Decentralized Society Finding Web3's Soul (2).pdf
1.6 MB
#materials #privacy
Статья Виталика Бутерина, про: Decentralized Privacy, Pseudonymous economy, Privacy Souls.
💬Источник: Екатерина Калугина
Статья Виталика Бутерина, про: Decentralized Privacy, Pseudonymous economy, Privacy Souls.
💬Источник: Екатерина Калугина
RPPA PRO: Privacy • AI • Cybersecurity • IP
#materials #fines 🔥Guidelines 04/2022 on the calculation of administrative fines under the GDPR от EDPB, здесь 💡Использование: подход для расчета штрафов по гдпр, дабы понять «слабые» места
#materials #fines
Обзор Guidelines 04/2022 on the calculation of administrative fines under the GDPR
💬Автор: Олег Блинов
▫️Гайд очень длинный и нудный. Помимо бесконечного “ну регулятор должен сам оценить факты и принять решение что как” есть несколько конкретных, оцифрованных вилок.
▫️Итак, на примере: есть компания А, у которой годовой оборот 500М евро. Есть некое нарушение. Предположим, оно относится в ст. 83 к той категории, по которой макс штраф 4% от оборота. Перемножаем, получаем макс штраф 20М евро.
▫️Далее, оцениваем серьезность нарушения. Есть три брекета: низкая серьезность - 0-10% от макс штрафа, средняя - 10-20% от макс штрафа, высокая - 20%-100%. Преположим, нарушение наше средней серьезности (намек на методологию определения серьезности в гайде есть, но он очень призрачный), оценим 15% (среднее в вилке 10-20%). Помножаем на 20М, получаем 3М евро.
▫️Далее модифицируем размер штрафа в зависимости от размера оборота, чтобы реализовать принципы эффективности и пропорциональности штрафа. Разделение следующее: <=2M - 0.2%; <=10M - 0.4%; <=50M - 2%; <=100M - 10%; <=250M - 20%; >250M - 50%.
▫️У нас оборот выше 250М, так что помножаем на предыдущий результат 3М, получаем базовую исходную сумму 1.5М. Далее она изменяется наверх и вниз в зависимости от специфики нашего содействия расследованию, добросовестности и так далее.
Обзор Guidelines 04/2022 on the calculation of administrative fines under the GDPR
💬Автор: Олег Блинов
▫️Гайд очень длинный и нудный. Помимо бесконечного “ну регулятор должен сам оценить факты и принять решение что как” есть несколько конкретных, оцифрованных вилок.
▫️Итак, на примере: есть компания А, у которой годовой оборот 500М евро. Есть некое нарушение. Предположим, оно относится в ст. 83 к той категории, по которой макс штраф 4% от оборота. Перемножаем, получаем макс штраф 20М евро.
▫️Далее, оцениваем серьезность нарушения. Есть три брекета: низкая серьезность - 0-10% от макс штрафа, средняя - 10-20% от макс штрафа, высокая - 20%-100%. Преположим, нарушение наше средней серьезности (намек на методологию определения серьезности в гайде есть, но он очень призрачный), оценим 15% (среднее в вилке 10-20%). Помножаем на 20М, получаем 3М евро.
▫️Далее модифицируем размер штрафа в зависимости от размера оборота, чтобы реализовать принципы эффективности и пропорциональности штрафа. Разделение следующее: <=2M - 0.2%; <=10M - 0.4%; <=50M - 2%; <=100M - 10%; <=250M - 20%; >250M - 50%.
▫️У нас оборот выше 250М, так что помножаем на предыдущий результат 3М, получаем базовую исходную сумму 1.5М. Далее она изменяется наверх и вниз в зависимости от специфики нашего содействия расследованию, добросовестности и так далее.
👍10🔥2
RPPA PRO: Privacy • AI • Cybersecurity • IP pinned «#RadioGroot Когда: 25 мая в 19:00 (по мск) Где: канал Privacy GDPR Russia Тема: Self-Sovereign Identity. Обсудим, что это такое, примеры текущих проектов в мире, а также чем полезны эти проекты для людей и для бизнеса. Спикеры: Александр Партин Организатор:…»
RadioGroot: Self Sovereign Identity
Privacy GDPR Russia
#RadioGroot
Эфир по Self-Sovereign Identity (SSI):
▫️7 ключевых характеристик концепции SSI.
▫️Как SSI позволяет человеку самому управлять своими персональными данными.
▫️Какие возможности открывает SSI перед людьми и компаниями.
▫️Доверие и технологии - 2 барьера на пути создания и внедрения SSI проектов в массы.
Эфир по Self-Sovereign Identity (SSI):
▫️7 ключевых характеристик концепции SSI.
▫️Как SSI позволяет человеку самому управлять своими персональными данными.
▫️Какие возможности открывает SSI перед людьми и компаниями.
▫️Доверие и технологии - 2 барьера на пути создания и внедрения SSI проектов в массы.
👍4
#materials #transfers
Ответы на вопросы от EU Commission по SCC, здесь
Ожидаемые…
💬Источник: Константин Тяжельников
💡Использование: таки разобраться, с чем едят SCC (это про трансграничку ПД из ЕС)
Ответы на вопросы от EU Commission по SCC, здесь
Ожидаемые…
💬Источник: Константин Тяжельников
💡Использование: таки разобраться, с чем едят SCC (это про трансграничку ПД из ЕС)
European Commission
Documents
Documents published on the European Commission website
👍2
#events #нучтож
По многочисленным просьбам решили повторить и обновить ивент😜
ИТ, Налоги, ИБ, Приватность
Когда: 08 июня в 10:00 (по мск)
Где: онлайн
Тема: Релокация бизнеса и систем. Импортозамещение. Шаги, рекомендации, риски и трудности. Выпуск 2
Спикеры: Илья Шаленков, Ирина Хворостян, Алексей Коробков, Филипп Максаков, Кирилл Усатый, Иван Насонов, Марк Гордеев, Кристина Боровикова
Язык: русский
Стоимость: бесплатно, только для внутренних экспертов, модерация
Регистрация: здесь
По многочисленным просьбам решили повторить и обновить ивент😜
ИТ, Налоги, ИБ, Приватность
Когда: 08 июня в 10:00 (по мск)
Где: онлайн
Тема: Релокация бизнеса и систем. Импортозамещение. Шаги, рекомендации, риски и трудности. Выпуск 2
Спикеры: Илья Шаленков, Ирина Хворостян, Алексей Коробков, Филипп Максаков, Кирилл Усатый, Иван Насонов, Марк Гордеев, Кристина Боровикова
Язык: русский
Стоимость: бесплатно, только для внутренних экспертов, модерация
Регистрация: здесь
Webinar.ru
Релокация бизнеса и импортозамещение
8 июня в 10:00 по московскому времени приглашаем вас присоединиться к вебинару, посвященному вопросам релокации бизнеса и импортозамещения.
На мероприятии вы узнаете, что сейчас происходит на Российском рынке, какие предполагаемые сценарии развития и распространения…
На мероприятии вы узнаете, что сейчас происходит на Российском рынке, какие предполагаемые сценарии развития и распространения…
👍4
#events #cybersecurity
Когда: 21 июня 2022 в 10:00 (по мск)
Где: онлайн
Тема: Киберзащита компании: внутри и снаружи
Спикеры: Роберт Альдини, руководитель отдела обучения партнёров Group-IB
Организатор: Астрал.Безопасность
Язык: русский
Стоимость: бесплатно
Регистрация: здесь
Когда: 21 июня 2022 в 10:00 (по мск)
Где: онлайн
Тема: Киберзащита компании: внутри и снаружи
Спикеры: Роберт Альдини, руководитель отдела обучения партнёров Group-IB
Организатор: Астрал.Безопасность
Язык: русский
Стоимость: бесплатно
Регистрация: здесь
🔥5
#materials #privacy #rppa
Статья Марины Юфа и Владислава Симоненко - Как запрос согласия на обработку данных привел
к дискриминации, и еще два вывода о согласиях, здесь
👆Для получения доступа к материалу:
▫️участникам RPPA нужно зайти в свою учетную запись на сайте
▫️иным лицам необходимо подать заявку на
вступление в RPPA.
Статья Марины Юфа и Владислава Симоненко - Как запрос согласия на обработку данных привел
к дискриминации, и еще два вывода о согласиях, здесь
👆Для получения доступа к материалу:
▫️участникам RPPA нужно зайти в свою учетную запись на сайте
▫️иным лицам необходимо подать заявку на
вступление в RPPA.
👍6
#materials #cookies
Ответы на вопросы по использованию Google Analytics от французского ркн CNIL, здесь
Из интересного:
▫️на одни SCC полагаться не рекомендуется, нужны доп меры
The notified bodies had established standard contractual clauses with Google, which Google offers by default to users of this solution. These standard contractual clauses alone cannot ensure a sufficient level of protection in the event of a request for access from foreign authorities, in particular if such access is provided for by local laws.
▫️все данные, собираемые аналитикой, хостятся в США
In response to the questionnaire sent by the CNIL, Google has indicated that all the data collected through Google Analytics is hosted in the United States.
▫️не все данные анонимизируются
As part of the formal notice, Google indicated that it uses pseudonymization measures, but _notanonymizer. Google does offer an IP anonymization function, but this does not apply to all transfers.
the joint use of Google Analytics with other Google services, in particular marketing, can increase the risk of tracking
▫️шифрование данных может быть доп мерой при условии хранения ключей на стороне экспортера
In order for encryption to be considered as a sufficient additional guarantee, the encryption keys should in particular be kept under the exclusive control of the data exporter, or other entities established in a territory offering an adequate level of protection
▫️также в качестве митигирующего контроля можно рассмотреть использование прокси-сервера
a solution to involve a proxy server (or " proxy») in order to avoid any direct contact between the user's terminal and the servers of the measurement tool, it may be possible to envisage.
▫️а вот «прикрывать» детальным согласием субъекта не получится
The explicit consent of the data subjects is one of the possible exemptions provided for certain special cases by article 49 of the GDPR. However, as stated in the guidelines of the European Data Protection Committee on these derogations, they are not *can only be used for non-systematic transfers*, and cannot constitute a permanent and long-term solution, the use of a derogation cannot become the general rule.
Ответы на вопросы по использованию Google Analytics от французского ркн CNIL, здесь
Из интересного:
▫️на одни SCC полагаться не рекомендуется, нужны доп меры
The notified bodies had established standard contractual clauses with Google, which Google offers by default to users of this solution. These standard contractual clauses alone cannot ensure a sufficient level of protection in the event of a request for access from foreign authorities, in particular if such access is provided for by local laws.
▫️все данные, собираемые аналитикой, хостятся в США
In response to the questionnaire sent by the CNIL, Google has indicated that all the data collected through Google Analytics is hosted in the United States.
▫️не все данные анонимизируются
As part of the formal notice, Google indicated that it uses pseudonymization measures, but _notanonymizer. Google does offer an IP anonymization function, but this does not apply to all transfers.
the joint use of Google Analytics with other Google services, in particular marketing, can increase the risk of tracking
▫️шифрование данных может быть доп мерой при условии хранения ключей на стороне экспортера
In order for encryption to be considered as a sufficient additional guarantee, the encryption keys should in particular be kept under the exclusive control of the data exporter, or other entities established in a territory offering an adequate level of protection
▫️также в качестве митигирующего контроля можно рассмотреть использование прокси-сервера
a solution to involve a proxy server (or " proxy») in order to avoid any direct contact between the user's terminal and the servers of the measurement tool, it may be possible to envisage.
▫️а вот «прикрывать» детальным согласием субъекта не получится
The explicit consent of the data subjects is one of the possible exemptions provided for certain special cases by article 49 of the GDPR. However, as stated in the guidelines of the European Data Protection Committee on these derogations, they are not *can only be used for non-systematic transfers*, and cannot constitute a permanent and long-term solution, the use of a derogation cannot become the general rule.
www.cnil.fr
Transferts de données vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation
Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation concernant les États-Unis.
👍1
#materials #cookies
Также CNIL ещё в далеком 2021 году приводил примеры кук, для которых может не потребоваться согласие, ссылаясь на локальное з-во, но как лучшая практика, мб полезно:
▫️have a purpose strictly limited to the sole measurement of the audience of the site or the application (performance measurement, detection of navigation problems, optimization of technical performance or its ergonomics, estimation of the power of the necessary servers, analysis of the content consulted), on behalf of the publisher exclusively. - как правило, это необходимые куки.
▫️used to produce anonymous statistical data only - ну а здесь немножко очевидно:)
Ну и конечно же, куки эти не должны:
▫️ lead to a cross-checking of the data with other treatments or to the data being transmitted to third parties - грубо говоря, доп данных по девайсу/ пользователю у вас быть не должно
▫️do not allow the global tracking of the navigation of the person using different applications or browsing different websites
А если пойдёте по пути исключения кук из согласий, то:
▫️информируем субъектов
▫️собранную инфу храним не дольше 25 месяцев
А ниже на сайте представлены сами решения, одобренные CNIL, для которых не нужны согласия.
Также CNIL ещё в далеком 2021 году приводил примеры кук, для которых может не потребоваться согласие, ссылаясь на локальное з-во, но как лучшая практика, мб полезно:
▫️have a purpose strictly limited to the sole measurement of the audience of the site or the application (performance measurement, detection of navigation problems, optimization of technical performance or its ergonomics, estimation of the power of the necessary servers, analysis of the content consulted), on behalf of the publisher exclusively. - как правило, это необходимые куки.
▫️used to produce anonymous statistical data only - ну а здесь немножко очевидно:)
Ну и конечно же, куки эти не должны:
▫️ lead to a cross-checking of the data with other treatments or to the data being transmitted to third parties - грубо говоря, доп данных по девайсу/ пользователю у вас быть не должно
▫️do not allow the global tracking of the navigation of the person using different applications or browsing different websites
А если пойдёте по пути исключения кук из согласий, то:
▫️информируем субъектов
▫️собранную инфу храним не дольше 25 месяцев
А ниже на сайте представлены сами решения, одобренные CNIL, для которых не нужны согласия.
CNIL
Cookies : solutions pour les outils de mesure d'audience
Dans quels cas les cookies sont-ils exemptés de consentement ? Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l’article 82 de la loi Informatique et Libertés, ces traceurs…
👍1
#ЯрмаркаВакансий
Новенькое-свеженькое - Эксперт по персональным данным в российский энергетический холдинг, только на RPPA.ru
Новенькое-свеженькое - Эксперт по персональным данным в российский энергетический холдинг, только на RPPA.ru
#materials #cookies
Подборка нарушений в куки-баннерах от товарищей из noyb
▫️отсутсвие опции отказа от кук на первом уровне (это рядом с принять все куки)
▫️предустановленные галочки, ну здесь понятно, никакого opt out
▫️дизайн, вводящий в заблуждение: ссылки, кнопки, цвета, расположение кнопок, контраст
▫️легитимный интерес везде и всюду
▫️некорректная классификация кук
▫️отзыв согласия не такой простой, как предоставление согласия
Подборка нарушений в куки-баннерах от товарищей из noyb
▫️отсутсвие опции отказа от кук на первом уровне (это рядом с принять все куки)
▫️предустановленные галочки, ну здесь понятно, никакого opt out
▫️дизайн, вводящий в заблуждение: ссылки, кнопки, цвета, расположение кнопок, контраст
▫️легитимный интерес везде и всюду
▫️некорректная классификация кук
▫️отзыв согласия не такой простой, как предоставление согласия
👍7
d_1654933316.pdf
594.8 KB
#materials #transfers
Рекомендации от OECD (Organisation for Economic Co-operation and Development) по трансграничке.
Рекомендации от OECD (Organisation for Economic Co-operation and Development) по трансграничке.
#materials #certification
Ну что ж, встречаем первую сертификацию по гдпр прямиком из Люксембурга.
Пресс-релиз, здесь
Ревью EDPB, по результатам которого механизм был утверждён SA - CNPD, здесь
Про саму схему сертификации, здесь
💬Источник: Сергей Муслаев
Ну что ж, встречаем первую сертификацию по гдпр прямиком из Люксембурга.
Пресс-релиз, здесь
Ревью EDPB, по результатам которого механизм был утверждён SA - CNPD, здесь
Про саму схему сертификации, здесь
💬Источник: Сергей Муслаев
cnpd.public.lu
La CNPD adopte le schéma de certification « GDPR-CARPA »
La CNPD a adopté les critères de certification GDPR-CARPA le 13 mai 2022.
GDPR-CARPA est le premier schéma de certification sous le RGPD (règlement
général sur la protection des données) au niveau national et international.
GDPR-CARPA est le premier schéma de certification sous le RGPD (règlement
général sur la protection des données) au niveau national et international.
👍4