інтелекту, такі як ChatGPT, Midjourney та DALL-E. Звіт містить численні тематичні дослідження, приклади та рекомендації, підтверджені дослідженнями.
➁ TikTok подав до суду на штат Монтана через прийняття закону, який встановлює заборону китайської платформи і спрямований на «захист персональних даних жителів Монтани від збирання Комуністичною партією Китаю». Закон має набрати чинності 1 січня 2024 року.
➂ EDPB опублікувала дайджест рішень щодо права на заперечення та права на видалення, прийнятих у рамках One-Stop-Shop механізму. У дайджесті представлені остаточні рішення за період з 20 серпня до 13 листопада 2022 року.
➃ Міністерство юстиції США видало від імені Федеральної торгової комісії ордер про порушення каліфорнійською освітньою платформою Edmodo вимог COPPA та передало його до окружного суду США Північного округу Каліфорнії. Edmodo перекладала відповідальність за дотримання COPPA на школи та вчителів, які використовували платформу у навчальному процесі, не повідомила належним чином про практику обробки даних та не отримала верифіковану згоду батьків на обробку даних дітей до 13 років.
➄ Регулятор Фінляндії наказав Фінському метеорологічному інституту припинити передачу даних між ЄС і США за допомогою Google Analytics і Google reCAPTCHA, встановлених на веб-сайті інституту. Регулятор встановив, що інститут не мав належної підстави для передачі даних до США та не провів TIA. Також регулятор наголосив, що передача даних до США не може ґрунтуватися на згоді на використання файлів cookie.
➅ Британський регулятор ICO випустив новий гайд щодо відповіді на запити на доступ до персональних даних, подані співробітниками.
➆ Нідерландська асоціація захисту прав споживачів Consumentenbond готує колективний позов проти Google та вимагає, щоб технічний гігант негайно припинив відстеження, збір і продаж даних споживачів без їхньої згоди та виплатив компенсацію всім нідерладським користувачам Google.
➇ Французький регулятор CNIL опублікував звіт за 2022 рік. Регулятор повідомляє, що загальна сума штрафів за 2022 рік склала 101 млн євро.
➈ TikTok постив дані користувачів (зокрема, контент з сексуальним на сильством щодо дітей, паспортні дані) у загальних чатах з тисячами співробітників у коорпоративному месенджері Lark, як зазначає The New York Times.
➉ Британський регулятор ICO оголосив догану Міністерству юстиції після того, як 14 пакетів із документами, що містили медичну інформацію та інші персональні дані, були залишені без охорони у в’язниці протягом 18 днів. У ICO заявили, що щонайменше 44 ув'язнених і персонал мали доступ до інформації, а персонал "не зробив нічого проактивного для гарантування безпеки персональних даних". Хоч залишені документи підлягали утилізації, це не зменшує обов’язку щодо відповідального поводження з ними до повного знищення.
⑪ Регулятор Баварії опублікував гайд щодо транскордонної передачі даних.
⑫ Французький регулятор CNIL закрив справу проти MICROSOFT IRELAND OPERATIONS LIMITED за практику використання файлів cookie, зокрема, використання рекламних cookie без згоди користувачів веб-сайту bing.com. У грудні 2022 року CNIL наклав на компанію 60 млн штраф та зобов’язала протягом трьох місяців змінити практику використання файлів cookie. Як повідомляє CNIL, компанія внесла необхідні технічні зміни.
🇺🇦 Все буде Україна!
🔆 ДАЙДЖЕСТ ВЕСНИ
Температура повітря вдень 20+ градусів тепла. Отже, ми нарешті можемо сказати, що літо прийшло. Цієї весни нам вдалося зробити кілька дійсно крутих речей у сфері захисту персональних даних, якими ми хотіли б поділитися з вами. Пропонуємо вашій увазі наш дайджест за весну 2023 року
1️⃣ В рамках проєкту “Рятуй, не ризикуй” разом з Українською Волонтерською Службою провели навчання щодо безпеки для волонтерів. Експерти Privacy HUB розповіли про важливість захисту персональних даних та дали поради, як захистити себе онлайн.
2️⃣ Ми дали інтерв'ю IAPP, найбільшому світовому виданню у сфері приватності та захисту персональних даних. Говорили про наш проєкт "Академія приватності", війну та важливість захисту персональних даних. Приємним моментом стало те, що президент IAPP зробив репост цієї статті.
3️⃣ Експерти Privacy HUB були запрошені Міжнародним Комітетом Червоного Хреста прочитати лекцію про захист персональних даних для родин, чиї чоловіки перебувають у полоні або зникли безвісти. Для нас було великою честю поділитися своїми знаннями та досвідом з родинами захисників нашої України. Саме завдяки їм ми живемо. Тож, будь ласка, не забувайте підтримувати армію всіма доступними вам ресурсами.
4️⃣ Ми взяли участь у дискусії, організованій Радою студентського самоврядування Державного торговельно-економічного університету (ДТЕК) на тему "Захист приватності: Як орієнтуватися у світі персональних даних". Під час дискусії ми розповіли студентам про ситуацію із захистом приватності в Україні та відповіли на їхні запитання. Ми вдячні за запрошення, адже такі заходи сприяють формуванню культури приватності.
5️⃣ Створення українського підрозділу KnowledgeNet під егідою IAPP. Нагадуємо, що вже 06.06.2023 буде перший захід, де ми будемо говорити про український фреймворк захисту персональних даних. Долучайтесь!
Підтримуємо ЗСУ та сподіваємося провести форум прайвасі спеціалістів України в українській Ялті в 2024 році.
Дякуємо, що ви з нами! 💙💛
Слава Нації!
Температура повітря вдень 20+ градусів тепла. Отже, ми нарешті можемо сказати, що літо прийшло. Цієї весни нам вдалося зробити кілька дійсно крутих речей у сфері захисту персональних даних, якими ми хотіли б поділитися з вами. Пропонуємо вашій увазі наш дайджест за весну 2023 року
1️⃣ В рамках проєкту “Рятуй, не ризикуй” разом з Українською Волонтерською Службою провели навчання щодо безпеки для волонтерів. Експерти Privacy HUB розповіли про важливість захисту персональних даних та дали поради, як захистити себе онлайн.
2️⃣ Ми дали інтерв'ю IAPP, найбільшому світовому виданню у сфері приватності та захисту персональних даних. Говорили про наш проєкт "Академія приватності", війну та важливість захисту персональних даних. Приємним моментом стало те, що президент IAPP зробив репост цієї статті.
3️⃣ Експерти Privacy HUB були запрошені Міжнародним Комітетом Червоного Хреста прочитати лекцію про захист персональних даних для родин, чиї чоловіки перебувають у полоні або зникли безвісти. Для нас було великою честю поділитися своїми знаннями та досвідом з родинами захисників нашої України. Саме завдяки їм ми живемо. Тож, будь ласка, не забувайте підтримувати армію всіма доступними вам ресурсами.
4️⃣ Ми взяли участь у дискусії, організованій Радою студентського самоврядування Державного торговельно-економічного університету (ДТЕК) на тему "Захист приватності: Як орієнтуватися у світі персональних даних". Під час дискусії ми розповіли студентам про ситуацію із захистом приватності в Україні та відповіли на їхні запитання. Ми вдячні за запрошення, адже такі заходи сприяють формуванню культури приватності.
5️⃣ Створення українського підрозділу KnowledgeNet під егідою IAPP. Нагадуємо, що вже 06.06.2023 буде перший захід, де ми будемо говорити про український фреймворк захисту персональних даних. Долучайтесь!
Підтримуємо ЗСУ та сподіваємося провести форум прайвасі спеціалістів України в українській Ялті в 2024 році.
Дякуємо, що ви з нами! 💙💛
Слава Нації!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [29.05 — 04.06]
① Іспанський регулятор опублікував рекомендації щодо важливості дотримання принципу точності, передбаченого GDPR, у діяльності з обробки даних ШІ. Відповідні гарантії, які запобігають неточності та захищають від впливу неточних вхідних даних, повинні бути включені "за замовчуванням" в процес обробки даних, а їх ефективність повинна переглядатися і оновлюватися в разі необхідності.
➁ Британський регулятор оголосив про оновлення інструкцій до Кодексу захисту дітей, що стосуються постачальників освітніх технологій та послуг. Сфера дії уточнюється і включає в себе послуги, "які можуть бути доступні дітям на основі прямого зв'язку зі споживачем", а також ті, що "надаються дітям через школу, де постачальник edtech впливає на характер і мету обробки персональної інформації дітей".
➂ Берлінський регулятор оштрафував неназваний банк на 300 000 євро за порушення зобов'язань щодо прозорості відповідно до GDPR у автоматизованому рішенні про відхилення заявки на кредитну картку.
➃ Федеральна торгова комісія США (ФТК) та Міністерство юстиції оголосили про запропоновані заходи проти компанії Amazon Alexa, які включають штраф у розмірі $25 млн та різні коригувальні заходи. У колективній скарзі йдеться про порушення приватності дітей в Інтернеті, пов'язані з видаленням і збереженням даних про голос і геолокаційні дані дітей.
➄ ФТК також оголосила про штраф у розмірі $5,8 млн та коригувальні заходи проти Amazon's Ring, які мають бути затверджені федеральним судом. Клієнти Ring не давали згоди на доступ співробітників Amazon до відеозаписів або на використання записів для навчання алгоритмів.
➅ Офіс Уповноваженого з питань приватності Канади опублікував рекомендації для роботодавців щодо приватності на робочому місці, в яких викладено міркування щодо управління персональними даними працівників та такі теми, як моніторинг працівників.
➆ Центр безпеки штучного інтелекту опублікував заяву з одного речення про ризики штучного інтелекту, яку підписали понад 350 керівників, дослідників та інших осіб, що працюють у галузі штучного інтелекту. "Зниження ризику вимирання людства через ШІ має бути глобальним пріоритетом поряд з іншими ризиками суспільного масштабу, такими як пандемії та ядерна війна", – йдеться в заяві.
➇ Британський регулятор проводить розслідування щодо вебсайтів 20 фондів Національної служби охорони здоров'я Великої Британії, які збирають інформацію про браузер і передають дані про стан здоров'я пацієнтів, їхні призначення та лікування у Facebook за допомогою інструменту Meta Pixel.
➈ У звіті Open Rights Group стверджується, що ICO не відреагував на порушення урядом законодавства про захист даних, пов'язаних з медичними програмами, спрямованими на боротьбу з COVID-19. Британський регулятор із звітом не погодився.
➉ Рада з торгівлі та технологій ЄС-США опублікувала спільну заяву, в якій підтверджує свою прихильність до підходу, заснованому на оцінці ризиків, що сприяє просуванню "надійних і відповідальних технологій штучного інтелекту".
⑪ Національне управління із захисту даних Бразилії оголосило про початок розслідування щодо WhatsApp і TikTok.
⑫ Інститут людських технологій Сіднейського технологічного університету підготував звіт "Стан управління штучним інтелектом в Австралії", в якому досліджує практику управління штучним інтелектом в країні.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [29.05 — 04.06]
① Іспанський регулятор опублікував рекомендації щодо важливості дотримання принципу точності, передбаченого GDPR, у діяльності з обробки даних ШІ. Відповідні гарантії, які запобігають неточності та захищають від впливу неточних вхідних даних, повинні бути включені "за замовчуванням" в процес обробки даних, а їх ефективність повинна переглядатися і оновлюватися в разі необхідності.
➁ Британський регулятор оголосив про оновлення інструкцій до Кодексу захисту дітей, що стосуються постачальників освітніх технологій та послуг. Сфера дії уточнюється і включає в себе послуги, "які можуть бути доступні дітям на основі прямого зв'язку зі споживачем", а також ті, що "надаються дітям через школу, де постачальник edtech впливає на характер і мету обробки персональної інформації дітей".
➂ Берлінський регулятор оштрафував неназваний банк на 300 000 євро за порушення зобов'язань щодо прозорості відповідно до GDPR у автоматизованому рішенні про відхилення заявки на кредитну картку.
➃ Федеральна торгова комісія США (ФТК) та Міністерство юстиції оголосили про запропоновані заходи проти компанії Amazon Alexa, які включають штраф у розмірі $25 млн та різні коригувальні заходи. У колективній скарзі йдеться про порушення приватності дітей в Інтернеті, пов'язані з видаленням і збереженням даних про голос і геолокаційні дані дітей.
➄ ФТК також оголосила про штраф у розмірі $5,8 млн та коригувальні заходи проти Amazon's Ring, які мають бути затверджені федеральним судом. Клієнти Ring не давали згоди на доступ співробітників Amazon до відеозаписів або на використання записів для навчання алгоритмів.
➅ Офіс Уповноваженого з питань приватності Канади опублікував рекомендації для роботодавців щодо приватності на робочому місці, в яких викладено міркування щодо управління персональними даними працівників та такі теми, як моніторинг працівників.
➆ Центр безпеки штучного інтелекту опублікував заяву з одного речення про ризики штучного інтелекту, яку підписали понад 350 керівників, дослідників та інших осіб, що працюють у галузі штучного інтелекту. "Зниження ризику вимирання людства через ШІ має бути глобальним пріоритетом поряд з іншими ризиками суспільного масштабу, такими як пандемії та ядерна війна", – йдеться в заяві.
➇ Британський регулятор проводить розслідування щодо вебсайтів 20 фондів Національної служби охорони здоров'я Великої Британії, які збирають інформацію про браузер і передають дані про стан здоров'я пацієнтів, їхні призначення та лікування у Facebook за допомогою інструменту Meta Pixel.
➈ У звіті Open Rights Group стверджується, що ICO не відреагував на порушення урядом законодавства про захист даних, пов'язаних з медичними програмами, спрямованими на боротьбу з COVID-19. Британський регулятор із звітом не погодився.
➉ Рада з торгівлі та технологій ЄС-США опублікувала спільну заяву, в якій підтверджує свою прихильність до підходу, заснованому на оцінці ризиків, що сприяє просуванню "надійних і відповідальних технологій штучного інтелекту".
⑪ Національне управління із захисту даних Бразилії оголосило про початок розслідування щодо WhatsApp і TikTok.
⑫ Інститут людських технологій Сіднейського технологічного університету підготував звіт "Стан управління штучним інтелектом в Австралії", в якому досліджує практику управління штучним інтелектом в країні.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [05.06 — 11.06]
① Zoom запропонував користувачам з Європейської економічної зони (ЄЕЗ), які користуються платною підпискою на сервіс, локалізувати свої дані у межах ЄЕЗ. У Zoom повідомляють, що дані будуть передаватися американським інженерам «в індивідуальних випадках і виняткових обставинах». Окрім цього, Zoom виділив окрему команду для підтримки європейських користувачів та запровадив нові інструменти для обробки запитів суб’єктів даних.
➁ Федеральна торгова комісія США (FTC) оголосила про штраф у розмірі $20 млн доларів проти Microsoft за порушення Children's Online Privacy Protection Act (COPPA), пов’язані з незаконним збором та зберіганням даних дітей-користувачів Xbox. Повідомляється, що Microsoft не отримувала від батьків дітей віком до 13 років згоди на обробки до початку такої обробки. Згода батьків запитувалася лише на завершальному етапі реєстрації, коли діти вже надали свої дані для створення акаунта.
➂ Управління з громадянських прав Міністерства охорони здоров’я та соціальних служб США досягло мирової угоди з постачальником психіатричних послуг Manasa Health Center, LLC, який у відповідь на негативні відгуки клієнтів у соціальних мережах розкривав точні діагнози та методи лікування. Компанія зобов’язана сплатити штраф $30,000 та вжити низки корегувальних заходів.
➃ Італійський регулятор Garante вперше конфіскував бази даних, якими користувалися дві компанії кол-центрів. Ці компанії були серед чотирьох кол-центрів, які займалися незаконною діяльністю телемаркетингу та були оштрафовані на загальну суму €1,8 млн.
➄ EDPB опублікувала остаточну версію гайду щодо нарахування адміністративних штрафів для гармонізації методології розрахунку наглядовими органами на основі трьох елементів: категоризація порушення за його характером, серйозність порушення та оборот бізнесу. У гайді запропоновано 5-ти крокову методологію для визначення розміру штрафу.
➅ Американське видання The Markup повідомило, що рекламна платформа Microsoft Xandr здійснює сегментування аудиторії на основі чутливих даних, зокрема, частоти покупки тестів на вагітність, інтерес до пухлин головного мозку, схильність до депресії, відвідування місць для богослужіння або почуття «легкого здуття».
➆ EDPB опублікувала гайд щодо застосування статті 65(1)(a) GDPR, коли EDPB уповноважена приймати binding decision для вирішення спору між керівним та іншим зацікавленим наглядововим органом.
➇ Британський регулятор ICO попередив про ризики дискримінації людей під час використання технологій моніторингу нейроданих через вбудовану упередженість та неточність даних. Регулятор прогнозує, що використання інформації, яка надходить безпосередньо з мозку та нервової системи, стане широко поширеним у повсякденному житті людини протягом наступного десятиліття. ICO повідомив, що вже працює над розробкою гайду щодо використання нейроданих.
➈ Нідерландський регулятор Autoriteit Persoonsgegevens вимагає від OpenAI додаткових роз’яснень щодо того, як ChatGPT обробляє персональні дані. Регулятор запитує, чи використовуються запитання користувачів для навчання алгоритму, а також як ChatGPT вивчає персональні дані, розміщені в інтернеті.
➉ Велика Британія та США узгодили зобов’язання щодо розробки у 2023 році ‘data bridge’ — механізму передачі даних між державами, який стане розширенням EU-US Data Privacy Framework.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [05.06 — 11.06]
① Zoom запропонував користувачам з Європейської економічної зони (ЄЕЗ), які користуються платною підпискою на сервіс, локалізувати свої дані у межах ЄЕЗ. У Zoom повідомляють, що дані будуть передаватися американським інженерам «в індивідуальних випадках і виняткових обставинах». Окрім цього, Zoom виділив окрему команду для підтримки європейських користувачів та запровадив нові інструменти для обробки запитів суб’єктів даних.
➁ Федеральна торгова комісія США (FTC) оголосила про штраф у розмірі $20 млн доларів проти Microsoft за порушення Children's Online Privacy Protection Act (COPPA), пов’язані з незаконним збором та зберіганням даних дітей-користувачів Xbox. Повідомляється, що Microsoft не отримувала від батьків дітей віком до 13 років згоди на обробки до початку такої обробки. Згода батьків запитувалася лише на завершальному етапі реєстрації, коли діти вже надали свої дані для створення акаунта.
➂ Управління з громадянських прав Міністерства охорони здоров’я та соціальних служб США досягло мирової угоди з постачальником психіатричних послуг Manasa Health Center, LLC, який у відповідь на негативні відгуки клієнтів у соціальних мережах розкривав точні діагнози та методи лікування. Компанія зобов’язана сплатити штраф $30,000 та вжити низки корегувальних заходів.
➃ Італійський регулятор Garante вперше конфіскував бази даних, якими користувалися дві компанії кол-центрів. Ці компанії були серед чотирьох кол-центрів, які займалися незаконною діяльністю телемаркетингу та були оштрафовані на загальну суму €1,8 млн.
➄ EDPB опублікувала остаточну версію гайду щодо нарахування адміністративних штрафів для гармонізації методології розрахунку наглядовими органами на основі трьох елементів: категоризація порушення за його характером, серйозність порушення та оборот бізнесу. У гайді запропоновано 5-ти крокову методологію для визначення розміру штрафу.
➅ Американське видання The Markup повідомило, що рекламна платформа Microsoft Xandr здійснює сегментування аудиторії на основі чутливих даних, зокрема, частоти покупки тестів на вагітність, інтерес до пухлин головного мозку, схильність до депресії, відвідування місць для богослужіння або почуття «легкого здуття».
➆ EDPB опублікувала гайд щодо застосування статті 65(1)(a) GDPR, коли EDPB уповноважена приймати binding decision для вирішення спору між керівним та іншим зацікавленим наглядововим органом.
➇ Британський регулятор ICO попередив про ризики дискримінації людей під час використання технологій моніторингу нейроданих через вбудовану упередженість та неточність даних. Регулятор прогнозує, що використання інформації, яка надходить безпосередньо з мозку та нервової системи, стане широко поширеним у повсякденному житті людини протягом наступного десятиліття. ICO повідомив, що вже працює над розробкою гайду щодо використання нейроданих.
➈ Нідерландський регулятор Autoriteit Persoonsgegevens вимагає від OpenAI додаткових роз’яснень щодо того, як ChatGPT обробляє персональні дані. Регулятор запитує, чи використовуються запитання користувачів для навчання алгоритму, а також як ChatGPT вивчає персональні дані, розміщені в інтернеті.
➉ Велика Британія та США узгодили зобов’язання щодо розробки у 2023 році ‘data bridge’ — механізму передачі даних між державами, який стане розширенням EU-US Data Privacy Framework.
🇺🇦 Все буде Україна!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [12.06 — 18.06]
① Шведський регулятор оштрафував Spotify на 58 млн шведських крон за порушення GDPR, пов'язані з прозорістю. Регулятор встановив, що Spotify відповідає на запити про доступ до даних, але недостатньо чітко інформує про те, як ці дані використовуються компанією. Регулятор додав, що Spotify має бути більш конкретним у розкритті інформації про використання даних і полегшити для особи, яка запитує доступ до своїх даних, розуміння того, як компанія використовує ці дані.
➁ Італійський регулятор звернувся до TikTok із запитом про пояснення повідомлень про доступ до його персональних даних з боку Комуністичної партії Китаю. Гарант дав компанії 15 днів на те, щоб підготувати відповідь на звіти і пояснити, як дані італійських користувачів і користувачів з ЄС захищені від ймовірного доступу з боку уряду.
➂ Іспанський регулятор запустив оновлену версію свого інструменту Gestiona, який допомагає організаціям в управлінні ризиками та проведенні оцінки впливу відповідно до GDPR.
➃ Британський регулятор закликав компанії, які використовують інструменти генеративного ШІ, усунути ризики для приватності, а також оголосив про посилення перевірок дотримання організаціями законодавства про захист даних.
➄ Інструмент генеративного ШІ Google Bard не дебютує в ЄС, поки компанія не вирішить проблеми приватності, занепокоєння щодо яких висловив ірландський регулятор.
➅ Британський регулятор оштрафував дві енергетичні компанії на загальну суму £250 000 за здійснення незаконних маркетингових телефонних дзвінків громадянам та організаціям, які перебувають у реєстрі "не дзвонити" в країні.
➆ Французький регулятор оштрафував оператора вебсайту, що проводить сеанси ясновидіння, KG COM на €120 000 за порушення GDPR, включаючи систематичний запис телефонних дзвінків, збір даних та інформації про стан здоров'я. І також оштрафуваний на €30 000 за недотримання національного закону про захист даних через використання файлів cookie.
➇ Нідерландський регулятор просить OpenAI надати додаткові роз'яснення щодо того, як ChatGPT обробляє персональні дані.
➈ Британський регулятор опублікував аналіз Кодексу про права дитини.
➉ Федеральна комісія зв'язку США оголосила про створення робочої групи з питань приватності та захисту даних.
⑪ Сінгапурське управління з розвитку ЗМІ Infocomm опублікувало звіт, в якому визначило шість основних ризиків генеративного ШІ і запропонувало структуру для їх усунення. Сінгапур також заснував AI Verify Foundation для сприяння впровадженню відповідального ШІ та просування найкращих практик і стандартів ШІ.
⑫ Центр промисловості та саморегулювання національних програм BBB (США) опублікував "Принципи надійного використання ШІ в рекрутингу та наймі на роботу", а також незалежні протоколи сертифікації технологій найму та підбору персоналу з використанням ШІ.
⑬ Бразильський орган із захисту даних опублікував темплейт ROPA для SMEs.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [12.06 — 18.06]
① Шведський регулятор оштрафував Spotify на 58 млн шведських крон за порушення GDPR, пов'язані з прозорістю. Регулятор встановив, що Spotify відповідає на запити про доступ до даних, але недостатньо чітко інформує про те, як ці дані використовуються компанією. Регулятор додав, що Spotify має бути більш конкретним у розкритті інформації про використання даних і полегшити для особи, яка запитує доступ до своїх даних, розуміння того, як компанія використовує ці дані.
➁ Італійський регулятор звернувся до TikTok із запитом про пояснення повідомлень про доступ до його персональних даних з боку Комуністичної партії Китаю. Гарант дав компанії 15 днів на те, щоб підготувати відповідь на звіти і пояснити, як дані італійських користувачів і користувачів з ЄС захищені від ймовірного доступу з боку уряду.
➂ Іспанський регулятор запустив оновлену версію свого інструменту Gestiona, який допомагає організаціям в управлінні ризиками та проведенні оцінки впливу відповідно до GDPR.
➃ Британський регулятор закликав компанії, які використовують інструменти генеративного ШІ, усунути ризики для приватності, а також оголосив про посилення перевірок дотримання організаціями законодавства про захист даних.
➄ Інструмент генеративного ШІ Google Bard не дебютує в ЄС, поки компанія не вирішить проблеми приватності, занепокоєння щодо яких висловив ірландський регулятор.
➅ Британський регулятор оштрафував дві енергетичні компанії на загальну суму £250 000 за здійснення незаконних маркетингових телефонних дзвінків громадянам та організаціям, які перебувають у реєстрі "не дзвонити" в країні.
➆ Французький регулятор оштрафував оператора вебсайту, що проводить сеанси ясновидіння, KG COM на €120 000 за порушення GDPR, включаючи систематичний запис телефонних дзвінків, збір даних та інформації про стан здоров'я. І також оштрафуваний на €30 000 за недотримання національного закону про захист даних через використання файлів cookie.
➇ Нідерландський регулятор просить OpenAI надати додаткові роз'яснення щодо того, як ChatGPT обробляє персональні дані.
➈ Британський регулятор опублікував аналіз Кодексу про права дитини.
➉ Федеральна комісія зв'язку США оголосила про створення робочої групи з питань приватності та захисту даних.
⑪ Сінгапурське управління з розвитку ЗМІ Infocomm опублікувало звіт, в якому визначило шість основних ризиків генеративного ШІ і запропонувало структуру для їх усунення. Сінгапур також заснував AI Verify Foundation для сприяння впровадженню відповідального ШІ та просування найкращих практик і стандартів ШІ.
⑫ Центр промисловості та саморегулювання національних програм BBB (США) опублікував "Принципи надійного використання ШІ в рекрутингу та наймі на роботу", а також незалежні протоколи сертифікації технологій найму та підбору персоналу з використанням ШІ.
⑬ Бразильський орган із захисту даних опублікував темплейт ROPA для SMEs.
🇺🇦 Все буде Україна!
⚡️ЗБІР КОШТІВ ДЛЯ ЗСУ
Друзі, нам потрібна ваша допомога. З перших днів вторгнення співзасновник Privacy HUB Влад Некрутенко встав на захист нашої держави. За більш ніж як рік служби підрозділ, в якому служить Влад, встиг наробити багато смерті ворогам. Для більш ефективного виконання бойових завдань підрозділ потребує нашої з вами допомоги.
Наші воїни беруть участь в активних бойових діях в південній частині України та терміново потребують обладнання – квадрокоптеру з тепловізором Mavic 3T.
Mavic 3T – це передовий квадрокоптер з тепловізором, який надає унікальну можливість проводити розвідку, виявляти цілі та контролювати ситуацію на місцевості. Завдяки його технічним характеристикам, військові зможуть цілодобово отримувати реальний часовий огляд обстановки, виявляти можливі загрози та приймати необхідні рішення.
🎯Ціль: 400 000.00 ₴
🔗 Посилання на банку:
https://send.monobank.ua/jar/6uAgsaqZWv
💳 Номер картки:
5375 4112 0695 5572
Ваша підтримка сьогодні – це вклад у майбутнє нашої держави. Разом ми сильніші!
🇺🇦 Слава нації!
P.S. Будемо вдячні також за репости та поширення!
Друзі, нам потрібна ваша допомога. З перших днів вторгнення співзасновник Privacy HUB Влад Некрутенко встав на захист нашої держави. За більш ніж як рік служби підрозділ, в якому служить Влад, встиг наробити багато смерті ворогам. Для більш ефективного виконання бойових завдань підрозділ потребує нашої з вами допомоги.
Наші воїни беруть участь в активних бойових діях в південній частині України та терміново потребують обладнання – квадрокоптеру з тепловізором Mavic 3T.
Mavic 3T – це передовий квадрокоптер з тепловізором, який надає унікальну можливість проводити розвідку, виявляти цілі та контролювати ситуацію на місцевості. Завдяки його технічним характеристикам, військові зможуть цілодобово отримувати реальний часовий огляд обстановки, виявляти можливі загрози та приймати необхідні рішення.
🎯Ціль: 400 000.00 ₴
🔗 Посилання на банку:
https://send.monobank.ua/jar/6uAgsaqZWv
💳 Номер картки:
5375 4112 0695 5572
Ваша підтримка сьогодні – це вклад у майбутнє нашої держави. Разом ми сильніші!
🇺🇦 Слава нації!
P.S. Будемо вдячні також за репости та поширення!
send.monobank.ua
Безпечний переказ коштів
Надсилайте безкоштовно та безпечно кошти
⚡️ЗБІР КОШТІВ ДЛЯ ЗСУ: НОВІ РЕКВІЗИТИ
Друзі, ви робите неймовірні речі!
🤩 Завдяки вашій активній підтримці нам всього за два дні вдалося зібрати 2750 євро на Mavic 3T.
🎯Залишилося зібрати: 7250 євро
Щиро дякуємо за ваш внесок у знищення ворога та нашу Перемогу.
❗Повідомляємо, що збором решти суми та замовленням квадрокоптера будуть займатися:
Олег Симороз, український політик, громадський активіст та юрист. Олег – друг команди Privacy Hub та побратим Влада, який пліч-о-пліч воював з ним та втратив обидві ноги на протитанковій міні. Олега можно побачити на фото в пості
UA Help, надійний український благодійний фонд.
ЗАДОНАТИТИ на банку Олега: https://send.monobank.ua/jar/3MgpXvkh6g
Разом ми непереможні!
🇺🇦 Слава Україні!
Друзі, ви робите неймовірні речі!
🤩 Завдяки вашій активній підтримці нам всього за два дні вдалося зібрати 2750 євро на Mavic 3T.
🎯Залишилося зібрати: 7250 євро
Щиро дякуємо за ваш внесок у знищення ворога та нашу Перемогу.
❗Повідомляємо, що збором решти суми та замовленням квадрокоптера будуть займатися:
Олег Симороз, український політик, громадський активіст та юрист. Олег – друг команди Privacy Hub та побратим Влада, який пліч-о-пліч воював з ним та втратив обидві ноги на протитанковій міні. Олега можно побачити на фото в пості
UA Help, надійний український благодійний фонд.
ЗАДОНАТИТИ на банку Олега: https://send.monobank.ua/jar/3MgpXvkh6g
Разом ми непереможні!
🇺🇦 Слава Україні!
#Новини_тижня
🆕 НОВИНИ ТИЖНЯ [19.06 — 25.06]
① Американські сенатори надіслали лист генеральному директору Amazon Енді Джассі щодо обробки даних пацієнтів, зареєстрованих у «віртуальній вітрині охорони здоров’я» Amazon Clinic, яка отримує «повний» доступ до інформації про здоров’я клієнтів та дозволяє розкривати цю інформацію іншим особам. У листі запитується інформація про типи даних, які збирає Amazon Clinic Services, і про те, чи Amazon використовує дані для просування або продажу будь-яких інших своїх продуктів або послуг.
➁ Правозахисна організація NOYB подала скаргу до Високого суду Ірландії щодо неналежного розслідування ірландським регулятором DPC порушень GDPR гігантом соцмереж Meta.
➂ Британський регулятор ICO випустив рекомендації щодо використання технологій покращення приватності (privacy-enhancing technologies, PETs) для безпечного, захищеного та анонімного обміну персональними даними. Рекомендації призначені для спеціалістів із захисту даних та інших осіб, які обробляють великі обсяги персональних даних у сфері фінансів, охорони здоров’я, досліджень, а також у центральних і місцевих органах влади.
➃ WhatsApp запустив нові функції приватності: “Silence Unknown Callers” для заглушення дзвінків від невідомих абонентів та “Privacy Checkup” для покрокової перевірки налаштувань приватності.
➄ Європейська комісія почала свою ініціативу щодо добровільної відмови компаній від сторонніх файлів cookie. Ініціатива має на меті вивчити альтернативні способи онлайн-реклами, що виключають відстеження користувачів за допомогою файлів cookie.
➅ EDPB прийняла типову форму скарги, щоб полегшити подання скарг особами та подальшу обробку скарг європейськими регуляторами у випадках транскордонної обробки даних.
➆ EDPB прийняла остаточну версію Рекомендацій щодо заявки на схвалення та щодо елементів і принципів, які містяться в обов’язкових корпоративних правилах контролера (BCRs).
➇ TikTok підтвердив, що компанія зберігає дані деяких американських користувачів у Китаї, незважаючи на попередні запевнення генерального директора у Конгресі США у протилежному.
➈ Французький регулятор CNIL оштрафував на 40 млн євро компанію онлайн-реклами Criteo. Зокрема, компанія не перевіряла наявність згоди користувачів сайтів-партнерів на встановлення CRITEO tracker (cookie) для відслідковування патернів поведінки та пропонування таргетованої реклами; порушила вимоги відкритості і прозорості обробки, оскільки не вказала у Privacy notice цілей обробки; порушила ст. 26 GDPR щодо розподілу обов’язків між спільними контролерами; не забезпечила реалізацію права на доступ, відкликання згоди та видалення даних.
➉ Суд ЄС ухвалив рішення у справі C-579/21 Pankki S. щодо застосування ст. 15 GDPR. Суд вважає, що інформація, що стосується консультацій та операції, які здійснюються з персональними даними, а також щодо дат і цілей цих операцій є інформацією, яку суб’єкт даних має право отримати від контролера.
🇺🇦 Все буде Україна!
🆕 НОВИНИ ТИЖНЯ [19.06 — 25.06]
① Американські сенатори надіслали лист генеральному директору Amazon Енді Джассі щодо обробки даних пацієнтів, зареєстрованих у «віртуальній вітрині охорони здоров’я» Amazon Clinic, яка отримує «повний» доступ до інформації про здоров’я клієнтів та дозволяє розкривати цю інформацію іншим особам. У листі запитується інформація про типи даних, які збирає Amazon Clinic Services, і про те, чи Amazon використовує дані для просування або продажу будь-яких інших своїх продуктів або послуг.
➁ Правозахисна організація NOYB подала скаргу до Високого суду Ірландії щодо неналежного розслідування ірландським регулятором DPC порушень GDPR гігантом соцмереж Meta.
➂ Британський регулятор ICO випустив рекомендації щодо використання технологій покращення приватності (privacy-enhancing technologies, PETs) для безпечного, захищеного та анонімного обміну персональними даними. Рекомендації призначені для спеціалістів із захисту даних та інших осіб, які обробляють великі обсяги персональних даних у сфері фінансів, охорони здоров’я, досліджень, а також у центральних і місцевих органах влади.
➃ WhatsApp запустив нові функції приватності: “Silence Unknown Callers” для заглушення дзвінків від невідомих абонентів та “Privacy Checkup” для покрокової перевірки налаштувань приватності.
➄ Європейська комісія почала свою ініціативу щодо добровільної відмови компаній від сторонніх файлів cookie. Ініціатива має на меті вивчити альтернативні способи онлайн-реклами, що виключають відстеження користувачів за допомогою файлів cookie.
➅ EDPB прийняла типову форму скарги, щоб полегшити подання скарг особами та подальшу обробку скарг європейськими регуляторами у випадках транскордонної обробки даних.
➆ EDPB прийняла остаточну версію Рекомендацій щодо заявки на схвалення та щодо елементів і принципів, які містяться в обов’язкових корпоративних правилах контролера (BCRs).
➇ TikTok підтвердив, що компанія зберігає дані деяких американських користувачів у Китаї, незважаючи на попередні запевнення генерального директора у Конгресі США у протилежному.
➈ Французький регулятор CNIL оштрафував на 40 млн євро компанію онлайн-реклами Criteo. Зокрема, компанія не перевіряла наявність згоди користувачів сайтів-партнерів на встановлення CRITEO tracker (cookie) для відслідковування патернів поведінки та пропонування таргетованої реклами; порушила вимоги відкритості і прозорості обробки, оскільки не вказала у Privacy notice цілей обробки; порушила ст. 26 GDPR щодо розподілу обов’язків між спільними контролерами; не забезпечила реалізацію права на доступ, відкликання згоди та видалення даних.
➉ Суд ЄС ухвалив рішення у справі C-579/21 Pankki S. щодо застосування ст. 15 GDPR. Суд вважає, що інформація, що стосується консультацій та операції, які здійснюються з персональними даними, а також щодо дат і цілей цих операцій є інформацією, яку суб’єкт даних має право отримати від контролера.
🇺🇦 Все буде Україна!