#materials #GDPR #cybersecurity

Стандарт, объединяющий в себе подходы по ИБ и гдпр.

Сделан в Германии - The Standard Data Protection
Model. A concept for inspection and consultation on the basis of unified protection goals, на английском и обновлённый на немецком

​​#materials #privacy #cybersecurity

NIST опубликовал проект Privacy Framework, здесь.

Детали, здесь

А с комментариями Джейсона Кронка к проекту можно ознакомиться на его страничке в LinkedIn: https://www.linkedin.com/pulse/draft-comments-nist-privacy-framework-preliminary-r-jason-cronk

P.S. Спасибо Сергею Воронкевичу за инфу об этом уникальном эксперте.

Краткий очерк от ркн о конференции можно почитать здесь: https://rkn.gov.ru/news/rsoc/news70432.htm

На мой сугубо личный взгляд, плюсы:
📍на конфе могут анонсироваться полезные новости, но не факт, что сказанное будет имплементировано;)
📍были приглашены иностранные спикеры с в чем-то полезными докладами
📍в дискуссии приняли участие регуляторы, причастные к ПДн в РФ, в перерывах можно было пообщаться с ними лично
📍на конфе было много представителей экспертного сообщества
📍конфа транслировалась онлайн и бесплатно

И немного дёгтя:
🔩по таймингу были заявлены выступления по 10мин, за 10мин нужно постараться «оттараторить» суть презентации, при этом тему раскрыть трудно. Некоторые спикеры не придерживались тайминга, модераторы не следили, в общем, расписание сдвинулось
🔩лично я нового ничего не узнала
🔩сложно с нетворкингом, или так было конкретно мне😂 как-то не готов был народ к общению

Вывод: если в следующем году выступать не буду, посмотрю трансляцию;)

#fines #privacy #GDPR

Где: Польша
Кого: ClickQuickNow Sp. z o.o
Штраф: 201 000 PLN (3 322 000 руб) и 14 дней на исправление выявленных нарушений
Нарушение: оператор не обеспечил простой и эффективный механизм отзыва согласия субъекта (отзыв согласия должен быть таким же простым, как его предоставление, согласно гдпр) и исполнение права на удаление данных.

Как было: для отзыва согласия субъекту надо было перейти по ссылке и указать причину отзыва (что по гдпр не требуется), без указания причины отзыв согласия не выполнялся.

Также компания продолжала обрабатывать ПДн субъектов, отказавшихся от обработки их данных и не являющихся клиентами компании, без правового основания.
Источник: проверка регулятора
Статьи: 5, 7(3), 12(2)
Ссылки: EDPB, первоисточник

​​#materials #GDPR #privacy

Руководство-путеводитель от EDPS On the concepts of controller, processor and joint controllership

Подход можно использовать и в гдпр

​​#materials #pbd #GDPR #DPbDD

Руководство испанского ркн A Guide to Privacy by Design

#materials #GDPR #dsar

И ещё один полезный док: вопросы и ответы по DSAR Data Subject Access Requests от Data Protection Commission

​​#justforfun

GDPR career change от Tim Clements

​​#materials #GDPR #pseudonymisation

Продолжаем рубрику «я это все обязательно прочту на январских».

Испанский ркн совместно с EDPS выпустили руководство по использованию хеширования в псевдонимизации данных: Induction to the hash function as a personal data pseudonymisation technique

#materials #GDPR #DPIA

DPIA на практике от Андрея Прозорова

​​#materials #legitimate #GDPR

Шпаргалка по Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC

#news #GDPR #consent

Facebook открыто заявил в Vienna Regional Court, что обрабатывает данные без согласия субъекта с момента вступления в силу гдпр.

Правовым основанием обработки Facebook считает договор (advertising contract), который пользователи «подписали», согласившись с новыми условиями сервиса.

Подробнее на noyb

​​#materials #DPIA #GDPR

DPIA-колесо от ICO

#news #privacy

Поговаривают, что Facebook втихаря включает камеру на iPhone, когда пользователь прокручивает ленту, securityaffairs

​​#ccpa #privacy #applicability

И кто же подпадает под CCPA?

✅коммерческие организации, собирающие данные о резидентах штата Калифорния (напрямую или через контрагентов), И
✅ведущие бизнес в штате Калифорния, И
✅определяющие цели и способы обработки данных (аля операторы), И
(✅с годовой выручкой от 25млн$ (1,5 млрд руб), ИЛИ
✅обрабатывающие данные более 50 000 резидентов штата Калифорния в год, ИЛИ
✅получающие не менее 50% годового дохода от продажи данных резидентов штата Калифорния),
ИЛИ

📍организация, контролирующая или контролируемая компанией, к которой относятся вышеуказанные критерии, или использующая один бренд с такой компанией.

Таких ✅ компаний в РФ на пальцах можно пересчитать, а вот📍может быть немного больше

#materials #GDPR #assessment

Один из ркн Германии провёл серию проверок 50 крупных и средних немецких компаний на предмет соответствия гдпр, отчет на немецком

Статистика следующая:

⚡️9 компаний - сойдёт
⚡️32 компании - есть недочеты
⚡️8 компаний - серьезные недочёты

Основные косяки:

🔩ИБ: не учитывали риски при построении ИБ, отсутствие понимания концепций PbD, PbD

🔩DPIA: не учитывали перечни от регуляторов, не документировали решение об отсутствии/необходимости проведения DPIA, недостаточное описание процессов обработки данных, митигирующие меры выбраны в недостаточном объеме, несистемный подход

🔩RoPA: не явно определена процедура обновления реестра, не все процессы учтены (сбор данных на веб-сайте, работа с кандидатами), не указана контактная информация в реестре

🔩согласие: можно было использовать другие правовые основания, отсутсвие выбора опций, не было информации о порядке и возможности отзыва согласия

🔩 права субъектов: использование шаблонных политик без адаптации под процессы компании, недостаточное описание баланса интересов (при выборе законного интереса как правового основания), неэффективные процессы проверки субъектов и предоставления копий данных

🔩DPA: не учтён порядок поддержки систем

🔩DPO: проводил DPIA, не было доказательств наличия знаний

🔩уведомление об утечках: не определена ответственность за уведомление

Источник: lexology