#news #privacy #GDPR #events
Репортаж с полей (конференции PrivSec London) от Алексея Соколова, премного благодарны тебе @DearDeDeer
PrivSec London. 4-5 февраля. Выдержка.
Неожиданное. Sheila Fitzpatrick, имеющая более чем 30-летний опыт в privacy and compliance: «Privacy is extremely sexy».
Среди основных её тезисов:
🔹Не существует комплаенса «из коробки», как предлагают многие вендоры. Для каждой компании индивидуальный подход.
🔹Стоит различать privacy violation и data breaches (об этом ниже)
🔹Legitimate interest - это 6-ое по очередности правовое основание - самое сложное для обоснования.
🔹Необходим Legal Privacy Impact Assessment, чтобы учесть особенности всех законодательств, если обработка ПДн в нескольких юрисдикциях.
🔹Big Data не имеет самого концепта «согласия», а основная его суть во вторичной обработке ПДн, ведь цель собрать как можно больше данных, насколько возможно, чтобы потом что-то сделать с ними.
🔹Обработка с вовлечением AI может привести к нежелательным последствиям для субъекта, если сообщить ему о результатах. (Если AI анализирует истории болезни и выдаёт данные, что субъект, скорее всего, скоро умрёт, то сообщение ему об этом (особенно при ошибке предсказания) может повлечь за собой mental health issue и навязчивые мысли о скоропостижной и неминуемой кончине.)
🔹Прогрессивные системы smart cities имеют education transparency issues (в части кто имеет доступ к данным, кто их обрабатывает, как субъект может отказаться от обработки, кому продаются данные, а с кем этими данными делятся и в чём разница от продажи для субъекта).
🔹Всё ещё существуют проблемы с прозрачностью в обработке cookies. Бывает, что спустя 5 страниц инструкций всё ещё невозможно их выключить.
🔹Наиболее актуальные Privacy риски:
- Increasing value of data;
- Secondary use of data;
- Assumption of rights;
- No true understanding of privacy;
- Lack of privacy by design;
- Undefined lawful basis for processing;
- Modeling and profiling without true deidentification;
- Profits versus ethics;
- Focus on breaches not privacy violations.
🔹Примеры Privacy violation:
- Запутанные и неоднозначные политики приватности;
- Недостаток прозрачности;
- Forced consent;
- Неправомерное правовое основание;
- Неправомерная трансграничная передача;
- Secondary use.
🔹Примеры Data breach:
- Неправомерный доступ;
- (Не)преднамеренная утрата или искажение sensitive data;
- Потеря или кража устройства, на котором хранятся ПДн.
При этом наибольшие санкции за privacy violation.
🔹Бонусом статистика с конференции ООН (UNCTAD):
- 194 страны;
- 58% имеют законодательство в области privacy / data protection;
- 21% имеют драфты законодательства, предусматривающего требования строже чем в GDPR;
- 21% ничего не имеют и не планируют;
- 41% имеют законодательные требования по уведомлению об утечках данных.
На настоящий момент известно о 21 стране, где планируется вступление в силу новых законов о защите ПДн в 2020.
Репортаж с полей (конференции PrivSec London) от Алексея Соколова, премного благодарны тебе @DearDeDeer
PrivSec London. 4-5 февраля. Выдержка.
Неожиданное. Sheila Fitzpatrick, имеющая более чем 30-летний опыт в privacy and compliance: «Privacy is extremely sexy».
Среди основных её тезисов:
🔹Не существует комплаенса «из коробки», как предлагают многие вендоры. Для каждой компании индивидуальный подход.
🔹Стоит различать privacy violation и data breaches (об этом ниже)
🔹Legitimate interest - это 6-ое по очередности правовое основание - самое сложное для обоснования.
🔹Необходим Legal Privacy Impact Assessment, чтобы учесть особенности всех законодательств, если обработка ПДн в нескольких юрисдикциях.
🔹Big Data не имеет самого концепта «согласия», а основная его суть во вторичной обработке ПДн, ведь цель собрать как можно больше данных, насколько возможно, чтобы потом что-то сделать с ними.
🔹Обработка с вовлечением AI может привести к нежелательным последствиям для субъекта, если сообщить ему о результатах. (Если AI анализирует истории болезни и выдаёт данные, что субъект, скорее всего, скоро умрёт, то сообщение ему об этом (особенно при ошибке предсказания) может повлечь за собой mental health issue и навязчивые мысли о скоропостижной и неминуемой кончине.)
🔹Прогрессивные системы smart cities имеют education transparency issues (в части кто имеет доступ к данным, кто их обрабатывает, как субъект может отказаться от обработки, кому продаются данные, а с кем этими данными делятся и в чём разница от продажи для субъекта).
🔹Всё ещё существуют проблемы с прозрачностью в обработке cookies. Бывает, что спустя 5 страниц инструкций всё ещё невозможно их выключить.
🔹Наиболее актуальные Privacy риски:
- Increasing value of data;
- Secondary use of data;
- Assumption of rights;
- No true understanding of privacy;
- Lack of privacy by design;
- Undefined lawful basis for processing;
- Modeling and profiling without true deidentification;
- Profits versus ethics;
- Focus on breaches not privacy violations.
🔹Примеры Privacy violation:
- Запутанные и неоднозначные политики приватности;
- Недостаток прозрачности;
- Forced consent;
- Неправомерное правовое основание;
- Неправомерная трансграничная передача;
- Secondary use.
🔹Примеры Data breach:
- Неправомерный доступ;
- (Не)преднамеренная утрата или искажение sensitive data;
- Потеря или кража устройства, на котором хранятся ПДн.
При этом наибольшие санкции за privacy violation.
🔹Бонусом статистика с конференции ООН (UNCTAD):
- 194 страны;
- 58% имеют законодательство в области privacy / data protection;
- 21% имеют драфты законодательства, предусматривающего требования строже чем в GDPR;
- 21% ничего не имеют и не планируют;
- 41% имеют законодательные требования по уведомлению об утечках данных.
На настоящий момент известно о 21 стране, где планируется вступление в силу новых законов о защите ПДн в 2020.
#news #privacy #cybersecurity
ENISA запускает онлайн платформу для оказания помощи в обеспечении ИБ ПДн, подробнее здесь
ENISA запускает онлайн платформу для оказания помощи в обеспечении ИБ ПДн, подробнее здесь
#news #privacy #GDPR #complaints
Ирландский DPC начал расследование прозрачности обработки данных о местоположении субъектов Компанией Google, подробнее здесь
Ирландский DPC начал расследование прозрачности обработки данных о местоположении субъектов Компанией Google, подробнее здесь
Data Protection Commission
Data Protection Commission launches Statutory Inquiry into Google’s processing of location data and transparency surrounding that…
The Data Protection Commission, in its role as Lead Supervisory Authority for Google, has received a number of complaints from various Consumer Organisations across the EU, in which concerns were raised with regard to Google’s processing of location data.…
#cybernews
Свежий выпуск про изменения в законодательстве РФ по ИБ, здесь
И в FB: https://www.facebook.com/198003596879274/posts/3073119282701010/?vh=e&d=n
Свежий выпуск про изменения в законодательстве РФ по ИБ, здесь
И в FB: https://www.facebook.com/198003596879274/posts/3073119282701010/?vh=e&d=n
YouTube
Изменения в российском законодательстве в области защиты информации
Роман Мартинсон, консультант Группы по оказанию услуг в области кибербезопасности и цифровой криминалистики
КПМГ в России и СНГ, рассказал об изменениях в российском законодательстве в области защиты информации, произошедших в 2019 году.
КПМГ в России и СНГ, рассказал об изменениях в российском законодательстве в области защиты информации, произошедших в 2019 году.
#materials #cybersecurity #5g
На сайте Европейской Комиссии опубликован документ Cybersecurity of 5G networks EU Toolbox of risk mitigating measures
На сайте Европейской Комиссии опубликован документ Cybersecurity of 5G networks EU Toolbox of risk mitigating measures
#news #cybersecurity
Эксперты предупреждают о компьютерных вирусах, замаскированных под файлы, содержащие информацию о коронавирусе, подробнее здесь
Эксперты предупреждают о компьютерных вирусах, замаскированных под файлы, содержащие информацию о коронавирусе, подробнее здесь
#fines #privacy #GDPR
Где: Кипр
Кого: LGS Handling Ltd, Louis Travel Ltd and Louis Aviation Ltd (Louis Group of Companies)
Штраф: 82 000 EUR (5,7 млн. руб)
Нарушение: отсутствие правового основания для обработки ПДн с использованием софта Bradford Factor в целях оценки больничных работников.
Логика оценки состоит в следующем: короткие, частые и незапланированные отлучки приводят к большей дезорганизации в компании, чем более длительные.
По мнению регулятора: дата и длительность больничного конкретного работника относятся к специальным категориям ПДн (ст. 9(1) гдпр). Ввод данных в указанный софт и последующая оценка работника на основании таких данных относятся к обработке ПДн и подпадают под регулирование гдпр.
Оператор провёл DPIA этого процесса обработки ПДн, предоставил регулятору для консультации, а вот регулятор посчитал, что оператор не смог продемонстрировать с использованием DPIA, что его законные интересы превалируют над интересами правами и свободами субъектов. И как следствие, меры митигирования рисков были выбраны некорректно.
🚻818 субъектов, кол-во было принято в расчёт при формировании штрафа, также учитывались природа, тип нарушения и оборот компаний
Источник: жалоба профсоюза от работников
Статьи: 5, 6, 9
Ссылки: EDPB
Где: Кипр
Кого: LGS Handling Ltd, Louis Travel Ltd and Louis Aviation Ltd (Louis Group of Companies)
Штраф: 82 000 EUR (5,7 млн. руб)
Нарушение: отсутствие правового основания для обработки ПДн с использованием софта Bradford Factor в целях оценки больничных работников.
Логика оценки состоит в следующем: короткие, частые и незапланированные отлучки приводят к большей дезорганизации в компании, чем более длительные.
По мнению регулятора: дата и длительность больничного конкретного работника относятся к специальным категориям ПДн (ст. 9(1) гдпр). Ввод данных в указанный софт и последующая оценка работника на основании таких данных относятся к обработке ПДн и подпадают под регулирование гдпр.
Оператор провёл DPIA этого процесса обработки ПДн, предоставил регулятору для консультации, а вот регулятор посчитал, что оператор не смог продемонстрировать с использованием DPIA, что его законные интересы превалируют над интересами правами и свободами субъектов. И как следствие, меры митигирования рисков были выбраны некорректно.
🚻818 субъектов, кол-во было принято в расчёт при формировании штрафа, также учитывались природа, тип нарушения и оборот компаний
Источник: жалоба профсоюза от работников
Статьи: 5, 6, 9
Ссылки: EDPB
Online Bradford Factor Calculator. Use the Bradford Index to calculate repeat employee abscence score using the Bradford Formula
Bradford Factor Calculator | Online Bradford Factor Calculator
#fines #privacy #GDPR
Где: Италия
Кого: TIM SpA
Штраф: 27.8 млн EUR (1,9 млрд. руб) и 20 корректирующих мер
Нарушение: оператор совершал рекламные звонки без согласия субъектов ПДн (субъекты были указаны в Public Register do-not-call list или ранее отказались от получения таких звонков)
🚻несколько млн. субъектов, дабы понимать масштабы: одному человеку звонили 155 раз в месяц!
Также оператор не продемонстрировал исполнение принципа accountability. Плюс регулятор при проверке выявил, что согласия на маркетинг, если и собирались с субъектов, то были обязательными для присоединения к программе Tim Party, предусматривающей получение скидок и призов.
Информация об обработке ПДн предоставлялась субъектам неполной и неточной (в приложениях).
Источник: жалобы субъектов
Статьи: 5, 6
Ссылки: Garante
Похожий штраф был также в Италии, поиск в канале: Eni Gas
Где: Италия
Кого: TIM SpA
Штраф: 27.8 млн EUR (1,9 млрд. руб) и 20 корректирующих мер
Нарушение: оператор совершал рекламные звонки без согласия субъектов ПДн (субъекты были указаны в Public Register do-not-call list или ранее отказались от получения таких звонков)
🚻несколько млн. субъектов, дабы понимать масштабы: одному человеку звонили 155 раз в месяц!
Также оператор не продемонстрировал исполнение принципа accountability. Плюс регулятор при проверке выявил, что согласия на маркетинг, если и собирались с субъектов, то были обязательными для присоединения к программе Tim Party, предусматривающей получение скидок и призов.
Информация об обработке ПДн предоставлялась субъектам неполной и неточной (в приложениях).
Источник: жалобы субъектов
Статьи: 5, 6
Ссылки: Garante
Похожий штраф был также в Италии, поиск в канале: Eni Gas
#fines #privacy #GDPR
Где: Испания
Кого: физическое лицо!!!🤪
Штраф: 10 000EUR (700 000 руб)
Нарушение: обмен интимными фото и скринами переписки женщины в Whatsapp без ее согласия. По заявлению потерпевшей, ее личная жизнь была нарушена после распространения таких данных о ней в сети.
Источник: жалоба субъекта
Статьи: 5, 6
Ссылки: новость
Это первый известный мне случай наложения штрафа по гдпр на физ. лицо, находящееся не при исполнении.
Где: Испания
Кого: физическое лицо!!!🤪
Штраф: 10 000EUR (700 000 руб)
Нарушение: обмен интимными фото и скринами переписки женщины в Whatsapp без ее согласия. По заявлению потерпевшей, ее личная жизнь была нарушена после распространения таких данных о ней в сети.
Источник: жалоба субъекта
Статьи: 5, 6
Ссылки: новость
Это первый известный мне случай наложения штрафа по гдпр на физ. лицо, находящееся не при исполнении.
#news #AI
Немного будущего:
Компания Exscientia, занимающаяся разработкой лекарств, объявила о начале клинических испытаний первого препарата, созданного искусственным интеллектом, подробности здесь
Немного будущего:
Компания Exscientia, занимающаяся разработкой лекарств, объявила о начале клинических испытаний первого препарата, созданного искусственным интеллектом, подробности здесь
pharmaphorum
Exscientia claims world first as AI-created drug enters clinic
Drug discovery firm Exscientia has claimed a world first after announcing that the first precision engineered drug generated by artificial intelligence (AI) is entering clinical trials. UK-based Exscientia has been working with Japanese pharma Sumitomo Dainippon…
#materials #GDPR #privacy
Профессиональный стандарт, подготовленный рабочей группой по защите данных STEP, Guidance Note: the effect of the GDPR on trusts and estates
Документ может быть использован в контексте деятельности частных благотворительных организаций, трастов
Профессиональный стандарт, подготовленный рабочей группой по защите данных STEP, Guidance Note: the effect of the GDPR on trusts and estates
Документ может быть использован в контексте деятельности частных благотворительных организаций, трастов
#materials #privacy #152фз #transfers
Типовые формы соглашений от Алексея Мунтяна
Data Transfer Agreement, C-C
Data Processing Agreement, C-P
Типовые формы соглашений от Алексея Мунтяна
Data Transfer Agreement, C-C
Data Processing Agreement, C-P
#podcast #privacy #cybersecurity #GDPR
Подкаст от Kaspersky про события в ИБ, влияние гдпр, корпоративную разведку и обновления MS, на английском
Подкаст от Kaspersky про события в ИБ, влияние гдпр, корпоративную разведку и обновления MS, на английском
www-kaspersky-com.cdn.ampproject.org
Transatlantic Cable podcast, episode 128
On this podcast, Dave and Jeff talk shop on the latest security issues exposed in Ring, GDPR’s impact, corporate espionage, a surprise Microsoft update, and more.
#materials #privacy #GDPR #anonymisation
Немецкий ркн опубликовал руководство по анонимизации данных с акцентом на телеком сектор
неофициальный перевод на английский ⬇️⬇️⬇️
на немецком
Немецкий ркн опубликовал руководство по анонимизации данных с акцентом на телеком сектор
неофициальный перевод на английский ⬇️⬇️⬇️
на немецком
#fines #ccpa
А вот и первое судебное дело по новому Калифорнийскому закону, вступившему в силу 1го января этого года.
Участники: Salesforce и Hanna Andersson.
Компания Hanna объявила об утечке данных клиентов: среди ПДн 🚻имена клиентов, номера банковских карт. Данные были размещены для продажи в даркнете, такие же данные хостились и на платформе Salesforce (предполагается, что утечка произошла на стороне Salesforce).
Резиденты штата Калифорния могут запросить по 750$ за каждого клиента, пострадавшего от инцидента.
Подробнее здесь
А вот и первое судебное дело по новому Калифорнийскому закону, вступившему в силу 1го января этого года.
Участники: Salesforce и Hanna Andersson.
Компания Hanna объявила об утечке данных клиентов: среди ПДн 🚻имена клиентов, номера банковских карт. Данные были размещены для продажи в даркнете, такие же данные хостились и на платформе Salesforce (предполагается, что утечка произошла на стороне Salesforce).
Резиденты штата Калифорния могут запросить по 750$ за каждого клиента, пострадавшего от инцидента.
Подробнее здесь
Bloomberglaw
Salesforce Data Breach Suit Cites California Privacy Law
Salesforce.com Inc. and a children’s clothing company face data-breach allegations in a federal court lawsuit that is among the first to cite California’s landmark privacy law since it took effect Jan. 1.