#materials #EDPB #rights

Основные тезисы Руководства EDPB по доступу к данным и реализации прав субъектов.

💬Автор: Олег Блинов

Ст. 12: Как реализовывать права субъектов

▫️Запрос нельзя направлять на совершенно непригодные для этого каналы (к примеру, на адрес клининг-леди). А вот если это обычный способ общения с контролером (читай, адрес суппорта), то обращение эффективно, даже если вы обозначили, что запросы по перс данным нужно слать только на конкретный адрес.

▫️ Если данные собираются через псевдономизированные данные (к примеру, айди в куках), то нужно предусматривать способы реализации прав, завязанные с такими айди;
запрос паспорта как правило является непропорциональной мерой для идентификации субъекта;

▫️В случае запроса паспорта контролер должен предупредить субъекта, что он может повесить черные прямоугольники на все, кроме имени, выдавшего органа, срока действительности, т.е. в том числе удалить номер паспорта.

▫️ При реализации прав субъекта через посреднические сервисы нужно проверять полномочия типа доверок.

▫️ Срок ответа начинается в момент получения запроса. Срок ставится на паузу на время уточнения запроса / идентификации субъекта.

Ст. 15: Право на доступ

▫️ Ответ состоит из 3 частей: (1) подтверждение обработки; (2) информация об обработке; (3) копия.

▫️ Не имеет значения, зачем субъект запрашивает данные. Даже если хочет навредить контроллеру / подать на него в суд / вотэвер.

▫️ Право на доступ не зависит от источника данных (структурированные <> неструктурированные данные).

▫️ Деньги за запрос можно брать только за повторный запрос. Если запрос касается других данных или в другой момент времени, то это новый запрос, денег за него просить нельзя.

▫️Стоимость копии включает только стоимость самой копии, но не административные расходы на ее подготовку.

▫️Если инфы очень очень много, то субъекту можно предложить уточнить свой запрос. Если субъект отвечает, что хочет все, то нужно предоставить все.

▫️Если контроллер обнаруживает незаконную обработку данных, то нужно предоставить эти незаконно обрабатываемые данные и снабдить пояснением, что закон нарушен

▫️ст. 32 применяется к экспорту данных. Стоит использовать шифрование, пароли и тд.

▫️Чтобы запрос считался относящимся к ст. 15, достаточно, чтобы субъект выразил желание узнать, какие ПДн обрабатываются контролером. Примеры вордингов запросов: (1) wish to obtain access to the personal data; (2) exercising their right of access; (3) wish to know the information concerning them that the controller processes.

▫️Если предоставленная копия включает данные третьих лиц, то нужно предупредить субъекта, что в случае выхода за пределы household exemption from GDPR applicability он станет сам оператором.

▫️Если данные удалены из production systems, но сохраняются в бекапах, то нужно сообщить об этом субъекту и в случае технической возможности предоставить доступ к ним.

▫️Хотя у контролера есть право выбора, раскрывать ли recipients or categories of recipients, нужно быть настолько точными, насколько возможно (вау, спасибо).

▫️Если не можем назвать конкретный срок хранения, то нужно назвать триггер для начала срока и срок после него.

▫️📢(!!!) При предоставлении данных нет никакого теста пропорциональности запроса / целей запроса и необходимых усилий контролера. Это прямой ответ на практику, которую кидал выше, что Право на access по ст. 15 не безусловно согласно немецким судам.

▫️Если предоставляются “сырые” данные, то нужно обязательно сопровождать их пояснениями, чтобы обычный человек их мог понять
предоставлять ответ можно в пдф и других немашиночитаемых форматах.

▫️В предоставлении доступа можно отказать, если это нарушает коммерческую тайну / иной айпи, но нужно обосновать такое решение.

Ссылка с практикой немецких судов🔽

#ЯрмаркаВакансий

Вакансия - Corporate Legal Counsel (Privacy, Legal team) в Semrush - на RPPA.ru

#materials #privacy

Ответы на вопросы участников KPMG Privacy Day, подготовленные спикерами мероприятия и командой KPMG.

💡Использование: позиции экспертов из разных индустрий по спорным вопросам приватности.

📤СКАЧАТЬ.

#events #privacy #tool

Когда: 3 марта в 11:00 (по мск)
Где: онлайн
Тема: Автоматизируем обработку персональных данных с BI.ZONE Compliance Platform
Спикеры: Быков Андрей
Организатор: BI.ZONE
Язык: русский
Стоимость: бесплатно
Регистрация: здесь
🗓 Добавить в календарь

#education #RPPAstudents

Кто: RPPA x IP IT BOX
Что: курс «Юрист в сфере персональных данных»
Даты: 15–29 марта 2022 года
Формат: онлайн
Занятия: 5 занятий + домашнее задание (18:30-21:00)
Вместимость: 25 человек
Для кого: студенты и выпускники ВУЗов 2021 года

💭Уровень подготовки: студенты бакалавриата/магистратуры
🗣 Преподаватели: Ксения Андреева, Олег Блинов, Кристина Боровикова, Алексей Мунтян, Ирина Шурмина.
💰 Стоимость: бесплатно (нужно пройти отбор!)
🌐 Детали: здесь

#news #privacy #152ФЗ

РКН опубликовал график проведения нового мероприятия (введённого Постановлением Правительства от 29.06.2021 № 1046) профилактического визита.

В него вошли не только юридические лица, но ИП, всего - 946 визитов.

График для ЦФО

#materials #ropa

Обновлённая Типовая форма реестра процессов обработки персональных данных (Records of Processing Activities).

💬Автор: Алексей Мунтян.

💡Использование: инвентаризация ПД, исполнение требований применимого з-ва.

📤RPPA.ru

​​​​Кто: Russian Privacy Professionals Association при поддержке юридического факультета Московского Государственного Университета
Что: DPO course - Программа повышения квалификации «Правовые вопросы защиты персональных данных в организации»
Даты: старт 01 апреля 2022 - 01 июня 2022
Формат: онлайн
Занятия: 10 лекций, 10 семинаров, домашние задания и итоговое тестирование
Вместимость: 15 мест + предзапись на следующие потоки

💭Уровень подготовки: Medium. Высшее образование (юридическое / информационные технологии / информационная безопасность) и опыт работы более 2х лет в области приватности
🗣 Преподаватели: Алексей Мунтян, Денис Садовников, Андрей Алексеев, Кристина Боровикова, Екатерина Калугина, Станислав Никитин, Олег Блинов, Илья Пикулин, Мария Арнст, Марина Юфа
💰 Стоимость: 27 000 руб.
🌐 Детали: RPPA.ru

🍒Почему наш курс:

▫️Передача практического опыта от действующих DPO крупных российских и международных компаний и консультантов в области приватности
▫️Удостоверение о повышении квалификации от МГУ
▫️Программа разработана преподавателями МГУ совместно с участниками RPPA
▫️Уникальный набор преподавателей
▫️Куратор курса - Елизавета Дмитриева
▫️Академический руководитель - Николай Дмитрик
▫️Интеграция в самое крупное в России и СНГ сообщество профессионалов в области приватности (более 700 участников)
▫️Возможность трудоустройства через #ЯрмаркуВакансий
▫️Поддержка и общение после окончания курса
▫️Возможность последующей сертификации от RPPA

💬Задать вопрос и обсудить💬: чат поддержки

#rppa #tool

#назлобудня #непроprivacy

Рейтинг направлений по релокации бизнеса

#materials #iso #cybersecurity

💬Источник: Tara Taubman

#materials #checklist

Чем эксперты по приватности / ИБ / ИТ могут помочь бизнесу в сложившейся ситуации?

Накидали с коллегами из закрытого чата RPPA мысли (спасибо Ольге Ефимовой), прошу добавлять в комментариях:

☑️ инвентаризация информационных активов: ПО + лицензии, аппаратка + договоры, в том числе на поддержку, маркирование активов с санкционными рисками с указанием критичности для бизнеса и аналогов
☑️ полное резервное копирование систем и дублирование процессов
☑️проверка ИТ-инфраструктуры в разрезе релокации
☑️минимизация расходов
☑️обновление BCP и DRP
☑️подготовка коммуникации клиентам на случай приостановления или изменения порядка оказания услуг
☑️анализ сетевой инфраструктуры
☑️проверка контрагентов и текущих договоров с контрагентами: маркирование иностранных контрагентов и получение подтверждений на последующее взаимодействие
☑️анализ официальных каналов компании: веб-сайт, соц. сети, выбор резерва и подготовка коммуникации
☑️анализ технических интеграций систем компании со сторонними сервисами: маркирование иностранных сервисов и получение подтверждения от представителей о последующем функционировании
☑️рассмотрение возможности приостановки обновления иностранного ПО до окончания эскалации ситуации, а также переход на импортзамещение (анализ российского ПО).
☑️контроль возможного утверждения проектов документов, регулирующих порядок перехода на преимущественное использование российского программного обеспечения и оборудования.

#materials #transfers

David Rosenthal опубликовал TIA Toolbox, включающий TIA Russia sample case.

💬Источник: Екатерина Калугина

💡Использование: проведение transfer impact assessment до передачи данных по SCC.

#materials #privacy

Свежий обзор мировой нормативки по приватности.

💬Источник: Анастасия Гайнетдинова.

💡Использование: карманный справочник по приватности.

#materials #152ФЗ #ркн

Утверждён опросный лист для проверок РКН, здесь.

💡Использование: подготовка к проверкам ркн.

#materials #privacy

Презентация по минимизации данных.

💬Источник: Денис Садовников

💡Использование: подходы к минимизации данных.

P.S. Крайне благодарна, если будете делиться новостями и материалами по приватности, с радостью буду публиковать в канале с сохранением авторства. Пишите @krakozubla

#materials #privacy

Data Nationalism

💬Источник: Денис Садовников

#непроprivacy #нучтож

Microsoft suspends new sales in Russia.

💬Источник: блог MS.

Идеи и решения предлагаю писать в комментариях к посту.

#непроprivacy #нучтож

Список ИТ-компаний с указанием статуса работы в РФ и ссылками на источники, здесь.

Примечание: рекомендую проверять информацию на официальных сайтах компаний, а также обращаться в поддержку, ибо #слухамиполнитсямир.

💬Источник: Денис Садовников, Federico Marengo