#events #privacy #gdpr
Ежегодная конференция IAPP, крупнейшее Privacy-событие в Европе. Рекомендую для посещения
Когда: 20-21 ноября 2019
Где: Брюссель
Тема: IAPP Europe Data Protection Congress
Стоимость: 1 500€
Регистрация: здесь
Ежегодная конференция IAPP, крупнейшее Privacy-событие в Европе. Рекомендую для посещения
Когда: 20-21 ноября 2019
Где: Брюссель
Тема: IAPP Europe Data Protection Congress
Стоимость: 1 500€
Регистрация: здесь
iapp.org
The International Association of Privacy Professionals: Policy neutral, we are the world’s largest information privacy organization.
#news #materials #gdpr
Источник: Алексей Мунтян
Международной организацией по стандартизации (ISO) 06.08.2019 был опубликован стандарт 27701:2019 «Методы обеспечения безопасности. Расширение до ISO/IEC 27001 и ISO/IEC 27002 по управлению персональными данными. Требования и руководящие указания» (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines).
В стандарте описано руководство по созданию, внедрению, поддержанию и постоянному совершенствованию Системы управления персональными данными (Privacy Information Management System - PIMS) в контексте организации. Стандарт определяет требования, связанные с PIMS, и формулирует правила для операторов (controllers) и обработчиков (processors) в отношении обработки персональных данных.
Опубликованный стандарт применяется в комплексе с другими международными стандартами ISO/IEC:
- 29100:2018. Концепция защиты персональных данных;
- 29101:2018. Концепция архитектуры, обеспечивающей защиту персональных данных;
- 29134:2017. Оценка воздействия на неприкосновенность частной жизни;
- 29151:2017. Свод практики по защите персональных данных;
- 29190:2015. Оценка способности обеспечить неприкосновенность частной жизни;
- 27017:2015. Защита персональных данных при предоставлении облачных услуг;
- 20889:2018. Обезличивание персональных данных.
Источник: Алексей Мунтян
Международной организацией по стандартизации (ISO) 06.08.2019 был опубликован стандарт 27701:2019 «Методы обеспечения безопасности. Расширение до ISO/IEC 27001 и ISO/IEC 27002 по управлению персональными данными. Требования и руководящие указания» (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines).
В стандарте описано руководство по созданию, внедрению, поддержанию и постоянному совершенствованию Системы управления персональными данными (Privacy Information Management System - PIMS) в контексте организации. Стандарт определяет требования, связанные с PIMS, и формулирует правила для операторов (controllers) и обработчиков (processors) в отношении обработки персональных данных.
Опубликованный стандарт применяется в комплексе с другими международными стандартами ISO/IEC:
- 29100:2018. Концепция защиты персональных данных;
- 29101:2018. Концепция архитектуры, обеспечивающей защиту персональных данных;
- 29134:2017. Оценка воздействия на неприкосновенность частной жизни;
- 29151:2017. Свод практики по защите персональных данных;
- 29190:2015. Оценка способности обеспечить неприкосновенность частной жизни;
- 27017:2015. Защита персональных данных при предоставлении облачных услуг;
- 20889:2018. Обезличивание персональных данных.
#materials #fines #gdpr
Полезный сайт с актуальной информацией о штрафах по GDPR, здесь
Источник: Ксения Карпова
Полезный сайт с актуальной информацией о штрафах по GDPR, здесь
Источник: Ксения Карпова
Enforcementtracker
GDPR Enforcement Tracker - list of GDPR fines
List and overview of fines and penalties under the EU General Data Protection Regulation (GDPR, DSGVO)
#news #privacy
Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили,
здесь
Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили,
здесь
Telegraph
r/AskReddit. Часть 82
Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили Уже ни для кого не секрет, что Гугл складирует огромное количество информации…
#news #privacy
Банк России привлек две кредитные организации — «Открытие» и Промсвязьбанк (ПСБ) — к ответственности за незаконное получение информации о клиентах из бюро кредитный историй (БКИ). Ранее на подобных нарушениях банки так часто не попадались. За получение кредитного отчета без согласия клиентов «Открытие» и ПСБ получили лишь штраф в размере 30–50 тыс. руб, подробнее здесь
Банк России привлек две кредитные организации — «Открытие» и Промсвязьбанк (ПСБ) — к ответственности за незаконное получение информации о клиентах из бюро кредитный историй (БКИ). Ранее на подобных нарушениях банки так часто не попадались. За получение кредитного отчета без согласия клиентов «Открытие» и ПСБ получили лишь штраф в размере 30–50 тыс. руб, подробнее здесь
Коммерсантъ
Банки проникли в истории
ЦБ начал привлекать банки к административной ответственности за незаконное получение кредитных историй физлиц без их согласия. Действующее законодательство предполагает за такое правонарушение лишь незначительный штраф. Поэтому на нормативном уровне нужны…
#fines #gdpr
Где: Греция
Кого: PwC
Штраф: 150 000€ может быть наложен, если оператор не выполнит предписание регулятора
Нарушение: обработка ПДн работников на основании согласия, в то время как в качестве правового основания надо было использовать исполнение обязанностей оператора, требований законодательства и законного интереса оператора. При этом оператор предоставил субъектам неверную информацию в части правового основания обработки ПДн. Также оператор не предоставил регулятору доказательства проведённой оценки по выбору соответствующего правового основания для обработки ПДн работников, что нарушило принцип accountability.
Статьи: 5, 6, 13, 14
Где: Греция
Кого: PwC
Штраф: 150 000€ может быть наложен, если оператор не выполнит предписание регулятора
Нарушение: обработка ПДн работников на основании согласия, в то время как в качестве правового основания надо было использовать исполнение обязанностей оператора, требований законодательства и законного интереса оператора. При этом оператор предоставил субъектам неверную информацию в части правового основания обработки ПДн. Также оператор не предоставил регулятору доказательства проведённой оценки по выбору соответствующего правового основания для обработки ПДн работников, что нарушило принцип accountability.
Статьи: 5, 6, 13, 14
#fines #gdpr
Где: Румыния
Кого: UTTIS INDUSTRIES SRL
Штраф: 2 500€
Нарушение: оператор не информировал субъектов о процессах обработки ПДн (видеонаблюдении), доказательства такого информирования не были предоставлены регулятору. Также оператор разгласил сведения о работниках (CNP) без правового основания.
Статьи: 5, 6, 12, 13
Где: Румыния
Кого: UTTIS INDUSTRIES SRL
Штраф: 2 500€
Нарушение: оператор не информировал субъектов о процессах обработки ПДн (видеонаблюдении), доказательства такого информирования не были предоставлены регулятору. Также оператор разгласил сведения о работниках (CNP) без правового основания.
Статьи: 5, 6, 12, 13
#materials #privacy #gdpr #ccpa
Использующим в работе California Consumer Privacy Act может пригодится сравнительный анализ GDPR и CCPA
Использующим в работе California Consumer Privacy Act может пригодится сравнительный анализ GDPR и CCPA
#events #privacy #cybersecurity #gdpr
Когда: 16-18 октября
Где: Женева
Тема: ISACA Cybersecurity and Privacy event
Стоимость: от 1900$
Регистрация: здесь
Источник: Екатерина Волкович
Когда: 16-18 октября
Где: Женева
Тема: ISACA Cybersecurity and Privacy event
Стоимость: от 1900$
Регистрация: здесь
Источник: Екатерина Волкович
next.isaca.org
EuroCACS/CSX 2019 Conference, IS/IT Audit & Security | ISACA
Attend ISACA’s EuroCACS/CSX 2019 Conference, 16-18 October 2019 in Geneva, Switzerland. Europe's top conference for IT audit, control, governance, and security professionals. EuroCACS/CSX sessions feature hands on labs, technical and soft skill training,…
#events #cybersecurity
Когда: 23-27 сентября 2019
Где: Амстердам
Тема: OWASP Global AppSec
Стоимость: от 650€
Регистрация: здесь
Когда: 23-27 сентября 2019
Где: Амстердам
Тема: OWASP Global AppSec
Стоимость: от 650€
Регистрация: здесь
Regonline
Global AppSec - Amsterdam 2019
Formerly known as Global AppSec Europe, this week long event is the largest gathering for the open security community in Europe. Designed for private and public sector infos
#news #databreach
Отпечатки пальцев более 1млн людей и данные распознавания лиц, имена пользователей и пароли, ПДн работников были размещены в незащищенной базе данных (уххх🤒). Все эти данные обрабатывала компания Suprema, предоставляющая услуги по контролю физ доступа (с использованием системы Biostar 2).
Израильские исследователи обнаружили, что база Biostar 2 не зашифрована, получили доступ к 27.8млн записям.
Отпечатки пальцев более 1млн людей и данные распознавания лиц, имена пользователей и пароли, ПДн работников были размещены в незащищенной базе данных (уххх🤒). Все эти данные обрабатывала компания Suprema, предоставляющая услуги по контролю физ доступа (с использованием системы Biostar 2).
Израильские исследователи обнаружили, что база Biostar 2 не зашифрована, получили доступ к 27.8млн записям.
#news #gdpr
“Шведский надзорный орган в области приватности говорит, что предоставление прав на чтение файла кому-то вне ЕС является трансграничной передачей данных. И следовательно, необходимо использовать один из механизмов, чтобы обеспечить данным европейский уровень защиты, например, связать получателя обязательствами по SCC.” (с)
Источник: Сергей Воронкевич
“Шведский надзорный орган в области приватности говорит, что предоставление прав на чтение файла кому-то вне ЕС является трансграничной передачей данных. И следовательно, необходимо использовать один из механизмов, чтобы обеспечить данным европейский уровень защиты, например, связать получателя обязательствами по SCC.” (с)
Источник: Сергей Воронкевич
#materials #privacy #cybersecurity
Блог посвящён рассмотрению практических вопросов реализации информационной безопасности, а также рассмотрению теоретических вопрос через призму практики
Блог посвящён рассмотрению практических вопросов реализации информационной безопасности, а также рассмотрению теоретических вопрос через призму практики
RPPA PRO: Privacy • AI • Cybersecurity • IP
#cybersecurity Помните историю с передачей собственности на квартиру с использованием квалифицированной ЭП? Есть неплохой разбор на Хабре, здесь Далее была масса публикаций на тему того, что нужно сходить в МФЦ/Росреестр и написать заявление на отказ совершения…
В продолжение темы фальсификации и махинациях с ЭП:
https://vc.ru/legal/74802-otkryvayut-firmy-dlya-vyvoda-deneg-i-berut-mikrozaymy-dlya-chego-moshenniki-kradut-elektronnye-podpisi-i-kak-zashchitit-sebya
https://vc.ru/legal/74802-otkryvayut-firmy-dlya-vyvoda-deneg-i-berut-mikrozaymy-dlya-chego-moshenniki-kradut-elektronnye-podpisi-i-kak-zashchitit-sebya
vc.ru
Открывают фирмы для вывода денег и берут микрозаймы: для чего мошенники крадут электронные подписи и как защитить себя — Право…
Что делать, если украли или обманом зарегистрировали электронную подпись. И как государство пытается защитить граждан.
#fines #gdpr
Где: Швеция
Кого: Школа
Штраф: 18 630€
Нарушение: оператор использовал систему распознавания лиц (в тестовом режиме) для мониторинга посещаемости студентов.
Штраф примечателен тем, что:
- регулятор счёл, что для мониторинга посещаемости такие технологии излишни (что бьется с разъяснениями EDPB о видеонаблюдении)
- оператор обрабатывал биометрические данные на основании согласия, но регулятор посчитал, что согласия могли быть даны не добровольно, а также, что ни одно из правовых оснований (ст.9) не подходит;
- не проведен DPIA, хотя процесс относился к высокорискованным (обработка ПДн детей, использование новых технологий, обработка спецкатегорий (биометрии).
Статьи: 5, 9, 35, 36
Где: Швеция
Кого: Школа
Штраф: 18 630€
Нарушение: оператор использовал систему распознавания лиц (в тестовом режиме) для мониторинга посещаемости студентов.
Штраф примечателен тем, что:
- регулятор счёл, что для мониторинга посещаемости такие технологии излишни (что бьется с разъяснениями EDPB о видеонаблюдении)
- оператор обрабатывал биометрические данные на основании согласия, но регулятор посчитал, что согласия могли быть даны не добровольно, а также, что ни одно из правовых оснований (ст.9) не подходит;
- не проведен DPIA, хотя процесс относился к высокорискованным (обработка ПДн детей, использование новых технологий, обработка спецкатегорий (биометрии).
Статьи: 5, 9, 35, 36
#databreach #gdpr
Недавно, 19 августа, у MasterCard случилась утечка данных клиентов: утекли имена, номера карт, адреса электронной почты, домашние адреса, номера телефонов, даты рождения.
Компания своевременно уведомила регуляторов из Бельгии (место основного учреждения MasterCard) и Германии (значительная часть клиентов из Германии).
В настоящий момент регуляторы совместно работают над инцидентом, как сообщается на сайте DPA, здесь.
Недавно, 19 августа, у MasterCard случилась утечка данных клиентов: утекли имена, номера карт, адреса электронной почты, домашние адреса, номера телефонов, даты рождения.
Компания своевременно уведомила регуляторов из Бельгии (место основного учреждения MasterCard) и Германии (значительная часть клиентов из Германии).
В настоящий момент регуляторы совместно работают над инцидентом, как сообщается на сайте DPA, здесь.
www.dataprotectionauthority.be
Belgian and German data protection authorities cooperate on Mastercard’s data breach | Data Protection Authority
The Belgian Data Protection Authority (DPA) as well as the Hessian authority of Germany have been notified by Mastercard company of a data breach detected on 19 August 2019 which would have affected a large number of data subjects, a significant portion of…