#fines #gdpr
Где: Швеция
Кого: National Government Service Centre (NGSC)
Штраф: 200 000 шведских крон (1,5 млн. руб)
Нарушение: несвоевременное уведомление регулятора (3 месяца) и субъектов (5 месяцев) о нарушении безопасности ПДн, некорректно составленная документация по результатам инцидента. Регулятор получил несколько уведомлений о наличии ошибки в системе учёта зп (ошибка могла привести к несанкционированному доступу к данным работников NGSC (роль NGSC - оператор) и работников органов власти, использующих систему (NGSC в роли обработчика)).
Источник: проверка регулятора
Статьи GDPR: 33, 34
Ссылки: EDPB
Где: Швеция
Кого: National Government Service Centre (NGSC)
Штраф: 200 000 шведских крон (1,5 млн. руб)
Нарушение: несвоевременное уведомление регулятора (3 месяца) и субъектов (5 месяцев) о нарушении безопасности ПДн, некорректно составленная документация по результатам инцидента. Регулятор получил несколько уведомлений о наличии ошибки в системе учёта зп (ошибка могла привести к несанкционированному доступу к данным работников NGSC (роль NGSC - оператор) и работников органов власти, использующих систему (NGSC в роли обработчика)).
Источник: проверка регулятора
Статьи GDPR: 33, 34
Ссылки: EDPB
#tools #privacy #cookies
Платформа для проверки соответствия веб-сайта требованиям гдпр и ePrivacy, cookieinformation
Платформа для проверки соответствия веб-сайта требованиям гдпр и ePrivacy, cookieinformation
Cookie Information
Homepage
Discover why Cookie Information Consent Management Platform is marketer’s #1 choice for cookie compliance. Free trial and plan available.
#events #cybersecurity
Когда: 08 мая в 19:00
Где: онлайн-конференция
Тема: посиделки #ПоИБэ
Организатор: поИБэшечка
Стоимость: бесплатно
Трансляция: здесь
Когда: 08 мая в 19:00
Где: онлайн-конференция
Тема: посиделки #ПоИБэ
Организатор: поИБэшечка
Стоимость: бесплатно
Трансляция: здесь
Вы об этом уже читали и не раз, но поскольку кейс обсуждаемый, сохраню его для истории
#fines #gdpr
Где: Бельгия
Кого: Proximus SA
Штраф: 50 000 EUR (3,5 млн руб)
Нарушение: утечка данных, а при проверке уже обнаружили: нарушения порядка взаимодействия с регулятором неисполнение принципа подотчетности (accountability), невыполнение риск-ориентированного подхода при защите данных, наличие конфликта интересов у DPO, некорректное привлечение DPO - большая часть нарушений была снята по результатам судебного слушания.
Разберём подробнее DPO:
🔹нарушен порядок разграничения полномочий, отсутствовала процедура разграничения полномочий, не было доказательств независимости DPO
🔹DPO не принимал участие в обсуждениях результатов анализа рисков, только информирован (ориентировались на RACI-матрицу) - нарушение ст 38(1), 25, но суд принял позицию оператора, нарушение было снято
🔹DPO также исполнял роли руководителя аудита, рисков и комплаенса - роль руководителя департамента не совместима с ролью DPO (тк руководитель принимает решения в отношении работников, а также определяет цели, средства и способы обработки данных), также объединение обозначенных функций может повлиять на конфиденциальность данных - нарушение ст 38(6) доказано в суде
🔹DPO не участвовал в обсуждении инцидентов нарушения безопасности данных
🔹при расчете штрафа также была учтена длительность нарушения (2 года)
Источник: проверка регулятора
Статьи GDPR: 32, 38(6)
Ссылки: регулятор, стр 13-19 про DPO
#fines #gdpr
Где: Бельгия
Кого: Proximus SA
Штраф: 50 000 EUR (3,5 млн руб)
Нарушение: утечка данных, а при проверке уже обнаружили: нарушения порядка взаимодействия с регулятором неисполнение принципа подотчетности (accountability), невыполнение риск-ориентированного подхода при защите данных, наличие конфликта интересов у DPO, некорректное привлечение DPO - большая часть нарушений была снята по результатам судебного слушания.
Разберём подробнее DPO:
🔹нарушен порядок разграничения полномочий, отсутствовала процедура разграничения полномочий, не было доказательств независимости DPO
🔹DPO не принимал участие в обсуждениях результатов анализа рисков, только информирован (ориентировались на RACI-матрицу) - нарушение ст 38(1), 25, но суд принял позицию оператора, нарушение было снято
🔹DPO также исполнял роли руководителя аудита, рисков и комплаенса - роль руководителя департамента не совместима с ролью DPO (тк руководитель принимает решения в отношении работников, а также определяет цели, средства и способы обработки данных), также объединение обозначенных функций может повлиять на конфиденциальность данных - нарушение ст 38(6) доказано в суде
🔹DPO не участвовал в обсуждении инцидентов нарушения безопасности данных
🔹при расчете штрафа также была учтена длительность нарушения (2 года)
Источник: проверка регулятора
Статьи GDPR: 32, 38(6)
Ссылки: регулятор, стр 13-19 про DPO
#news #privacy #certification
Про Certified Data Privacy Solutions Engineer в блоге Андрея Прозорова, здесь
Про Certified Data Privacy Solutions Engineer в блоге Андрея Прозорова, здесь
Blogspot
Про Certified Data Privacy Solutions Engineer (CDPSE)
Управление информационной безопасностью
#news #privacy #gdpr
Голландский ркн инициировал расследование обработки данных детей с использованием приложения TikTok, подробности здесь
Голландский ркн инициировал расследование обработки данных детей с использованием приложения TikTok, подробности здесь
#news #privacy #noyb #gdpr
А общественная организация noyb подала официальную жалобу по гдпр против Google за то, что компания отслеживает пользователей через Android advertising ID без законного основания такой обработки.
Данные о пользователе, собранные с использованием идентификатора, передаются сторонним организациям, подробнее здесь
А общественная организация noyb подала официальную жалобу по гдпр против Google за то, что компания отслеживает пользователей через Android advertising ID без законного основания такой обработки.
Данные о пользователе, собранные с использованием идентификатора, передаются сторонним организациям, подробнее здесь
noyb.eu
Complaint filed against Google Tracking ID
Today noyb.eu filed a formal GDPR complaint against Google for tracking users through an “Android Advertising ID” without a valid legal basis.
#news #privacy #covid
Ответы британского ркн ICO на вопросы, связанные с обработкой данных о здоровье, результатами тестирования на наличие вируса работников и возвращением работников в офис после карантина, здесь.
Несмотря на то, что отсылки в основном на локальное з-во (DPA), некоторые подходы вполне могут быть полезными.
Ответы британского ркн ICO на вопросы, связанные с обработкой данных о здоровье, результатами тестирования на наличие вируса работников и возвращением работников в офис после карантина, здесь.
Несмотря на то, что отсылки в основном на локальное з-во (DPA), некоторые подходы вполне могут быть полезными.
#fines #gdpr
Где: Швеция
Кого: Комитет Здравоохранения
Штраф: 120 000 шведских крон (960 т.р)
Нарушение: публикация на веб-сайте специальных категорий данных - информации о госпитализации пациентов в судебно-психиатрической клинике (по ошибке). Регулятор при проверке отметил, что у оператора не разработаны документированные процедуры по публикации документов и ПДн на веб-сайте. Также отсутствовали цель обработки и правовое основание.
Источник: жалоба субъекта
Статьи GDPR: 5, 6
Ссылки: EDPB
Где: Швеция
Кого: Комитет Здравоохранения
Штраф: 120 000 шведских крон (960 т.р)
Нарушение: публикация на веб-сайте специальных категорий данных - информации о госпитализации пациентов в судебно-психиатрической клинике (по ошибке). Регулятор при проверке отметил, что у оператора не разработаны документированные процедуры по публикации документов и ПДн на веб-сайте. Также отсутствовали цель обработки и правовое основание.
Источник: жалоба субъекта
Статьи GDPR: 5, 6
Ссылки: EDPB
#news #databreach #gdpr
Данные граждан Австрии (1 млн субъектов) были в открытом доступе на сайте министерства экономики с 2009: можно было просто зайти на сайт, ввести имя в поле поиска и найти адрес человека и дату его рождения, а также дату подачи налоговой декларации.
Подробнее, здесь
Данные граждан Австрии (1 млн субъектов) были в открытом доступе на сайте министерства экономики с 2009: можно было просто зайти на сайт, ввести имя в поле поиска и найти адрес человека и дату его рождения, а также дату подачи налоговой декларации.
Подробнее, здесь
www.euractiv.com
Austrian ministry could face GDPR penalty after publishing personal data online
Austrians' personal data has been publicly accessible on the Ministry of Economy's website since 2009. The liberal party NEOS and NGO epicenter.works call it the "biggest data protection scandal of the Second Republic." NEOS is considering legal action and…