#fines #gdpr
Где: Франция
Кого: SERGIC
Штраф: 400 000€, первоначальная сумма штрафа: 900 000€
Нарушение: не внедрены соответствующие меры защиты данных (отсутствие процедур аутентификации субъектов при доступе к документам), не определены сроки хранения ПДн; нарушения были выявлены на основании жалобы субъекта
Статьи: 5, 32
Источник: здесь, статья на английском, здесь
Где: Франция
Кого: SERGIC
Штраф: 400 000€, первоначальная сумма штрафа: 900 000€
Нарушение: не внедрены соответствующие меры защиты данных (отсутствие процедур аутентификации субъектов при доступе к документам), не определены сроки хранения ПДн; нарушения были выявлены на основании жалобы субъекта
Статьи: 5, 32
Источник: здесь, статья на английском, здесь
#caselaw #gdpr
Кто: Court of Justice of the EU
Участники: Fashion ID, Verbraucherzentrale NRW, Facebook Ireland
Правовая база: Directive 95/46/EC 2, 7, 10, 22-24, GDPR ст. 80, Directive 2002/58/EC, German law
Выводы:
- оператор веб-сайта, использующий на веб-сайте плагин соц сети, передающий данные о посетителе веб-сайта провайдеру такого плагина (владельцу соц сети), является оператором ПДн: Fashion ID и Facebook - совместные операторы ПДн.
Проще: если на сайте есть возможность поставить лайк, к примеру, от учетки в Facebook,(ваш браузер может передавать Facebook ваши данные: IP, техническую информацию браузера, а также, что вам понравилось), владелец веб-сайта и Facebook становятся совместными операторами ПДн (обращаю внимание, что подобный термин отсутствует в 152фз, а описанное решение действует в правовом поле ЕС);
- оператор веб-сайта должен обеспечить наличие правового основания (согласия) на обработку ПДн, для которых цели и средства обработки определяет оператор веб-сайта, также оператор веб-сайта должен проинформировать пользователя о такой обработке.
Проще: добавить в Политику информацию об этом процессе («лайках») и собирать согласия на «лайк».
Источник: здесь.
Статья Reuters, здесь
Кто: Court of Justice of the EU
Участники: Fashion ID, Verbraucherzentrale NRW, Facebook Ireland
Правовая база: Directive 95/46/EC 2, 7, 10, 22-24, GDPR ст. 80, Directive 2002/58/EC, German law
Выводы:
- оператор веб-сайта, использующий на веб-сайте плагин соц сети, передающий данные о посетителе веб-сайта провайдеру такого плагина (владельцу соц сети), является оператором ПДн: Fashion ID и Facebook - совместные операторы ПДн.
Проще: если на сайте есть возможность поставить лайк, к примеру, от учетки в Facebook,(ваш браузер может передавать Facebook ваши данные: IP, техническую информацию браузера, а также, что вам понравилось), владелец веб-сайта и Facebook становятся совместными операторами ПДн (обращаю внимание, что подобный термин отсутствует в 152фз, а описанное решение действует в правовом поле ЕС);
- оператор веб-сайта должен обеспечить наличие правового основания (согласия) на обработку ПДн, для которых цели и средства обработки определяет оператор веб-сайта, также оператор веб-сайта должен проинформировать пользователя о такой обработке.
Проще: добавить в Политику информацию об этом процессе («лайках») и собирать согласия на «лайк».
Источник: здесь.
Статья Reuters, здесь
Reuters
Companies using Facebook 'Like' button liable for data: EU court
BRUSSELS (Reuters) - Companies that embed Facebook’s “Like” button on their websites must seek users’ consent to transfer their personal data to the U.S. social network, in line with the bloc’s data privacy laws, Europe’s top court said on Monday.
#materials #152фз
Опубликованы проекты о внесении изменений в 152-ФЗ для общественного обсуждения:
- в части уточнения требований к уничтожению ПДн;
- в части уточнения требований при обезличивании ПДн
Опубликованы проекты о внесении изменений в 152-ФЗ для общественного обсуждения:
- в части уточнения требований к уничтожению ПДн;
- в части уточнения требований при обезличивании ПДн
#privacy #cybersecurity
Интересная статья про прослушку через мобильный телефон с примерами из жизни, здесь
Интересная статья про прослушку через мобильный телефон с примерами из жизни, здесь
Telegraph
У стен есть уши. Правда или миф, что смартфоны нас подслушивают?
Многократно слышал истории про то, что кто-то поболтал с другом о чем-то, а потом бах — смартфон показывает рекламу как раз про это. Бывают не очень удивительные попадания. Например, коллега утверждает, что не искала свадебные платья, хоть и собиралась замуж…
#events #privacy #gdpr
Ежегодная конференция IAPP, крупнейшее Privacy-событие в Европе. Рекомендую для посещения
Когда: 20-21 ноября 2019
Где: Брюссель
Тема: IAPP Europe Data Protection Congress
Стоимость: 1 500€
Регистрация: здесь
Ежегодная конференция IAPP, крупнейшее Privacy-событие в Европе. Рекомендую для посещения
Когда: 20-21 ноября 2019
Где: Брюссель
Тема: IAPP Europe Data Protection Congress
Стоимость: 1 500€
Регистрация: здесь
iapp.org
The International Association of Privacy Professionals: Policy neutral, we are the world’s largest information privacy organization.
#news #materials #gdpr
Источник: Алексей Мунтян
Международной организацией по стандартизации (ISO) 06.08.2019 был опубликован стандарт 27701:2019 «Методы обеспечения безопасности. Расширение до ISO/IEC 27001 и ISO/IEC 27002 по управлению персональными данными. Требования и руководящие указания» (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines).
В стандарте описано руководство по созданию, внедрению, поддержанию и постоянному совершенствованию Системы управления персональными данными (Privacy Information Management System - PIMS) в контексте организации. Стандарт определяет требования, связанные с PIMS, и формулирует правила для операторов (controllers) и обработчиков (processors) в отношении обработки персональных данных.
Опубликованный стандарт применяется в комплексе с другими международными стандартами ISO/IEC:
- 29100:2018. Концепция защиты персональных данных;
- 29101:2018. Концепция архитектуры, обеспечивающей защиту персональных данных;
- 29134:2017. Оценка воздействия на неприкосновенность частной жизни;
- 29151:2017. Свод практики по защите персональных данных;
- 29190:2015. Оценка способности обеспечить неприкосновенность частной жизни;
- 27017:2015. Защита персональных данных при предоставлении облачных услуг;
- 20889:2018. Обезличивание персональных данных.
Источник: Алексей Мунтян
Международной организацией по стандартизации (ISO) 06.08.2019 был опубликован стандарт 27701:2019 «Методы обеспечения безопасности. Расширение до ISO/IEC 27001 и ISO/IEC 27002 по управлению персональными данными. Требования и руководящие указания» (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines).
В стандарте описано руководство по созданию, внедрению, поддержанию и постоянному совершенствованию Системы управления персональными данными (Privacy Information Management System - PIMS) в контексте организации. Стандарт определяет требования, связанные с PIMS, и формулирует правила для операторов (controllers) и обработчиков (processors) в отношении обработки персональных данных.
Опубликованный стандарт применяется в комплексе с другими международными стандартами ISO/IEC:
- 29100:2018. Концепция защиты персональных данных;
- 29101:2018. Концепция архитектуры, обеспечивающей защиту персональных данных;
- 29134:2017. Оценка воздействия на неприкосновенность частной жизни;
- 29151:2017. Свод практики по защите персональных данных;
- 29190:2015. Оценка способности обеспечить неприкосновенность частной жизни;
- 27017:2015. Защита персональных данных при предоставлении облачных услуг;
- 20889:2018. Обезличивание персональных данных.
#materials #fines #gdpr
Полезный сайт с актуальной информацией о штрафах по GDPR, здесь
Источник: Ксения Карпова
Полезный сайт с актуальной информацией о штрафах по GDPR, здесь
Источник: Ксения Карпова
Enforcementtracker
GDPR Enforcement Tracker - list of GDPR fines
List and overview of fines and penalties under the EU General Data Protection Regulation (GDPR, DSGVO)
#news #privacy
Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили,
здесь
Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили,
здесь
Telegraph
r/AskReddit. Часть 82
Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили Уже ни для кого не секрет, что Гугл складирует огромное количество информации…
#news #privacy
Банк России привлек две кредитные организации — «Открытие» и Промсвязьбанк (ПСБ) — к ответственности за незаконное получение информации о клиентах из бюро кредитный историй (БКИ). Ранее на подобных нарушениях банки так часто не попадались. За получение кредитного отчета без согласия клиентов «Открытие» и ПСБ получили лишь штраф в размере 30–50 тыс. руб, подробнее здесь
Банк России привлек две кредитные организации — «Открытие» и Промсвязьбанк (ПСБ) — к ответственности за незаконное получение информации о клиентах из бюро кредитный историй (БКИ). Ранее на подобных нарушениях банки так часто не попадались. За получение кредитного отчета без согласия клиентов «Открытие» и ПСБ получили лишь штраф в размере 30–50 тыс. руб, подробнее здесь
Коммерсантъ
Банки проникли в истории
ЦБ начал привлекать банки к административной ответственности за незаконное получение кредитных историй физлиц без их согласия. Действующее законодательство предполагает за такое правонарушение лишь незначительный штраф. Поэтому на нормативном уровне нужны…
#fines #gdpr
Где: Греция
Кого: PwC
Штраф: 150 000€ может быть наложен, если оператор не выполнит предписание регулятора
Нарушение: обработка ПДн работников на основании согласия, в то время как в качестве правового основания надо было использовать исполнение обязанностей оператора, требований законодательства и законного интереса оператора. При этом оператор предоставил субъектам неверную информацию в части правового основания обработки ПДн. Также оператор не предоставил регулятору доказательства проведённой оценки по выбору соответствующего правового основания для обработки ПДн работников, что нарушило принцип accountability.
Статьи: 5, 6, 13, 14
Где: Греция
Кого: PwC
Штраф: 150 000€ может быть наложен, если оператор не выполнит предписание регулятора
Нарушение: обработка ПДн работников на основании согласия, в то время как в качестве правового основания надо было использовать исполнение обязанностей оператора, требований законодательства и законного интереса оператора. При этом оператор предоставил субъектам неверную информацию в части правового основания обработки ПДн. Также оператор не предоставил регулятору доказательства проведённой оценки по выбору соответствующего правового основания для обработки ПДн работников, что нарушило принцип accountability.
Статьи: 5, 6, 13, 14
#fines #gdpr
Где: Румыния
Кого: UTTIS INDUSTRIES SRL
Штраф: 2 500€
Нарушение: оператор не информировал субъектов о процессах обработки ПДн (видеонаблюдении), доказательства такого информирования не были предоставлены регулятору. Также оператор разгласил сведения о работниках (CNP) без правового основания.
Статьи: 5, 6, 12, 13
Где: Румыния
Кого: UTTIS INDUSTRIES SRL
Штраф: 2 500€
Нарушение: оператор не информировал субъектов о процессах обработки ПДн (видеонаблюдении), доказательства такого информирования не были предоставлены регулятору. Также оператор разгласил сведения о работниках (CNP) без правового основания.
Статьи: 5, 6, 12, 13