​​#materials #GDPR #privacy

Гдпр и технические меры защиты в статье “Appropriate Technical and Organizational Measures”: Identifying Privacy Engineering Approaches to Meet GDPR Requirements

Презентации с мероприятия: https://drive.google.com/drive/mobile/folders/1hCCOuyQ7LEWxQrkqw4I_Ti0vOPJmM2xQ?usp=sharing

#materials #GDPR #cybernews

Записали видос про законный интерес и тестирование на балансировку, YouTube

#news #privacy #GDPR

Пост про международный скрининг работников, здесь

Европейские работодатели сталкиваются с проблемой при скрининге сотрудников: ВУЗы и прежние работодатели отказываются предоставлять информацию. Варианты решения:

📍собирать согласия с субъектов на получение подобной информации
📍запрашивать конкретную информацию (например: должность, подтверждение образования, должностные обязанности)
📍или же предоставить работнику возможность самостоятельно передать подтверждения
📍для проверки наличия правонарушений и преступлений использовать официальные источники

#materials #privacy #gdpr

Мульт про RoPA (records of processing activities), пригодится тем, кто готовит курс по Privacy: facebook

#fines #privacy

Где: UK
Кого: Facebook
Штраф: 500 000 фунтов (41млн руб)
Нарушение: Британский ркн ICO и Facebook пришли к соглашению: Facebook выплатит штраф за нарушение Data Protection Act от 1998 года по причине инцидента ИБ, имевшего место до вступления в силу гдпр.
🚻 87 000 000 субъектов.

ICO также посчитал, что компании Facebook являются операторами, действующими совместно (joint controllers).
Источник: проверка регулятора
Статьи: DPA секция 55А
Ссылки: решение ICO, соглашение

PS Facebook имеет учреждение в UK

​​#materials #GDPR #privacy

Чеклист по accountability от Андрея Прозорова

#fines #privacy #GDPR

Где: Австрия
Кого: Österreichische Post AG
Штраф: 18млн EUR (1,2 млрд руб) - штраф не финальный, ожидается суд
Нарушение: Почта использовала адрес и возраст субъектов для определения принадлежности к политическим партиям, полученные предположения далее продавала. Также почта с целью маркетинга анализировала частоту переездов субъектов.
Источник: проверка регулятора
Статьи: 6, 9
Ссылки: EDPB, Reuters

Более детальная проработка законного интереса здесь: https://youtu.be/bIfgiBpMU2k

​​#events #непроprivacy

Мы то данные защищаем, частенько, а то и всегда наши взгляды с бизнесом расходятся. Можно «подсмотреть» на взгляды бизнеса сегодня.

Когда: 31 октября в 19:00
Где: Вебинар
Организатор: SkillFactory
Тема: Как данные приносят деньги бизнесу
Стоимость: бесплатно
Регистрация: здесь

#news #events #GDPR #privacy

Обзор конференции ICDPPC, которая имела место в Албании, можно почитать: здесь

​​#materials #GDPR #privacy

Майндкарта по правовым основаниям для обработки ПДн по GDPR. В ней собраны основные рекомендации и комментарии от надзорных органов.

От Андрея Прозорова

#materials #privacy #GDPR

Статья Paul M. Schwartz - Global Data Privacy

​​Пятничное

#materials #cybersecurity

Освежить свои знания по крипте, либо узнать что-то новое можно из статьи Виды шифрования и защита трафика

#news #privacy #fines

Англичане не растерялись и подали групповой иск от имени 4х млн пользователей iPhone на Google за то, что компания скрыто мониторила активность пользователей iPhone в Интернете в 2011-2012гг.

Сумму переводить в руб. не буду, там много фунтов: £1bn и £3bn.

Иск был передан в Media and Communications Court Лондона решением Hight Court.

В случае проигрыша Google появится прецедент по подготовке групповых исков против крупных корпораций, нарушивших требования з-ва по защите данных, в том числе против компаний, расположенных за пределами UK.

Источник: Stewarts

#materials #GDPR

Пять самых распространённых и очевидных ошибок по гдпр:

#1. A project approach - подход к гдпр комплаенсу, как к разовому проекту.
Решение: планировать и проводить регулярные мероприятия.

#2. Not measuring - не измерять эффективность внедрённых контролей.
Решение: KPI.

#3. Relying on consent - отдавать преимущество согласию как правовому основанию.
Решение: выбирать согласие только в крайнем случае.

#4. Focus on IT data - забывать про данные на бумажных носителях, к примеру, и связанных с этим процессах.
Решение: инвентаризация всех активов.

#5. Third party audits - ограничиваться только договорами, не проверяя самих поставщиков.
Решение: Supplier Security Management .

#fines #privacy

Где: Румыния
Кого: Artmark Holding SRL
Штраф: 10 000 lei (150 000руб)
Нарушение: оператор не доказал, что получил согласие субъекта на отправку рекламных сообщений по электронной почте.
Согласно закону запрещено проводить рекламные коммуникации с использованием средств связи (н-ер: телефон, почта, факс), не требующих участия человека, без согласия субъекта.

Вот получал один субъект такие письма, не соглашаясь на это, попросил оператора свои персданные из базы удалить... как это обычно и бывает, изменения не последовали. Субъект обратился в местный ркн, компанию оштрафовали.
Источник: жалоба субъекта
Статьи: Law no. 506/2004
Ссылки: EDPB

#fines #privacy #GDPR

Где: Польша
Кого: Гос орган
Штраф: 40 000 PLN (667 200руб) и срок устранения нарушений: 60 дней
Нарушение: Мэр города не заключил Personal data processing agreement (на наш лад: поручение а обработку ПДн) с организациями, которым передавал данные.
Одна компания хостила серверы с системами Public Information Bulletin
(BIP), другая компания разрабатывала софт для BIP.

В той же BIP были нарушены сроки хранения данных.

Не соблюдался принцип конфиденциальности и целостности: отсутствие резервирования данных, тк записи встреч с заседаний городского совета публиковались только на YouTube, а также риск-анализ не проводился, чтобы определить, можно ли вообще эти записи публиковать на YouTube.

В RoPA (реестр процессов обработки ПДн) отсутствовала информация о получателях ПДн, не была указана планируемая дата удаления данных для некоторых процессов.

«Штрафанули так штрафанули», тк оператор не исправил нарушения в ходе проверки и не взаимодействовал с надзорным органом.
Источник: проверка регулятора
Статьи: 28(3), 5(1)(a), 5(1)(f), 5(1)(e), 5(2)
Ссылки: EDPB