👍5🔥3
RPPA PRO: Privacy • AI • Cybersecurity • IP pinned «#events #privacy #rppa Когда: 10 февраля в 18:30 (по мск) Где: в онлайн пространстве Тема: Семинар RPPA: распространение данных, законный интерес, согласия работников Спикеры: Алексей Мунтян, Наталья Баклагина, Марина Юфа Организатор: RPPA Язык: русский…»
#materials #rppa #legitimate #consent
▫️Запись семинара RPPA: распространение ПД, использование законного интереса и согласий работников.
▫️Позиция по использованию законного интереса в российского организации.
▫️статья на тему дискриминации работника при получении согласия.
Только на RPPA.ru
▫️Запись семинара RPPA: распространение ПД, использование законного интереса и согласий работников.
▫️Позиция по использованию законного интереса в российского организации.
▫️статья на тему дискриминации работника при получении согласия.
Только на RPPA.ru
👍9
RPPA PRO: Privacy • AI • Cybersecurity • IP
#materials #EDPB Руководство EDPB on data subject rights - Right of access. 💡Использование: реализация права субъекта на доступ к ПД в рамках гдпр / лучшие практики для 152-ФЗ
#materials #EDPB #rights
Основные тезисы Руководства EDPB по доступу к данным и реализации прав субъектов.
💬Автор: Олег Блинов
Ст. 12: Как реализовывать права субъектов
▫️Запрос нельзя направлять на совершенно непригодные для этого каналы (к примеру, на адрес клининг-леди). А вот если это обычный способ общения с контролером (читай, адрес суппорта), то обращение эффективно, даже если вы обозначили, что запросы по перс данным нужно слать только на конкретный адрес.
▫️ Если данные собираются через псевдономизированные данные (к примеру, айди в куках), то нужно предусматривать способы реализации прав, завязанные с такими айди;
запрос паспорта как правило является непропорциональной мерой для идентификации субъекта;
▫️В случае запроса паспорта контролер должен предупредить субъекта, что он может повесить черные прямоугольники на все, кроме имени, выдавшего органа, срока действительности, т.е. в том числе удалить номер паспорта.
▫️ При реализации прав субъекта через посреднические сервисы нужно проверять полномочия типа доверок.
▫️ Срок ответа начинается в момент получения запроса. Срок ставится на паузу на время уточнения запроса / идентификации субъекта.
Ст. 15: Право на доступ
▫️ Ответ состоит из 3 частей: (1) подтверждение обработки; (2) информация об обработке; (3) копия.
▫️ Не имеет значения, зачем субъект запрашивает данные. Даже если хочет навредить контроллеру / подать на него в суд / вотэвер.
▫️ Право на доступ не зависит от источника данных (структурированные <> неструктурированные данные).
▫️ Деньги за запрос можно брать только за повторный запрос. Если запрос касается других данных или в другой момент времени, то это новый запрос, денег за него просить нельзя.
▫️Стоимость копии включает только стоимость самой копии, но не административные расходы на ее подготовку.
▫️Если инфы очень очень много, то субъекту можно предложить уточнить свой запрос. Если субъект отвечает, что хочет все, то нужно предоставить все.
▫️Если контроллер обнаруживает незаконную обработку данных, то нужно предоставить эти незаконно обрабатываемые данные и снабдить пояснением, что закон нарушен
▫️ст. 32 применяется к экспорту данных. Стоит использовать шифрование, пароли и тд.
▫️Чтобы запрос считался относящимся к ст. 15, достаточно, чтобы субъект выразил желание узнать, какие ПДн обрабатываются контролером. Примеры вордингов запросов: (1) wish to obtain access to the personal data; (2) exercising their right of access; (3) wish to know the information concerning them that the controller processes.
▫️Если предоставленная копия включает данные третьих лиц, то нужно предупредить субъекта, что в случае выхода за пределы household exemption from GDPR applicability он станет сам оператором.
▫️Если данные удалены из production systems, но сохраняются в бекапах, то нужно сообщить об этом субъекту и в случае технической возможности предоставить доступ к ним.
▫️Хотя у контролера есть право выбора, раскрывать ли recipients or categories of recipients, нужно быть настолько точными, насколько возможно (вау, спасибо).
▫️Если не можем назвать конкретный срок хранения, то нужно назвать триггер для начала срока и срок после него.
▫️📢(!!!) При предоставлении данных нет никакого теста пропорциональности запроса / целей запроса и необходимых усилий контролера. Это прямой ответ на практику, которую кидал выше, что Право на access по ст. 15 не безусловно согласно немецким судам.
▫️Если предоставляются “сырые” данные, то нужно обязательно сопровождать их пояснениями, чтобы обычный человек их мог понять
предоставлять ответ можно в пдф и других немашиночитаемых форматах.
▫️В предоставлении доступа можно отказать, если это нарушает коммерческую тайну / иной айпи, но нужно обосновать такое решение.
Ссылка с практикой немецких судов🔽
Основные тезисы Руководства EDPB по доступу к данным и реализации прав субъектов.
💬Автор: Олег Блинов
Ст. 12: Как реализовывать права субъектов
▫️Запрос нельзя направлять на совершенно непригодные для этого каналы (к примеру, на адрес клининг-леди). А вот если это обычный способ общения с контролером (читай, адрес суппорта), то обращение эффективно, даже если вы обозначили, что запросы по перс данным нужно слать только на конкретный адрес.
▫️ Если данные собираются через псевдономизированные данные (к примеру, айди в куках), то нужно предусматривать способы реализации прав, завязанные с такими айди;
запрос паспорта как правило является непропорциональной мерой для идентификации субъекта;
▫️В случае запроса паспорта контролер должен предупредить субъекта, что он может повесить черные прямоугольники на все, кроме имени, выдавшего органа, срока действительности, т.е. в том числе удалить номер паспорта.
▫️ При реализации прав субъекта через посреднические сервисы нужно проверять полномочия типа доверок.
▫️ Срок ответа начинается в момент получения запроса. Срок ставится на паузу на время уточнения запроса / идентификации субъекта.
Ст. 15: Право на доступ
▫️ Ответ состоит из 3 частей: (1) подтверждение обработки; (2) информация об обработке; (3) копия.
▫️ Не имеет значения, зачем субъект запрашивает данные. Даже если хочет навредить контроллеру / подать на него в суд / вотэвер.
▫️ Право на доступ не зависит от источника данных (структурированные <> неструктурированные данные).
▫️ Деньги за запрос можно брать только за повторный запрос. Если запрос касается других данных или в другой момент времени, то это новый запрос, денег за него просить нельзя.
▫️Стоимость копии включает только стоимость самой копии, но не административные расходы на ее подготовку.
▫️Если инфы очень очень много, то субъекту можно предложить уточнить свой запрос. Если субъект отвечает, что хочет все, то нужно предоставить все.
▫️Если контроллер обнаруживает незаконную обработку данных, то нужно предоставить эти незаконно обрабатываемые данные и снабдить пояснением, что закон нарушен
▫️ст. 32 применяется к экспорту данных. Стоит использовать шифрование, пароли и тд.
▫️Чтобы запрос считался относящимся к ст. 15, достаточно, чтобы субъект выразил желание узнать, какие ПДн обрабатываются контролером. Примеры вордингов запросов: (1) wish to obtain access to the personal data; (2) exercising their right of access; (3) wish to know the information concerning them that the controller processes.
▫️Если предоставленная копия включает данные третьих лиц, то нужно предупредить субъекта, что в случае выхода за пределы household exemption from GDPR applicability он станет сам оператором.
▫️Если данные удалены из production systems, но сохраняются в бекапах, то нужно сообщить об этом субъекту и в случае технической возможности предоставить доступ к ним.
▫️Хотя у контролера есть право выбора, раскрывать ли recipients or categories of recipients, нужно быть настолько точными, насколько возможно (вау, спасибо).
▫️Если не можем назвать конкретный срок хранения, то нужно назвать триггер для начала срока и срок после него.
▫️📢(!!!) При предоставлении данных нет никакого теста пропорциональности запроса / целей запроса и необходимых усилий контролера. Это прямой ответ на практику, которую кидал выше, что Право на access по ст. 15 не безусловно согласно немецким судам.
▫️Если предоставляются “сырые” данные, то нужно обязательно сопровождать их пояснениями, чтобы обычный человек их мог понять
предоставлять ответ можно в пдф и других немашиночитаемых форматах.
▫️В предоставлении доступа можно отказать, если это нарушает коммерческую тайну / иной айпи, но нужно обосновать такое решение.
Ссылка с практикой немецких судов🔽
👍9
#materials #privacy
Ответы на вопросы участников KPMG Privacy Day, подготовленные спикерами мероприятия и командой KPMG.
💡Использование: позиции экспертов из разных индустрий по спорным вопросам приватности.
📤СКАЧАТЬ.
Ответы на вопросы участников KPMG Privacy Day, подготовленные спикерами мероприятия и командой KPMG.
💡Использование: позиции экспертов из разных индустрий по спорным вопросам приватности.
📤СКАЧАТЬ.
KPMG
Statement on the war in Ukraine
👍1
Курс с RPPA.pdf
134.1 KB
#education #RPPAstudents
Кто: RPPA x IP IT BOX
Что: курс «Юрист в сфере персональных данных»
Даты: 15–29 марта 2022 года
Формат: онлайн
Занятия: 5 занятий + домашнее задание (18:30-21:00)
Вместимость: 25 человек
Для кого: студенты и выпускники ВУЗов 2021 года
💭Уровень подготовки: студенты бакалавриата/магистратуры
🗣 Преподаватели: Ксения Андреева, Олег Блинов, Кристина Боровикова, Алексей Мунтян, Ирина Шурмина.
💰 Стоимость: бесплатно (нужно пройти отбор!)
🌐 Детали: здесь
Кто: RPPA x IP IT BOX
Что: курс «Юрист в сфере персональных данных»
Даты: 15–29 марта 2022 года
Формат: онлайн
Занятия: 5 занятий + домашнее задание (18:30-21:00)
Вместимость: 25 человек
Для кого: студенты и выпускники ВУЗов 2021 года
💭Уровень подготовки: студенты бакалавриата/магистратуры
🗣 Преподаватели: Ксения Андреева, Олег Блинов, Кристина Боровикова, Алексей Мунтян, Ирина Шурмина.
💰 Стоимость: бесплатно (нужно пройти отбор!)
🌐 Детали: здесь
👍2🔥2
#news #privacy #152ФЗ
РКН опубликовал график проведения нового мероприятия (введённого Постановлением Правительства от 29.06.2021 № 1046) профилактического визита.
В него вошли не только юридические лица, но ИП, всего - 946 визитов.
График для ЦФО
РКН опубликовал график проведения нового мероприятия (введённого Постановлением Правительства от 29.06.2021 № 1046) профилактического визита.
В него вошли не только юридические лица, но ИП, всего - 946 визитов.
График для ЦФО
🔥3👍1
#materials #ropa
Обновлённая Типовая форма реестра процессов обработки персональных данных (Records of Processing Activities).
💬Автор: Алексей Мунтян.
💡Использование: инвентаризация ПД, исполнение требований применимого з-ва.
📤RPPA.ru
Обновлённая Типовая форма реестра процессов обработки персональных данных (Records of Processing Activities).
💬Автор: Алексей Мунтян.
💡Использование: инвентаризация ПД, исполнение требований применимого з-ва.
📤RPPA.ru
🔥3
Кто: Russian Privacy Professionals Association при поддержке юридического факультета Московского Государственного Университета
Что: DPO course - Программа повышения квалификации «Правовые вопросы защиты персональных данных в организации»
Даты: старт 01 апреля 2022 - 01 июня 2022
Формат: онлайн
Занятия: 10 лекций, 10 семинаров, домашние задания и итоговое тестирование
Вместимость: 15 мест + предзапись на следующие потоки
💭Уровень подготовки: Medium. Высшее образование (юридическое / информационные технологии / информационная безопасность) и опыт работы более 2х лет в области приватности
🗣 Преподаватели: Алексей Мунтян, Денис Садовников, Андрей Алексеев, Кристина Боровикова, Екатерина Калугина, Станислав Никитин, Олег Блинов, Илья Пикулин, Мария Арнст, Марина Юфа
💰 Стоимость: 27 000 руб.
🌐 Детали: RPPA.ru
🍒Почему наш курс:
▫️Передача практического опыта от действующих DPO крупных российских и международных компаний и консультантов в области приватности
▫️Удостоверение о повышении квалификации от МГУ
▫️Программа разработана преподавателями МГУ совместно с участниками RPPA
▫️Уникальный набор преподавателей
▫️Куратор курса - Елизавета Дмитриева
▫️Академический руководитель - Николай Дмитрик
▫️Интеграция в самое крупное в России и СНГ сообщество профессионалов в области приватности (более 700 участников)
▫️Возможность трудоустройства через #ЯрмаркуВакансий
▫️Поддержка и общение после окончания курса
▫️Возможность последующей сертификации от RPPA
💬Задать вопрос и обсудить💬: чат поддержки
Что: DPO course - Программа повышения квалификации «Правовые вопросы защиты персональных данных в организации»
Даты: старт 01 апреля 2022 - 01 июня 2022
Формат: онлайн
Занятия: 10 лекций, 10 семинаров, домашние задания и итоговое тестирование
Вместимость: 15 мест + предзапись на следующие потоки
💭Уровень подготовки: Medium. Высшее образование (юридическое / информационные технологии / информационная безопасность) и опыт работы более 2х лет в области приватности
🗣 Преподаватели: Алексей Мунтян, Денис Садовников, Андрей Алексеев, Кристина Боровикова, Екатерина Калугина, Станислав Никитин, Олег Блинов, Илья Пикулин, Мария Арнст, Марина Юфа
💰 Стоимость: 27 000 руб.
🌐 Детали: RPPA.ru
🍒Почему наш курс:
▫️Передача практического опыта от действующих DPO крупных российских и международных компаний и консультантов в области приватности
▫️Удостоверение о повышении квалификации от МГУ
▫️Программа разработана преподавателями МГУ совместно с участниками RPPA
▫️Уникальный набор преподавателей
▫️Куратор курса - Елизавета Дмитриева
▫️Академический руководитель - Николай Дмитрик
▫️Интеграция в самое крупное в России и СНГ сообщество профессионалов в области приватности (более 700 участников)
▫️Возможность трудоустройства через #ЯрмаркуВакансий
▫️Поддержка и общение после окончания курса
▫️Возможность последующей сертификации от RPPA
💬Задать вопрос и обсудить💬: чат поддержки
🔥11👍4
Ощутили ли вы влияние текущих событий на бизнес ваших компаний / ваш собственный бизнес? (Вопрос 1/2)
Anonymous Poll
70%
Да
30%
Нет
Будут ли проекты / активности по приватности востребованными до конца 2022 года? (Вопрос 2/2)
Anonymous Poll
39%
Да, комплаенс актуален всегда
45%
Снизится приоритет
18%
Нет, активности будут заморожены / приостановлены