#news #edpb #gdpr #transfers
Позиция EDPB по делу Шремса: здесь:
🔹EDPB поддерживает решение CJEU
🔹ЕС и США должны создать эффективную систему, гарантирующую, что уровень защиты ПДн, передаваемых в США, эквивалентен уровню защиты ПДн в ЕС
🔹передающая и принимающая стороны данных отвечают за оценку уровня защиты ПДн в стране, куда данные передаются , перед тем, как подписать SCC. В случае, если по результатам оценки было выявлено, что уровень недостаточен, передающая сторона должна добавить дополнительные меры в SCC
🔹местные ркн обязаны приостановить или запретить передачу данных в страну по SCC, если по мнению регулятора в стране положения SCC не соблюдаются или не могут быть соблюдены
Позиция EDPB по делу Шремса: здесь:
🔹EDPB поддерживает решение CJEU
🔹ЕС и США должны создать эффективную систему, гарантирующую, что уровень защиты ПДн, передаваемых в США, эквивалентен уровню защиты ПДн в ЕС
🔹передающая и принимающая стороны данных отвечают за оценку уровня защиты ПДн в стране, куда данные передаются , перед тем, как подписать SCC. В случае, если по результатам оценки было выявлено, что уровень недостаточен, передающая сторона должна добавить дополнительные меры в SCC
🔹местные ркн обязаны приостановить или запретить передачу данных в страну по SCC, если по мнению регулятора в стране положения SCC не соблюдаются или не могут быть соблюдены
#hr
Открываем рубрику: полезные вакансии в Privacy.
Молодая энергичная команда DPO ищет privacy энтузиастов. Есть несколько вакансий. Готовы рассмотреть как опытных специалистов, так и людей с небольшим опытом. По бэкграунду подойдут кандидаты и с юридическим, и с техническим образованием. Вакансии будут интересны для желающих развиваться как DPO, получить опыт практики законодательства о ПДн в data driven компании, а также желающих внедрять лучшие мировые практики в сфере privacy.
Резюме шлите мне: @krakozubla
Открываем рубрику: полезные вакансии в Privacy.
Молодая энергичная команда DPO ищет privacy энтузиастов. Есть несколько вакансий. Готовы рассмотреть как опытных специалистов, так и людей с небольшим опытом. По бэкграунду подойдут кандидаты и с юридическим, и с техническим образованием. Вакансии будут интересны для желающих развиваться как DPO, получить опыт практики законодательства о ПДн в data driven компании, а также желающих внедрять лучшие мировые практики в сфере privacy.
Резюме шлите мне: @krakozubla
#materials #cybersecurity #enisa
Стратегия ENISA A Trusted and Cyber Secure Europe от июня 2020 года, здесь
Обзор стратегии от Сергея Борисова, здесь
Стратегия ENISA A Trusted and Cyber Secure Europe от июня 2020 года, здесь
Обзор стратегии от Сергея Борисова, здесь
RPPA PRO: Privacy • AI • Cybersecurity • IP pinned «#events #privacy #gdpr #rppa Когда: 22 июля в 18:00 Где: вебинар Тема: Schrems против Privacy Shield и SCC. Подведение итогов Организатор: RPPA Язык: русский Стоимость: бесплатно Конференция: доступна по ссылке Трансляция:…»
#materials #gdpr #transfers
На сайте RPPA опубликован подготовленный участником Ассоциации (Олегом Блиновым) Типовой проект соглашения о переходе с условий EU-US Privacy Shield на Standard Contractual Clauses (Controller-to-Processor).
Коллеги, присоединяйтесь к конференции на тему Шремс vs Privacy Shield и SCC, здесь.
Трансляция, здесь
На сайте RPPA опубликован подготовленный участником Ассоциации (Олегом Блиновым) Типовой проект соглашения о переходе с условий EU-US Privacy Shield на Standard Contractual Clauses (Controller-to-Processor).
Коллеги, присоединяйтесь к конференции на тему Шремс vs Privacy Shield и SCC, здесь.
Трансляция, здесь
Google
Real-time meetings by Google. Using your browser, share your video, desktop, and presentations with teammates and customers.
#rppa
🔹Эксперты RPPA подготовили правовую позицию с предложениями по изменению в регулировании общедоступных данных. Ассоциация предоставила подготовленный документ Тематической рабочей группе 08 "Большие данные" Центра компетенций в области цифровой экономики.
🔹Предложения экспертов RPPA направлены на достижение разумного баланса между интересами операторов и субъектов персональных данных, интересами владельцев источников общедоступных данных и пользователями онлайн-платформ.
🔹Одним из таких предложений является методология оценки воздействия на приватность (Privacy Impact Assessment).
🔹Эксперты RPPA считают, что сегодня на первый план должны выйти те институты и методы, которые позволяют не просто компенсировать нанесённый ущерб, а предотвращать его. Таким институтом является оценка воздействия на приватность. Оператор, который проведёт оценку, сможет обрабатывать общедоступные данные субъектов персональных данных, исходя из своего законного интереса (ст. 6 (1)(7) 152-ФЗ). При оценке предполагается учитывать цели, содержание и особенности планируемой обработки персональных данных.
🔹Эксперты RPPA также высказались в пользу создания отраслевых стандартов силами профессионального сообщества. Эксперты приветствовали сотрудничество операторов персональных данных по подготовке “Кодексов добросовестных практик”, касающихся сбора общедоступных персональных данных. Ассоциация рекомендует, чтобы заинтересованные операторы персональных данных участвовали в разработке методических рекомендаций (в т.ч. Минкомсвязью/Роскомнадзором) и стандартов, касающихся, в частности, машиночитаемого представления данных и метаданных.
🔹⬇️С текстом правовой позиции экспертов RPPA можно ознакомиться по ссылке
За текст анонса спасибо Николаю Дмитрику
🔹Эксперты RPPA подготовили правовую позицию с предложениями по изменению в регулировании общедоступных данных. Ассоциация предоставила подготовленный документ Тематической рабочей группе 08 "Большие данные" Центра компетенций в области цифровой экономики.
🔹Предложения экспертов RPPA направлены на достижение разумного баланса между интересами операторов и субъектов персональных данных, интересами владельцев источников общедоступных данных и пользователями онлайн-платформ.
🔹Одним из таких предложений является методология оценки воздействия на приватность (Privacy Impact Assessment).
🔹Эксперты RPPA считают, что сегодня на первый план должны выйти те институты и методы, которые позволяют не просто компенсировать нанесённый ущерб, а предотвращать его. Таким институтом является оценка воздействия на приватность. Оператор, который проведёт оценку, сможет обрабатывать общедоступные данные субъектов персональных данных, исходя из своего законного интереса (ст. 6 (1)(7) 152-ФЗ). При оценке предполагается учитывать цели, содержание и особенности планируемой обработки персональных данных.
🔹Эксперты RPPA также высказались в пользу создания отраслевых стандартов силами профессионального сообщества. Эксперты приветствовали сотрудничество операторов персональных данных по подготовке “Кодексов добросовестных практик”, касающихся сбора общедоступных персональных данных. Ассоциация рекомендует, чтобы заинтересованные операторы персональных данных участвовали в разработке методических рекомендаций (в т.ч. Минкомсвязью/Роскомнадзором) и стандартов, касающихся, в частности, машиночитаемого представления данных и метаданных.
🔹⬇️С текстом правовой позиции экспертов RPPA можно ознакомиться по ссылке
За текст анонса спасибо Николаю Дмитрику
#hr
Новая рубрика зарекомендовала себя, посему продолжаем.
Разыскивается upper middle менеджер, который будет развивать направление по защите персональных данных в структуре legal&compliance департамента немецкой фарм. компании в РФ. Подчинение руководству департамента.
Вопросы и резюме сюда ➡️ Алексей
Новая рубрика зарекомендовала себя, посему продолжаем.
Разыскивается upper middle менеджер, который будет развивать направление по защите персональных данных в структуре legal&compliance департамента немецкой фарм. компании в РФ. Подчинение руководству департамента.
Вопросы и резюме сюда ➡️ Алексей
#news #gdpr #brexit #bcr
В конце переходного периода решения по BCR, принятые ркн из UK (ICO), не будут иметь юридическую силу на территории ЕЭЗ.
Поэтому, если по какой-то причине у вас ведущий регулятор по BCR - ICO, а BCR ещё не утверждены, надо менять регулятора на кого-то из ЕЭЗ. Подробнее здесь
В конце переходного периода решения по BCR, принятые ркн из UK (ICO), не будут иметь юридическую силу на территории ЕЭЗ.
Поэтому, если по какой-то причине у вас ведущий регулятор по BCR - ICO, а BCR ещё не утверждены, надо менять регулятора на кого-то из ЕЭЗ. Подробнее здесь
European Data Protection Board - European Data Protection Board
European Data Protection Board - Thirty-fifth Plenary session: Information note on Binding Corporate Rules with UK SA as Lead Authority…
#fines #gdpr
Где: Италия
Отрасль: телеком
Кого: Wind Tre SpA
Штраф: 17 млн EUR (1,4 млрД! руб) + запрет на обработку данных, полученных без согласия субъекта
Нарушение: компания осуществляла маркетинговую коммуникацию субъектам без их согласия по различным каналам связи: сообщения, письма, факс, робо-звонки. Права субъекта на отзыв согласия, возражение против обработки ПДн не исполнялись компанией (в уведомлении об обработке были указаны неверные контактные данные).
Данные некоторых субъектов были включены в публичные телефонные справочники, несмотря на возражения самих субъектов.
В рамках проверки было установлено, что приложения компании Mywind и My3 требовали от пользователя согласие на обработку данных в различных целях при каждом доступе, включая маркетинг, профилирование, передачу данных третьим лицам, геолокацию, а сам отзыв такого согласия был возможен только через 24 часа.
Источник: жалобы субъектов
Статьи: 5, 6
Ссылки: EDPB
Где: Италия
Отрасль: телеком
Кого: Wind Tre SpA
Штраф: 17 млн EUR (1,4 млрД! руб) + запрет на обработку данных, полученных без согласия субъекта
Нарушение: компания осуществляла маркетинговую коммуникацию субъектам без их согласия по различным каналам связи: сообщения, письма, факс, робо-звонки. Права субъекта на отзыв согласия, возражение против обработки ПДн не исполнялись компанией (в уведомлении об обработке были указаны неверные контактные данные).
Данные некоторых субъектов были включены в публичные телефонные справочники, несмотря на возражения самих субъектов.
В рамках проверки было установлено, что приложения компании Mywind и My3 требовали от пользователя согласие на обработку данных в различных целях при каждом доступе, включая маркетинг, профилирование, передачу данных третьим лицам, геолокацию, а сам отзыв такого согласия был возможен только через 24 часа.
Источник: жалобы субъектов
Статьи: 5, 6
Ссылки: EDPB
#materials #privacy #gdpr #edpb
EDPB опубликовал Guidelines on the interplay of the Second Payment Services Directive and the GDPR, а также доки по делу Шремса, о них писала выше, и BCR, здесь
EDPB опубликовал Guidelines on the interplay of the Second Payment Services Directive and the GDPR, а также доки по делу Шремса, о них писала выше, и BCR, здесь
#fines #gdpr
Где: Германия
Отрасль: страхование
Кого: AOK Baden-Wuerttemberg
Штраф: 1 240 000 EUR (106.6 млн руб)
Нарушение: компания проводила розыгрыши с 2015 по 2019 г и собирала ПДн участников: контактные данные и сведения о медицинском страховании. Компания намеревалась использовать собранные данные в рекламных целях при условии наличия согласия субъектов. Посредством технических и орг мер (вкл. внутренние руководства и тренинги работников) компания планировала обеспечить обработку данных в рекламных целях только субъектов, давших своё предварительное согласие. Но ничего не вышло. Данные более 500 участников все-таки использовались в целях рекламы без согласия субъектов.
Источник: проверка регулятора
Статьи: 32, 6
Ссылки: EDPB
P.S. Компания сразу прекратила обработку данных, как стало известно о нарушении, провела проверку процедур и тесно сотрудничала с регулятором, оперативно вносила корректировки в процессы обработки данных. При расчете штрафа регулятор принял во внимание: размер компании, сферу деятельности (крупный страховщик - важная часть системы здравоохранения страны)
Где: Германия
Отрасль: страхование
Кого: AOK Baden-Wuerttemberg
Штраф: 1 240 000 EUR (106.6 млн руб)
Нарушение: компания проводила розыгрыши с 2015 по 2019 г и собирала ПДн участников: контактные данные и сведения о медицинском страховании. Компания намеревалась использовать собранные данные в рекламных целях при условии наличия согласия субъектов. Посредством технических и орг мер (вкл. внутренние руководства и тренинги работников) компания планировала обеспечить обработку данных в рекламных целях только субъектов, давших своё предварительное согласие. Но ничего не вышло. Данные более 500 участников все-таки использовались в целях рекламы без согласия субъектов.
Источник: проверка регулятора
Статьи: 32, 6
Ссылки: EDPB
P.S. Компания сразу прекратила обработку данных, как стало известно о нарушении, провела проверку процедур и тесно сотрудничала с регулятором, оперативно вносила корректировки в процессы обработки данных. При расчете штрафа регулятор принял во внимание: размер компании, сферу деятельности (крупный страховщик - важная часть системы здравоохранения страны)