#fines #gdpr

Где: UK
Кого: Marriott
Штраф: 99M фунт, notice
Нарушение: утечка ПДн вследствие инцидента ИБ (339m клиентов из 31 страны) по вине Marriott
Статьи: 25, 32
Источник: здесь

#news #152фз

РКН потребует у Ozon разъяснений по поводу утечки данных пользователей, здесь

#materials #gdpr #applicability

Подготовили совместно с Алексеем Мунтяном схему по применимости гдпр. Надеюсь, пригодится;)

#news #edpb #gdpr

Очередная пленарная сессия EDPB завершилась, ключевые итоги следующие:

- руководство по использованию систем видеонаблюдения с учетом требований GDPR будет доступно для публичного обсуждения (прим. пока документ не опубликован). Отмечу, что в некоторых странах ЕС определены требования к видеонаблюдению, но они носят точечный характер (например, уведомление профсоюза при осуществлении видеонаблюдения на основании законного интереса в Румынии)

- EDPB подготовил заключение для Standard Contractual Clauses для обработчиков ПДн (ст 28 гдпр), разработанные датским ркн. Это первая рамка для обработчиков. Если Дания исправит недочёты, SCCp можно будет использовать.

- EDPB принял решение о том, что должны быть определены аккредитованные органы, ответственные за мониторинг исполнения Кодексов Поведения (Code of Conduct).

- в случае перемещения основного учреждения в другую страну ведущий контролирующий орган может также измениться.

- EDPB подготовил заключения по перечню процессов, для которых нужен DPIA (Кипр), а также для которых DPIA не нужен (Франция, Испания, Чехия)

Вышеупомянутые документы скоро будут доступны на сайте EDPB, здесь

Также есть следующие полезные ресурсы с анализом локального з-ва по ПДн:

https://www.mofo.com/privacy-library/

http://www.worldlii.org/int/special/privacy/

https://iapp.org/resources/article/gdpr-genius/

https://iclg.com/practice-areas/data-protection-laws-and-regulations

​​#events #privacy #gdpr #152фз

Когда: 07 ноября 2019
Где: Москва
Тема: Конференция «Защита ПДн» при поддержке РКН
Стоимость: 13 500руб.
Регистрация: здесь

#news #privacy

А это законно?!
«Система и способ определения дохода пользователя мобильного устройства» - новое, запатентованное изобретение Яндекса. Данные о пользователях компания, как отмечено в патенте, может собирать с помощью «Яндекс.Такси», Google.Maps, «Яндекс.Карты», «Яндекс.Почта», Uber, «Яндекс.Поиск», «Яндекс.Деньги», Gmail и других. Анализ соответствующих данных, в том числе GPS, окружающих звуков, характера и частоты использования приложений, по мнению аналитиков Яндекса, даст возможность определить заработок пользователя.

Источник: @proeconomics

Сами документы можно найти здесь: https://edpb.europa.eu/news/news_en

#privacy #materials #gdpr

ICO опубликовал проект Data Sharing Code of Practice, здесь

#cybersecurity

Помните историю с передачей собственности на квартиру с использованием квалифицированной ЭП? Есть неплохой разбор на Хабре, здесь

Далее была масса публикаций на тему того, что нужно сходить в МФЦ/Росреестр и написать заявление на отказ совершения любых операций с недвижимостью без личного присутствия. Но здесь и вопрос, является ли использование ЭП таким личным присутствием? К сожалению, необходимая законодательная база, дающая уверенность в этом, отсутствует.

Для каких квартир провести такую аферу затруднительно:
- защищены ипотечные квартиры, тк находятся в обременении (любую сделку с недвижкой нужно будет согласовать с банком)
- квартиры в сособственности (любую сделку нужно согласовать с каждым собственником)
- квартиры, собственность на которые была оформлена в браке (любую сделку нужно согласовать с супругом/супругой, необходимо заверенное нотариально согласие).

К сожалению, скан паспорта на рынке стоит около 200р, а некоторые аккредитованные УЦ могут выдать ЭП только по скану (также не исключаем сговор), поэтому лично для меня риск выпуска ЭП на мое имя без моего ведома (а отправлять запрос в каждый УЦ я не буду с целью проверки) высокий.

Уважаемые читатели, мне важно Ваше мнение, если есть идеи, пишите в лс.

​​#materials #ePrivacy

Европейская Комиссия опубликовала изменения к проекту Privacy and Electronic Communications Regulations (PECR) дабы учесть требования GDPR, здесь

Ключевые изменения:

- расширение применимости: покрывает интернет- пространство (электронную почту, приложения, сервисы мгновенных сообщений, IoT);

- добавлены положения о cookies: пользователи могут согласиться с использованием определенных типов cookies, добавив провайдера в разрешённый список (whitelist), рекомендуется обновлять согласия раз в год;

- добавлены специальные правила по обработке ПДн: будет требоваться согласие пользователя на хранение информации , включая ПДн, на пользовательских устройствах и на доступ к такой информации; а также правила, ограничивающие обработку данных о трафике пользователей;

- штрафы аналогичны указанным в гдпр.

Сам Проект, здесь.

Выжимка, любимая статья 3:

Territorial scope and representative
1. This Regulation applies to:
(a) the provision of electronic communications services to end-users in the Union, irrespective of whether a payment of the end-user is required;
(b) the use of such services;
(c) the protection of information related to the terminal equipment of end-users located in the Union.
2. Where the provider of an electronic communications service is not established in the Union it shall designate in writing a representative in the Union.

Ходят слухи, что в 2020 все-таки утвердят Регламент.

#fines #gdpr

Где: Голландия
Кого: Haga Hospital
Штраф: 460 000 евро
Нарушение: работники госпиталя незаконно получили доступ к данным знаменитости
Статьи: 25, 32
Источник: здесь

Если госпиталь не устранит выявленные нарушения, дополнительно будет выписан штраф в размере 100 000 евро за каждые две недели просрочки (максимум, 300 000 евро)

#materials #gdpr #CCTV

Ключевые моменты Руководства EDPB по обработке ПДн с использованием средств видеонаблюдения, опубликовано здесь

- ПДн (видеозаписи), которые используются для распознавания лиц, относятся к биометрическим данным (прим. что и следует из определения); но сама видеозапись без программных накруток к биометрии не относится; для определения принадлежности к биометрии следует учитывать: природу данных, средства и цели обработки;

- видеонаблюдение можно использовать, если другими средствами, оказывающими меньшее влияние на права и свободы субъекта, цель обработки ПДн не может быть достигнута;

- видеонаблюдение в рамках домашней деятельности за скоупом GDPR, если не осуществляется съемка общедоступных мест, в противном случае - под регулированием (причём за это уже штрафовали в Австрии); здесь стоит отметить, что при определении подпадает ли такая деятельность под исключение или нет, следует учесть взаимоотношения с субъектами наблюдения, частоту наблюдения, влияние на субъектов;

- цели видеонаблюдения должны быть определены для каждой камеры и задокументированы, субъекты должны быть уведомлены о целях видеонаблюдения;

- чаще всего правовыми основаниями для видеонаблюдения являются: законный интерес оператора (legitimate interest), необходимость выполнения общественных задач, а также исполнение требований законодательства (к примеру, в сфере ИБ); согласие следует использовать в случае исключения; (прим. для основания «законный интерес» необходимо провести оценку);

- не забываем про принцип минимизации данных: следует ограничить срок хранения записей, область наблюдения;

- Attention! Раскрытие ПДн третьим лицам - это отдельный процесс по обработке ПДн, для которого должно быть правовое основание;

- видеозаписи могут относиться к спец категориям в зависимости от контекста: например, запись участников партийного съезда (политические взгляды), запись пациентов с целью мониторинга здоровья (сведения о здоровье);

- в руководстве также представлены рекомендации по обработке биометрии: раздельное хранение шаблонов (отпечатков) от получаемых данных, шифрование, гарантированное уничтожение raw data (фотографий лиц, записей голоса).

Продолжение следует...

#news #cybersecurity

Приняты законы, регулирующие использование гражданами техсредств для тайного сбора информации, здесь.

Из‑под действий статей УК и КоАП выводятся «находящиеся в свободном обороте приборы, системы, комплексы, устройства, инструменты бытового назначения, обладающие функциями аудиозаписи, видеозаписи, фотофиксации и (или) геолокации, с открыто расположенными на них органами управления». 

Это GPS-трекеры, устройства со встроенной видеокамерой.

Продолжим:

- при исполнении права субъекта на доступ к видеозаписям следует учитывать, что такие действия не должны влиять на права других субъектов; к примеру, на видео могут присутствовать другие люди, в таком случае оператор должен внедрять технические меры для выполнения запроса на доступ к данным (редактирование записи «размытие»);

- оператор должен определить методы идентификации субъекта для выполнения его запросов, в случае, если оператор не может однозначно определить субъекта, субъект должен доказать оператору, что находился в указанное время в указанном месте мониторинга;

- замазывание картинки в видеозаписи после чего невозможно восстановить данные субъекта можно отнести к удалению ПДн;

- уведомление о видеонаблюдении (transparency, information obligation) рекомендуется делать многоуровневым:
1. предупреждающие знаки, установленные за границами зоны мониторинга, чтобы субъект мог оценить зону, с указанием: целей обработки ПДн, инф об операторе, прав субъекта, влияния такой обработки на субъекта, правового основания обработки, контактов DPO, инф о передаче ПДн третьим лицам, сроков хранения ПДн и ссылки на политику обработки ПДн (веб-сайт, QR код, номер телефона);
2. политика обработки ПДн: вся инф, требуемая ст.13 гдпр;

- рекомендуется хранить видеозаписи не более 2х дней (в целях противодействия вандализму);

- в технической спецификации на систему видеонаблюдения должны быть учтены принципы обработки ПДн;

- функции средств видеонаблюдения, не используемые для достижения целей обработки ПДн, необходимо деактивировать.

#news #РКН #152фз

Цифры от РКН, здесь:

- 25 000 обращений получено за первую половину 2019г,

- что на 44% больше аналогичного периода в 2018г,

- только 7,6% случаев нарушений подтверждено РКН,

- больше всего получено жалоб на кредитные учреждения, организации ЖКХ, владельцев сайтов и коллекторских агентств

Федеральная торговая комиссия США оштрафовала Facebook на рекордные в своей истории $5 млрд из-за проблем с защитой пользователей и утечек данных.

Сумма штрафа равна среднему доходу Facebook за месяц

vc.ru/social/76678

​​#materials #databreach

Ежегодное исследование IBM о влиянии утечек данных на бизнес компании, здесь

Стоимость утечки для компании выросла на 12% за последние 5 лет и стоит в среднем 3.92m$

#ркн #пдн #152фз

Меры административного воздействия, принятые РКН в отношении операторов ПДн