#ркн #пдн #152фз
Сессия вопросов/ответов:
⁃ на сайте должны быть размещены Политика обработки ПДн, Пользовательское соглашение (если предоставляете товары, услуги), условия использования сервисов (телеметрия, обратная связь);
⁃ При передаче ПДн работников внутри Группы компаний согласие должно быть в письменной форме. Одно согласие на все цели брать нельзя. При обработке ПДн работника: одна цель, одно согласие. Конкретные контрагенты должны быть указаны в согласии;
⁃ ИНН, СНИЛС и электронная почта - ПДн; сведения из доверенности не являются общедоступными;
⁃ Для субъектов (не работников, к примеру, клиентов) нет ограничений по количеству целей в согласии (если согласие не в письменной форме);
⁃ При обработке ПДн родственников работника в объеме, предусмотренном законодательством, согласие с родственников брать не требуется, в ином случае (при отсутствии других правовых оснований) - нужно;
⁃ В качестве срока в согласии можно указывать «при достижении цели»;
⁃ Провайдер облачных услуг осуществляет хранение ПДн на своих мощностях, поэтому договор поручения должен быть заключён; такой провайдер должен также подать уведомление в РКН
Сессия вопросов/ответов:
⁃ на сайте должны быть размещены Политика обработки ПДн, Пользовательское соглашение (если предоставляете товары, услуги), условия использования сервисов (телеметрия, обратная связь);
⁃ При передаче ПДн работников внутри Группы компаний согласие должно быть в письменной форме. Одно согласие на все цели брать нельзя. При обработке ПДн работника: одна цель, одно согласие. Конкретные контрагенты должны быть указаны в согласии;
⁃ ИНН, СНИЛС и электронная почта - ПДн; сведения из доверенности не являются общедоступными;
⁃ Для субъектов (не работников, к примеру, клиентов) нет ограничений по количеству целей в согласии (если согласие не в письменной форме);
⁃ При обработке ПДн родственников работника в объеме, предусмотренном законодательством, согласие с родственников брать не требуется, в ином случае (при отсутствии других правовых оснований) - нужно;
⁃ В качестве срока в согласии можно указывать «при достижении цели»;
⁃ Провайдер облачных услуг осуществляет хранение ПДн на своих мощностях, поэтому договор поручения должен быть заключён; такой провайдер должен также подать уведомление в РКН
#fines #gdpr
Где: Франция
Кого: SERGIC
Штраф: 400 000€, первоначальная сумма штрафа: 900 000€
Нарушение: не внедрены соответствующие меры защиты данных (отсутствие процедур аутентификации субъектов при доступе к документам), не определены сроки хранения ПДн; нарушения были выявлены на основании жалобы субъекта
Статьи: 5, 32
Источник: здесь, статья на английском, здесь
Где: Франция
Кого: SERGIC
Штраф: 400 000€, первоначальная сумма штрафа: 900 000€
Нарушение: не внедрены соответствующие меры защиты данных (отсутствие процедур аутентификации субъектов при доступе к документам), не определены сроки хранения ПДн; нарушения были выявлены на основании жалобы субъекта
Статьи: 5, 32
Источник: здесь, статья на английском, здесь
#caselaw #gdpr
Кто: Court of Justice of the EU
Участники: Fashion ID, Verbraucherzentrale NRW, Facebook Ireland
Правовая база: Directive 95/46/EC 2, 7, 10, 22-24, GDPR ст. 80, Directive 2002/58/EC, German law
Выводы:
- оператор веб-сайта, использующий на веб-сайте плагин соц сети, передающий данные о посетителе веб-сайта провайдеру такого плагина (владельцу соц сети), является оператором ПДн: Fashion ID и Facebook - совместные операторы ПДн.
Проще: если на сайте есть возможность поставить лайк, к примеру, от учетки в Facebook,(ваш браузер может передавать Facebook ваши данные: IP, техническую информацию браузера, а также, что вам понравилось), владелец веб-сайта и Facebook становятся совместными операторами ПДн (обращаю внимание, что подобный термин отсутствует в 152фз, а описанное решение действует в правовом поле ЕС);
- оператор веб-сайта должен обеспечить наличие правового основания (согласия) на обработку ПДн, для которых цели и средства обработки определяет оператор веб-сайта, также оператор веб-сайта должен проинформировать пользователя о такой обработке.
Проще: добавить в Политику информацию об этом процессе («лайках») и собирать согласия на «лайк».
Источник: здесь.
Статья Reuters, здесь
Кто: Court of Justice of the EU
Участники: Fashion ID, Verbraucherzentrale NRW, Facebook Ireland
Правовая база: Directive 95/46/EC 2, 7, 10, 22-24, GDPR ст. 80, Directive 2002/58/EC, German law
Выводы:
- оператор веб-сайта, использующий на веб-сайте плагин соц сети, передающий данные о посетителе веб-сайта провайдеру такого плагина (владельцу соц сети), является оператором ПДн: Fashion ID и Facebook - совместные операторы ПДн.
Проще: если на сайте есть возможность поставить лайк, к примеру, от учетки в Facebook,(ваш браузер может передавать Facebook ваши данные: IP, техническую информацию браузера, а также, что вам понравилось), владелец веб-сайта и Facebook становятся совместными операторами ПДн (обращаю внимание, что подобный термин отсутствует в 152фз, а описанное решение действует в правовом поле ЕС);
- оператор веб-сайта должен обеспечить наличие правового основания (согласия) на обработку ПДн, для которых цели и средства обработки определяет оператор веб-сайта, также оператор веб-сайта должен проинформировать пользователя о такой обработке.
Проще: добавить в Политику информацию об этом процессе («лайках») и собирать согласия на «лайк».
Источник: здесь.
Статья Reuters, здесь
Reuters
Companies using Facebook 'Like' button liable for data: EU court
BRUSSELS (Reuters) - Companies that embed Facebook’s “Like” button on their websites must seek users’ consent to transfer their personal data to the U.S. social network, in line with the bloc’s data privacy laws, Europe’s top court said on Monday.
#materials #152фз
Опубликованы проекты о внесении изменений в 152-ФЗ для общественного обсуждения:
- в части уточнения требований к уничтожению ПДн;
- в части уточнения требований при обезличивании ПДн
Опубликованы проекты о внесении изменений в 152-ФЗ для общественного обсуждения:
- в части уточнения требований к уничтожению ПДн;
- в части уточнения требований при обезличивании ПДн
#privacy #cybersecurity
Интересная статья про прослушку через мобильный телефон с примерами из жизни, здесь
Интересная статья про прослушку через мобильный телефон с примерами из жизни, здесь
Telegraph
У стен есть уши. Правда или миф, что смартфоны нас подслушивают?
Многократно слышал истории про то, что кто-то поболтал с другом о чем-то, а потом бах — смартфон показывает рекламу как раз про это. Бывают не очень удивительные попадания. Например, коллега утверждает, что не искала свадебные платья, хоть и собиралась замуж…
#events #privacy #gdpr
Ежегодная конференция IAPP, крупнейшее Privacy-событие в Европе. Рекомендую для посещения
Когда: 20-21 ноября 2019
Где: Брюссель
Тема: IAPP Europe Data Protection Congress
Стоимость: 1 500€
Регистрация: здесь
Ежегодная конференция IAPP, крупнейшее Privacy-событие в Европе. Рекомендую для посещения
Когда: 20-21 ноября 2019
Где: Брюссель
Тема: IAPP Europe Data Protection Congress
Стоимость: 1 500€
Регистрация: здесь
iapp.org
The International Association of Privacy Professionals: Policy neutral, we are the world’s largest information privacy organization.
#news #materials #gdpr
Источник: Алексей Мунтян
Международной организацией по стандартизации (ISO) 06.08.2019 был опубликован стандарт 27701:2019 «Методы обеспечения безопасности. Расширение до ISO/IEC 27001 и ISO/IEC 27002 по управлению персональными данными. Требования и руководящие указания» (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines).
В стандарте описано руководство по созданию, внедрению, поддержанию и постоянному совершенствованию Системы управления персональными данными (Privacy Information Management System - PIMS) в контексте организации. Стандарт определяет требования, связанные с PIMS, и формулирует правила для операторов (controllers) и обработчиков (processors) в отношении обработки персональных данных.
Опубликованный стандарт применяется в комплексе с другими международными стандартами ISO/IEC:
- 29100:2018. Концепция защиты персональных данных;
- 29101:2018. Концепция архитектуры, обеспечивающей защиту персональных данных;
- 29134:2017. Оценка воздействия на неприкосновенность частной жизни;
- 29151:2017. Свод практики по защите персональных данных;
- 29190:2015. Оценка способности обеспечить неприкосновенность частной жизни;
- 27017:2015. Защита персональных данных при предоставлении облачных услуг;
- 20889:2018. Обезличивание персональных данных.
Источник: Алексей Мунтян
Международной организацией по стандартизации (ISO) 06.08.2019 был опубликован стандарт 27701:2019 «Методы обеспечения безопасности. Расширение до ISO/IEC 27001 и ISO/IEC 27002 по управлению персональными данными. Требования и руководящие указания» (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines).
В стандарте описано руководство по созданию, внедрению, поддержанию и постоянному совершенствованию Системы управления персональными данными (Privacy Information Management System - PIMS) в контексте организации. Стандарт определяет требования, связанные с PIMS, и формулирует правила для операторов (controllers) и обработчиков (processors) в отношении обработки персональных данных.
Опубликованный стандарт применяется в комплексе с другими международными стандартами ISO/IEC:
- 29100:2018. Концепция защиты персональных данных;
- 29101:2018. Концепция архитектуры, обеспечивающей защиту персональных данных;
- 29134:2017. Оценка воздействия на неприкосновенность частной жизни;
- 29151:2017. Свод практики по защите персональных данных;
- 29190:2015. Оценка способности обеспечить неприкосновенность частной жизни;
- 27017:2015. Защита персональных данных при предоставлении облачных услуг;
- 20889:2018. Обезличивание персональных данных.