#iapp #materials

PR!AVACY R!SK STUDY 2023 - Обзор отчета IAPP и KPMG о рисках приватности.

Мы честно старались выжать для вас самый сок из этого отчета в одном посте. Но тут было такое количество актуалочки, что вас будут ждать снова несколько частей.

Поехали!🤓

🆔 Основа исследования:

1) Семинары с руководителями высшего звена в сфере приватности с просьбой составить график рисков приватности за 2022 год.

2) Интервью с ведущими специалистами в сфере приватности из 14 организаций. Были представлены организации из 6 различных индустрий с 3 континентов.

3) Годовые отчеты, 10-К формы и другая общедоступная информация об организациях за 2022 и 2023 годы

Часть 1: The complex and evolving risk environment

🤖The U.K. Information Commissioner’s Office определил 5 основополагающих технологий, которые могут положительно повлиять на нашу жизнь, в то же время потенциально нанося ущерб личной неприкосновенности и частной жизни, а также доверию к самим технологиям в отсутствие надлежащего контроля за соблюдением приватности. К ним относятся:

🔵потребительские технологии в здравоохранении,

🔵новое поколение Интернет-вещей,

🔵иммерсивные технологии,

🔵децентрализованные финансовые сервисы

🔵нейротехнологии.

🔒Фокус внимания в сфере приватности:

Кибератаки и утечки данных: 43% руководителей privacy отделов считают вероятным, что в ближайшие два года кибератаки существенно повлияют на их собственную организацию.

Компания CheckPoint в своем докладе "2023 Cyber Security Report" подсчитала,

🔵что "количество кибератак выросло “на 38% в 2022 году по сравнению с предыдущим годом;

🔵было зафиксировано в среднем 1168 еженедельных атак на одну организацию"

❗️Наиболее серьезные и высоковероятные риски приватности:

По итогам семинаров с руководителями высшего звена в сфере приватности, участники семинаров выявили в общей сложности 75 детализированных рисков, которые были объединены в 36 групп рисков высокого уровня и сгруппированы по соответствующим категории.

Наиболее известные:

1) недостаточность обеспечения ресурсами для проведения комплаенса;

2) неэффективность интеграции правил и принципов приватности в дизайн продукта;

3) риск ущерба репутации организации из-за коллективных исков и/или правоприменительной деятельности.

Наиболее часто возникающие:

1) неспособность организаций соблюдать различные и/или эволюционирующие требования к приватности в рамках различных нормативных режимов;

2) непреднамеренные последствия из-за отсутствия опыта в управления рисками приватности в связи с использованием ИИ;

3) риски приватности в результате попыток монетизировать данные.

Наиболее частые внутренние риски:

1) недостаточность обучения сотрудников по соблюдения требований к приватности;

2) нехватка ресурсов и/или бюджета;

3) неэффективность интеграции правил и принципов приватности в дизайн продукта.

Наиболее частые внешние риски:

1) организации могут быть не в состоянии расставить приоритеты в соблюдении конфиденциальности из-за различий в приоритетах правоприменения и отсутствия прозрачности в отношении этих приоритетов среди регулирующих органов;

2) неспособность организаций соблюдать различные и/или эволюционирующие требования к приватности в рамках различных нормативных режимов;

3) организации, использующие третьи лица для обработки данных, сталкиваются с дополнительным бременем обеспечения соответствия обработки их данных не только нормативным требованиям и юрисдикциям, но и собственной политике организации в области конфиденциальности и безопасности данных.

📍Автор: Илья, @levailya

Уже традиционно - благодарим за работу👀

#iapp #materials

Часть 2: Roles and responsibilities to manage privacy risk

🛡Фокус внимания: Трудности в интеграции рисков в сфере приватности в систему по управлению рисками компании.

Почти 93% организаций указали, что соблюдение приватности входит в топ-10 рисков, а 36% включили ее в первую пятерку.

НО!

Только 64% заявили о полностью интегрированных программах по управлению риском в сфере приватности в компании. Одна из причин, которая может быть особенно актуальна для крупных компаний, заключается в том, что риски приватности трудно соотнести с другими рисками, чтобы соответствовать уже хорошо зарекомендовавшим себя корпоративным стратегиям управления рисками.

Например, некоторые организации указали на проблемы с привязкой средств контроля за приватностью к общей системе ERM, в то время как другие заявили о трудностях с количественной оценкой рисков приватности в отсутствие стандартизированных методологий.

🔧Способы решения проблемы:

🔵Улучшение коммуникации между отделами внутри компании, в компетенцию которых могут войти риски приватности, при этом исключая возможность дублирования функций отделов.

Например, путем координации действий юридического, комплаенс отделов и отдела кибербезопасности друг с другом.

🔵Внедрять подотчетность в «линии защиты» приватности. Независимо от размера команды ответственность должна быть четко доведена до сотрудников и внедрена в их трудовую функцию,ю

🛡Например, модель «трех линий защиты» широко использовалась респондентами как способ доведения до сотрудников данных полномочий.

Первая линия отвечает за выявление рисков и управление ими в рамках их повседневных задач (100% опрошенных заявляли о существовании 1-ой линии в своей компании).

Вторая линия предоставляет и создает политики, инструменты и другие способы обеспечения эффективного снижения рисков и поддержания согласованности отделов в подходе к определению и измерению риска (57% также указали, что у них есть роли и обязанности, определенные и во второй «линии защиты».

Третья линия обеспечивает независимую проверку первых двух линий и, обычно, отчитывается перед правлением или комитетом по аудиту. (Только около 21% организаций уполномочили третью линию защиты проводить аудит).

Аудит может выявить пробелы в стратегии управления рисками до того, как они будут реализованы. Нет никаких сомнений в том, что организации предпочитают узнавать об этих недостатках от внутренних аудиторов, а не после того, как они отразились на клиентах или привлекли внимание регулирующих органов.

🔵Усиление роли руководства компании в управлении рисками

🔵Была подчеркнута важность nonexecutive directors, занимающих многочисленные руководящие должности в различных организации, способные передавать сообщения "сверху вниз".

🔵Приватность не является самостоятельным комплаенс-риском и обычно может быть связана с другими
областями риска, такими как управление данными, кибербезопасность и этика обработки данных. Возможно, потребуется предпринять шаги по координации отчетности по управлению рисками по этим направлениям, чтобы не перегружать руководство и последовательно информировать о существующих рисках.

🔵Более крупные организации, возможно, захотят рассмотреть вопрос о том, может ли консультативный совет по вопросам приватности, состоящий из внутренних и внешних заинтересованных сторон, оценить и расставить приоритеты в отношении рисков

📍Автор: Илья, @levailya

📣 Приглашаем на вебинар по защите персональных данных

27 июля в 14:00 состоится вебинар, где специалисты Роскомнадзора расскажут о способах защиты персональных данных, ответят на вопросы граждан и операторов персональных данных.

Темы для обсуждения:

📌 Правоприменительная практика Роскомнадзора по отдельным положениям №152-ФЗ «О персональных данных» по жалобам граждан и организаций
📌 Типовые ошибки операторов персональных данных при подготовке и публикации документов, регламентирующих обработку персональных данных сайтов в сети «Интернет»
📌 Подготовка и подача уведомлений о намерении осуществлять трансграничную передачу персональных данных: типовые ошибки и рекомендации по их недопущению
📌 Вопросы применения ч. 8-10 Федерального закона №149-ФЗ о запрете использования иностранных мессенджеров
📌 Механизмы защиты граждан от правонарушений с использованием их персональных данных при оформлении договоров займа

❗️ Вопросы экспертам принимаются на электронную почту: ask@rkn.gov.ru до 25 июля включительно.

📆 Прямая трансляция пройдет в официальном сообществе Роскомнадзора «ВКонтакте». Не забудьте установить напоминание!

#PrivacyNews

ЧАСТЬ 1

Неделя прошла - новостей принесла, check-up!

🔵Законодательное:

🔼Распоряжение Правительства РФ №1906р от 17.07.2023 - разработка системы обмена информацией (СОИ) со странами Центральной и Юго-Восточной Азии, Ближнего Востока, Африки и Латинской Америки для противодействия легализации незаконно полученных доходов;

🔼Совет Федерации одобрил пакет законов о внедрении цифрового рубля и проведении расчетов с ним на платформе Центробанка;

🔼Комитет Госдумы рекомендовал к принятию поправки к КоАП РФ, резко ужесточающие ответственность граждан за нарушения обязанностей воинского учета;

🔼Комитет Госдумы рекомендовал увеличить штрафы за незаконную обработку персональных данных (законопроект о штрафах за нарушения при использовании биометрических данных граждан);

🔼Приказ Минцифры России № 625 10 июля 2023: вывод из эксплуатации отдельных сервисов «Госуслуг», спроектированных без использования визуального конструктора услуг – low-code-инструмента.

🔵Нет времени объяснять! Смени пароль!

🔵Сервис проверки сведений об утерянных и недействительных паспортах, размещенный на сайте МВД России, удален из перечня источников информации кредитных и некредитных финансовых организаций по указанию Банка России.

🔵"Лилу Даллас… Мультипаспорт" - ГКУ «Инфогород» разработало приложение «Мой ID», в котором отображаются сведения из: российского и заграничного паспортов, СНИЛС, ИНН, полиса ОМС, водительского удостоверения и даже информация о домашнем животном.

🔵Инициативы:

🔽Внесены поправки к законам о порядке выезда и въезда в РФ и закон о гос тайне: что-то знаешь - отдыхаешь на курортах России. А еще доступ к гос тайне ужесточили;

🔽Новый нацпроект: объединение хайтек-проектов, выстраивание единого механизма создания и внедрения разработок;

🔽Минцифры готовит, ГИБДД одобряет, водитель заряжает телефон, чтобы пользоваться приложением «Госуслуги.Авто»;

🔽Минцифры хочет собирать обезличенные данные в своей информационной системе;

🔽Роскомнадзор предлагает ввести в готовящийся законопроект об оборотных штрафах за утечки персональных данных требование для компаний получать лицензию на обработку таких данных. Опровержение тоже есть;

🔽Заместитель председателя правительства России поручил Минэконмразвития организовать оперативный штаб по ИИ;

🔽Минцифры предлагает стимулировать внедрение ИИ госкомпаниями за счет включения таких проектов в стратегии цифровой трансформации;

🔽РКН поддерживает принятие законопроекта, направленного на правовое регулирование в сфере использования рекомендательных алгоритмов предоставления информации в интернете;

🔽Депутат Госдумы из фракции «Единая Россия» предлагает запретить рекламирование "обходных путей" в Интернете.

🔵А что там у "них"?!

🔼В Перу испытывают систему идентификации с помощью распознавания радужной оболочки глаза;

🔼Норвежские власти временно запретили Facebook и Instagram (запрещены в РФ; принадлежат корпорации Meta, которая признана в РФ экстремистской) отслеживать личные данные пользователей с целью настройки таргетированной рекламы;

🔼Ошибочка вышла: как письма армии США направляются правительству Мали из-за опечатки в доменном суффиксе;

🔼Правительство США запускает программу по маркировке смарт-техники. По задумке: потребители будут знать о мерах кибербезопасности;

🔼Правительство США подало в суд на нью-йоркскую компанию Fluent за то, что она использовала вводящую в заблуждение рекламу и веб-сайты, чтобы заставить людей предоставить личную информацию и дать согласие на получение телемаркетинговых звонков;

🔼Японская PPC выдала автомобилестроительной корпорации Toyota руководство по обработке персональных данных;

🔼Японское национальное полицейское агентство приняло решение о внедрении камер видеонаблюдения, оснащенных ИИ, для усиления мер безопасности в отношении VIP-персон;

🔼Apple предполагает закрытие FaceTime и iMessage в Великобритании в виду изменения законодательства.

📍Автор: Карина, @Ka_Rina7

#PrivacyNews

ЧАСТЬ 2

🔵Преступления и наказания:

🔽В Челябинске директор школы заплатит штраф за отправку письма с персональными данными ученика;

🔽В Самарской области врач-патологоанатом признан виновным по ст. 290 УК РФ (получение взятки) - передавал ПДн умерших в компании по организации ритуальных услуг;

🔽Начался суд над подростком из Lapsus$, который хакнул Revolut и Uber в сентябре 2022 года;

🔽Мэрия Оренбурга опубликовала в газете «Вечерний Оренбург» личные данные участников публичных слушаний генплана;

🔽ВС РФ принял решение по спору между Роскомнадзором и СК "Арсеналъ": адрес электронной почты - НЕ ПД хотя мы аж дважды ошиблись, готовя пост, согласие на распространение - частный случай согласия на обработку.

🔵Следствие вели с РКН (и не только):

🔼Немецкие СМИ сообщают о появлении файла с данными 5600 клиентов платформы VirusTotal, среди которых были сотрудники АНБ США, немецких разведывательных служб и крупных немецких компаний;

🔼РКН проверит информацию об утечке образовательной платформы «Российская электронная школа»;

🔼РКН проводит проверку в связи с информацией о возможной утечке
персональных данных клиентов лабораторной службы "Хеликс", компания уверяет, что утечки не было;

🔼Результаты проведенных во 2 квартале 2023 года мероприятий без взаимодействия с контролируемыми лицами Управлением РКН по Калининградской области;

🔼Результаты проведенного мероприятия без взаимодействия с контролируемым лицом в отношении ООО Управляющая компания «№1» Управлением РКН по Республике Башкортостан (спойлер: нарушения есть).

🔵Немного статистики - грустной и не очень:

🔽Опрос компании "РТК-Солар" показал: малое количество организаций волнуется по поводу угрозы штрафов от регуляторов;

🔽За шесть месяцев 2023 года произошло 60 крупных утечек данных, содержащих 188,7 млн клиентских записей (содержащих уникальные клиентские e-mail или телефоны);

🔽По данным аналитического исследования InfoWatch: в других странах существенно большая часть краж данных уходит от внимания общественности.

🔵Почитать:

🔽Риелторы стали всё чаще запрашивать у продавцов квартир их кредитную историю;

🔽А техника все наступает: эксперты предупреждают о тайном сборе и передаче данных от офисной техники. Домашние роутеры не отстают;

🔽Глава MI6 рассказал, как и для чего Китай собирает личные данные
граждан других стран.


📍Автор: @Ka_Rina7