#privacy #policy

Читабельны ли политики вообще? NYT поделился своей аналитикой: раз и два

📍Источник: Кирилл Зюбанов

#justforfun

📍Источник: Ксения, студент курса RPPA. МГУ

#education #events

🎓Открыта регистрация на Data protection Moot Court (DPMC 2023) по персональным данным.

Организатор: Венский Университет (Universität Wien)

Участникам предстоит решить судебный спор, основываясь на европейском законодательстве по защите данных.

Конкурс состоит из двух этапов:

1) Написание письменных меморандумов на английском языке за две стороны: "Data Subject" и "Data Controller".

2) Устные раунды, на которых команда выступает со своей позицией за одну из сторон перед вымышленным надзорным органом

👥Состав участников - 3 человека + 1 тренер.
🗓Сроки: Муткорт пройдёт с сентября по декабрь 2023 г. в онлайн-формате.

Регистрация - до 13 августа 2023 года по ссылке

Участие бесплатное.

🔵Если вы студент - крайне рекомендуем поучаствовать, это будет отличный опыт подготовки письменных позиций, а также устных выступлений на английском языке перед ведущими специалистами в сфере приватности🤓

🔵Если вы состоявшийся специалист, готовый стать тренером - находите своих будущих падаванов, для которых участие в таком состязании под чутким наставничеством может стать важнейшим первым шагом для карьеры будущих privacy специалистов😎

Полезные ссылки:

1) Правила конкурса

2) Регистрация

3) Фабула конкурса в 2022 году и еще

Мы со стороны RPPA готовы помочь тебе в поиске наставника

#PrivacyNews

Неделя прошла - новостей принесла, check-up!

🔵Законодательное:

🔽Госдума во втором и третьем чтениях одобрила законопроект , обеспечивающий правовую основу для внедрения цифрового рубля;

🔽В Минцифры в сентябре утвердят правила использования систем противодействия беспилотникам;

🔽Рос­стан­дарт сов­мес­тно с Мин­пром­тор­гом, Мин­циф­ры и Минс­троем ут­вер­дил Пер­спек­тив­ную прог­рам­му стан­дар­ти­зации в об­лас­ти ум­ных до­мов;

🔽Общественная палата предлагает идентифицировать бездомных через полицию и отправлять их на работу;

🔽Закон: финансовая организация будет обязана возместить жертвам потери;

🔽Президент подписал закон: в перечень организаций, имеющих в ведении объекты КИИ, добавили тех, кто арендует информационные системы из сферы государственной регистрации прав на недвижимое имущество и сделок с ним, или владеет ими;

🔽Правительство утвердило порядок передачи данных о заказах такси ФСБ (Постановление);

🔽Цифровой профиль предпринимателя предложено дополнить новыми сведениями от восьми организаций;

🔽В правительстве поддержали право силовиков редактировать базы данных отдельных категорий граждан;

🔽Подписано и опубликовано распоряжение правительства о сведениях, участниках и целях онлайн-ресурсы, участвующие в эксперименте по осуществлению авторизации с помощью ЕСИА;

🔽с 1 сентября 2023 года за самозанятыми гражданами закрепляется обязанность по указанию в рекламе сведений о себе как о продавцах товаров.

🔵Новенькое из бизнеса:

🔼Telegram Messenger включил сбор IP-адресов пользователей;

🔼Работникам «Швабе» («Ростех») запретили пользоваться Apple в служебных целях;

🔼Google получил иск за использование ПДн для обучения ИИ;

🔼Пользователям банка ВТБ в VK доступна оплата по QR-коду;

🔼МТС начало работу над новым умным помощником (вместо ассистента «Марвина»);

🔼Сбер расширил функционал нейросети Kandinsky;

🔼У "Яндекса" все будет хорошо, если новая система модерации треков на сервисе "Яндекс Музыка" будет эффективной.

🔵Инициативы:

🔽Крупные продуктовые ритейлеры ищут варианты большей автоматизации касс самообслуживания;

🔽Специалисты НАМИ, оператор «Глонасс» и «Лаборатории Касперского» разработали прототип виртуальной платформы для умных автомобилей;

🔽Президент предложил подготовить новый нац проект по формированию "экономики данных".

🔵А что там у "них"?!

🔼Можно: передаем в США;

🔼Месная французская газета опубликовала данные полицейского, застрелившего подростка, - начато расследование;

🔼В Швейцарии запустили портал отчетности для специалистов по защите персданных;

🔼А в США присматривают за туристическими потоками;

🔼КНР ускорило введение наказания за распространение незаконного онлайн-контента, неправомерный сбор личных данных несовершеннолетних и меры по борьбе с зависимостью от сервисов в Сети;

🔼Во Франции ко всем устройствам, использующим интернет, будет по умолчанию подключен родительский контроль;

🔼Германия приступила к реализации пилотного проекта по внедрению государственного цифрового удостоверения личности.

🔵Преступления и наказания:

🔽В Донском отделении сотрудник Пенсионного фонда подозревается в распространении сведений о частной жизни застрахованных лиц;

🔽Мировой суд Москвы оштрафовал дайвинговые компании за нарушение порядка локализации данных пользователей из России.

Продолжение ниииже🔽🔽🔽🔽

📍Автор: Карина, @Ka_Rina7

#PrivacyNews

Продолжение

🔵Следствие вели с РКН (и не только):

🔽Роскомнадзор проверяет информацию о возможной утечке персональных данных с сайта конкурса «Большая перемена»;

🔽Федеральная торговая комиссия (FTC) США начала расследование против OpenAI;

🔽"Яндекс" с июля по декабрь 2022 года удалил из поиска почти 150 тыс. ссылок по требованию РКН;

🔽Threads (принадлежит запрещенной Meta) - причина новой фишинговой схемы в зоне .com, так и .ru., да и сама преуспевает в сборе данных;

🔽РКН на страже безопасности (статистика по отраженным атакам);

🔽Хакерских атак все больше, только целевые секторы поменлись; а у мошенников новые схемы появились;

🔽В США хотят расследовать факты предоставления фин данных Meta (признана в России экстремистской организацией) и Google;

🔽Сведения о результатах исполнения законодательства в области обработки персональных данных за 6 месяцев 2023 года от РКН по Южному федеральному округу.

🔵Почитать:

🔼Что хранят МФУ?!

🔼Чат-боты, данные и безопасность;

📍Автор: Карина, @Ka_Rina7

#iapp #materials

PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности.

Мы честно старались выжать для вас самый сок из этого отчета в одном посте. Но тут было такое количество актуалочки, что вас будут ждать снова несколько частей.

Поехали!🤓

🆔 Основа исследования:

1) Семинары с руководителями высшего звена в сфере приватности с просьбой составить график рисков приватности за 2022 год.

2) Интервью с ведущими специалистами в сфере приватности из 14 организаций. Были представлены организации из 6 различных индустрий с 3 континентов.

3) Годовые отчеты, 10-К формы и другая общедоступная информация об организациях за 2022 и 2023 годы

Часть 1: The complex and evolving risk environment

🤖The U.K. Information Commissioner’s Office определил 5 основополагающих технологий, которые могут положительно повлиять на нашу жизнь, в то же время потенциально нанося ущерб личной неприкосновенности и частной жизни, а также доверию к самим технологиям в отсутствие надлежащего контроля за соблюдением приватности. К ним относятся:

🔵потребительские технологии в здравоохранении,

🔵новое поколение Интернет-вещей,

🔵иммерсивные технологии,

🔵децентрализованные финансовые сервисы

🔵нейротехнологии.

🔒Фокус внимания в сфере приватности:

Кибератаки и утечки данных: 43% руководителей privacy отделов считают вероятным, что в ближайшие два года кибератаки существенно повлияют на их собственную организацию.

Компания CheckPoint в своем докладе "2023 Cyber Security Report" подсчитала,

🔵что "количество кибератак выросло “на 38% в 2022 году по сравнению с предыдущим годом;

🔵было зафиксировано в среднем 1168 еженедельных атак на одну организацию"

❗️Наиболее серьезные и высоковероятные риски приватности:

По итогам семинаров с руководителями высшего звена в сфере приватности, участники семинаров выявили в общей сложности 75 детализированных рисков, которые были объединены в 36 групп рисков высокого уровня и сгруппированы по соответствующим категории.

Наиболее известные:

1) недостаточность обеспечения ресурсами для проведения комплаенса;

2) неэффективность интеграции правил и принципов приватности в дизайн продукта;

3) риск ущерба репутации организации из-за коллективных исков и/или правоприменительной деятельности.

Наиболее часто возникающие:

1) неспособность организаций соблюдать различные и/или эволюционирующие требования к приватности в рамках различных нормативных режимов;

2) непреднамеренные последствия из-за отсутствия опыта в управления рисками приватности в связи с использованием ИИ;

3) риски приватности в результате попыток монетизировать данные.

Наиболее частые внутренние риски:

1) недостаточность обучения сотрудников по соблюдения требований к приватности;

2) нехватка ресурсов и/или бюджета;

3) неэффективность интеграции правил и принципов приватности в дизайн продукта.

Наиболее частые внешние риски:

1) организации могут быть не в состоянии расставить приоритеты в соблюдении конфиденциальности из-за различий в приоритетах правоприменения и отсутствия прозрачности в отношении этих приоритетов среди регулирующих органов;

2) неспособность организаций соблюдать различные и/или эволюционирующие требования к приватности в рамках различных нормативных режимов;

3) организации, использующие третьи лица для обработки данных, сталкиваются с дополнительным бременем обеспечения соответствия обработки их данных не только нормативным требованиям и юрисдикциям, но и собственной политике организации в области конфиденциальности и безопасности данных.

📍Автор: Илья, @levailya

Уже традиционно - благодарим за работу👀

#iapp #materials

Часть 2: Roles and responsibilities to manage privacy risk

🛡Фокус внимания: Трудности в интеграции рисков в сфере приватности в систему по управлению рисками компании.

Почти 93% организаций указали, что соблюдение приватности входит в топ-10 рисков, а 36% включили ее в первую пятерку.

НО!

Только 64% заявили о полностью интегрированных программах по управлению риском в сфере приватности в компании. Одна из причин, которая может быть особенно актуальна для крупных компаний, заключается в том, что риски приватности трудно соотнести с другими рисками, чтобы соответствовать уже хорошо зарекомендовавшим себя корпоративным стратегиям управления рисками.

Например, некоторые организации указали на проблемы с привязкой средств контроля за приватностью к общей системе ERM, в то время как другие заявили о трудностях с количественной оценкой рисков приватности в отсутствие стандартизированных методологий.

🔧Способы решения проблемы:

🔵Улучшение коммуникации между отделами внутри компании, в компетенцию которых могут войти риски приватности, при этом исключая возможность дублирования функций отделов.

Например, путем координации действий юридического, комплаенс отделов и отдела кибербезопасности друг с другом.

🔵Внедрять подотчетность в «линии защиты» приватности. Независимо от размера команды ответственность должна быть четко доведена до сотрудников и внедрена в их трудовую функцию,ю

🛡Например, модель «трех линий защиты» широко использовалась респондентами как способ доведения до сотрудников данных полномочий.

Первая линия отвечает за выявление рисков и управление ими в рамках их повседневных задач (100% опрошенных заявляли о существовании 1-ой линии в своей компании).

Вторая линия предоставляет и создает политики, инструменты и другие способы обеспечения эффективного снижения рисков и поддержания согласованности отделов в подходе к определению и измерению риска (57% также указали, что у них есть роли и обязанности, определенные и во второй «линии защиты».

Третья линия обеспечивает независимую проверку первых двух линий и, обычно, отчитывается перед правлением или комитетом по аудиту. (Только около 21% организаций уполномочили третью линию защиты проводить аудит).

Аудит может выявить пробелы в стратегии управления рисками до того, как они будут реализованы. Нет никаких сомнений в том, что организации предпочитают узнавать об этих недостатках от внутренних аудиторов, а не после того, как они отразились на клиентах или привлекли внимание регулирующих органов.

🔵Усиление роли руководства компании в управлении рисками

🔵Была подчеркнута важность nonexecutive directors, занимающих многочисленные руководящие должности в различных организации, способные передавать сообщения "сверху вниз".

🔵Приватность не является самостоятельным комплаенс-риском и обычно может быть связана с другими
областями риска, такими как управление данными, кибербезопасность и этика обработки данных. Возможно, потребуется предпринять шаги по координации отчетности по управлению рисками по этим направлениям, чтобы не перегружать руководство и последовательно информировать о существующих рисках.

🔵Более крупные организации, возможно, захотят рассмотреть вопрос о том, может ли консультативный совет по вопросам приватности, состоящий из внутренних и внешних заинтересованных сторон, оценить и расставить приоритеты в отношении рисков

📍Автор: Илья, @levailya

📣 Приглашаем на вебинар по защите персональных данных

27 июля в 14:00 состоится вебинар, где специалисты Роскомнадзора расскажут о способах защиты персональных данных, ответят на вопросы граждан и операторов персональных данных.

Темы для обсуждения:

📌 Правоприменительная практика Роскомнадзора по отдельным положениям №152-ФЗ «О персональных данных» по жалобам граждан и организаций
📌 Типовые ошибки операторов персональных данных при подготовке и публикации документов, регламентирующих обработку персональных данных сайтов в сети «Интернет»
📌 Подготовка и подача уведомлений о намерении осуществлять трансграничную передачу персональных данных: типовые ошибки и рекомендации по их недопущению
📌 Вопросы применения ч. 8-10 Федерального закона №149-ФЗ о запрете использования иностранных мессенджеров
📌 Механизмы защиты граждан от правонарушений с использованием их персональных данных при оформлении договоров займа

❗️ Вопросы экспертам принимаются на электронную почту: ask@rkn.gov.ru до 25 июля включительно.

📆 Прямая трансляция пройдет в официальном сообществе Роскомнадзора «ВКонтакте». Не забудьте установить напоминание!