#news #privacy #personaldata
Административный суд Lazio постановил, что ПДн имеют экономическое значение, а также законы по защите потребителей распространяются на их обработку, подробнее
Само решение суда: https://www.giustizia-amministrativa.it/portale/pages/istituzionale/visualizza/?nodeRef=&schema=tar_rm&nrg=201815275&nomeFile=202000260_01.html&subDir=Provvedimenti
Спасибо @znatok_ne
Административный суд Lazio постановил, что ПДн имеют экономическое значение, а также законы по защите потребителей распространяются на их обработку, подробнее
Само решение суда: https://www.giustizia-amministrativa.it/portale/pages/istituzionale/visualizza/?nodeRef=&schema=tar_rm&nrg=201815275&nomeFile=202000260_01.html&subDir=Provvedimenti
Спасибо @znatok_ne
Lexology
Italian court confirms that personal data has economic value in Facebook case | Lexology
Court rules that the use of personal data for commercial purposes must be always made sufficiently clear to users 2020 kicks off in Italy with an…
#materials #privacy #brexit
За несколько дней до выхода UK из состава ЕС ICO обновил Statement on data protection and Brexit implementation – what you need to do
🔹до декабря 2020 года гдпр будет иметь прямое действие на компании из UK
🔹во время переходного периода компании, предлагающие товары и услуги субъектам в ЕС, не обязаны назначать представителя в ЕС
🔹ICO продолжает быть ведущим регулятором для организаций из UK
🔹а вот по поводу статуса UK как страны, обеспечивающей адекватный уровень защиты, после окончания переходного периода пока неизвестно
За несколько дней до выхода UK из состава ЕС ICO обновил Statement on data protection and Brexit implementation – what you need to do
🔹до декабря 2020 года гдпр будет иметь прямое действие на компании из UK
🔹во время переходного периода компании, предлагающие товары и услуги субъектам в ЕС, не обязаны назначать представителя в ЕС
🔹ICO продолжает быть ведущим регулятором для организаций из UK
🔹а вот по поводу статуса UK как страны, обеспечивающей адекватный уровень защиты, после окончания переходного периода пока неизвестно
#news #privacy
Ring Doorbell - приложение, следящее не только за вашими соседями, но и за вами, подробнее
🚻имена, IP адреса, сведения об операторе мобильной связи, цифровые отпечатки, передавались сторонним аналитическим и маркетинговым компаниям
Ring Doorbell - приложение, следящее не только за вашими соседями, но и за вами, подробнее
🚻имена, IP адреса, сведения об операторе мобильной связи, цифровые отпечатки, передавались сторонним аналитическим и маркетинговым компаниям
Electronic Frontier Foundation
Ring Doorbell App Packed with Third-Party Trackers
Ring isn't just a product that allows users to surveil their neighbors. The company also uses it to surveil its customers.An investigation by EFF of the Ring doorbell app for Android found it to be
RPPA PRO: Privacy • AI • Cybersecurity • IP
#news #ркн #privacy Вопросы и ответы 🔹что такое ПДн? Когда будут подготовлены разъяснения Ответ: никогда (шутка автора). Имелся в виду проект матрицы, он существует на базе ЦК ЮФО был актуализирован, в феврале будет обсуждение, в марте будет доступна матрица…
Спасибо Алене Курбатовой за запись:
🔹Ответ: мы готовы принимать меры и прорабатывать вопросы, если наши коллеги в разных регионах применяют различные подходы к одинаковым вопросам.
🔹если сотрудник узнал, что коллега берет взятку, а сообщить надо руководству за рубежом, нужно ли мне взять согласие на обработку?
Ответ: такие вопросы урегулированы локальными актами с работниками, не требуют дополнительного оформления в виде согласия.
🔹Является ли самозанятый оператором ПДн?
Ответ: да, является.
🔹Нужно ли получать согласие от работников при получении запросов от правоохранительных органов?
Ответ: Нет
🔹Есть 2 БД в рамках кадровой инф сист: в РФ и Германии. Часть данных вносится сразу в РФ, другая - в Германию.
Ответ: весь сегмент данных должен быть введен изначально на территории РФ, потом уже в РФ. То же самое касается любых действий с ПДн: актуализация, удаление (сначала в инф системе в РФ)
🔹Справочник сотрудников - на территории РФ, справочник должностей на территории ЕС.
Ответ: Подход тот же - сначала в РФ
🔹ответ: Снилс, инн, паспортные данные - ПДн (уник идентифик)
🔹Ответ: VIN, гос номера трансп средств не являются ПДн (если указаны без иной информации) - набор инф, относ к Транспортному средству.
🔹Ответ: Лицевой счет - не ПДн (относится к жилому помещению)
🔹Ответ: Телефонный номер без иной доп инфо - относится к пользовательскому устройству, не относится к ПДн.
🔹 Нужно ли в тексте Договора указать лиц, которых будут привлекать для осуществления цели?
Ответ: Нет, если не требуется обяз письм форма, достаточно общей формулировки.
🔹Ответ: при получении письменного согласия субъекта его можно уничтожить и хранить скан, т.к. в связи с объемами сложно обеспечить хранение документа на бумаге.
🔹Ответ: мы готовы принимать меры и прорабатывать вопросы, если наши коллеги в разных регионах применяют различные подходы к одинаковым вопросам.
🔹если сотрудник узнал, что коллега берет взятку, а сообщить надо руководству за рубежом, нужно ли мне взять согласие на обработку?
Ответ: такие вопросы урегулированы локальными актами с работниками, не требуют дополнительного оформления в виде согласия.
🔹Является ли самозанятый оператором ПДн?
Ответ: да, является.
🔹Нужно ли получать согласие от работников при получении запросов от правоохранительных органов?
Ответ: Нет
🔹Есть 2 БД в рамках кадровой инф сист: в РФ и Германии. Часть данных вносится сразу в РФ, другая - в Германию.
Ответ: весь сегмент данных должен быть введен изначально на территории РФ, потом уже в РФ. То же самое касается любых действий с ПДн: актуализация, удаление (сначала в инф системе в РФ)
🔹Справочник сотрудников - на территории РФ, справочник должностей на территории ЕС.
Ответ: Подход тот же - сначала в РФ
🔹ответ: Снилс, инн, паспортные данные - ПДн (уник идентифик)
🔹Ответ: VIN, гос номера трансп средств не являются ПДн (если указаны без иной информации) - набор инф, относ к Транспортному средству.
🔹Ответ: Лицевой счет - не ПДн (относится к жилому помещению)
🔹Ответ: Телефонный номер без иной доп инфо - относится к пользовательскому устройству, не относится к ПДн.
🔹 Нужно ли в тексте Договора указать лиц, которых будут привлекать для осуществления цели?
Ответ: Нет, если не требуется обяз письм форма, достаточно общей формулировки.
🔹Ответ: при получении письменного согласия субъекта его можно уничтожить и хранить скан, т.к. в связи с объемами сложно обеспечить хранение документа на бумаге.
#materials #privacy #CCTV
EDPB опубликовал финальную версию Guidelines 3/2019 on processing of personal data through video devices
Разбор проекта документа в канале по #CCTV
EDPB опубликовал финальную версию Guidelines 3/2019 on processing of personal data through video devices
Разбор проекта документа в канале по #CCTV
#news #cybersecurity
The Journal of global security and military studies предлагает опубликовать статью/ исследование на своих страницах. Детали, здесь
The Journal of global security and military studies предлагает опубликовать статью/ исследование на своих страницах. Детали, здесь
#materials #privacy
EDPB опубликовал ответ на вопрос по использованию несправедливых алгоритмов, здесь
🔹любая обработка ПДн с использованием алгоритма подпадает под гдпр
🔹риски при такой обработке данных: недобросовестное использование данных, обработка больших объемов данных (избыточность и незаконность), непрозрачность обработки
🔹при наличии автоматического принятия решений в отношении субъекта следует проинформировать субъекта о такой обработке, предоставить содержательную информацию о логике алгоритма, о значении решения и предполагаемых последствиях
🔹при построении процесса необходимо учитывать риски для субъекта (прим. автора, обратите внимание на риск дискриминации)
🔹на практике принятие критичных для субъекта решений (с существенными последствиями) исключительно по результатам отработанного алгоритма, т.е без человеческого участия, невозможно (см. ограничения из ст.22 гдпр)
EDPB опубликовал ответ на вопрос по использованию несправедливых алгоритмов, здесь
🔹любая обработка ПДн с использованием алгоритма подпадает под гдпр
🔹риски при такой обработке данных: недобросовестное использование данных, обработка больших объемов данных (избыточность и незаконность), непрозрачность обработки
🔹при наличии автоматического принятия решений в отношении субъекта следует проинформировать субъекта о такой обработке, предоставить содержательную информацию о логике алгоритма, о значении решения и предполагаемых последствиях
🔹при построении процесса необходимо учитывать риски для субъекта (прим. автора, обратите внимание на риск дискриминации)
🔹на практике принятие критичных для субъекта решений (с существенными последствиями) исключительно по результатам отработанного алгоритма, т.е без человеческого участия, невозможно (см. ограничения из ст.22 гдпр)
#news #privacy #GDPR
Ирландский регулятор перегружен, что заметили коллеги из Германии, ибо в Ирландии много техно-гигантов обитает, новость
Ирландский регулятор перегружен, что заметили коллеги из Германии, ибо в Ирландии много техно-гигантов обитает, новость
The Irish Times
German regulator says Irish data protection commission is being 'overwhelmed'
Kelber says Irish regulator’s ‘go-slow’ approach to Facebook similar to Germany’s ‘dieselgate’ scandal
#news #brexit
UK будет создавать свои собственные суверенные контроли и правила по защите данных (с), Борис Джонсон, Премьер Министр. Подробнее, здесь
UK будет создавать свои собственные суверенные контроли и правила по защите данных (с), Борис Джонсон, Премьер Министр. Подробнее, здесь
EURACTIV
UK to diverge from EU data protection rules, Johnson confirms
The United Kingdom will seek to diverge from EU data protection rules and establish their own 'sovereign' controls in the field, the UK Prime Minister Boris Johnson said on Monday (3 February). His comments came despite the EU affirming that the UK should…
#news #privacy #GDPR #events
Репортаж с полей (конференции PrivSec London) от Алексея Соколова, премного благодарны тебе @DearDeDeer
PrivSec London. 4-5 февраля. Выдержка.
Неожиданное. Sheila Fitzpatrick, имеющая более чем 30-летний опыт в privacy and compliance: «Privacy is extremely sexy».
Среди основных её тезисов:
🔹Не существует комплаенса «из коробки», как предлагают многие вендоры. Для каждой компании индивидуальный подход.
🔹Стоит различать privacy violation и data breaches (об этом ниже)
🔹Legitimate interest - это 6-ое по очередности правовое основание - самое сложное для обоснования.
🔹Необходим Legal Privacy Impact Assessment, чтобы учесть особенности всех законодательств, если обработка ПДн в нескольких юрисдикциях.
🔹Big Data не имеет самого концепта «согласия», а основная его суть во вторичной обработке ПДн, ведь цель собрать как можно больше данных, насколько возможно, чтобы потом что-то сделать с ними.
🔹Обработка с вовлечением AI может привести к нежелательным последствиям для субъекта, если сообщить ему о результатах. (Если AI анализирует истории болезни и выдаёт данные, что субъект, скорее всего, скоро умрёт, то сообщение ему об этом (особенно при ошибке предсказания) может повлечь за собой mental health issue и навязчивые мысли о скоропостижной и неминуемой кончине.)
🔹Прогрессивные системы smart cities имеют education transparency issues (в части кто имеет доступ к данным, кто их обрабатывает, как субъект может отказаться от обработки, кому продаются данные, а с кем этими данными делятся и в чём разница от продажи для субъекта).
🔹Всё ещё существуют проблемы с прозрачностью в обработке cookies. Бывает, что спустя 5 страниц инструкций всё ещё невозможно их выключить.
🔹Наиболее актуальные Privacy риски:
- Increasing value of data;
- Secondary use of data;
- Assumption of rights;
- No true understanding of privacy;
- Lack of privacy by design;
- Undefined lawful basis for processing;
- Modeling and profiling without true deidentification;
- Profits versus ethics;
- Focus on breaches not privacy violations.
🔹Примеры Privacy violation:
- Запутанные и неоднозначные политики приватности;
- Недостаток прозрачности;
- Forced consent;
- Неправомерное правовое основание;
- Неправомерная трансграничная передача;
- Secondary use.
🔹Примеры Data breach:
- Неправомерный доступ;
- (Не)преднамеренная утрата или искажение sensitive data;
- Потеря или кража устройства, на котором хранятся ПДн.
При этом наибольшие санкции за privacy violation.
🔹Бонусом статистика с конференции ООН (UNCTAD):
- 194 страны;
- 58% имеют законодательство в области privacy / data protection;
- 21% имеют драфты законодательства, предусматривающего требования строже чем в GDPR;
- 21% ничего не имеют и не планируют;
- 41% имеют законодательные требования по уведомлению об утечках данных.
На настоящий момент известно о 21 стране, где планируется вступление в силу новых законов о защите ПДн в 2020.
Репортаж с полей (конференции PrivSec London) от Алексея Соколова, премного благодарны тебе @DearDeDeer
PrivSec London. 4-5 февраля. Выдержка.
Неожиданное. Sheila Fitzpatrick, имеющая более чем 30-летний опыт в privacy and compliance: «Privacy is extremely sexy».
Среди основных её тезисов:
🔹Не существует комплаенса «из коробки», как предлагают многие вендоры. Для каждой компании индивидуальный подход.
🔹Стоит различать privacy violation и data breaches (об этом ниже)
🔹Legitimate interest - это 6-ое по очередности правовое основание - самое сложное для обоснования.
🔹Необходим Legal Privacy Impact Assessment, чтобы учесть особенности всех законодательств, если обработка ПДн в нескольких юрисдикциях.
🔹Big Data не имеет самого концепта «согласия», а основная его суть во вторичной обработке ПДн, ведь цель собрать как можно больше данных, насколько возможно, чтобы потом что-то сделать с ними.
🔹Обработка с вовлечением AI может привести к нежелательным последствиям для субъекта, если сообщить ему о результатах. (Если AI анализирует истории болезни и выдаёт данные, что субъект, скорее всего, скоро умрёт, то сообщение ему об этом (особенно при ошибке предсказания) может повлечь за собой mental health issue и навязчивые мысли о скоропостижной и неминуемой кончине.)
🔹Прогрессивные системы smart cities имеют education transparency issues (в части кто имеет доступ к данным, кто их обрабатывает, как субъект может отказаться от обработки, кому продаются данные, а с кем этими данными делятся и в чём разница от продажи для субъекта).
🔹Всё ещё существуют проблемы с прозрачностью в обработке cookies. Бывает, что спустя 5 страниц инструкций всё ещё невозможно их выключить.
🔹Наиболее актуальные Privacy риски:
- Increasing value of data;
- Secondary use of data;
- Assumption of rights;
- No true understanding of privacy;
- Lack of privacy by design;
- Undefined lawful basis for processing;
- Modeling and profiling without true deidentification;
- Profits versus ethics;
- Focus on breaches not privacy violations.
🔹Примеры Privacy violation:
- Запутанные и неоднозначные политики приватности;
- Недостаток прозрачности;
- Forced consent;
- Неправомерное правовое основание;
- Неправомерная трансграничная передача;
- Secondary use.
🔹Примеры Data breach:
- Неправомерный доступ;
- (Не)преднамеренная утрата или искажение sensitive data;
- Потеря или кража устройства, на котором хранятся ПДн.
При этом наибольшие санкции за privacy violation.
🔹Бонусом статистика с конференции ООН (UNCTAD):
- 194 страны;
- 58% имеют законодательство в области privacy / data protection;
- 21% имеют драфты законодательства, предусматривающего требования строже чем в GDPR;
- 21% ничего не имеют и не планируют;
- 41% имеют законодательные требования по уведомлению об утечках данных.
На настоящий момент известно о 21 стране, где планируется вступление в силу новых законов о защите ПДн в 2020.
#news #privacy #cybersecurity
ENISA запускает онлайн платформу для оказания помощи в обеспечении ИБ ПДн, подробнее здесь
ENISA запускает онлайн платформу для оказания помощи в обеспечении ИБ ПДн, подробнее здесь
#news #privacy #GDPR #complaints
Ирландский DPC начал расследование прозрачности обработки данных о местоположении субъектов Компанией Google, подробнее здесь
Ирландский DPC начал расследование прозрачности обработки данных о местоположении субъектов Компанией Google, подробнее здесь
Data Protection Commission
Data Protection Commission launches Statutory Inquiry into Google’s processing of location data and transparency surrounding that…
The Data Protection Commission, in its role as Lead Supervisory Authority for Google, has received a number of complaints from various Consumer Organisations across the EU, in which concerns were raised with regard to Google’s processing of location data.…
#cybernews
Свежий выпуск про изменения в законодательстве РФ по ИБ, здесь
И в FB: https://www.facebook.com/198003596879274/posts/3073119282701010/?vh=e&d=n
Свежий выпуск про изменения в законодательстве РФ по ИБ, здесь
И в FB: https://www.facebook.com/198003596879274/posts/3073119282701010/?vh=e&d=n
YouTube
Изменения в российском законодательстве в области защиты информации
Роман Мартинсон, консультант Группы по оказанию услуг в области кибербезопасности и цифровой криминалистики
КПМГ в России и СНГ, рассказал об изменениях в российском законодательстве в области защиты информации, произошедших в 2019 году.
КПМГ в России и СНГ, рассказал об изменениях в российском законодательстве в области защиты информации, произошедших в 2019 году.
#materials #cybersecurity #5g
На сайте Европейской Комиссии опубликован документ Cybersecurity of 5G networks EU Toolbox of risk mitigating measures
На сайте Европейской Комиссии опубликован документ Cybersecurity of 5G networks EU Toolbox of risk mitigating measures
#news #cybersecurity
Эксперты предупреждают о компьютерных вирусах, замаскированных под файлы, содержащие информацию о коронавирусе, подробнее здесь
Эксперты предупреждают о компьютерных вирусах, замаскированных под файлы, содержащие информацию о коронавирусе, подробнее здесь