#PrivacyNews

💬Автор: Олег Блинов

Batch of privacy news:

🔷 Fidelity card: the Italian DPA sanctions Douglas Italia for 1 million and 400 thousand euros (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9825667): following a merger, Douglas retained and used customer contact details for direct marketing, yet it was not able to produce records of consent provided. It also failed to delete inactive users. Interesting addition to acquisition due diligence checks.

🔷 DSK releases assessment of Microsoft 365 (https://techcrunch.com/2022/11/28/microsoft-365-faces-darkening-gdpr-compliance-clouds-after-german-report/): the German DPAs expressed frustration with lack of MS’s substantial improvements after 2 years of discussion. While the DPAs did not call MS365 outright illegal, they are concerned with collection of telemetry, lack of transparency and with transfers to the US.

🔷 Meta hit with ~$275M GDPR penalty for Facebook data-scraping breach (https://techcrunch.com/2022/11/28/facebook-gdpr-penalty/): another Privacy by Design case. In 2018-19, FB did not have protection against a user uploading a contract book with any number of (or all possible) phone numbers and asking FB to find “friends” based on these. Essentially, you could map all resulting users to phone numbers you brute forced. FB claimed this is fine since the users themselves left the setting to be searchable by anyone on. The DPA disagreed since privacy by design is meant to protect users from such abuses by setting the default option to being not searchable. Additionally, no technical measures were implemented to protect against such malicious behaviour.

🔷 CNIL penalty of 600,000 euros against EDF (https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-dedf): EDF relied on a data broker to collect data for marketing purposes, and could only show the consent forms, but not evidence of actual consents. Furthermore, passwords were hashed, but not salted, which made them vulnerable to use of rainbow tables.

🔷 Hamburg DPA on data transfers to the US: impact of the new US Executive Order (https://datenschutz-hamburg.de/pages/executiveorder/): the German DPA is happy about US’s willingness to adapt to EU’s concerns, but pointed out some flaws, such as lack of transparency from the data subjects’ perspective regarding the procedure of effective recourse.

🔷 Apple SKAdNetwork explained (https://www.appsflyer.com/glossary/skadnetwork/): Nicely done videos from AppsFlyer explaining how Apple’s privacy-friendly SKAdNetwork works.

#PrivacyNews

💬Автор: Олег Блинов

Time for another batch of privacy news!

🔷 EU set to bar Meta from ads based on personal data (https://www.reuters.com/technology/eu-raises-concerns-over-metas-targeted-ad-model-wsj-2022-12-06/, https://noyb.eu/en/noyb-win-personalized-ads-facebook-instagram-and-whatsapp-declared-illegal): according to insiders, EDPB has asked the Irish DPA to issue of decision blocking Meta from relying on contract to provide personalized ads and to seek user consent instead. A binding decision from the Irish authorities is expected in Jan 23 and could come with a hefty fine. The fundamental disagreement is that Meta considers personalization an intrinsic part of their service, while the regulators consider it an intrusion into private space. This will likely further diminish the efficiency of ads on fb & Instagram and drive up ad costs for these platforms.

🔷 Italy fines US company behind Clubhouse €2M for GDPR violations (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9828901): the famous Clubhouse app owner was fined for failure to abide by a wide range of GDPR obligations, including privacy policy clarity, retention periods, DPIA etc. The most interesting part is that the DPA required Clubhouse to switch to consent for profiling, which was used to improve and personalize the experience, select interests, recommend rooms and users to follow and clubs of interest. Initially, the company relied on contract, which the DPA disagreed with. In one of the final paragraphs the DPA seems to state that profiling cannot be based on LI and consent is therefore the only option.

🔷 DSK updates TTDSG guidance (https://www.datenschutzkonferenz-online.de/media/oh/20221130_OH_Telemedien_2021_Version_1_1.pdf): some developments on the German cookies compliance rulings. From what I can see, nothing extraordinary, though I should read it in more detail some time.

#article #152ФЗ

Статья Михаила Емельянникова про оценку вреда субъектам ПД

#materials #privacy

Marketing Communications Legal Checklist, здесь

💬Источник: Давид Розенталь

#materials #privacy

💬Источник: Андрей Прозоров

The best Information Security and Data Protection glossaries:

▫️ISACA (cybersecurity)
▫️NIST (cybersecurity)
▫️ISO
▫️IEC
▫️SANS (cybersecurity)
▫️PCI (cybersecurity)
▫️ACSC (Australian cybersecurity)
▫️NCSC (UK cybersecurity)
▫️BSI (GE, in German)
▫️IAPP (privacy)
▫️EDPS (privacy)
▫️Gartner (IT and other)
▫️Forrester (IT)
▫️AXELOS (ITIL v4)
▫️IAEA (Nuclear Safety and Security, 2022)

#justforfun

💬Источник: Tim Clements

Да, вышел драфт, но - слово за EDPB , а ещё за представителями стран ЕС, а также Парламент может все это притормозить.

Поэтому я не публикую в канале новости про проекты, драфты и фантазии о приватности - мир меняется стремительно за секунды🤪

#materials #caselaw

Кейсы по приватности в подборке от ECHR

#materials #transfers

ФАК по проекту решения по передаче ПД ЕС-США

Обновлен базовый перечень целей обработки персональных данных. Перечень состоит из 101 микроцели, которые объединены в 12 макроцелей (для эффективного структурирования согласий на обработку персональных данных и направления уведомлений в Роскомнадзор), и применим к большинству организаций. Приведённый перечень целей не является исчерпывающим и требует дополнения в соответствии спецификой деятельности и её регулирования в отношении отдельно взятой организации.
🔸Оригинал схемы в хорошем качестве доступен на сайте RPPA.
🇷🇺💡👨‍🏫 #пд #цели #ropa #аналитика

#inspiration

Исследование Microsoft подтвердило, что встречи без перерывов пагубно влияют на уровень стресса, а также снижают концентрацию

#materials #152ФЗ

Утверждённые формы уведомлений от РКН, здесь

▫️Об обработке ПД
▫️Об изменений сведений в форме об обработке ПД
▫️О прекращении обработки ПД

#materials #privacy

Презентация Максима Лагутина - Итоги неспокойного 2022 и тренды на 2023 в части, здесь

Запись секции Privacy&Legal Tech с недели российского интернета, здесь

#ЯрмаркаВакансий

Юрисконсульт в Платформу Третье Мнение, только на RPPA.ru

#privacy #africa

This is Africa!

💬Источник: Ridwan Oloyede (LinkedIn)

#materials #cookies

По мнению испанского ркн, использование Google Analytics в общем даже ок, что не бьется с позициями других регуляторов (из Франции, Дании, Австрии, Нидерландов), а также NOYB.

Решение на испанском, обзор решения на английском

#podcast #privacy #databreach

Интересный и полезный выпуск про нашумевшую утеку Яндекс.Еда в подкасте Сережа и микрофон

💬 В ролях: Иван Черевко, Антон Карпов, Никита Ильясов

#podcast #privacy

Если ещё не слушали - сентябрьский выпуск подкаста Нечего скрывать про нас, прайвасистов

💬В ролях: Мария Арнст, Сергей Воронкевич

#materials #GDPR

Решение французского ркн по компании, не учреждённой в ЕС.

Разобраны структура компании, специфика деятельности, а также применимость гдпр.

На связи подкаст «Не для галочки» - место, где мы продолжаем профессионально осмыслять и популяризировать приватность.

🎁 И у нас есть особенный новогодний подарок для вас :)

Мы объявляем кастинг на роль одного(ой) из ведущих нашего подкаста!

🔆Что для этого нужно?

✅Запиши аудиосообщение о себе, своем опыте в приватности и почему хочешь стать ведущим
✅Пришли сообщение в tg одной из ведущих: @ilezozavr (Елизавета), @Irina_Shurmina (Ирина), @krakozubla (Крис)
✅ В январе 2023 мы подведем итоги и пригласим тебя на знакомство
✅В феврале будет первый выпуск 3 сезона уже с твоим участием