#events #cybersecurity
Когда: 20-21 июня
Где: Москва
Организатор: Сбербанк
Тема: Международный конгресс по кибербезопасности
Стоимость: от 15тр
Регистрация: здесь
Когда: 20-21 июня
Где: Москва
Организатор: Сбербанк
Тема: Международный конгресс по кибербезопасности
Стоимость: от 15тр
Регистрация: здесь
#events #cybersecurity
Когда: 21-22 мая
Где: Москва
Организатор: Positive Technologies
Тема: Positive Hack Days
Стоимость: от 9600руб.
Регистрация: здесь
Когда: 21-22 мая
Где: Москва
Организатор: Positive Technologies
Тема: Positive Hack Days
Стоимость: от 9600руб.
Регистрация: здесь
phdays.com
Positive Hack Days Fest
Международный киберфестиваль для всех, кто хочет погрузиться в мир кибербезопасности. Любой желающий может узнать, как устроен цифровой мир, повысить уровень своей защищенности и круто провести время
#privacy #dpa #uk #materials
GDPR with UK Data Protection Act.
На что обратить внимание
UK Data Protection Act (DPA) – большой док на 339 страниц, трудоемко его весь прочесть.
DPA включает в себя практически весь сборник требований по обработке ПДн в UK, выделяю следующие полезные разделы:
- Part 1 и Part 2, стр. 12 – 19. Собственно про обработку ПДн (для всех организаций). Здесь вы найдете также определения, правовые основание обработки, положения про обработку спец. категорий. На эту часть есть ссылки из Schedule 6, которая про различия с GDPR.
-Part 6, стр. 78 – 106 содержит положения про правоприменительную деятельность регулятора ICO.
-Part 7, стр. 106-130, финальные положения. Можно просто пробежаться глазами.
- Schedule 1, стр. 131- 147. Обработка специальных категорий ПДн.
- Schedule 2, стр. 147-165. Исключения из GDPR. Обратите внимание на стр. 158 (Part 3 Schedule 2), про статью 15 GDPR.
- Schedule 6, стр. 184-195. ВАЖНО! Читать с ручкой в руках. Построчно указаны различия.
Очерки:
-Определения представлены в Part 1, Subsection 205 (стр. 121) и Schedule 6 и в Part 1.
Например, определение controller надо читать комплексно, в двух местах оно указано:)
-Про обработку специальных категорий ПДн написано (расширены правовые основания обработки, определены доп. требования (например, наличие отдельной политики):
Subsection 10, стр. 6
Schedule 1, Part 1, стр. 131
Schedule 1, Part 2, cтр. 132
Schedule 6, Part 1, стр. 187
-Про обработку сведений о правонарушениях описано в Schedule 1, Part 3, стр. 144- 166 (определены правовые основания).
-Про принятие решений исключительно по результатам автоматизированной обработки:
Subsection 14, стр. 8
-Про трансграничную передачу ПДн (удалено правовое основание – Standard Contractual Clauses, утвержденные Европейской Комиссией):
Section 18, стр. 11
Schedule 6, Part 1, стр. 190-191
-Про применимость DPA:
Subsection 21, стр. 13
Subsection 207 стр. 125-126
Schedule 6
-Про штрафы (перечень статей, за которые можно выписать штраф, расширен)
Subsection 155-159 (стр 87-91) про штрафы
Subsection 196, стр. 116
Part 1, Schedule 6, стр. 193
Schedule 15, про уведомления о нарушениях
Schedule 16, стр. 218-221
Subsection 165 (стр. 95) про жалобы субъектов ПДн.
-Про представителей информация распоряжением DPA удалена из GDPR
-Отсутствуют дополнительные требования к обработке ПДн работников
-Отсутствуют дополнительные требования к обработке национальных идентификационных номеров
P.S. DPA такой большой, тк содержит положения про обработку ПДн органами исполнительной власти. гос. органами. Много специфичных положений про обработку данных о здоровье (больше применимо для орг. здравоохранения). А также в конце представлен перечень локальных НПА, которые меняются, с указанием конкретных положений, с учетом DPA. По мне так, очень удобно.
Если вам есть, что добавить, пишите:₽
Всем добра!
GDPR with UK Data Protection Act.
На что обратить внимание
UK Data Protection Act (DPA) – большой док на 339 страниц, трудоемко его весь прочесть.
DPA включает в себя практически весь сборник требований по обработке ПДн в UK, выделяю следующие полезные разделы:
- Part 1 и Part 2, стр. 12 – 19. Собственно про обработку ПДн (для всех организаций). Здесь вы найдете также определения, правовые основание обработки, положения про обработку спец. категорий. На эту часть есть ссылки из Schedule 6, которая про различия с GDPR.
-Part 6, стр. 78 – 106 содержит положения про правоприменительную деятельность регулятора ICO.
-Part 7, стр. 106-130, финальные положения. Можно просто пробежаться глазами.
- Schedule 1, стр. 131- 147. Обработка специальных категорий ПДн.
- Schedule 2, стр. 147-165. Исключения из GDPR. Обратите внимание на стр. 158 (Part 3 Schedule 2), про статью 15 GDPR.
- Schedule 6, стр. 184-195. ВАЖНО! Читать с ручкой в руках. Построчно указаны различия.
Очерки:
-Определения представлены в Part 1, Subsection 205 (стр. 121) и Schedule 6 и в Part 1.
Например, определение controller надо читать комплексно, в двух местах оно указано:)
-Про обработку специальных категорий ПДн написано (расширены правовые основания обработки, определены доп. требования (например, наличие отдельной политики):
Subsection 10, стр. 6
Schedule 1, Part 1, стр. 131
Schedule 1, Part 2, cтр. 132
Schedule 6, Part 1, стр. 187
-Про обработку сведений о правонарушениях описано в Schedule 1, Part 3, стр. 144- 166 (определены правовые основания).
-Про принятие решений исключительно по результатам автоматизированной обработки:
Subsection 14, стр. 8
-Про трансграничную передачу ПДн (удалено правовое основание – Standard Contractual Clauses, утвержденные Европейской Комиссией):
Section 18, стр. 11
Schedule 6, Part 1, стр. 190-191
-Про применимость DPA:
Subsection 21, стр. 13
Subsection 207 стр. 125-126
Schedule 6
-Про штрафы (перечень статей, за которые можно выписать штраф, расширен)
Subsection 155-159 (стр 87-91) про штрафы
Subsection 196, стр. 116
Part 1, Schedule 6, стр. 193
Schedule 15, про уведомления о нарушениях
Schedule 16, стр. 218-221
Subsection 165 (стр. 95) про жалобы субъектов ПДн.
-Про представителей информация распоряжением DPA удалена из GDPR
-Отсутствуют дополнительные требования к обработке ПДн работников
-Отсутствуют дополнительные требования к обработке национальных идентификационных номеров
P.S. DPA такой большой, тк содержит положения про обработку ПДн органами исполнительной власти. гос. органами. Много специфичных положений про обработку данных о здоровье (больше применимо для орг. здравоохранения). А также в конце представлен перечень локальных НПА, которые меняются, с указанием конкретных положений, с учетом DPA. По мне так, очень удобно.
Если вам есть, что добавить, пишите:₽
Всем добра!
#events #privacy #gdpr
Когда: 21 мая, с 12:00 до 18:00
Где: Москва
Организатор: Data Privacy Office
Тема: GDPR Day 2019
Стоимость: бесплатно
Регистрация: здесь
Когда: 21 мая, с 12:00 до 18:00
Где: Москва
Организатор: Data Privacy Office
Тема: GDPR Day 2019
Стоимость: бесплатно
Регистрация: здесь
GDPR Day
GDPR Day Moscow 2019 - GDPR Day
#news #privacy #152фз
РКН об утечке данных Россиян, здесь
Там же можно и про проверку публикации данных Россиян в ГИС
РКН об утечке данных Россиян, здесь
Там же можно и про проверку публикации данных Россиян в ГИС
VK
Роскомнадзор
📖 Небольшая предыстория к предыдущему посту. Ещё осенью 2018 года председатель Ассоциации участников рынков данных Иван Бегтин направил нам исследование о предположительной утечке 360 тыс. записей россиян. Мы сразу с ним ознакомились и направили в адрес органов…
#events #privacy #gdpr
Когда: 21 мая, с 10:00 до 11:30
Где: Москва
Организатор: CCI France Russia
Тема: Заседание комитета по ИТ с участием РКН. Новые правила гос надзора за операторами ПДн
Стоимость: бесплатно
Регистрация: здесь
Когда: 21 мая, с 10:00 до 11:30
Где: Москва
Организатор: CCI France Russia
Тема: Заседание комитета по ИТ с участием РКН. Новые правила гос надзора за операторами ПДн
Стоимость: бесплатно
Регистрация: здесь
CCI France Russie
Заседание Комитета по информационным технологиям
Регистрация на мероприятие закрыта. Тема: Новые правила государственного надзора за операторами персональных данных Программа: Изменение законодательства в части организации …
Forwarded from SecurityLab.ru
Представляем канал @dataleak - уникальный источник информации об утечках данных по всему миру.
Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.
Это один из базовых каналов, на который должен быть подписан специалист в сфере IT-безопасности.
#news #152фз #databreach
К городской больнице Ижевска приняты административные меры за утерянные медицинские карты с личными данными пациентов
здесь
К городской больнице Ижевска приняты административные меры за утерянные медицинские карты с личными данными пациентов
здесь
#materials #РКН #152фз #privacy
Лёгкие очерки о встрече с РКН
Проверки от РКН
- Перечень проверок не согласовывают с прокуратурой. Инфа по проверкам на сайте РКН
- РКН не осуществляют контроль по выполнению орг и технич мер по ИБ. Это делает ФСТЭК и ФСБ
- Плановые и внеплановые проверки. Систематическое наблюдение за деят оператора по ПДн
- Критерии: Гос регистрация оператора более 3х лет и окончание срока проверки более 3х лет
- Трансграничных передача, обработка биометрии, проверки могут быть чаще. А также если орг обрабатывает ПДн по поручению лица, не зарегистрированного в РФ
- Основания для проведения внеплановых проверок: по результатам обращения граждан (нарушение прав субъектов по ст.14) или результаты проведения мероприятий без взаимодействия (в Инете увидели что-то). P.S. Если сомневаетесь в правомерности запроса субъекта, лучше субъекта уведомить
- По ст.23 у РКН есть право запрашивать инфу о процессах обработки у орг. Оператор обязан предоставить свидетельства наличия правовых оснований обработки ПДн (согласий)
Лёгкие очерки о встрече с РКН
Проверки от РКН
- Перечень проверок не согласовывают с прокуратурой. Инфа по проверкам на сайте РКН
- РКН не осуществляют контроль по выполнению орг и технич мер по ИБ. Это делает ФСТЭК и ФСБ
- Плановые и внеплановые проверки. Систематическое наблюдение за деят оператора по ПДн
- Критерии: Гос регистрация оператора более 3х лет и окончание срока проверки более 3х лет
- Трансграничных передача, обработка биометрии, проверки могут быть чаще. А также если орг обрабатывает ПДн по поручению лица, не зарегистрированного в РФ
- Основания для проведения внеплановых проверок: по результатам обращения граждан (нарушение прав субъектов по ст.14) или результаты проведения мероприятий без взаимодействия (в Инете увидели что-то). P.S. Если сомневаетесь в правомерности запроса субъекта, лучше субъекта уведомить
- По ст.23 у РКН есть право запрашивать инфу о процессах обработки у орг. Оператор обязан предоставить свидетельства наличия правовых оснований обработки ПДн (согласий)