Лайфхак от NYMITY по выполнению запросов субъектов ПДн

https://iapp.org/conference/iapp-europe-data-protection-congress/sessions-dpc18/ все презентации с мероприятия опубликованы по ссылке

Отчёт по Privacy от IAPP и EY с интересной статистикой: бюджеты, комплаенс, численность персонала: https://iapp.org/media/pdf/resource_center/IAPP-EY-Gov_Report_2018-FINAL.pdf

Small talk with Irish DPA (DPC) about complaints and data subjects requests

Attention! Подтверждено DPA, European Commission и EDPB: российским компаниям, у которых нет офисов в ЕС, представителя в ЕС, активов в ЕС, счетов в европейских банках, нечего бояться, регулятор просто пока не сможет выписать штраф. Минимальные риски: блокировка сайта и приложений на территории ЕС, но не для всех организаций это может быть критично

Французский регулятор CNIL опубликовал отчёт про гдпр и blockchain, отчёт на французском, но по ссылке описание на английском https://www.blockchainandthelaw.com/2018/11/is-blockchain-technology-compatible-with-gdpr-french-data-protection-regulator-provides-guidance/

По просьбе трудящихся делюсь основными цифрами из отчета на 2018 год:
- 61% респондентов - счастливые обладатели сертификатов CIPP
- В 43% компаний функцию Privacy выполняют юристы, в 19% - спецы по ИБ и комплаенс специалисты, 11% - работники ИТ
- 63% Privacy специалистов тратят весь рабочий день на задачи по защите данных
- 78% Privacy специалистов отчитываются напрямую перед руководством компании: 83% респондентов отрапортовали по гдпр-темам, а 68% - рассказали об утечках данных
- 75% опрошенных назначили DPO при этом в 45% организаций более одного DPO, у 27% DPO есть работники, выделенные под Privacy задачи
- Затраты респондентов на Privacy составили $2.1m в 2017 году и $1m в 2018 году, при этом 65% считают, что денег недостаточно
- Только 44% компаний, попадающих под гдпр, уверены в соответсвии требованиям гдпр
- А вот 19% респондентов считают, что никогда не достигнут полного соответствия требованиям гдпр
- 79% компаний тратят бюджет на обучение работников
- Только 8% компаний, попадающих под гдпр, уведомили регулятора о наличии высокорискованных операций по обработке ПДн, а 16% уведомили регулятора об утечках ПДн
- 93% организаций считают себя операторами, 69% - обработчиками ПДн (P.S. одна компания может быть как оператором ПДн, так и обработчиком одновременно)
- 93% компаний полагаются на условия договоров при привлечении обработчиков ПДн, 51% требуют от обработчиков проведения внешнего аудита
- Среди сертификаций популярны: ISO 27001 - 42%, PCI - 26%, SOC 2 Privacy - 31%, ISO 27002 - 21%
- 89% компаний передают ПДн зарубеж на основании Standard Contractual Clauses, 41% - на оснований согласий субъектов ПДн и только 28% - по BCR

Спасибо огромное коллегам из EY и IAPP за столь полезное исследование!

DLA Piper предлагают онлайн версию материалов по Privacy законодательству в странах мира https://www.dlapiperdataprotection.com

Privacy нынче в тренде:) https://ria.ru/society/20181203/1539352537.html

Инциденты на неделе: Marriott, Dell, Московская канатная дорога, Германия и снова США https://www.securitylab.ru/news/496780.php

Трекинг разработки НПА стран ЕС во исполнение требований гдпр от Nymity https://blog.nymity.com/blog/tracking-the-gdpr-how-to-keep-up-with-national-law-developments?utm_campaign=GDPR%20General%20Drip%20Campaign&utm_medium=email&_hsenc=p2ANqtz--4yGTLp5iCE7Nm_l7V_7f1BoHRQiIeRpqT55_rD2OU_7a55iAzwNdBdpOC5gpEzvZ9-gAiF8xBDw8OmgJ464b0QRRp0g&_hsmi=66105661&utm_content=66105661&utm_source=hs_automation&hsCtaTracking=d743a95d-ffb8-429b-89a2-d917ec9e4131%7C0b34d361-efee-4bef-aa1a-24b3ec246665

Про штрафы по GDPR:
1. Австрия, 4 800€. Штраф был наложен DSB (австрийский ркн) на предпринимателя, установившего камеру видеонаблюдения снаружи своего офиса без предупреждения о видеозаписи. В область обзора камеры попадали также публичные места (соседние улицы). Нарушения: обработка ПДн субъектов велась без наличия правового основания, субъекты не были уведомлены об обработке ПДн.
2. Португалия. 400 00€. Штраф был наложен CNPD (португальский ркн) на госпиталь, не ограничивший доступ своих работников к ПДн субъектов. Нарушения: отсутствие соответствующих организационных и технических мер для защиты специальных категорий ПДн (отсутствие контроля доступа).
3. Германия, 20 000€. Штраф был наложен LfDI (один из немецких ркн) на компанию-владельца социальной сети Knuddels.de DS-GVO, хранящую пароли пользователей в незашифрованном виде, что было причиной утечки ПДн в сентябре этого года. Нарушение: отсутствие соответствующих организационных и технических мер для защиты ПДн (отсутствие шифрования/псевдонимизации данных). Статья: 32(1). Детальней https://iapp.org/news/a/germanys-first-fine-under-the-gdpr-offers-enforcement-insights/ и первоисточник https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/
Это был открытый кейс, поэтому информации в сети по нему достаточно.
Информацию о штрафах (известные: Uber, Facebook, Heathrow airport) от ICO из UK по локальному з-ву ПДн можно найти здесь https://ico.org.uk/action-weve-taken/enforcement/

Marriott оплатит пострадавшим от утечки ПДн издержки за замену паспортов https://www.usatoday.com/story/travel/hotels/2018/12/06/marriott-pay-new-passports-guests-after-data-breach/2224519002/

Data subject rights handbook by NYMITY

С позволения автора, Алексея Мунтяна, пересылаю презентацию по GDPR. На мой взгляд, эта презентация - настольная книга по гдпр, там можно найти ответы на большинство вопросов