По просьбе трудящихся делюсь основными цифрами из отчета на 2018 год:
- 61% респондентов - счастливые обладатели сертификатов CIPP
- В 43% компаний функцию Privacy выполняют юристы, в 19% - спецы по ИБ и комплаенс специалисты, 11% - работники ИТ
- 63% Privacy специалистов тратят весь рабочий день на задачи по защите данных
- 78% Privacy специалистов отчитываются напрямую перед руководством компании: 83% респондентов отрапортовали по гдпр-темам, а 68% - рассказали об утечках данных
- 75% опрошенных назначили DPO при этом в 45% организаций более одного DPO, у 27% DPO есть работники, выделенные под Privacy задачи
- Затраты респондентов на Privacy составили $2.1m в 2017 году и $1m в 2018 году, при этом 65% считают, что денег недостаточно
- Только 44% компаний, попадающих под гдпр, уверены в соответсвии требованиям гдпр
- А вот 19% респондентов считают, что никогда не достигнут полного соответствия требованиям гдпр
- 79% компаний тратят бюджет на обучение работников
- Только 8% компаний, попадающих под гдпр, уведомили регулятора о наличии высокорискованных операций по обработке ПДн, а 16% уведомили регулятора об утечках ПДн
- 93% организаций считают себя операторами, 69% - обработчиками ПДн (P.S. одна компания может быть как оператором ПДн, так и обработчиком одновременно)
- 93% компаний полагаются на условия договоров при привлечении обработчиков ПДн, 51% требуют от обработчиков проведения внешнего аудита
- Среди сертификаций популярны: ISO 27001 - 42%, PCI - 26%, SOC 2 Privacy - 31%, ISO 27002 - 21%
- 89% компаний передают ПДн зарубеж на основании Standard Contractual Clauses, 41% - на оснований согласий субъектов ПДн и только 28% - по BCR

Спасибо огромное коллегам из EY и IAPP за столь полезное исследование!

DLA Piper предлагают онлайн версию материалов по Privacy законодательству в странах мира https://www.dlapiperdataprotection.com

Privacy нынче в тренде:) https://ria.ru/society/20181203/1539352537.html

Инциденты на неделе: Marriott, Dell, Московская канатная дорога, Германия и снова США https://www.securitylab.ru/news/496780.php

Трекинг разработки НПА стран ЕС во исполнение требований гдпр от Nymity https://blog.nymity.com/blog/tracking-the-gdpr-how-to-keep-up-with-national-law-developments?utm_campaign=GDPR%20General%20Drip%20Campaign&utm_medium=email&_hsenc=p2ANqtz--4yGTLp5iCE7Nm_l7V_7f1BoHRQiIeRpqT55_rD2OU_7a55iAzwNdBdpOC5gpEzvZ9-gAiF8xBDw8OmgJ464b0QRRp0g&_hsmi=66105661&utm_content=66105661&utm_source=hs_automation&hsCtaTracking=d743a95d-ffb8-429b-89a2-d917ec9e4131%7C0b34d361-efee-4bef-aa1a-24b3ec246665

Про штрафы по GDPR:
1. Австрия, 4 800€. Штраф был наложен DSB (австрийский ркн) на предпринимателя, установившего камеру видеонаблюдения снаружи своего офиса без предупреждения о видеозаписи. В область обзора камеры попадали также публичные места (соседние улицы). Нарушения: обработка ПДн субъектов велась без наличия правового основания, субъекты не были уведомлены об обработке ПДн.
2. Португалия. 400 00€. Штраф был наложен CNPD (португальский ркн) на госпиталь, не ограничивший доступ своих работников к ПДн субъектов. Нарушения: отсутствие соответствующих организационных и технических мер для защиты специальных категорий ПДн (отсутствие контроля доступа).
3. Германия, 20 000€. Штраф был наложен LfDI (один из немецких ркн) на компанию-владельца социальной сети Knuddels.de DS-GVO, хранящую пароли пользователей в незашифрованном виде, что было причиной утечки ПДн в сентябре этого года. Нарушение: отсутствие соответствующих организационных и технических мер для защиты ПДн (отсутствие шифрования/псевдонимизации данных). Статья: 32(1). Детальней https://iapp.org/news/a/germanys-first-fine-under-the-gdpr-offers-enforcement-insights/ и первоисточник https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/
Это был открытый кейс, поэтому информации в сети по нему достаточно.
Информацию о штрафах (известные: Uber, Facebook, Heathrow airport) от ICO из UK по локальному з-ву ПДн можно найти здесь https://ico.org.uk/action-weve-taken/enforcement/

Marriott оплатит пострадавшим от утечки ПДн издержки за замену паспортов https://www.usatoday.com/story/travel/hotels/2018/12/06/marriott-pay-new-passports-guests-after-data-breach/2224519002/

Data subject rights handbook by NYMITY

С позволения автора, Алексея Мунтяна, пересылаю презентацию по GDPR. На мой взгляд, эта презентация - настольная книга по гдпр, там можно найти ответы на большинство вопросов

Чек-лист по гдпр для SME

ПДн в UK, или есть ли жизнь после Brexit?
Великобритания выходит из состава ЕС в марте 2019 года. Что делать бизнесу в UK?
1. На сайте европейской комиссии (https://ec.europa.eu/commission/files/draft-agreement-withdrawal-united-kingdom-great-britain-and-northern-ireland-european-union-and-european-atomic-energy-community-agreed-negotiators-level-14-november-2018_en) опубликован проект соглашения о выходе UK из состава ЕС, согласно которому в переходный период (до 31 декабря 2020 года, период закреплён в ст.126) положения гдпр будут распространяться на UK (ст. 67).
2. После выхода UK из состава ЕС UK будет относиться к third countries, при этом UK не признана европейской комиссией страной, обеспечивающей адекватный уровень защиты ПДн. Поэтому после марта 2019 года передача ПДн из ЕС в UK будет осуществляться на основании статей 46 и 49 гдпр.
3. ICO опубликовал руководства для бизнеса из UK по обработке ПДн после Brexit:
- инфографика https://ico.org.uk/media/for-organisations/documents/2553958/leaving-the-eu-six-steps-to-take.pdf
- детальное руководство https://ico.org.uk/for-organisations/data-protection-and-brexit/data-protection-if-there-s-no-brexit-deal/
- FAQ https://ico.org.uk/for-organisations/data-protection-and-brexit/information-rights-and-brexit-frequently-asked-questions/
4. При этом в UK действует локальный закон по обработке и защите ПДн - Data Protection act 2018 (http://www.legislation.gov.uk/ukpga/2018/12/contents/enacted), который будет актуален и после Brexit, несмотря на то, что документ ссылается на гдпр

Мораль: до 2021 года организации в UK должны выполнять требования GDPR и Data Protection Act + следить после Brexit за решением комиссии в части трансграничной передачи. А после: подход, как и для организаций из РФ: локальное з-во и экстерриториальные требования гдпр

*есть, что добавить, пишите в лс, опубликую с сохранением авторства

Не про ПДн, но про ркн https://rkn.gov.ru/news/rsoc/news64046.htm

VPN теперь можно не выключать, раз ркн нацелился на Twitter и Facebook https://ria.ru/20181211/1547795880.html