​​​​​​#fines #privacy

Где: UK
Кого: Cathay Pacific Airways Limited
Штраф: £500 000 (42,5 млн руб)
Нарушение: продолжительная утечка ПДн в период с октября 2014 по май 2018 вследствие нарушения процедур по защите данных (утечка по причине брутфорса AD): среди прочего
🔹отсутствие шифрования резервных копий БД
🔹наличие уязвимости, ранее опубликованной CVE
🔹админская консоль была публично доступна через Интернет
🔹одна из систем хостилась на операционке, выведенной из поддержки и тд и тп 🤪
🚻9.4 субъектов из них 111 578 из UK
🔹199 714 номеров паспортов, выпущенных в ЕЭЗ, имена пассажиров, сведения о гражданстве, даты рождения, номера телефонов, адреса электронной почты, почтовые адреса, информация о путешествиях, бонусных программах
Источник: проверка регулятора и жалобы субъектов (12 000 жалоб) со всего мира
Статьи: секция 55А Data Protection Act 1998
Ссылки: ICO карточка штрафа

Что интересно: Компания зарегистрирована в Гонконге, но имеет представительство в UK (регулятор оценил это как учреждение в UK, которое обрабатывает ПДн в рамках операционной активности своего учреждения)

#materials #privacy #tools

Чек-лист от Сергея Воронкевича по проверке Политик Конфиденциальности (Privacy Policy), здесь

#fines #gdpr

Где: Нидерланды
Кого: KNLTB теннисная ассоциация
Штраф: 525 000 EUR (42,5 млн руб)
Нарушение: продажа ПДн участников ассоциации спонсорам (спонсоры потом вышли на контакт с субъектами). Оператор считал, что передаёт данные на основании законного интереса.
🚻несколько тысяч субъектов
🔹имя, пол, контакты
Источник: проверка регулятора
Статьи GDPR: 5, 6
Ссылки: EDPB

#fines #gdpr

Где: Польша
Кого: Школа
Штраф: 20 000 PLN (380 000 руб) и постановление об удалении данных
Нарушение: обработка биометрических данных (отпечатки пальцев) школьников без правового основания в целях идентификации в школьной столовой в для проверки оплаты за питание.

Оператор обрабатывал данные на основании письменного согласия законных представителей детей. При этом предусмотренные в школе альтернативные меры идентификации не предоставляли субъектам равнозначного права доступа и условий.
🚻680 субъектов
Источник: проверка регулятора
Статьи GDPR: 5, 9
Ссылки: EDPB

#news #privacy

РКН про вирус, тепловизор и ПДн, здесь

А здесь разъяснения от Ирландского ркн: https://dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19

Также подход по расчёту штрафов был ранее опубликован и голландским регулятором: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586_0.pdf

Обзор на английском: https://www.hldataprotection.com/2019/03/articles/international-eu-privacy/dutch-data-protection-authority-sets-gdpr-fines-structure/

Было предложено разбить штрафы на следующие категории:
🔹I категория: простые нарушения, к примеру, отсутствие контактных данных DPO - от 0 до 200 000 €
🔹II категория: невыполнения определённых требований в части обработки данных, н-ер, отсутсвие DPA, достаточных мер защиты данных, DPIA, гарантий независимости DPO - от 120 000 до 500 000 €
🔹III категория: нарушение прозрачности обработки данных, не уведомление о нарушении безопасности данных, отсутсвие кооперации с регулятором - от 300 000 до 750 000 €
🔹 IV категория: незаконные обработка специальных категорий ПДн (включая национальный идентификационный номер), профилирование, неисполнение распоряжений регулятора - от 450 000 до 1 000 000 €

При этом регулятор оставляет за собой право наложения максимального штрафа, предусмотренного гдпр.

В документе представлена детальная разбивка по статьям и категориям штрафов

#news #privacy #calls

ICO выписал рекордный штраф в размере 500 000 фунтов компании CRDNN за совершение более 193 млн автоматических звонков с предложением рекламы, детали.

В UK электронная коммуникация строго регламентирована в рамках Data Protection Act и Privacy and Electronic Communication, штрафы, как правило, высокие.

Наши реалии иные, поэтому избавляемся от надоедливых спамеров самостоятельно. Здесь есть неплохая подборка сервисов

#fines #gdpr

Где: Швеция
Кого: Google
Штраф: 75 млн крон (585 млн руб)
Нарушение: неисполнение права на уничтожение информации (right to be forgotten)
Источник: проверка регулятора
Статьи GDPR: 17
Ссылки: datainspektionen и
здесь

​​​​​​​​​​​​​​#events #privacy

Когда: 26 марта
Где: Москва
Тема: Бизнес завтрак: персональные данные, как пройти проверку ркн
Организатор: Городисский и Партнеры
Стоимость: бесплатно
Регистрация: здесь

​​#materials #useful #privacy #GDPR

Подборка подкастов по GDPR, здесь

По privacy здесь

А также есть много интересных вариантов в podcasts от Apple.

P.S. Ищем новые возможности и саморазвиваемся в стремительно меняющемся мире. Всем добра.

#news #databreach

Обьявили об утечке данных у Princess Cruises, компании, владеющей тем самым лайнером.

Утечка имела место быть с 11 апреля 2019 по 23 июля 2019:

🚻имена, адреса, номера соц страхования, номера паспортов, финансовая информация и данные о здоровье пассажиров и экипажа.

По словам компании, данные "is not specific to each guest".

Подробнее здесь

А ещё нарушение описано и у EDPB:

https://edpb.europa.eu/news/national-news/2020/swedish-data-protection-authority-imposes-administrative-fine-google_en

#fines #gdpr

Где: Исландия
Кого: Национальный центр наркологической медицины
Штраф: 3 млн исландских крон (1,6 млн руб)
Нарушение: утечка данных: бывший работник центра получил коробки с личными вещами после увольнения. А вот среди прочего там были также записи, содержавшие данные пациентов
🚻медицинские карты 252 бывших пациентов и имена 3 000 пациентов, прошедших реабилитацию после алкогольной и наркотической зависимостей
Источник: проверка регулятора
Статьи GDPR: 5, 32
Ссылки: EDPB

#fines #gdpr

Где: Исландия
Кого: Breiðholt Upper Secondary School
Штраф: 1,5 млн исландских крон (810 000 руб)
Нарушение: утечка данных: учитель по ошибке отправил электронные письма ученикам и их родителям/опекунам (57 получателей) с вложением, содержащим
🚻оценку успеваемости, социальных условий и благополучия школьников, а также описание их проблем, среди данных была информации о болезни одного школьника и психических проблемах другого
Источник: проверка регулятора
Статьи GDPR: 5, 32
Ссылки: EDPB

#materials #privacy #gdpr #edpb #covid

Позиция EDPB по обработке данных в контексте COVID-19, здесь

Уважаемые коллеги!

Новости на сегодняшний день такие:

🔹мы НЕ ОТМЕНЯЕМ мероприятие RPPA 14 апреля
🔹но МЕНЯЕМ формат, рассматриваем возможность организации вебинара
🔹дата и время остаются неизменными
🔹локацию Вы выбираете сами🤪

Следите за анонсами, мы будем держать Вас в курсе дальнейших деталей.

Всем спасибо, всем добра!

​​​​​​​​​​​​​​​​#events #privacy

Когда: 25 марта с 12:00 до 14:00
Где: вебинар
Тема: практика проведения проверок Роскомнадзора 2020
Организатор: Б-152
Стоимость: бесплатно
Регистрация: здесь

​​​​​​​​​​​​​​​​​​#events #law

Когда: 19 марта с 16:00 до 17:00
Где: вебинар
Тема: Правовые последствия коронавируса: практические аспекты
Организатор: Алруд
Стоимость: бесплатно, для внутренних специалистов
Регистрация: здесь

​​#useful #cybersecurity

#materials #tips #cybersecurity

Продолжаем тему полезных советов по организации работы из дома.
Дмитрий Павельев подготовил перевод материала от SANS⬇️⬇️⬇️