А здесь полезные советы по подготовке к сдаче экзамена CIPP от Андрея Прозорова: https://80na20.blogspot.com/2020/01/cippe.html?m=1

А запись: https://youtu.be/_cKVTwHT7eQ

#news #databreach #152фз

ркн отреагировал на утечку ПДн у К&Б детали

​​#news #privacy #development

ICO запустил программу грантов по инновациям в сфере privacy, подробнее здесь

​​#news #privacy

159 000 уведомлений об утечках данных и 290 000 жалоб субъектов были получены контролирующими органами в ЕС

#news #privacy #personaldata

Административный суд Lazio постановил, что ПДн имеют экономическое значение, а также законы по защите потребителей распространяются на их обработку, подробнее

Само решение суда: https://www.giustizia-amministrativa.it/portale/pages/istituzionale/visualizza/?nodeRef=&schema=tar_rm&nrg=201815275&nomeFile=202000260_01.html&subDir=Provvedimenti

Спасибо @znatok_ne

#materials #privacy #brexit

За несколько дней до выхода UK из состава ЕС ICO обновил Statement on data protection and Brexit implementation – what you need to do

🔹до декабря 2020 года гдпр будет иметь прямое действие на компании из UK
🔹во время переходного периода компании, предлагающие товары и услуги субъектам в ЕС, не обязаны назначать представителя в ЕС
🔹ICO продолжает быть ведущим регулятором для организаций из UK
🔹а вот по поводу статуса UK как страны, обеспечивающей адекватный уровень защиты, после окончания переходного периода пока неизвестно

#news #privacy

Ring Doorbell - приложение, следящее не только за вашими соседями, но и за вами, подробнее

🚻имена, IP адреса, сведения об операторе мобильной связи, цифровые отпечатки, передавались сторонним аналитическим и маркетинговым компаниям

Спасибо Алене Курбатовой за запись:
🔹Ответ: мы готовы принимать меры и прорабатывать вопросы, если наши коллеги в разных регионах применяют различные подходы к одинаковым вопросам.
🔹если сотрудник узнал, что коллега берет взятку, а сообщить надо руководству за рубежом, нужно ли мне взять согласие на обработку?
Ответ: такие вопросы урегулированы локальными актами с работниками, не требуют дополнительного оформления в виде согласия.
🔹Является ли самозанятый оператором ПДн?
Ответ: да, является.
🔹Нужно ли получать согласие от работников при получении запросов от правоохранительных органов?
Ответ: Нет
🔹Есть 2 БД в рамках кадровой инф сист: в РФ и Германии. Часть данных вносится сразу в РФ, другая - в Германию.
Ответ: весь сегмент данных должен быть введен изначально на территории РФ, потом уже в РФ. То же самое касается любых действий с ПДн: актуализация, удаление (сначала в инф системе в РФ)
🔹Справочник сотрудников - на территории РФ, справочник должностей на территории ЕС.
Ответ: Подход тот же - сначала в РФ
🔹ответ: Снилс, инн, паспортные данные - ПДн (уник идентифик)
🔹Ответ: VIN, гос номера трансп средств не являются ПДн (если указаны без иной информации) - набор инф, относ к Транспортному средству.
🔹Ответ: Лицевой счет - не ПДн (относится к жилому помещению)
🔹Ответ: Телефонный номер без иной доп инфо - относится к пользовательскому устройству, не относится к ПДн.
🔹 Нужно ли в тексте Договора указать лиц, которых будут привлекать для осуществления цели?
Ответ: Нет, если не требуется обяз письм форма, достаточно общей формулировки.
🔹Ответ: при получении письменного согласия субъекта его можно уничтожить и хранить скан, т.к. в связи с объемами сложно обеспечить хранение документа на бумаге.

#cybernews

Свежий выпуск CyberNews

YouTube

FB

#news #152фз

Вадим Перевалов об итогах встречи в AEB, штрафах и жалобах субъектов в FB

#materials #privacy #CCTV

EDPB опубликовал финальную версию Guidelines 3/2019 on processing of personal data through video devices

Разбор проекта документа в канале по #CCTV

​​Пятничное от Екатерины Волкович

#news #cybersecurity

The Journal of global security and military studies предлагает опубликовать статью/ исследование на своих страницах. Детали, здесь

#materials #privacy

EDPB опубликовал ответ на вопрос по использованию несправедливых алгоритмов, здесь

🔹любая обработка ПДн с использованием алгоритма подпадает под гдпр
🔹риски при такой обработке данных: недобросовестное использование данных, обработка больших объемов данных (избыточность и незаконность), непрозрачность обработки
🔹при наличии автоматического принятия решений в отношении субъекта следует проинформировать субъекта о такой обработке, предоставить содержательную информацию о логике алгоритма, о значении решения и предполагаемых последствиях
🔹при построении процесса необходимо учитывать риски для субъекта (прим. автора, обратите внимание на риск дискриминации)
🔹на практике принятие критичных для субъекта решений (с существенными последствиями) исключительно по результатам отработанного алгоритма, т.е без человеческого участия, невозможно (см. ограничения из ст.22 гдпр)

#news #privacy #GDPR

Ирландский регулятор перегружен, что заметили коллеги из Германии, ибо в Ирландии много техно-гигантов обитает, новость

#news #databreach

Некорректная настройка Trello может привести к Утечке данных

#news #brexit

UK будет создавать свои собственные суверенные контроли и правила по защите данных (с), Борис Джонсон, Премьер Министр. Подробнее, здесь

​​#news #privacy #GDPR #events

Репортаж с полей (конференции PrivSec London) от Алексея Соколова, премного благодарны тебе @DearDeDeer

PrivSec London. 4-5 февраля. Выдержка.

Неожиданное. Sheila Fitzpatrick, имеющая более чем 30-летний опыт в privacy and compliance: «Privacy is extremely sexy».

Среди основных её тезисов:

🔹Не существует комплаенса «из коробки», как предлагают многие вендоры. Для каждой компании индивидуальный подход.

🔹Стоит различать privacy violation и data breaches (об этом ниже)

🔹Legitimate interest - это 6-ое по очередности правовое основание - самое сложное для обоснования.

🔹Необходим Legal Privacy Impact Assessment, чтобы учесть особенности всех законодательств, если обработка ПДн в нескольких юрисдикциях.

🔹Big Data не имеет самого концепта «согласия», а основная его суть во вторичной обработке ПДн, ведь цель собрать как можно больше данных, насколько возможно, чтобы потом что-то сделать с ними.

🔹Обработка с вовлечением AI может привести к нежелательным последствиям для субъекта, если сообщить ему о результатах. (Если AI анализирует истории болезни и выдаёт данные, что субъект, скорее всего, скоро умрёт, то сообщение ему об этом (особенно при ошибке предсказания) может повлечь за собой mental health issue и навязчивые мысли о скоропостижной и неминуемой кончине.)

🔹Прогрессивные системы smart cities имеют education transparency issues (в части кто имеет доступ к данным, кто их обрабатывает, как субъект может отказаться от обработки, кому продаются данные, а с кем этими данными делятся и в чём разница от продажи для субъекта).

🔹Всё ещё существуют проблемы с прозрачностью в обработке cookies. Бывает, что спустя 5 страниц инструкций всё ещё невозможно их выключить.

🔹Наиболее актуальные Privacy риски:
- Increasing value of data;
- Secondary use of data;
- Assumption of rights;
- No true understanding of privacy;
- Lack of privacy by design;
- Undefined lawful basis for processing;
- Modeling and profiling without true deidentification;
- Profits versus ethics;
- Focus on breaches not privacy violations.

🔹Примеры Privacy violation:
- Запутанные и неоднозначные политики приватности;
- Недостаток прозрачности;
- Forced consent;
- Неправомерное правовое основание;
- Неправомерная трансграничная передача;
- Secondary use.

🔹Примеры Data breach:
- Неправомерный доступ;
- (Не)преднамеренная утрата или искажение sensitive data;
- Потеря или кража устройства, на котором хранятся ПДн.
При этом наибольшие санкции за privacy violation.

🔹Бонусом статистика с конференции ООН (UNCTAD):
- 194 страны;
- 58% имеют законодательство в области privacy / data protection;
- 21% имеют драфты законодательства, предусматривающего требования строже чем в GDPR;
- 21% ничего не имеют и не планируют;
- 41% имеют законодательные требования по уведомлению об утечках данных.
На настоящий момент известно о 21 стране, где планируется вступление в силу новых законов о защите ПДн в 2020.