#materials #152фз

Все об информационных системах персональных данных

#materials #privacy #cybersecurity

Блог посвящён рассмотрению практических вопросов реализации информационной безопасности, а также рассмотрению теоретических вопрос через призму практики

В продолжение темы фальсификации и махинациях с ЭП:

https://vc.ru/legal/74802-otkryvayut-firmy-dlya-vyvoda-deneg-i-berut-mikrozaymy-dlya-chego-moshenniki-kradut-elektronnye-podpisi-i-kak-zashchitit-sebya

#fines #gdpr

Где: Швеция
Кого: Школа
Штраф: 18 630€
Нарушение: оператор использовал систему распознавания лиц (в тестовом режиме) для мониторинга посещаемости студентов.

Штраф примечателен тем, что:
- регулятор счёл, что для мониторинга посещаемости такие технологии излишни (что бьется с разъяснениями EDPB о видеонаблюдении)
- оператор обрабатывал биометрические данные на основании согласия, но регулятор посчитал, что согласия могли быть даны не добровольно, а также, что ни одно из правовых оснований (ст.9) не подходит;
- не проведен DPIA, хотя процесс относился к высокорискованным (обработка ПДн детей, использование новых технологий, обработка спецкатегорий (биометрии).
Статьи: 5, 9, 35, 36

#databreach #gdpr

Недавно, 19 августа, у MasterCard случилась утечка данных клиентов: утекли имена, номера карт, адреса электронной почты, домашние адреса, номера телефонов, даты рождения.

Компания своевременно уведомила регуляторов из Бельгии (место основного учреждения MasterCard) и Германии (значительная часть клиентов из Германии).

В настоящий момент регуляторы совместно работают над инцидентом, как сообщается на сайте DPA, здесь.

#fines #gdpr

Где: Испания
Кого: Avon Cosmetics
Штраф: 60 000€
Нарушение: незаконная обработка ПДн без соответствующей идентификации субъекта.
Источник: жалоба субъекта
Статьи: 6
Штраф может быть обжалован

#materials #gdpr

Майндкарта по GDPR от Андрея Прозорова

​​#materials #materials

Принципиальная схема взаимодействия с субъектами персональных данных посредством веб-сайтов.

Источник: Алексей Мунтян

​​#events #cybersecurity

Когда: 19-20 ноября 2019
Где: Москва
Тема: SOC Форум. Практика противодействия компьютерным атакам и построения центров мониторинга информационной безопасности
Стоимость: 15 000руб.
Регистрация: здесь

#materials #gdpr

Не могу не согласиться с тем, что подборка ресурсов и материалов по GDPR от Андрея Прозорова довольно-таки полезная.

Настоятельно рекомендую для изучения

#непроprivacy

Недавно была на тренинге у Никиты Непряхина по теме манипуляций. В связи с этим советую его книгу, здесь

#fines #gdpr #databreach

Где: Болгария
Кого: National Revenue Agency
Штраф: 2 600 000€
Нарушение: известная в Болгарии утечка ПДн (6 млн субъектов), поставившая на голову все гос структуры и взбудоражившая коммерсов, произошедшая по причине хакерской атаки. Всему виной недостаток мер зашиты как организационных, так и технических
Источник: утечка ПДн
Статьи: 32

#fines #gdpr #databreach

Где: Болгария
Кого: DSK Bank
Штраф: 511 000 - 570 000€
Нарушение: очередная утечка ПДн в Болгарии (теперь я начинаю догадываться, почему местный РКН так долго отвечает за запрос) доказала, что ИБ это важно и нужно.
23 270 записей кредитных историй 33 492 клиентов банка (магия цифр) стали доступны третьим лицам: имена, гражданство, копии идентификационных карт (местные паспорта), адреса и биометрические данные
Источник: утечка ПДн
Статьи: 32

#useful #privacy

Кнопки по удалению учетных записей в разных сервисах: Adobe, 9GAG, Airbnb, Amazon и др. здесь

Подсмотрено у Информация опасносте

​​#fines #privacy #COPPA

Где: США
Кого: Google и YouTube
Штраф: 170m$: 136m$ в FTC и 34m$ в New York.
Нарушение: Google и YouTube (дочка Google) заплатят 170m$ за предполагаемое нарушение Children’s Privacy Law. Видео-сервис YouTube незаконно собирал ПДн детей младше 13лет без согласия их родителей. Данные собирались в виде идентификаторов (cookies), используемых для отслеживания пользователей в сети Интернет, с целью последующей рекламы (на которой Youtube прилично зарабатывает).
Источник: жалоба Federal Trade Commission (FTC) и New York Attorney General
Статьи: Children’s Online Privacy Protection Act (COPPA) Rule. Согласно COPPA веб-сайты и онлайн сервисы, ориентированные на детей, должны уведомлять пользователей о своей политике обработки ПДн (Notice) и получать согласие родителей перед началом обработки ПДн детей, не достигших 13-летнего возраста. Требование относится также к использованию онлайн идентификаторов.

В дополнение к денежному штрафу, предлагаемое урегулирование требует от Google и YouTube разработать, внедрить и поддерживать систему, которая позволяет владельцам каналов идентифицировать свой контент, ориентированный на детей. Кроме того, компании должны уведомлять владельцев каналов о том, что их контент, ориентированный на детей, может подпадать под COPPA и ежегодно проводить обучение по соблюдению COPPA для сотрудников, взаимодействующих с владельцами каналов YouTube.

​​#materials #DPA

Решение Верховного Суда по использованию технологии распознавания лиц полицией Южного Уэльса можно найти, здесь

Позиция ICO, здесь

Предыстория: покупатель подал жалобу на нарушение прав человека, когда его сфотографировали во время рождественского шоппинга.

Ключевые пункты решения суда:
- полиция использовала технологию распознавания лиц (AFR), соответствующую Human Rights Act с достаточным правовым контролем
- обработка данных осуществлялась во исполнение требований законодательства
- законы о равенстве нарушены не были

ICO не согласен с решением суда.

Подробней в статье BBC, здесь

​​​​#events #RPPA #gdpr #152фз

Когда: 10 октября 2019
Где: Москва, КПМГ
Тема: Октябрьская встреча RPPA. Обсуждение прошедших конференций и семинаров.
Стоимость: бесплатно
Регистрация: здесь

Мы вернулись после каникул, а между тем прошло много международных мероприятий в области персональных данных, произошло много событий, требующих обсуждения.

Мы предлагаем на октябрьской встрече поделиться знаниями, полученными на конференциях и семинарах.
Сейчас открыт приём заявок на участие в дискуссионных сессиях.

P.S. Мероприятие для внутренних спецов компаний, мы будем мониторить списки

​​#непроprivacy

Знакомы ли вы с методом SPIN для продаж? Если ещё нет, то советую книгу Нила Рекхэма “Продажи по методу SPIN”.

#privacy #cybersecurity

Негативный рейтинг VPN приложений для Android, которые могут собирать о вас больше данных, чем вы думаете:

1. Yoga VPN
2. ProXPN VPN
3. Hola Free VPN
4. VPN Spider
5. Switch VPN, Zoog VPN, Seed4me VPN

Государственная Дума приняла в первом чтении законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (об установлении административной ответственности за невыполнение оператором при сборе персональных данных граждан Российской Федерации обязанности по обеспечению их хранения с использованием баз данных, находящихся на территории Российской Федерации)».
http://duma.gov.ru/news/46177/

#news #gdpr

Взгляд на гдпр комплаенс спустя 18 месяцев его вступления в силу, здесь

Согласно исследованию ИБ компании Egress, около 52% организаций из UK не в полной мере соответсвуют гдпр.

Для трети опрошенных, активности по гдпр уже не в первом приоритете, тк основные работы были выполнены в 2018 году.

По данным исследования RSM, только 57% респондентов из ЕС уверены, что процессы их компаний соответствуют требованиям гдпр, подробнее здесь