#ДайджестМісяця
🔆 ДАЙДЖЕСТ ЧЕРВНЯ
Неочікуваний допис у четвер, але сьогодні останній день першого місяця літа. Це означає дві речі: перше – ми стали на день ближче до Перемоги і друге – настав час підбити підсумки червня.
1️⃣ Privacy HUB долучився до проведення курсу від SET University для молодих спеціалістів з кібербезпеки. У рамках цього курсу, ми розповідали майбутньому цвіту інформаційної безпеки нашої держави про ази GDPR і як Регламент корелює з інфобезом. Намагалися це робити, (майже) не використовуючи юридичний жаргон. Сподіваємося, що студентам це було і корисно, і цікаво.
2️⃣ Дискутували на заході “Персональні дані під час війни: захист, зміни, міфи” від Kyiv Legal Hackers. Privacy HUB підняв тему щодо коректності використання технологій на кшталт Clearview AI в умовах війни. Як не дивно, доповідачі від Хабу розійшлися у поглядах. Подивитися нашу дискусію можна у записі (частина про Clearview AI починається приблизно з 1:49:00).
3️⃣ Відвідали робочу зустріч у Офісі Генерального прокурора України. Серед іншого, на зустрічі обговорювали питання захисту персональних даних, а також можливості прирівняння окремих кіберзлочинів до воєнних злочинів. В умовах війни цінність права на приватність не може бути переоціненою, адже зараз порушення права на приватність може призвести до порушення права на життя. Тому зараз саме час формувати культуру приватності в Україні.
4️⃣ Долучилися до створення дописів на тему “Право на приватність та захист персональних даних в умовах воєнного стану” у рамках проєкту myprivacy.org.ua. Запрошуємо вас ознайомитися з цими матеріалами, адже обізнаність у темі є запорукою створення тієї самої культури приватності.
🏆 РЕЙТИНГ ДОПИСІВ ЧЕРВНЯ
#Санкції
📍 ШТРАФ МІНІСТЕРСТВУ ОБОРОНИ ІТАЛІЇ
📍 GOOGLE ВСТРЯГ НА €10 МЛН ЗА РІШЕННЯМ ІСПАНСЬКОГО РЕГУЛЯТОРА
📍 ФАЙЛИ COOKIE НА САЙТАХ АБО БЕЗГЛЮТЕНОВА ДІЄТА ДЛЯ ПРЕСИ
📍 “ОЧІ ШИНІҐАМІ” ПІД ЗАБОРОНОЮ У НОРВЕГІЇ
#Аналітика
📍 ТРАНСКОРДОННА ПЕРЕДАЧА ДАНИХ ДО УКРАЇНИ
📍 ЧИ МОЖЕ РЕКЛАМА ДЛЯ ДІТЕЙ БУТИ СПРАВЕДЛИВОЮ?
📍 GOOGLE ANALYTICS: КОРТИТЬ І СТРАШИТЬ
#А_як_у_нас?
📍 ЯК ЗАХИСТИТИ ПЕРСОНАЛЬНІ ДАНІ? РЕКОМЕНДАЦІЇ ОМБУДСМЕНА
#Інформаційна_безпека
📍 ПСЕВДОНІМІЗАЦІЯ: ЩО ХОВАЄТЬСЯ ЗА ДОВГИМ СЛОВОМ?
#Персональне_чтиво
📍 PRIVACY IS POWER. WHY AND HOW YOU SHOULD TAKE BACK CONTROL OF YOUR DATA: ОГЛЯД КНИГИ
Дякуємо, що ви з нами!
Всі разом продовжуємо працювати на Перемогу!💙💛
🇺🇦 Все буде Україна!
🔆 ДАЙДЖЕСТ ЧЕРВНЯ
Неочікуваний допис у четвер, але сьогодні останній день першого місяця літа. Це означає дві речі: перше – ми стали на день ближче до Перемоги і друге – настав час підбити підсумки червня.
1️⃣ Privacy HUB долучився до проведення курсу від SET University для молодих спеціалістів з кібербезпеки. У рамках цього курсу, ми розповідали майбутньому цвіту інформаційної безпеки нашої держави про ази GDPR і як Регламент корелює з інфобезом. Намагалися це робити, (майже) не використовуючи юридичний жаргон. Сподіваємося, що студентам це було і корисно, і цікаво.
2️⃣ Дискутували на заході “Персональні дані під час війни: захист, зміни, міфи” від Kyiv Legal Hackers. Privacy HUB підняв тему щодо коректності використання технологій на кшталт Clearview AI в умовах війни. Як не дивно, доповідачі від Хабу розійшлися у поглядах. Подивитися нашу дискусію можна у записі (частина про Clearview AI починається приблизно з 1:49:00).
3️⃣ Відвідали робочу зустріч у Офісі Генерального прокурора України. Серед іншого, на зустрічі обговорювали питання захисту персональних даних, а також можливості прирівняння окремих кіберзлочинів до воєнних злочинів. В умовах війни цінність права на приватність не може бути переоціненою, адже зараз порушення права на приватність може призвести до порушення права на життя. Тому зараз саме час формувати культуру приватності в Україні.
4️⃣ Долучилися до створення дописів на тему “Право на приватність та захист персональних даних в умовах воєнного стану” у рамках проєкту myprivacy.org.ua. Запрошуємо вас ознайомитися з цими матеріалами, адже обізнаність у темі є запорукою створення тієї самої культури приватності.
🏆 РЕЙТИНГ ДОПИСІВ ЧЕРВНЯ
#Санкції
📍 ШТРАФ МІНІСТЕРСТВУ ОБОРОНИ ІТАЛІЇ
📍 GOOGLE ВСТРЯГ НА €10 МЛН ЗА РІШЕННЯМ ІСПАНСЬКОГО РЕГУЛЯТОРА
📍 ФАЙЛИ COOKIE НА САЙТАХ АБО БЕЗГЛЮТЕНОВА ДІЄТА ДЛЯ ПРЕСИ
📍 “ОЧІ ШИНІҐАМІ” ПІД ЗАБОРОНОЮ У НОРВЕГІЇ
#Аналітика
📍 ТРАНСКОРДОННА ПЕРЕДАЧА ДАНИХ ДО УКРАЇНИ
📍 ЧИ МОЖЕ РЕКЛАМА ДЛЯ ДІТЕЙ БУТИ СПРАВЕДЛИВОЮ?
📍 GOOGLE ANALYTICS: КОРТИТЬ І СТРАШИТЬ
#А_як_у_нас?
📍 ЯК ЗАХИСТИТИ ПЕРСОНАЛЬНІ ДАНІ? РЕКОМЕНДАЦІЇ ОМБУДСМЕНА
#Інформаційна_безпека
📍 ПСЕВДОНІМІЗАЦІЯ: ЩО ХОВАЄТЬСЯ ЗА ДОВГИМ СЛОВОМ?
#Персональне_чтиво
📍 PRIVACY IS POWER. WHY AND HOW YOU SHOULD TAKE BACK CONTROL OF YOUR DATA: ОГЛЯД КНИГИ
Дякуємо, що ви з нами!
Всі разом продовжуємо працювати на Перемогу!💙💛
🇺🇦 Все буде Україна!
#ДайджестМісяця
🔆 ДАЙДЖЕСТ ЛИПНЯ
Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.
1️⃣ Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.
2️⃣ Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.
3️⃣ Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.
🏆 РЕЙТИНГ ДОПИСІВ ЛИПНЯ
#Санкції
📍ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
📍ЧИ У МОДІ TOMs?
📍В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
📍€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ
#Аналітика
📍ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
📍ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
📍ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
📍ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!
#Інформаційна_безпека
📍ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
📍АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?
#Новини_тижня
📍НОВИНИ ТИЖНЯ [11.07 — 17.07]
📍НОВИНИ ТИЖНЯ [18.07 — 24.07]
Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу!💙💛
🔆 ДАЙДЖЕСТ ЛИПНЯ
Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.
1️⃣ Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.
2️⃣ Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.
3️⃣ Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.
🏆 РЕЙТИНГ ДОПИСІВ ЛИПНЯ
#Санкції
📍ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
📍ЧИ У МОДІ TOMs?
📍В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
📍€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ
#Аналітика
📍ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
📍ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
📍ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
📍ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!
#Інформаційна_безпека
📍ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
📍АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?
#Новини_тижня
📍НОВИНИ ТИЖНЯ [11.07 — 17.07]
📍НОВИНИ ТИЖНЯ [18.07 — 24.07]
Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу!💙💛
#Санкції
💶 ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
Профілювання користувача використовується як основа для створення та подальшого показу персоналізованої реклами. Більшість користувачів навіть не підозрюють про гігабайти даних, які компанії збирають про них та їхню цифрову активність.
Відповідно до GDPR, правовою підставою обробки даних для профілювання має бути явна згода суб'єкта, тобто користувача. Але компанії продовжують нехтувати цією нормою заради жаданого прибутку від реклами, чим накликають на себе не тільки гнів регуляторів, але й великі штрафи.
❓Що сталося?
Німецький банк Hannoversche Volksbank теж марив новими можливостями, які надасть персоналізована реклама.
Він аналізував та оцінював дані поточних та колишніх клієнтів без їхньої згоди: обсяг покупок через застосунки, частоту використання принтеру для друку виписок, загальну суму переказів у онлайн-банкінгу порівняно зі здійсненням операцій у відділеннях тощо.
Додатково було залучено ще стороннього постачальника послуг. Крім того, результати аналізу порівнювалися з даними кредитної агенції та збагачувалися на їх основі.
Мета – виявити клієнтів, які є прихильниками електронного зв'язку, та звертатися до них електронними каналами в договірних або рекламних цілях. Більшості клієнтів інформація про обробку була надіслана заздалегідь разом з іншими документами. Однак це не замінило необхідної згоди.
❓Що було порушено?
Банк посилався на легітимний інтерес відповідно до статті 6(1)(f) GDPR. Однак ця правова підстава не дозволяє здійснювати профілювання в рекламних цілях шляхом оцінки великих масивів даних. Проведена банком оцінка балансу інтересів не відповідає вимогам. Обробка даних була незаконною.
❓Який штраф?
Державна уповноважена із захисту даних (LfD) Нижньої Саксонії оштрафувала Hannoversche Volksbank на €900,000 та змусила їхніх маркетологів спуститися з небес на землю.
При призначенні штрафу було взято до уваги, що результати оцінок не були використані. Крім того, компанія виявила готовність до співпраці.
🏆 ВИСНОВКИ
Разом з регулятором нагадуємо про баланс інтересів та розумні очікування суб'єктів.
Справді, звернення до (потенційних) клієнтів із рекламою відповідає інтересам контролера. Однак цей інтерес є менш важливим. У суб'єктів даних повинна бути можливість заперечення (яку не потрібно обґрунтовувати). Інтереси суб'єктів превалюють.
При зважуванні інтересів потрібно брати до уваги також розумні очікування клієнтів. Тому в таких випадках контролери даних не можуть посилатися на баланс інтересів і натомість мають отримати згоду.
Оскільки дані з різних сфер життя можна зв'язати між собою, залучення зовнішніх агентств дозволяє створювати більш точні профілі. Клієнти не можуть очікувати такого, тому для залучення також необхідно отримати згоду.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Пресреліз
💶 ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
Профілювання користувача використовується як основа для створення та подальшого показу персоналізованої реклами. Більшість користувачів навіть не підозрюють про гігабайти даних, які компанії збирають про них та їхню цифрову активність.
Відповідно до GDPR, правовою підставою обробки даних для профілювання має бути явна згода суб'єкта, тобто користувача. Але компанії продовжують нехтувати цією нормою заради жаданого прибутку від реклами, чим накликають на себе не тільки гнів регуляторів, але й великі штрафи.
❓Що сталося?
Німецький банк Hannoversche Volksbank теж марив новими можливостями, які надасть персоналізована реклама.
Він аналізував та оцінював дані поточних та колишніх клієнтів без їхньої згоди: обсяг покупок через застосунки, частоту використання принтеру для друку виписок, загальну суму переказів у онлайн-банкінгу порівняно зі здійсненням операцій у відділеннях тощо.
Додатково було залучено ще стороннього постачальника послуг. Крім того, результати аналізу порівнювалися з даними кредитної агенції та збагачувалися на їх основі.
Мета – виявити клієнтів, які є прихильниками електронного зв'язку, та звертатися до них електронними каналами в договірних або рекламних цілях. Більшості клієнтів інформація про обробку була надіслана заздалегідь разом з іншими документами. Однак це не замінило необхідної згоди.
❓Що було порушено?
Банк посилався на легітимний інтерес відповідно до статті 6(1)(f) GDPR. Однак ця правова підстава не дозволяє здійснювати профілювання в рекламних цілях шляхом оцінки великих масивів даних. Проведена банком оцінка балансу інтересів не відповідає вимогам. Обробка даних була незаконною.
❓Який штраф?
Державна уповноважена із захисту даних (LfD) Нижньої Саксонії оштрафувала Hannoversche Volksbank на €900,000 та змусила їхніх маркетологів спуститися з небес на землю.
При призначенні штрафу було взято до уваги, що результати оцінок не були використані. Крім того, компанія виявила готовність до співпраці.
🏆 ВИСНОВКИ
Разом з регулятором нагадуємо про баланс інтересів та розумні очікування суб'єктів.
Справді, звернення до (потенційних) клієнтів із рекламою відповідає інтересам контролера. Однак цей інтерес є менш важливим. У суб'єктів даних повинна бути можливість заперечення (яку не потрібно обґрунтовувати). Інтереси суб'єктів превалюють.
При зважуванні інтересів потрібно брати до уваги також розумні очікування клієнтів. Тому в таких випадках контролери даних не можуть посилатися на баланс інтересів і натомість мають отримати згоду.
Оскільки дані з різних сфер життя можна зв'язати між собою, залучення зовнішніх агентств дозволяє створювати більш точні профілі. Клієнти не можуть очікувати такого, тому для залучення також необхідно отримати згоду.
🇺🇦 Все буде Україна!
_________
ℹ️ Джерела:
🔹Пресреліз
#Дайджест_місяця
🔆 ДАЙДЖЕСТ СЕРПНЯ
На вулиці стало прохолодніше, листя жовтіє, а значить, що вже настала осінь. Але ми так і не підбили підсумки серпня, тому робимо це на п'ятий день вересня. Останній місяць літа видався досить активним для команди Прайвасі Хаб, адже ми готуємся до реалізації нашого проєкту “Академія Приватності”, яка відбудеться вже у жовтні.
Останнім часом у чаті збільшилися кількість питаннь щодо нашої книги “GDPR: посібник з виживання”. Принагідно доповідаємо, що перший тираж майже повністю закінчився. Тому, якщо у новому навчальному році ви хотіли би поглибити свої знання із Загального Регламенту, то “Посібник з виживання” — це гарна можливість це зробити. Ваші питання щодо книги можете адресувати @Daquezee.
🏆 РЕЙТИНГ ДОПИСІВ СЕРПНЯ
#Санкції
📍€1,1 МЛН ЗА ТЕСТ-ДРАЙВ
📍ЩЕ НЕ ЗАБУЛИ ПРО COVID?
📍ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR
📍ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [25.07 — 31.07]
📍НОВИНИ ТИЖНЯ [01.08 — 7.08]
📍НОВИНИ ТИЖНЯ [08.08 — 14.08]
📍НОВИНИ ТИЖНЯ [15.08 — 21.08]
📍НОВИНИ ТИЖНЯ [22.08 — 28.08]
#Аналітика
📍ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
📍ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ
📍НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?
📍ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
#Інформаційна_безпека
📍ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
📍АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ
📍АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
🔆 ДАЙДЖЕСТ СЕРПНЯ
На вулиці стало прохолодніше, листя жовтіє, а значить, що вже настала осінь. Але ми так і не підбили підсумки серпня, тому робимо це на п'ятий день вересня. Останній місяць літа видався досить активним для команди Прайвасі Хаб, адже ми готуємся до реалізації нашого проєкту “Академія Приватності”, яка відбудеться вже у жовтні.
Останнім часом у чаті збільшилися кількість питаннь щодо нашої книги “GDPR: посібник з виживання”. Принагідно доповідаємо, що перший тираж майже повністю закінчився. Тому, якщо у новому навчальному році ви хотіли би поглибити свої знання із Загального Регламенту, то “Посібник з виживання” — це гарна можливість це зробити. Ваші питання щодо книги можете адресувати @Daquezee.
🏆 РЕЙТИНГ ДОПИСІВ СЕРПНЯ
#Санкції
📍€1,1 МЛН ЗА ТЕСТ-ДРАЙВ
📍ЩЕ НЕ ЗАБУЛИ ПРО COVID?
📍ШТРАФУ БАГАТО (НЕ) БУВАЄ: РІШЕННЯ EDPB У СПРАВІ ACCOR
📍ПОКАЗ РЕКЛАМИ ПЕРЕРВАНО ШТРАФОМ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [25.07 — 31.07]
📍НОВИНИ ТИЖНЯ [01.08 — 7.08]
📍НОВИНИ ТИЖНЯ [08.08 — 14.08]
📍НОВИНИ ТИЖНЯ [15.08 — 21.08]
📍НОВИНИ ТИЖНЯ [22.08 — 28.08]
#Аналітика
📍ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
📍ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ
📍НАЗВИ МЕНЕ СВОЇМ ІМ'ЯМ: КОЛИ ІМЕНА МОЖУТЬ БУТИ ЧУТЛИВИМИ ДАНИМИ?
📍ОТРИМАЛИ СКАРГУ ВІД СУБ´ЄКТА ДАНИХ: ЩО РОБИТИ? ШІСТЬ КРОКІВ ВІД БРИТАНСЬКОГО РЕГУЛЯТОРА
#Інформаційна_безпека
📍ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ
📍АНОНІМІЗАЦІЯ: БАЗОВІ АЛГОРИТМИ
📍АНОНІМІЗАЦІЯ ТА ОСТАННІ 8 РОКІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Санкції
💶 ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
Компанії та установи створюють безпекові політики для співробітників, забороняють їм працювати на особистих пристроях, забезпечують корпоративними гаджетами для роботи, встановлюють обмеження MDM. Але всі ці заходи не допоможуть, якщо співробітник ігнорує, а компанія – не стежить за безпосереднім дотриманням вимог. Наочним прикладом є нещодавній штраф данському муніципалітету Лолланн.
❓Що відбулося?
У грудні 2020 року Данський регулятор дізнався з повідомлення муніципалітету Лолланн, що у співробітника муніципалітету було викрадено робочий телефон. Телефон використовувався для доступу до робочої поштової скриньки співробітника, в якій містилася інформація про імена кількох громадян, номери соціального страхування, відомості про стан здоров'я та зловживання.
Телефон не був захищений паролем, оскільки ця функція була відключена. Таким чином, доступ до інформації, що зберігається на телефоні, було отримано. Муніципалітет зазначив, що протягом кількох років співробітники могли відключити обов'язкові паролі на телефонах та планшетах, щоб користуватися робочими гаджетами без введення паролю.
❓Яка думка регулятора?
Оскільки муніципалітети обробляють великі обсяги персональних даних громадян, вони несуть відповідальність за належне поводження з цими даними. Мобільні пристрої іноді крадуть, зламують або втрачають. Відповідно, регулятор був передбачувано категоричним: “Якщо сторонні особи можуть легко отримати доступ до інформації на пристроях, то муніципалітети не справляються з цією відповідальністю”.
Регулятор наголосив, що контролер даних повинен виходити з того, що не всі співробітники постійно дотримуються внутрішніх інструкцій, згідно з якими мобільні пристрої завжди повинні бути захищені паролем. Отже, ефективний захист буде залежати від того, чи такий пароль можна обійти, наприклад, завдяки тому, що користувач здатен відключити пароль.
Крім того, регулятор вважає, що викрадені мобільні пристрої зараз стали ретельніше перевірятися на наявність персональних даних, таких як дані кредитних карток і номери соціального страхування, до того, як вони будуть утилізовані, наприклад, шляхом перепродажу. А це значно підвищує ризики.
❓Що було порушено?
Стаття 32 GDPR, в якій зазначено, що контролер і процесор повинні вжити необхідних технічних і організаційних заходів для гарантування рівня безпеки відповідно до ризику.
Обробка персональних даних муніципалітетом Лолланн не відповідала зазначеному правилу.
Муніципалітет повинен був захистити свої мобільні пристрої паролем, який співробітники не могли б деактивувати самостійно.
❓Який штраф?
Муніципалітет Лолланн був оштрафований на 50 000 датських крон (€6700).
Надаючи відповідну рекомендацію поліції, регулятор прийняв до уваги той факт, що це – державний орган, який загалом несе особливу відповідальність за захист даних громадян. Муніципалітет Лолланн обробляє великі обсяги даних, зокрема чутливих, і , на думку регулятора, має місце невиконання технічних заходів.
Муніципалітет негайно вжив заходів щодо виправлення ситуації у вигляді нових запобіжних заходів та змін у технічному оснащенні телефонів, що надаються співробітникам.
🏆 ВИСНОВКИ
Не нехтуйте технічними та організаційними заходами: вони мають бути не просто красиво написані у внутрішніх політиках та угодах про обробку персональних даних, але й втілені в життя. Необхідно проводити тренінги для співробітників, а також роз'яснювальну роботу щодо важливості захисту персональних даних. Це потрібно для того, щоб паролі заважали зловмисникам, а не самим співробітникам.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Пресреліз рішення
💶 ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
Компанії та установи створюють безпекові політики для співробітників, забороняють їм працювати на особистих пристроях, забезпечують корпоративними гаджетами для роботи, встановлюють обмеження MDM. Але всі ці заходи не допоможуть, якщо співробітник ігнорує, а компанія – не стежить за безпосереднім дотриманням вимог. Наочним прикладом є нещодавній штраф данському муніципалітету Лолланн.
❓Що відбулося?
У грудні 2020 року Данський регулятор дізнався з повідомлення муніципалітету Лолланн, що у співробітника муніципалітету було викрадено робочий телефон. Телефон використовувався для доступу до робочої поштової скриньки співробітника, в якій містилася інформація про імена кількох громадян, номери соціального страхування, відомості про стан здоров'я та зловживання.
Телефон не був захищений паролем, оскільки ця функція була відключена. Таким чином, доступ до інформації, що зберігається на телефоні, було отримано. Муніципалітет зазначив, що протягом кількох років співробітники могли відключити обов'язкові паролі на телефонах та планшетах, щоб користуватися робочими гаджетами без введення паролю.
❓Яка думка регулятора?
Оскільки муніципалітети обробляють великі обсяги персональних даних громадян, вони несуть відповідальність за належне поводження з цими даними. Мобільні пристрої іноді крадуть, зламують або втрачають. Відповідно, регулятор був передбачувано категоричним: “Якщо сторонні особи можуть легко отримати доступ до інформації на пристроях, то муніципалітети не справляються з цією відповідальністю”.
Регулятор наголосив, що контролер даних повинен виходити з того, що не всі співробітники постійно дотримуються внутрішніх інструкцій, згідно з якими мобільні пристрої завжди повинні бути захищені паролем. Отже, ефективний захист буде залежати від того, чи такий пароль можна обійти, наприклад, завдяки тому, що користувач здатен відключити пароль.
Крім того, регулятор вважає, що викрадені мобільні пристрої зараз стали ретельніше перевірятися на наявність персональних даних, таких як дані кредитних карток і номери соціального страхування, до того, як вони будуть утилізовані, наприклад, шляхом перепродажу. А це значно підвищує ризики.
❓Що було порушено?
Стаття 32 GDPR, в якій зазначено, що контролер і процесор повинні вжити необхідних технічних і організаційних заходів для гарантування рівня безпеки відповідно до ризику.
Обробка персональних даних муніципалітетом Лолланн не відповідала зазначеному правилу.
Муніципалітет повинен був захистити свої мобільні пристрої паролем, який співробітники не могли б деактивувати самостійно.
❓Який штраф?
Муніципалітет Лолланн був оштрафований на 50 000 датських крон (€6700).
Надаючи відповідну рекомендацію поліції, регулятор прийняв до уваги той факт, що це – державний орган, який загалом несе особливу відповідальність за захист даних громадян. Муніципалітет Лолланн обробляє великі обсяги даних, зокрема чутливих, і , на думку регулятора, має місце невиконання технічних заходів.
Муніципалітет негайно вжив заходів щодо виправлення ситуації у вигляді нових запобіжних заходів та змін у технічному оснащенні телефонів, що надаються співробітникам.
🏆 ВИСНОВКИ
Не нехтуйте технічними та організаційними заходами: вони мають бути не просто красиво написані у внутрішніх політиках та угодах про обробку персональних даних, але й втілені в життя. Необхідно проводити тренінги для співробітників, а також роз'яснювальну роботу щодо важливості захисту персональних даних. Це потрібно для того, щоб паролі заважали зловмисникам, а не самим співробітникам.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Пресреліз рішення
#Санкції
💶 ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
Ірландський регулятор DPC оштрафував компанію Meta за порушення GDPR за результатами дворічного розслідування щодо обробки даних дітей соціальною мережею Instagram. Це найбільший штраф, накладений ірландським регулятором, та другий за величиною за історію GDPR.
📍Контекст
Через негативний вплив вдобайок на психічне здоров'я неповнолітніх, Instagram приховав відображення кількості вподобайок під дописами від користувачів соцмережі. Ця зміна підштовхнула неповнолітніх до створення бізнес-акаунтів, щоб скористатися додатковими функціями, наприклад, статистикою щодо вподобайок.
❓У чому полягало правопорушення?
Розслідування щодо Instagram було зосереджено на двох питаннях:
🔹Публікація даних. Підліткам у віці 13-17 років було дозволено вести "бізнес-акаунти" в Instagram, що призвело до публікації номерів телефонів та адрес електронної пошти користувачів.
🔹Публічність. Всі акаунти, включаючи акаунти дітей, за замовчуванням були встановлені як загальнодоступні, якщо не змінити налаштування приватності.
❓Які правові підстави були використані помилково?
🔻Виконання договору. Обробка не була необхідна для виконання договору, а публікація контактних даних – очікуваною. Порушено принципу пропорційності. Була технічна можливість під час реєстрації відрізнити дітей-користувачів на основі інформації про вік і уникнути публікації їхніх контактних даних.
🔻Легітимний інтерес. Відсутність збалансованості. Діти не були попереджені про те, що їх контактні дані стануть публічними. Інформація про обробку не була достатньо прозорою та зрозумілою. Також не були застосовані достатні та адекватні додаткові гарантії.
🔻Публічність за замовчуванням. Порушено принципи мінімізації та приватності за замовчуванням: дані користувачів-дітей, які бажали мати приватний акаунт в Instagram, не обмежувалися лише тим, що було необхідним для такої мети обробки. До того ж, Meta не провела DPIA.
❓Як визначили штраф?
У грудні 2021 року DPC подав проєкт рішення до всіх європейських зацікавлених наглядових органів. Оскільки деякі держави-члени висловили заперечення, DPC передав справу на розгляд EDPB. Після обов'язкового до виконання рішення EDPB від 28.07.2022 року, DPC оголосив своє остаточне рішення щодо Meta, наклавши штраф у розмірі €405 млн та низку коригувальних заходів:
🔹надавати користувачам-дітям інформацію у чіткій та прозорій формі;
🔹повідомити всіх користувачів, які перейшли на бізнес-акаунт в період з 25.05.2018 по 04.09.2019 та були дітьми, про те, що компанія скасувала вимогу про публікацію контактної інформації;
🔹провести DPIA;
🔹переглянути підстави обробки даних.
За заявою Meta, компанія повною мірою співпрацювала з DPC під час розслідування, але не погоджується із сумою штрафу. Рік тому Meta оновила налаштування: для всіх, кому не виповнилося 18 років, автоматично встановлюється приватний статус облікового запису, тому тільки люди, яких вони знають, можуть бачити те, що вони публікують, і дорослі не можуть надсилати повідомлення підліткам, які не “стежать” за ними.
🏆 ВИСНОВКИ
Штраф є знаковим не лише через кількість нулів, але й тому, що він показує, наскільки чутливим стає питання захисту неповнолітніх. У роботі з даними дітей необхідно бути ще більш обережними та забезпечувати найсуворіші налаштування приватності за замовчуванням.
38 стаття преамбули GDPR підкреслює, що у випадках, коли дані дітей використовуються для створення профілів користувачів, повинні застосовуватися спеціальні засоби захисту, оскільки діти можуть бути менш обізнані про ризики, наслідки та гарантії, а також про свої права щодо обробки їхніх даних.
Наразі ірландський регулятор готує щонайменше 6 інших розслідувань щодо сервісів, що належать Meta, а також розслідує обробку даних дітей TikTok. Тому очікуйте нових дописів у рубриці #Санкції.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора
💶 ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
Ірландський регулятор DPC оштрафував компанію Meta за порушення GDPR за результатами дворічного розслідування щодо обробки даних дітей соціальною мережею Instagram. Це найбільший штраф, накладений ірландським регулятором, та другий за величиною за історію GDPR.
📍Контекст
Через негативний вплив вдобайок на психічне здоров'я неповнолітніх, Instagram приховав відображення кількості вподобайок під дописами від користувачів соцмережі. Ця зміна підштовхнула неповнолітніх до створення бізнес-акаунтів, щоб скористатися додатковими функціями, наприклад, статистикою щодо вподобайок.
❓У чому полягало правопорушення?
Розслідування щодо Instagram було зосереджено на двох питаннях:
🔹Публікація даних. Підліткам у віці 13-17 років було дозволено вести "бізнес-акаунти" в Instagram, що призвело до публікації номерів телефонів та адрес електронної пошти користувачів.
🔹Публічність. Всі акаунти, включаючи акаунти дітей, за замовчуванням були встановлені як загальнодоступні, якщо не змінити налаштування приватності.
❓Які правові підстави були використані помилково?
🔻Виконання договору. Обробка не була необхідна для виконання договору, а публікація контактних даних – очікуваною. Порушено принципу пропорційності. Була технічна можливість під час реєстрації відрізнити дітей-користувачів на основі інформації про вік і уникнути публікації їхніх контактних даних.
🔻Легітимний інтерес. Відсутність збалансованості. Діти не були попереджені про те, що їх контактні дані стануть публічними. Інформація про обробку не була достатньо прозорою та зрозумілою. Також не були застосовані достатні та адекватні додаткові гарантії.
🔻Публічність за замовчуванням. Порушено принципи мінімізації та приватності за замовчуванням: дані користувачів-дітей, які бажали мати приватний акаунт в Instagram, не обмежувалися лише тим, що було необхідним для такої мети обробки. До того ж, Meta не провела DPIA.
❓Як визначили штраф?
У грудні 2021 року DPC подав проєкт рішення до всіх європейських зацікавлених наглядових органів. Оскільки деякі держави-члени висловили заперечення, DPC передав справу на розгляд EDPB. Після обов'язкового до виконання рішення EDPB від 28.07.2022 року, DPC оголосив своє остаточне рішення щодо Meta, наклавши штраф у розмірі €405 млн та низку коригувальних заходів:
🔹надавати користувачам-дітям інформацію у чіткій та прозорій формі;
🔹повідомити всіх користувачів, які перейшли на бізнес-акаунт в період з 25.05.2018 по 04.09.2019 та були дітьми, про те, що компанія скасувала вимогу про публікацію контактної інформації;
🔹провести DPIA;
🔹переглянути підстави обробки даних.
За заявою Meta, компанія повною мірою співпрацювала з DPC під час розслідування, але не погоджується із сумою штрафу. Рік тому Meta оновила налаштування: для всіх, кому не виповнилося 18 років, автоматично встановлюється приватний статус облікового запису, тому тільки люди, яких вони знають, можуть бачити те, що вони публікують, і дорослі не можуть надсилати повідомлення підліткам, які не “стежать” за ними.
🏆 ВИСНОВКИ
Штраф є знаковим не лише через кількість нулів, але й тому, що він показує, наскільки чутливим стає питання захисту неповнолітніх. У роботі з даними дітей необхідно бути ще більш обережними та забезпечувати найсуворіші налаштування приватності за замовчуванням.
38 стаття преамбули GDPR підкреслює, що у випадках, коли дані дітей використовуються для створення профілів користувачів, повинні застосовуватися спеціальні засоби захисту, оскільки діти можуть бути менш обізнані про ризики, наслідки та гарантії, а також про свої права щодо обробки їхніх даних.
Наразі ірландський регулятор готує щонайменше 6 інших розслідувань щодо сервісів, що належать Meta, а також розслідує обробку даних дітей TikTok. Тому очікуйте нових дописів у рубриці #Санкції.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
🔆 ДАЙДЖЕСТ ВЕРЕСНЯ
Закінчується вересень, а для Privacy HUB це може означати тільки одне — вже скоро ми проведемо "Академію Приватності".
Наша команда докладає багато зусиль, аби зробити якісний захід для наших педагогів. Але не "Академію" єдиною! До вашої уваги дайджест за вересень:
📍Експерти Privacy HUB долучися до обговорення співпраці щодо забезпечення невідворотності покарання воєнних злочинців. Зустріч була організована Офісом Генерального прокурора України. Сподіваємося на продовження зустрічей у такому форматі. Усі винні у військовій агресії проти України мають бути покарані відповідно до закону.
🏆 РЕЙТИНГ ДОПИСІВ ВЕРЕСНЯ
#Санкції
📍ЧОМУ ЗА ВИКРАДЕНИЙ ТЕЛЕФОН ПОКАРАЛИ НЕ ЗЛОДІЯ АБО ВАЖЛИВІСТЬ TOMS
📍ДАНІ ЗА ВПОДОБАЙКИ: INSTAGRAM ОШТРАФОВАНО НА €405 МЛН
#Новини_тижня
📍НОВИНИ ТИЖНЯ [29.08 — 04.09]
📍НОВИНИ ТИЖНЯ [05.09 — 11.09]
📍НОВИНИ ТИЖНЯ [12.09 — 18.09]
📍НОВИНИ ТИЖНЯ [19.09 — 25.09]
#Аналітика
📍ТОКЕНИ ЦИФРОВОГО ДОСТУПУ: ОГЛЯД ВІД ФРАНЦУЗЬКОГО РЕГУЛЯТОРА
📍ВИКОРИСТАННЯ API ДЛЯ БЕЗПЕЧНОЇ ПЕРЕДАЧІ ДАНИХ: СNIL РОЗПОЧАВ ПУБЛІЧНЕ ОБГОВОРЕННЯ РЕКОМЕНДАЦІЙ
#Інформаційна_безпека
📍ЗАХИСТ ДАНИХ – ЗА МЕЖАМИ ФАНТАЗІЙ ПРО АНОНІМІЗАЦІЮ
📍RANSOMWARE – НОВИЙ СТАРИЙ ТРЕНД
#А_як_у_нас
📍ЯК ПРАВИЛЬНО ОБРОБЛЯТИ ДАНІ ВПО: РЕКОМЕНДАЦІЇ ВІД УПОВНОВАЖЕНОГО З ПРАВ ЛЮДИНИ
#Академія_приватності
📍ВІДБІР УЧАСНИКІВ УСПІШНО ЗАВЕРШЕНО
📍PRIVACY HUB РОЗШУКУЄ СТУДЕНТІВ
Дякуємо, що ви з нами💙💛
🇺🇦Все буде Україна!
#Санкції
💶 ШТРАФ ЗА ВІГІЛАНТИЗМ
Є такі люди, які від природи мають загострене почуття справедливості. У деяких випадках це гарна риса, а у деяких — не дуже.
До чого це ми? А до того, що герой цього допису як раз і є тією людиною.
Його історія завершилася штрафом у 600 євро.
❓Що трапилося?
У дитячому садочку працювала викладачка, яка публічно заявляла, що вона на 50% особа з інвалідністю. Наш вігілант дізнався, що це неправда і надіслав електронного листа до органу публічної влади. Серед іншого, у листі був судовий протокол у якому були дані про здоров'я викладачки. Невідомо, як влада відреагувала на інформацію, що викладачка каже неправду, але відомо, що відправнику листа було виписано штраф у 600 євро за незаконну обробку персональних даних.
❓Що було порушено?
Австрійський регулятор констатував порушення статті 5.1.а, а також статті 9.1, 9.2. Тобто обробка чутливих персональних даних без згоди.
🏆 ВИСНОВКИ
Відповідно до статті 9 Регламенту, не потрібно отримувати згоду на обробку чутливих даних, які були публічно розголошені суб'єктом персональних даних.
Схоже, саме на цей виняток і опирався герой допису, коли відправлял емейл до органів публічної влади. Але він упустив момент, що дані, які стосуються здоров'я, навіть якщо людина повністю здорова, це все одно чутлива інформація, що потребує згоди на її обробку.
Таким чином, аби уникнути штрафу, йому слідувало б закликати органи провести власне розслідування і встановити факти, а не займатися вігілантизмом.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора (німецькою)
💶 ШТРАФ ЗА ВІГІЛАНТИЗМ
Є такі люди, які від природи мають загострене почуття справедливості. У деяких випадках це гарна риса, а у деяких — не дуже.
До чого це ми? А до того, що герой цього допису як раз і є тією людиною.
Його історія завершилася штрафом у 600 євро.
❓Що трапилося?
У дитячому садочку працювала викладачка, яка публічно заявляла, що вона на 50% особа з інвалідністю. Наш вігілант дізнався, що це неправда і надіслав електронного листа до органу публічної влади. Серед іншого, у листі був судовий протокол у якому були дані про здоров'я викладачки. Невідомо, як влада відреагувала на інформацію, що викладачка каже неправду, але відомо, що відправнику листа було виписано штраф у 600 євро за незаконну обробку персональних даних.
❓Що було порушено?
Австрійський регулятор констатував порушення статті 5.1.а, а також статті 9.1, 9.2. Тобто обробка чутливих персональних даних без згоди.
🏆 ВИСНОВКИ
Відповідно до статті 9 Регламенту, не потрібно отримувати згоду на обробку чутливих даних, які були публічно розголошені суб'єктом персональних даних.
Схоже, саме на цей виняток і опирався герой допису, коли відправлял емейл до органів публічної влади. Але він упустив момент, що дані, які стосуються здоров'я, навіть якщо людина повністю здорова, це все одно чутлива інформація, що потребує згоди на її обробку.
Таким чином, аби уникнути штрафу, йому слідувало б закликати органи провести власне розслідування і встановити факти, а не займатися вігілантизмом.
🇺🇦 Все буде Україна!
_____
ℹ️ Джерела:
🔹Рішення регулятора (німецькою)
#Санкції
💶 ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
Впевнені, кожен задумувався: Що буде після повідомлення регулятора про інцидент з даними відповідно до ст. 33 GDPR? Чи варто робити повідомлення? Чи прийде регулятор сварити, чи проігнорує, чи раптом допоможе?
Власне, нижче описуємо для вас один із реальних сценаріїв.
❓Що відбулося?
Румунський телеком-оператор Curtea Veche Publishing SRL повідомив національного регулятора про цілих 2 інциденти, через які виникла серйозна загроза персональним даним:
🔹розміщення на публічному форумі бази даних клієнтів оператора з 2019 по 2021 рік (10379 суб’єктів даних);
🔹DDoS-атака, що призвела до несанкціонованого доступу та втрати цілісності та доступу до певних даних працівників (100 суб’єктів даних).
❓Що зробив регулятор?
Звичайно, регулятор зацікавився, чому сталися цілих 2 серйозних інциденти, ще й в телеком-оператора, і прийшов з розслідуванням. За його результатами, було виявлено, що інциденти фактично сталися через недбалість контролера. Телеком-оператор невірно оцінив ризики та не вжив достатніх технічних та організаційних заходів захисту даних.
❓Що було порушено?
Було порушено окремі обов’язки щодо захисту персональних даних, передбачені ст. 32 GDPR:
🔹 не було забезпечено конфіденційність, цілісність, доступність і стійкість систем та процесів обробки даних (п. 1(b));
🔹 не було забезпечено можливість відновлення доступу до персональних даних у разі інциденту (п. 1(c));
🔹 оператор не врахував при оцінці рівня та забезпеченні безпеки ризики випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних (п. 2).
❓Який штраф?
Штраф склав приблизно 5000 євро. При визначенні розміру регулятор врахував, що оператор повідомив про інциденти та сприяв розслідуванню.
Додатково, оператор зобов’язаний оцінити наново рівень та ризики безпеки даних та оновити технічні та організаційні заходи. Регулятор пізніше перевірить оновлення.
🏆 ВИСНОВКИ
Якщо ви повідомите про інцидент з даними регулятора, він може прийти до вас з розслідуванням.
Але чи погано це? Ми думаємо, що ні. Як бачимо, регулятор враховує, що компанія належним чином виконує свої обов’язки щодо повідомлення про інцидент та добровільно співпрацює в розслідуванні.
Неповідомлення ж рахувалось би як ще одне порушення.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Новина Національного регулятора Румунії
💶 ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
Впевнені, кожен задумувався: Що буде після повідомлення регулятора про інцидент з даними відповідно до ст. 33 GDPR? Чи варто робити повідомлення? Чи прийде регулятор сварити, чи проігнорує, чи раптом допоможе?
Власне, нижче описуємо для вас один із реальних сценаріїв.
❓Що відбулося?
Румунський телеком-оператор Curtea Veche Publishing SRL повідомив національного регулятора про цілих 2 інциденти, через які виникла серйозна загроза персональним даним:
🔹розміщення на публічному форумі бази даних клієнтів оператора з 2019 по 2021 рік (10379 суб’єктів даних);
🔹DDoS-атака, що призвела до несанкціонованого доступу та втрати цілісності та доступу до певних даних працівників (100 суб’єктів даних).
❓Що зробив регулятор?
Звичайно, регулятор зацікавився, чому сталися цілих 2 серйозних інциденти, ще й в телеком-оператора, і прийшов з розслідуванням. За його результатами, було виявлено, що інциденти фактично сталися через недбалість контролера. Телеком-оператор невірно оцінив ризики та не вжив достатніх технічних та організаційних заходів захисту даних.
❓Що було порушено?
Було порушено окремі обов’язки щодо захисту персональних даних, передбачені ст. 32 GDPR:
🔹 не було забезпечено конфіденційність, цілісність, доступність і стійкість систем та процесів обробки даних (п. 1(b));
🔹 не було забезпечено можливість відновлення доступу до персональних даних у разі інциденту (п. 1(c));
🔹 оператор не врахував при оцінці рівня та забезпеченні безпеки ризики випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних (п. 2).
❓Який штраф?
Штраф склав приблизно 5000 євро. При визначенні розміру регулятор врахував, що оператор повідомив про інциденти та сприяв розслідуванню.
Додатково, оператор зобов’язаний оцінити наново рівень та ризики безпеки даних та оновити технічні та організаційні заходи. Регулятор пізніше перевірить оновлення.
🏆 ВИСНОВКИ
Якщо ви повідомите про інцидент з даними регулятора, він може прийти до вас з розслідуванням.
Але чи погано це? Ми думаємо, що ні. Як бачимо, регулятор враховує, що компанія належним чином виконує свої обов’язки щодо повідомлення про інцидент та добровільно співпрацює в розслідуванні.
Неповідомлення ж рахувалось би як ще одне порушення.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Новина Національного регулятора Румунії
#Санкції
💶 “З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
Інколи компанії знають більше про нас, ніж ми самі. Профілювання клієнтів дозволяє зробити багато висновків про спосіб життя, звички, уподобання, ба навіть про стан здоров’я. Так за допомогою простого аналізу покупок людини, реально навіть поставити діагноз. А компанії й раді порушувати право на приватність клієнтів, аби підняти власні продажі.
❓Що сталося?
Компанія Easylife Limited є роздрібним продавцем, який продає товари для дому, а також послуги та продукти. Розслідування британського регулятора ICO виявило, що коли клієнт купував товар з каталогу "Клуб здоров'я" Easylife, компанія робила припущення про стан його здоров'я, а потім продавала йому товари, пов'язані зі здоров'ям, без його згоди. Так компанія створила профілі 145 400 осіб на основі певних "тригерних продуктів". Наприклад, якщо людина купила відкривачку для банок або піднос для обіду, Easylife використовує ці дані про покупку, щоб припустити, що у неї артрит, а потім запропонувати їй суглобові пластирі з глюкозаміном.
❓Які були порушення?
🔸 Використання історії покупок для таргетування клієнтів
Компанія Easylife не повідомила своїх клієнтів про те, що таке профілювання буде мати місце. Це була "незаконна і невидима" обробка спеціальних категорій даних в порушення статті 5(1)(а) GDPR. ICO також процитував серпневе рішення Суду справедливості ЄС, що спеціальною категорією також є “дані, що опосередковано розкривають дані про стан здоров’я після інтелектуальної операції, що включає дедукцію та перехресне посилання”.
Упущення компанії Easylife отримати чітку згоду суб’єктів даних на обробку їхніх чутливих даних означало, що вона не мала правових підстав для такої обробки. Оцінка законного інтересу, на яку компанія посилалася, не відображала профілювання клієнтів.
🔸 Небажані прямі маркетингові дзвінки
Easylife також здійснила понад 1,3 млн прямих маркетингових дзвінків клієнтам, які зареєструвалися в TPS (Службі телефонних преференцій), що суперечить правилу 21 PECR. Положення 21 PECR забороняє особі здійснювати небажані прямі маркетингові дзвінки будь-кому, хто зареєстрував свої номери в TPS, якщо тільки вони не повідомили про те, що вони бажають отримувати такі дзвінки.
ICO вважає порушення Easylife "недбалістю найвищого рівня", оскільки компанія знала або повинна була знати про свої зобов'язання за PECR і не вжила розумних заходів для запобігання цьому порушенню.
❓Який штраф?
ICO оштрафував Easylife на £1,48 млн:
🔹£1,35 млн за використання персональних даних клієнтів для продажу продуктів, пов'язаних зі здоров'ям, без їхньої згоди
При визначенні штрафу ICO зазначив, що неможливо кількісно оцінити рівень завданої шкоди через "невидимий" характер обробки, але переслідування та націлювання на потенційно вразливих осіб, більшість з яких є людьми похилого віку з довготривалими захворюваннями, можуть бути широкомасштабними. Компанія Easylife не вжила заходів, таких як DPIA, які могли б запобігти порушенню. Також була врахована її погана репутацію щодо дотримання нормативних вимог.
🔹£130 000 за здійснення небажаних прямих маркетингових дзвінків
Обставини, які обтяжують: маркетинг компанії Easylife був "агресивним"; компанія не звернулася за консультацією до регулятора.
Обставини, які пом’якшують: значний штраф в рамках паралельного розслідування порушень GDPR; заходи щодо виправлення ситуації (перевірка TPS, призначення нового партнера з телемаркетингу та запровадження нової системи управління даними).
Easylife зазначила, що має намір оскаржити рішення ICO як щодо відповідальності, так і щодо розміру штрафних санкцій.
🏆 ВИСНОВКИ
Будь-яке виявлене порушення (навіть незначне) може спровокувати багатопланові розслідування. Так, у цій справі регулятор спочатку звернув увагу на порушення PECR, але подальше розслідування виявило порушення GDPR, що призвели до набагато більшого штрафу. Тому краще дотримуватися GDPR та уникнути уваги регулятора.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Повідомлення на сайті ICO
💶 “З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
Інколи компанії знають більше про нас, ніж ми самі. Профілювання клієнтів дозволяє зробити багато висновків про спосіб життя, звички, уподобання, ба навіть про стан здоров’я. Так за допомогою простого аналізу покупок людини, реально навіть поставити діагноз. А компанії й раді порушувати право на приватність клієнтів, аби підняти власні продажі.
❓Що сталося?
Компанія Easylife Limited є роздрібним продавцем, який продає товари для дому, а також послуги та продукти. Розслідування британського регулятора ICO виявило, що коли клієнт купував товар з каталогу "Клуб здоров'я" Easylife, компанія робила припущення про стан його здоров'я, а потім продавала йому товари, пов'язані зі здоров'ям, без його згоди. Так компанія створила профілі 145 400 осіб на основі певних "тригерних продуктів". Наприклад, якщо людина купила відкривачку для банок або піднос для обіду, Easylife використовує ці дані про покупку, щоб припустити, що у неї артрит, а потім запропонувати їй суглобові пластирі з глюкозаміном.
❓Які були порушення?
🔸 Використання історії покупок для таргетування клієнтів
Компанія Easylife не повідомила своїх клієнтів про те, що таке профілювання буде мати місце. Це була "незаконна і невидима" обробка спеціальних категорій даних в порушення статті 5(1)(а) GDPR. ICO також процитував серпневе рішення Суду справедливості ЄС, що спеціальною категорією також є “дані, що опосередковано розкривають дані про стан здоров’я після інтелектуальної операції, що включає дедукцію та перехресне посилання”.
Упущення компанії Easylife отримати чітку згоду суб’єктів даних на обробку їхніх чутливих даних означало, що вона не мала правових підстав для такої обробки. Оцінка законного інтересу, на яку компанія посилалася, не відображала профілювання клієнтів.
🔸 Небажані прямі маркетингові дзвінки
Easylife також здійснила понад 1,3 млн прямих маркетингових дзвінків клієнтам, які зареєструвалися в TPS (Службі телефонних преференцій), що суперечить правилу 21 PECR. Положення 21 PECR забороняє особі здійснювати небажані прямі маркетингові дзвінки будь-кому, хто зареєстрував свої номери в TPS, якщо тільки вони не повідомили про те, що вони бажають отримувати такі дзвінки.
ICO вважає порушення Easylife "недбалістю найвищого рівня", оскільки компанія знала або повинна була знати про свої зобов'язання за PECR і не вжила розумних заходів для запобігання цьому порушенню.
❓Який штраф?
ICO оштрафував Easylife на £1,48 млн:
🔹£1,35 млн за використання персональних даних клієнтів для продажу продуктів, пов'язаних зі здоров'ям, без їхньої згоди
При визначенні штрафу ICO зазначив, що неможливо кількісно оцінити рівень завданої шкоди через "невидимий" характер обробки, але переслідування та націлювання на потенційно вразливих осіб, більшість з яких є людьми похилого віку з довготривалими захворюваннями, можуть бути широкомасштабними. Компанія Easylife не вжила заходів, таких як DPIA, які могли б запобігти порушенню. Також була врахована її погана репутацію щодо дотримання нормативних вимог.
🔹£130 000 за здійснення небажаних прямих маркетингових дзвінків
Обставини, які обтяжують: маркетинг компанії Easylife був "агресивним"; компанія не звернулася за консультацією до регулятора.
Обставини, які пом’якшують: значний штраф в рамках паралельного розслідування порушень GDPR; заходи щодо виправлення ситуації (перевірка TPS, призначення нового партнера з телемаркетингу та запровадження нової системи управління даними).
Easylife зазначила, що має намір оскаржити рішення ICO як щодо відповідальності, так і щодо розміру штрафних санкцій.
🏆 ВИСНОВКИ
Будь-яке виявлене порушення (навіть незначне) може спровокувати багатопланові розслідування. Так, у цій справі регулятор спочатку звернув увагу на порушення PECR, але подальше розслідування виявило порушення GDPR, що призвели до набагато більшого штрафу. Тому краще дотримуватися GDPR та уникнути уваги регулятора.
🇺🇦 Все буде Україна!
______________
ℹ️ Джерела:
🔹 Повідомлення на сайті ICO
#Дайджест_місяця
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
#Санкції
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)
#Санкції
💶 GDPR НА ВАРТІ РЕПУТАЦІЇ
Коли законотворці розробляли концепцію Загального Регламенту, то однією із першочергових задекларованих цілей було змусити великі компанії більш бережно ставитися до захисту персональних даних.
Дехто вважає, що ця мета не була досягнута, але штрафи і зміна практик обробки персональних даних кажуть про інше. Але сьогодні не про це.
Сьогодні ми розглянемо справу, коли положення Регламенту було використано для захисту честі і гідності.
❓Що трапилось?
ОСОБА 1 звернулась до іспанського регулятора зі скаргою на ОСОБУ 2 через те, що остання опублікувала у себе в блозі інформацію про заявника.
Перед тим, як піти по допомогу до держави, заявник звертався безпосередньо до блогера із проханням видалити “невдалі” дописи, які, крім персональних даних заявника, його імені та фотографій, містили ще й недостовірні факти і відвертий наклеп.
Але блогерство – це теж свого роду мистецтво, і автор блогу вирішив проігнорувати прохання заявника, адже блогер – митець, і він так бачить.
"На жаль" для блогера і "на щастя" для заявника, регулятор бачив цю ситуацію під іншим кутом і виписав митцю штраф у 10.000 євро за порушення норм обробки персональних даних.
❓Що було порушено?
Блогер не мав правової підстави для обробки персональних даних, а також проігнорував законну вимогу суб'єкта персональних даних.
🏆 ВИСНОВКИ
У певних випадках блог може підпасти під “household exemption”, і тоді нема сенсу морочити голову положеннями GDPR, але про етику все ж варто не забувати.
Автор блогу проігнорував прохання видалити інформацію і не зміг довести, що його матеріал був правдивий, за що отримав досить серйозний штраф.
Тому пам'ятайте про етику, не ігноруйте запити суб'єктів і майте змогу довести, що опублікована вами інформація є достовірною.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Рішення АЕРD (іспанська мова)
💶 GDPR НА ВАРТІ РЕПУТАЦІЇ
Коли законотворці розробляли концепцію Загального Регламенту, то однією із першочергових задекларованих цілей було змусити великі компанії більш бережно ставитися до захисту персональних даних.
Дехто вважає, що ця мета не була досягнута, але штрафи і зміна практик обробки персональних даних кажуть про інше. Але сьогодні не про це.
Сьогодні ми розглянемо справу, коли положення Регламенту було використано для захисту честі і гідності.
❓Що трапилось?
ОСОБА 1 звернулась до іспанського регулятора зі скаргою на ОСОБУ 2 через те, що остання опублікувала у себе в блозі інформацію про заявника.
Перед тим, як піти по допомогу до держави, заявник звертався безпосередньо до блогера із проханням видалити “невдалі” дописи, які, крім персональних даних заявника, його імені та фотографій, містили ще й недостовірні факти і відвертий наклеп.
Але блогерство – це теж свого роду мистецтво, і автор блогу вирішив проігнорувати прохання заявника, адже блогер – митець, і він так бачить.
"На жаль" для блогера і "на щастя" для заявника, регулятор бачив цю ситуацію під іншим кутом і виписав митцю штраф у 10.000 євро за порушення норм обробки персональних даних.
❓Що було порушено?
Блогер не мав правової підстави для обробки персональних даних, а також проігнорував законну вимогу суб'єкта персональних даних.
🏆 ВИСНОВКИ
У певних випадках блог може підпасти під “household exemption”, і тоді нема сенсу морочити голову положеннями GDPR, але про етику все ж варто не забувати.
Автор блогу проігнорував прохання видалити інформацію і не зміг довести, що його матеріал був правдивий, за що отримав досить серйозний штраф.
Тому пам'ятайте про етику, не ігноруйте запити суб'єктів і майте змогу довести, що опублікована вами інформація є достовірною.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Рішення АЕРD (іспанська мова)
#Санкції
💶 ВІДПОВІДАТИ НА ЗАПИТИ ЧИ НЕ ВІДПОВІДАТИ? – ПИТАННЯ ЗАЙВЕ
Гамлетівське питання втрачає актуальність, адже GDPR захищає права суб'єктів даних та прямо передбачає обов'язки організацій, що обробляють дані. Якщо ж компанія вирішує не відповідати на запити суб'єктів даних, то відповідати все одно доведеться… перед регулятором.
Так Офіс Омбудсмена з питань захисту даних (фінський регулятор) наклав штраф у розмірі 750 000 євро на колекторську компанію Alektum Oy.
❓Що сталося?
Фінський регулятор розпочав розслідування після отримання трьох скарг від фізичних осіб на те, що компанія не відповідає на запити про доступ до даних. Одному зі скаржників пощастило отримати відповідь, але запитувану копію своїх персональних даних він так і не побачив.
Щодо іншого випадку компанія пояснила відсутність відповіді тим, що вони більше не обробляють персональні дані цього суб'єкта. Хоча навіть в такому випадку компанія була зобов'язана відповісти на запит і заявити про відсутність обробки.
Далі фантазія компанії, напевно, закінчилася, бо більше пояснень вони не надали. Тому регулятор справедливо вирішив, що компанія погано була ознайомлена з вимогами законодавства. А незнання законів, як ми знаємо, не звільняє від відповідальності.
❓Що погіршило ситуацію?
Під час розслідування регулятор використовував різні засоби для консультацій з Alektum Oy. Але компанія неохоче пояснювала свої дії та не співпрацювала, чим порушила зобов’язання співпрацювати з регулятором і надавати інформацію на його запити.
Регулятор взяв до уваги й те, що справа стосувалася правового захисту фізичних осіб. Так, наприклад, боржник має право знати про загрозу судового позову про стягнення і т.п.
🏆 ВИСНОВКИ
Важливо, щоб компанії серйозно ставилися до запитів суб'єктів даних і обробляли їх швидко та професійно відповідно до вимог GDPR.
Також не варто забувати про те, що при прийнятті рішення щодо штрафу та його розміру враховується рівень співпраці з регулятором з метою усунення порушення та пом'якшення можливих негативних наслідків.
Щиросердне зізнання, прозорість, співпраця та робота над помилками зекономлять нервові клітини та гроші, а ще врятують репутацію в очах регулятора.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Прес-реліз від регулятора (фінською)
🔹Рішення регулятора (фінською)
💶 ВІДПОВІДАТИ НА ЗАПИТИ ЧИ НЕ ВІДПОВІДАТИ? – ПИТАННЯ ЗАЙВЕ
Гамлетівське питання втрачає актуальність, адже GDPR захищає права суб'єктів даних та прямо передбачає обов'язки організацій, що обробляють дані. Якщо ж компанія вирішує не відповідати на запити суб'єктів даних, то відповідати все одно доведеться… перед регулятором.
Так Офіс Омбудсмена з питань захисту даних (фінський регулятор) наклав штраф у розмірі 750 000 євро на колекторську компанію Alektum Oy.
❓Що сталося?
Фінський регулятор розпочав розслідування після отримання трьох скарг від фізичних осіб на те, що компанія не відповідає на запити про доступ до даних. Одному зі скаржників пощастило отримати відповідь, але запитувану копію своїх персональних даних він так і не побачив.
Щодо іншого випадку компанія пояснила відсутність відповіді тим, що вони більше не обробляють персональні дані цього суб'єкта. Хоча навіть в такому випадку компанія була зобов'язана відповісти на запит і заявити про відсутність обробки.
Далі фантазія компанії, напевно, закінчилася, бо більше пояснень вони не надали. Тому регулятор справедливо вирішив, що компанія погано була ознайомлена з вимогами законодавства. А незнання законів, як ми знаємо, не звільняє від відповідальності.
❓Що погіршило ситуацію?
Під час розслідування регулятор використовував різні засоби для консультацій з Alektum Oy. Але компанія неохоче пояснювала свої дії та не співпрацювала, чим порушила зобов’язання співпрацювати з регулятором і надавати інформацію на його запити.
Регулятор взяв до уваги й те, що справа стосувалася правового захисту фізичних осіб. Так, наприклад, боржник має право знати про загрозу судового позову про стягнення і т.п.
🏆 ВИСНОВКИ
Важливо, щоб компанії серйозно ставилися до запитів суб'єктів даних і обробляли їх швидко та професійно відповідно до вимог GDPR.
Також не варто забувати про те, що при прийнятті рішення щодо штрафу та його розміру враховується рівень співпраці з регулятором з метою усунення порушення та пом'якшення можливих негативних наслідків.
Щиросердне зізнання, прозорість, співпраця та робота над помилками зекономлять нервові клітини та гроші, а ще врятують репутацію в очах регулятора.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Прес-реліз від регулятора (фінською)
🔹Рішення регулятора (фінською)
#Санкції
💶 ТОП 3 ШТРАФИ ЗА ПОРУШЕННЯ GDPR
або Розумний вчиться на чужих помилках
14 квітня 2016 року був прийнятий GDPR. Щоб відзначити цей день, ми вирішили поговорити про те, що найбільше мотивує компанії дотримуватися правил, встановлених Регламентом.Повага до прав людини та захисту персональних даних Штрафи!
Довідка:
GDPR дозволяє накладати штрафи в розмірі до 4% від глобального обороту компанії або €20 млн, залежно від того, яка сума є більшою. Штрафи повинні бути ефективними, пропорційними та стримуючими, щоб запобігти майбутнім порушенням. Також рекомендується враховувати такі обставини, як тяжкість, тривалість, вплив, наміри та співпраця.
Найпоширеніші порушення:
▪️Недотримання загальних принципів обробки даних
▪️Недостатня правова підстава для обробки даних
▪️Недостатні технічні та організаційні заходи для забезпечення інформаційної безпеки
▪️Недостатнє виконання інформаційних зобов'язань
▪️Недостатнє забезпечення прав суб'єкта даних
Перейдемо до наших рекордсменів, а також, на що варто звернути увагу, аби не бути серед них
🥉 Meta Platforms Ireland Limited – €390 млн
Рішення ірландського регулятора від 04.01.2023
За що? Недотримання загальних принципів обробки даних
Поки всі готувалися до набрання чинності GDPR у 2018 році, Meta вирішила “обійти гору” та перемогти хитрістю – компанія просто змінила Умови надання послуг. Правова підстава для більшості операцій перетворилась із “згоди” на “контракт”, включаючи надання персоналізованих послуг і поведінкової реклами. До того ж, інформація про правові підстави не була чітко викладена для користувачів. Скарги були подані від різних суб'єктів даних та об'єднані в один кейс.
На диво, регулятор спершу погодився з такою правовою підставою, що викликало заперечення у 10 із 47 зацікавлених наглядових органів (CSA). Крапку поставив EDPB, встановивши, що "контракт" не підходить у випадку поведінкової реклами. А штраф після усіх консультацій тільки збільшився: €210 млн (Facebook) + €180 млн (Instagram)
📌 На що звернути увагу? Прозорість інформації, принцип справедливості, законні підстави для обробки.
🥈 Meta Platforms, Inc. – €405 млн
Рішення ірландського регулятора від 05.09.2022
За що? Недотримання загальних принципів обробки даних
Розслідування стосувалося обробки персональних даних дітей-користувачів соціальної мережі Instagram. Зокрема, у розслідуванні розглядалися питання публічного розкриття емейлів та/або номерів телефонів дітей за допомогою функції бізнес-акаунта в Instagram, а також налаштування на публічність за замовчуванням для особистих акаунтів дітей в Instagram. До речі, тут теж не обійшлося без заперечень від CSA, тому знадобилося обов'язкове до виконання рішення EDPB.
📌 На що звернути увагу? Спеціальні засоби захисту при обробці даних дітей; надання інформації дітям у прозорій та зрозумілій формі; правові підстави обробки даних.
🥇 Amazon Europe Core S.à.r.l. – €746 млн
Рішення люксембурзького регулятора від 16.07.2021
За що? Недотримання загальних принципів обробки даних
Рекорд найбільшого штрафу в історії GDPR поки належить Amazon. Інтенсивна стратегія digital-маркетингу не довела до добра: "поведінковому аналізу та таргетованій рекламі" Amazon бракувало "вільної згоди". І якщо штраф здається вам величезним, подумайте, що за даними він становить лише 0,1% від світового обороту Amazon.
Скарга була подана французькою групою із захисту прав на приватність La Quadrature du Net ще у 2018. Але від французького регулятора була передана до Люксембургу через розташування там штаб-квартири Amazon.
Деталі досі оповиті таємницею, адже люксембурзьке законодавство зобов'язує регулятора зберігати професійну таємницю до остаточного рішення. Апеляція Amazon буде розглянута в люксембурзькому суді аж в січні 2024.
📌 На що звернути увагу? Правові підстави обробки, правила згоди.
🏆 ВИСНОВКИ
Звісно, турнірна таблиця неодноразово ще зміниться. Регулятори налаштовані серйозно, і вже зараз розслідується багато справ. Однак перш ніж запасатися попкорном, перевірте, чи відповідає ваша компанія вимогам GDPR.
🇺🇦 Все буде Україна!
💶 ТОП 3 ШТРАФИ ЗА ПОРУШЕННЯ GDPR
або Розумний вчиться на чужих помилках
14 квітня 2016 року був прийнятий GDPR. Щоб відзначити цей день, ми вирішили поговорити про те, що найбільше мотивує компанії дотримуватися правил, встановлених Регламентом.
Довідка:
GDPR дозволяє накладати штрафи в розмірі до 4% від глобального обороту компанії або €20 млн, залежно від того, яка сума є більшою. Штрафи повинні бути ефективними, пропорційними та стримуючими, щоб запобігти майбутнім порушенням. Також рекомендується враховувати такі обставини, як тяжкість, тривалість, вплив, наміри та співпраця.
Найпоширеніші порушення:
▪️Недотримання загальних принципів обробки даних
▪️Недостатня правова підстава для обробки даних
▪️Недостатні технічні та організаційні заходи для забезпечення інформаційної безпеки
▪️Недостатнє виконання інформаційних зобов'язань
▪️Недостатнє забезпечення прав суб'єкта даних
Перейдемо до наших рекордсменів, а також, на що варто звернути увагу, аби не бути серед них
🥉 Meta Platforms Ireland Limited – €390 млн
Рішення ірландського регулятора від 04.01.2023
За що? Недотримання загальних принципів обробки даних
Поки всі готувалися до набрання чинності GDPR у 2018 році, Meta вирішила “обійти гору” та перемогти хитрістю – компанія просто змінила Умови надання послуг. Правова підстава для більшості операцій перетворилась із “згоди” на “контракт”, включаючи надання персоналізованих послуг і поведінкової реклами. До того ж, інформація про правові підстави не була чітко викладена для користувачів. Скарги були подані від різних суб'єктів даних та об'єднані в один кейс.
На диво, регулятор спершу погодився з такою правовою підставою, що викликало заперечення у 10 із 47 зацікавлених наглядових органів (CSA). Крапку поставив EDPB, встановивши, що "контракт" не підходить у випадку поведінкової реклами. А штраф після усіх консультацій тільки збільшився: €210 млн (Facebook) + €180 млн (Instagram)
📌 На що звернути увагу? Прозорість інформації, принцип справедливості, законні підстави для обробки.
🥈 Meta Platforms, Inc. – €405 млн
Рішення ірландського регулятора від 05.09.2022
За що? Недотримання загальних принципів обробки даних
Розслідування стосувалося обробки персональних даних дітей-користувачів соціальної мережі Instagram. Зокрема, у розслідуванні розглядалися питання публічного розкриття емейлів та/або номерів телефонів дітей за допомогою функції бізнес-акаунта в Instagram, а також налаштування на публічність за замовчуванням для особистих акаунтів дітей в Instagram. До речі, тут теж не обійшлося без заперечень від CSA, тому знадобилося обов'язкове до виконання рішення EDPB.
📌 На що звернути увагу? Спеціальні засоби захисту при обробці даних дітей; надання інформації дітям у прозорій та зрозумілій формі; правові підстави обробки даних.
🥇 Amazon Europe Core S.à.r.l. – €746 млн
Рішення люксембурзького регулятора від 16.07.2021
За що? Недотримання загальних принципів обробки даних
Рекорд найбільшого штрафу в історії GDPR поки належить Amazon. Інтенсивна стратегія digital-маркетингу не довела до добра: "поведінковому аналізу та таргетованій рекламі" Amazon бракувало "вільної згоди". І якщо штраф здається вам величезним, подумайте, що за даними він становить лише 0,1% від світового обороту Amazon.
Скарга була подана французькою групою із захисту прав на приватність La Quadrature du Net ще у 2018. Але від французького регулятора була передана до Люксембургу через розташування там штаб-квартири Amazon.
Деталі досі оповиті таємницею, адже люксембурзьке законодавство зобов'язує регулятора зберігати професійну таємницю до остаточного рішення. Апеляція Amazon буде розглянута в люксембурзькому суді аж в січні 2024.
📌 На що звернути увагу? Правові підстави обробки, правила згоди.
🏆 ВИСНОВКИ
Звісно, турнірна таблиця неодноразово ще зміниться. Регулятори налаштовані серйозно, і вже зараз розслідується багато справ. Однак перш ніж запасатися попкорном, перевірте, чи відповідає ваша компанія вимогам GDPR.
🇺🇦 Все буде Україна!