Privacy HUB
1.35K subscribers
21 photos
1 file
125 links
Новини, аналітика та навчальні матеріали з GDPR і Data Privacy.

Автори каналу:
@dawlessvlad @Daquezee
@NatalieNikol @p_l_n_p

Чат: http://bit.ly/PrivacyHubChat

Підтримати: https://www.patreon.com/privacy_hub
Download Telegram
#ДайджестМісяця

🔆 ДАЙДЖЕСТ ЧЕРВНЯ

Неочікуваний допис у четвер, але сьогодні останній день першого місяця літа. Це означає дві речі: перше – ми стали на день ближче до Перемоги і друге – настав час підбити підсумки червня.

1️⃣ Privacy HUB долучився до проведення курсу від SET University для молодих спеціалістів з кібербезпеки. У рамках цього курсу, ми розповідали майбутньому цвіту інформаційної безпеки нашої держави про ази GDPR і як Регламент корелює з інфобезом. Намагалися це робити, (майже) не використовуючи юридичний жаргон. Сподіваємося, що студентам це було і корисно, і цікаво.

2️⃣ Дискутували на заході “Персональні дані під час війни: захист, зміни, міфи” від Kyiv Legal Hackers. Privacy HUB підняв тему щодо коректності використання технологій на кшталт Clearview AI в умовах війни. Як не дивно, доповідачі від Хабу розійшлися у поглядах. Подивитися нашу дискусію можна у записі (частина про Clearview AI починається приблизно з 1:49:00).

3️⃣ Відвідали робочу зустріч у Офісі Генерального прокурора України. Серед іншого, на зустрічі обговорювали питання захисту персональних даних, а також можливості прирівняння окремих кіберзлочинів до воєнних злочинів. В умовах війни цінність права на приватність не може бути переоціненою, адже зараз порушення права на приватність може призвести до порушення права на життя. Тому зараз саме час формувати культуру приватності в Україні.

4️⃣ Долучилися до створення дописів на тему “Право на приватність та захист персональних даних в умовах воєнного стану” у рамках проєкту myprivacy.org.ua. Запрошуємо вас ознайомитися з цими матеріалами, адже обізнаність у темі є запорукою створення тієї самої культури приватності.

🏆 РЕЙТИНГ ДОПИСІВ ЧЕРВНЯ

#Санкції
📍 ШТРАФ МІНІСТЕРСТВУ ОБОРОНИ ІТАЛІЇ
📍 GOOGLE ВСТРЯГ НА €10 МЛН ЗА РІШЕННЯМ ІСПАНСЬКОГО РЕГУЛЯТОРА
📍 ФАЙЛИ COOKIE НА САЙТАХ АБО БЕЗГЛЮТЕНОВА ДІЄТА ДЛЯ ПРЕСИ
📍ОЧІ ШИНІҐАМІ” ПІД ЗАБОРОНОЮ У НОРВЕГІЇ

#Аналітика
📍 ТРАНСКОРДОННА ПЕРЕДАЧА ДАНИХ ДО УКРАЇНИ
📍 ЧИ МОЖЕ РЕКЛАМА ДЛЯ ДІТЕЙ БУТИ СПРАВЕДЛИВОЮ?
📍 GOOGLE ANALYTICS: КОРТИТЬ І СТРАШИТЬ

#А_як_у_нас?
📍 ЯК ЗАХИСТИТИ ПЕРСОНАЛЬНІ ДАНІ? РЕКОМЕНДАЦІЇ ОМБУДСМЕНА

#Інформаційна_безпека
📍 ПСЕВДОНІМІЗАЦІЯ: ЩО ХОВАЄТЬСЯ ЗА ДОВГИМ СЛОВОМ?

#Персональне_чтиво
📍 PRIVACY IS POWER. WHY AND HOW YOU SHOULD TAKE BACK CONTROL OF YOUR DATA: ОГЛЯД КНИГИ

Дякуємо, що ви з нами!
Всі разом продовжуємо працювати на Перемогу!💙💛

🇺🇦 Все буде Україна!
#ДайджестМісяця

🔆 ДАЙДЖЕСТ ЛИПНЯ

Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.

1️⃣ Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.

2️⃣ Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.

3️⃣ Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.

🏆 РЕЙТИНГ ДОПИСІВ ЛИПНЯ

#Санкції
📍ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
📍ЧИ У МОДІ TOMs?
📍В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
📍€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ

#Аналітика
📍ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
📍ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
📍ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
📍
ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!

#Інформаційна_безпека
📍ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
📍АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?

#Новини_тижня
📍НОВИНИ ТИЖНЯ [11.07 — 17.07]
📍НОВИНИ ТИЖНЯ [18.07 — 24.07]

Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу!
💙💛
#Аналітика

🔬 ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА

Регулятор Британії (ICO) випустив інструкцію для малого бізнесу, що робити зі скаргою від суб'єкта персональних даних. Інструкція містить шість кроків:

1. Підтвердіть отримання скарги

Відповідайте якнайшвидше, щоб повідомити споживачу, що ви отримали його скаргу щодо захисту даних і розглядаєте її. Ваша відповідь має містити інформацію про те, що ви будете робити на кожному етапі. Повідомте, коли споживач може очікувати від вас додаткову інформацію, а також надайте актуальну контактну інформацію. Наприклад, ви можете надіслати посилання на вашу процедуру розгляду скарг, якщо вона у вас є. Відповідна процедура подання скарг може містити інформацію про те, як люди можуть подавати скарги щодо захисту даних, як ви їх розглядатимете та скільки часу це займе.

У разі необхідності ви також повинні перевірити, чи надійшла скарга від уповноваженої особи. Це може бути, якщо третя сторона подала скаргу від імені особи, дані якої ви обробляєте. Ви повинні перевірити, чи мають вони право отримувати інформацію про те, як оброблялися персональні дані.

2. З’ясуйте, що пішло не так

Ви повинні розглядати будь-які скарги щодо захисту даних якомога швидше. Почніть зі збору якомога більше інформації. Вам необхідно якомога ретельніше, об’єктивніше та точніше встановити всі відповідні факти. Якщо необхідно, попросіть свого клієнта надати додаткову інформацію. Переконайтеся, що ви перевірили всі деталі скарги на інформацію, яку ви маєте. Чим краще ви розумієте проблему, тим краще у вас буде можливість її вирішити.

3. Надавайте регулярні оновлення щодо скарги

Якщо розгляд скарги, ймовірно, займе деякий час, надайте додаткову відповідь після першої. Проінформуйте суб'єкта, що ви працюєте над вирішенням проблеми. По можливості використовуйте зрозумілу мову, а не жаргон чи юридичні терміни. Чітке інформування людей допомагає зміцнити довіру, і все пройде легко, якщо кожен знає, чого очікувати.

4. Фіксуйте ваші дії

Запишіть дату отримання скарги щодо захисту даних і дату, коли потрібно відповісти. Зберігайте деталі будь-яких пов’язаних розмов і копії всіх відповідних документів від початку до кінця, включно з причинами прийнятих вами рішень і будь-якими вжитими або невжитими діями. Це також надасть докази того, що ви зробили.

5. Відповідайте на скаргу

Завершивши розгляд скарги, повідомте людині про результати. Чітко поясніть, що ви зробили для вирішення скарги щодо захисту даних, і про будь-які дії, які ви вжили в результаті. Включіть достатньо інформації, щоб допомогти зрозуміти, як ви дійшли висновку. Може бути корисно структурно виділити окремі пункти скарги та відповісти на кожен з них, надавши відповідні докази, де це можливо.

Ви також повинні повідомити скаржника, що він має право поскаржитися до регулятора. Дотримуйтеся чіткої, конкретної та прямолінійної мови. Це допоможе донести ваше повідомлення до людини та уникнути будь-яких можливих непорозумінь. Надайте контактні дані, щоб вам можна було поставити додаткові запитання, якщо це необхідно.

6. Засвойте отримані уроки

Після того, як ви відповіли скаржнику, скористайтеся можливістю переглянути та оцінити, що сталося. Подумайте, чи можна чогось навчитися або вдосконалитися, щоб запобігти майбутнім скаргам. Якщо хтось скаже вам, що подає скаргу регулятору, вам не потрібно повідомляти регулятора. Регулятор сам зв’яжеться, якщо йому знадобиться додаткова інформація.

🇺🇦 Все буде Україна! Наближаємо нашу Перемогу!
_________
ℹ️ Джерела:
🔹Інструкція ICO
#Дайджест_місяця

🔆 ДАЙДЖЕСТ СЕРПНЯ

На вулиці стало прохолодніше, листя жовтіє, а значить, що вже настала осінь. Але ми так і не підбили підсумки серпня, тому робимо це на п'ятий день вересня. Останній місяць літа видався досить активним для команди Прайвасі Хаб, адже ми готуємся до реалізації нашого проєкту “Академія Приватності”, яка відбудеться вже у жовтні.

Останнім часом у чаті збільшилися кількість питаннь щодо нашої книги GDPR: посібник з виживання”. Принагідно доповідаємо, що перший тираж майже повністю закінчився. Тому, якщо у новому навчальному році ви хотіли би поглибити свої знання із Загального Регламенту, то “Посібник з виживання” — це гарна можливість це зробити. Ваші питання щодо книги можете адресувати @Daquezee.

🏆 РЕЙТИНГ ДОПИСІВ СЕРПНЯ

#Санкції
📍€1,1 МЛН ЗА ТЕСТ-ДРАЙВ
📍ЩЕ НЕ ЗАБУЛИ ПРО COVID?
📍ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR
📍ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ

#Новини_тижня
📍НОВИНИ ТИЖНЯ [25.07 — 31.07]
📍НОВИНИ ТИЖНЯ [01.08 — 7.08]
📍НОВИНИ ТИЖНЯ [08.08 — 14.08]
📍НОВИНИ ТИЖНЯ [15.08 — 21.08]
📍НОВИНИ ТИЖНЯ [22.08 — 28.08]

#Аналітика
📍ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
📍ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ
📍НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?
📍ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА

#Інформаційна_безпека
📍ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
📍АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ
📍АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ

Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Аналітика

🔬ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА


Більшість користувачів інтернету мали справу із токенами доступу, навіть якщо вони про це і не здогадувалися. З точки зору захисту персональних даних їх використання може нести певні ризики, саме тому CNIL розробили короткий огляд, який ми сьогодні проаналізуємо.

📍Автентифікація через токени доступу

Існує багато випадків, коли токени використовуються для автентифікації. Наприклад, при використанні онлайн ресурсів токени можуть зберігати певні дані, щоб користувачі не доводилось повторно вводити свої дані, або під час двофакторної автентифікації.

Токени можуть мати різну форму: ключі, диски, картки навіть біометричний ID може бути використано як токен. Але у рамках цього допису ми концентруємо увагу на цифровому токені.

Зазвичай при використанні цифрових токенів для автентифікації, вони передаються сервером на термінал і мають лімітований період існування. Такі токени можуть бути у вигляді посилання, яке передається через емейл, або смс.

Коли використовують цифрові токени?

Певно найпоширенішим використанням є зберігання вмісту корзини на вебсторінках, що продають товари, але цифрові токени використовуються і для:

🔹 підтвердження створення аккаунту, або паролю;
🔹 автоматичного підключення до сервера для полегшення доступу до певної послуги (приклад з корзиною)

Які ризики використання токенів?

Токени можуть бути як корисними, так і небезпечними. Річ у тім, що токен доступу у формі посилання можна вважати способом доступу персональних даних. Так, найпоширеніший спосіб зловмисного використання токенів є фішинг. Фішинг – вид шахрайства, кінцевою метою якого є доступ до даних. Зазвичай шахрай надсилає посилання, яке мімікрує відомий сайт. На копії сайта довірливий або неуважний користувач вводить свої дані, тим самим надаючи шахраю доступ до них.

📍Загальні рекомендації використання токенів доступу

🔸 логуйте створення і використання токенів;
🔸 визначте період валідності;
🔸 створюйте посилання автентифікації таким чином, аби вони не містили персональних даних;
🔸 не робіть токен єдиним способом автентифікації (користувач змінив пароль за допомогою посилання з токеном, але для входу в особистий кабінет йому все ще потрібно ввести новий пароль);
🔸 обмежте кількість разів використання токену;
🔸 автоматично анулюйте валідність токена при багаторазовому використанні.

📍Приклад від CNIL

Якщо ви створювали аккаунт, то певно знаєте процедуру з підтвердження його шляхом переходу за посиланням на вашій пошті. Задля убезпечення даної процедури CNIL рекомендує:
🔹 строк посилання з токеном має бути не більшим за пару хвилин;
🔹 після переходу за посиланням, токен доступу не має автоматично надавати доступ до аккаунту;
🔹 надішліть користувачу повідомлення про успішно створений аккаунт/змінений пароль.


🏆 ВИСНОВКИ

Токени доступу є досить корисною технологією, яка сильно спрощує користування мережею інтернет. Але без належних заходів захисту токени можуть принести більше шкоди, ніж користі, тому їх потрібно належним чином їх убезпечувати.

🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Огляд від CNIL (французька)
#Аналітика


🔬ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ


20 вересня французький регулятор СNIL анонсував публічне обговорення проєкту своїх рекомендацій щодо використання application programming interfaces (APIs) для цілей безпечної передачі даних у приватному та публічному секторах. Публічне обговорення триватиме до 1 листопада 2022 року, а тому усі зацікавлені можуть поділитися своєю експертною думкою, а наприкінці року регулятор затвердить остаточні рекомендації та надасть практичний інструмент для їх впровадження.

📍Мета рекомендацій

Протягом кількох останніх років СNIL спостерігав зростання обміну персональними даними, що, на думку регулятора, викликано збільшенням інтересу до повторного використання даних для різних цілей. У зв’язку з цим, регулятор вирішив запропонувати представникам публічного та приватного секторів технічні та організаційні заходи, які відповідають найкращим практикам використання API та гарантують безпечну передачу персональних даних.

📍 Сфера застосування

Рекомендації спрямовані на визначення випадків, у яких є доцільним використання API для безпечного обміну персональними даними чи інформацією, отриманою в результаті їх анонімізації, а також на поширення певних передових практик щодо їх реалізації та використання.

У проєкті рекомендацій СNIL визначає три функціональні ролі у процесі використання API для обміну даними – володілець даних, менеджер API та повторний користувач даними, та відповідно адаптує різні категорії технічних заходів під кожну з цих ролей.

📍Випадки, коли СNIL рекомендує використовувати API

Використанню API слід надавати перевагу, коли:

🔸 дані передаються декільком повторним користувачам та/або

🔸 дані часто оновлюються, та/або

🔸 повторним користувачам потрібно регулярно отримувати доступ до них, та/або

🔸 їх зберігання повторним користувачем не є необхідним (одноразове використання або безперервна обробка без потреби у зберіганні), та/або

🔸 повторному користувачеві не потрібен постійний доступ до всіх даних, а лише до підмножини даних, яку неможливо визначити заздалегідь, та/або
🔸методи, що використовуються для гарантування безпеки, ймовірно будуть оновлені.

СNIL зауважує, що використання API дозволяє краще керувати обміном даних, з одного боку, контролюючи доступ, деталізацію даних, до яких здійснюється доступ, і, де це можливо, цілі, для яких дані використовуються, а з іншого боку, завдяки впровадженню стандартизованого інтерфейсу обміну, дозволяючи безпечну передачу інформації, пов’язаної з обміном даними (період зберігання, управління реалізацією прав тощо).

📍Ризики використання API

Серед ризиків, які виділяє СNIL:

🔸 нецільове використання даних і втрата конфіденційності;

🔸 зменшення точності даних;

🔸 втрата контролю та доступу до даних;

🔸 збільшення можливостей для потенційних атак.

📍Взаємодія між учасниками обміну даних через API

Організації, які беруть участь у обміні даними через API, повинні координувати свої дії та формалізувати свою взаємодію у документації із визначенням ролі та обов’язків кожного суб’єкта. Організації повинні налагодити співпрацю, щоб надавати чітку та повну інформацію особам щодо обробки та надання їхніх персональних даних.

🏆 ВИСНОВКИ

API змінили світ, у якому ми живемо. Вони використовуються, коли ми гортаємо соціальні мережі, здійснюємо онлайн-покупки, керуємо автомобілем або дивимося Netflix. Найважливіше, аби передача персональних даних із використанням API була безпечною, a всі актори у цьому процесі розуміли свої обов’язки та відповідальність.

🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Проєкт рекомендацій СNIL для публічного обговорення
#Дайджест_місяця

🔆 ДАЙДЖЕСТ ВЕРЕСНЯ

Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".

Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:

📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.

🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ

#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН

#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]

#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ

#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД

#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ

#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ

Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!