Узнать свою самую прослушиваемую песню? А, может, лучше, узнать, какая страна проштрафилась больше всего за 2025?
Мы подготовили итоги 2025 года в сфере data privacy и AI compliance.
⬆️ Листайте карточки выше, чтобы узнать:
✨ В какой стране компании чаще всего получали штрафы по GDPR?
✨ На какие статьи чаще всего ссылались надзорные органы?
✨ Какое событие перевернуло сферу на 180°?
Желаем вам счастливого Нового года и никаких штрафов и нарушений в 2026 году!
Мы подготовили итоги 2025 года в сфере data privacy и AI compliance.
⬆️ Листайте карточки выше, чтобы узнать:
✨ В какой стране компании чаще всего получали штрафы по GDPR?
✨ На какие статьи чаще всего ссылались надзорные органы?
✨ Какое событие перевернуло сферу на 180°?
Желаем вам счастливого Нового года и никаких штрафов и нарушений в 2026 году!
❤3🔥2
🎇 Если бы мы участвовали в «Голубом огоньке», в качестве представителя мы бы отправили этого человека. Он знакомит мир с нашей экспертизой, открывает новые двери и запускает большие разговоры, из которых рождаются партнёрства.
С новогодним обращением к вам — CEO Data Privacy Office LLC, Анастасия Андриевская.
С новогодним обращением к вам — CEO Data Privacy Office LLC, Анастасия Андриевская.
Дорогие друзья!
С Новым 2026 годом!
Команда Data Privacy Office желает вам в наступающем году идеального баланса между смелыми инновациями и надежной защитой.
Пусть 2026-й станет годом уверенного масштабирования, где ваши данные всегда в безопасности, а любые процессы проходят гладко и без рисков. Благодарим вас за доверие! Вместе мы продолжаем строить прозрачное цифровое будущее.
Успехов и процветания в новом году!
Анастасия Андриевская,
CEO Data Privacy Office LLC
❤3😁1
⚙️ Если в нашей компании что-то «просто работает», велика вероятность, что за этим стоит он. В новогоднем эфире founder и COO Data Privacy Office, Андрей Гринаш.
🔥2❤1🏆1
This media is not supported in your browser
VIEW IN TELEGRAM
🔥4❤3
💫 Напоследок — поздравление от человека, с которого всё началось.
Того самого смыслового центра, который напоминает, зачем мы вообще этим занимаемся, даже когда год был сложным, насыщенным и очень разным.
Основатель Data Privacy Office Сергей Воронкевич — с новогодним обращением к сообществу.
Того самого смыслового центра, который напоминает, зачем мы вообще этим занимаемся, даже когда год был сложным, насыщенным и очень разным.
Основатель Data Privacy Office Сергей Воронкевич — с новогодним обращением к сообществу.
Друзья!
Наступает 2026 год, и я хочу поблагодарить каждого из вас за то, что вы с нами!
Этот год показал: мир данных меняется стремительно. AI Act, реформа GDPR, deepfakes, agentic AI — термины, которые ещё недавно казались далёким будущим, теперь определяют нашу повседневную работу.
В Data Privacy Office мы прожили этот год интенсивно:
- Наши выпускники Privacy Lab уже работают над реальными проектами
- Мы автоматизировали ключевые процессы и внедрили AI в консалтинг
- Расширили географию проектов до Центральной Азии
- Построили систему OS4DPO — операционную систему для консультантов по защите данных и DPO
2026 год обещает быть ещё более захватывающим. Регуляторы усиливают контроль, бизнес ищет баланс между инновациями и compliance, а специалисты по privacy становятся ключевыми фигурами в корпоративном управлении.
Я верю, что вместе мы сможем сделать защиту данных понятной, практичной и эффективной.
С Новым годом! 🎉
Пусть 2026 принесёт вам новые знания, профессиональный рост и душевное спокойствие!
С уважением,
Сергей Воронкевич.
❤4👏2
Длинные выходные или начало рабочей недели?
Где бы вы ни были, следующая серия постов подойдет: станет дополнением к перекусу прошлогодними салатами или скрасит обеденный перерыв на работе. На этой неделе будем делиться кейсами нарушений и вредными советами, как попасть в строчку enforcement tracker в 2026 👀
🗑 Вредный совет №1.
Обязательно регулярно экономьте на комплаенсе; ведите мониторинг систем как получится; не устраняйте выявленные уязвимости их и раздавайте доступ ко всем системам сотрудников всех отделов и уровней вне зависимости от необходимости этих систем для их работы.
Судя по всему, именно такому совету последовала сеть аптек Apotheka компании Allium UPI. Инцидент произошел в информационной системе программы лояльности аптечной сети в 2024 году. Расследование установило, что со стороны компании были проигнорированы простые, но важные меры защиты персональных данных клиентов:
📎 отсутствовала многофакторная аутентификация;
📎 разные люди использовали один и тот же корпоративный аккаунт с одинаковыми данными для входа;
📎 мониторинг действий в системе реализовывался недостаточно.
Неавторизованные лица получали доступ к системе и резервным копиям базы данных, скачивали значительные объемы клиентских данных: контактные данные, домашний адрес, язык, пол и даже историю покупок, в частности, о приобретенных лекарствах, медицинских тестов, аппаратов и аксессуаров, а значит чувствительную информации о состоянии здоровья и интимной жизни людей. Пострадало более 750 тысяч человек, среди которых были дети и другие уязвимые группы.
За нарушение статьи 32 GDPR о безопасности обработки персональных данных компания получила штраф 3 миллиона евро.
🔗 Источники:
Сайт эстонского надзорного органа
Enforcement tracker
Где бы вы ни были, следующая серия постов подойдет: станет дополнением к перекусу прошлогодними салатами или скрасит обеденный перерыв на работе. На этой неделе будем делиться кейсами нарушений и вредными советами, как попасть в строчку enforcement tracker в 2026 👀
🗑 Вредный совет №1.
Обязательно регулярно экономьте на комплаенсе; ведите мониторинг систем как получится; не устраняйте выявленные уязвимости их и раздавайте доступ ко всем системам сотрудников всех отделов и уровней вне зависимости от необходимости этих систем для их работы.
Судя по всему, именно такому совету последовала сеть аптек Apotheka компании Allium UPI. Инцидент произошел в информационной системе программы лояльности аптечной сети в 2024 году. Расследование установило, что со стороны компании были проигнорированы простые, но важные меры защиты персональных данных клиентов:
📎 отсутствовала многофакторная аутентификация;
📎 разные люди использовали один и тот же корпоративный аккаунт с одинаковыми данными для входа;
📎 мониторинг действий в системе реализовывался недостаточно.
Неавторизованные лица получали доступ к системе и резервным копиям базы данных, скачивали значительные объемы клиентских данных: контактные данные, домашний адрес, язык, пол и даже историю покупок, в частности, о приобретенных лекарствах, медицинских тестов, аппаратов и аксессуаров, а значит чувствительную информации о состоянии здоровья и интимной жизни людей. Пострадало более 750 тысяч человек, среди которых были дети и другие уязвимые группы.
За нарушение статьи 32 GDPR о безопасности обработки персональных данных компания получила штраф 3 миллиона евро.
🔗 Источники:
Сайт эстонского надзорного органа
Enforcement tracker
✍2🔥2
Если система кричит об атаке — ничего. Не мешайте ей работать.
Продолжаем раздавать вредные советы.
Если пропустили предыдущий — он здесь
🗑 Вредный совет №2.
Игнорируйте алерты систем мониторинга безопасности. Не внедряйте эффективное шифрование: всё равно злоумышленники вряд ли дойдут именно до вас. Уведомлять пострадавших можно потом, когда будет настроение и свободное окно в календаре. А инвестировать в меры защиты пропорционально объёму и чувствительности данных — вообще избыточная идея.
Хороший пример такого подхода — SPRINTER MEGACENTROS DEL DEPORTE, S.L., розничная сеть спортивных товаров.
В конце октября 2023 года компания зафиксировала внешнее вторжение и кибератаку. Часть инфраструктуры была зашифрована, а последующий форензик-анализ подтвердил несанкционированный доступ и вывод персональных данных.
По оценке самой компании, инцидент затронул почти 6,4 миллиона человек.
В ходе разбирательства испанский надзорный орган AEPD пришёл к выводу, что технические и организационные меры безопасности не соответствовали уровню риска, который объективно существовал с учётом масштаба обработки данных.
В частности, было установлено, что:
📎 персональные данные не были защищены так, чтобы при компрометации системы они оставались нечитаемыми для злоумышленников — например, за счёт эффективного шифрования или эквивалентных мер;
📎 меры по предотвращению и раннему обнаружению атак оказались недостаточными, что позволило злоумышленникам не только получить доступ к инфраструктуре, но и спокойно осуществить вывод данных;
📎 контроль за безопасностью и реагирование на инциденты не обеспечивали своевременного выявления угроз: система мониторинга формировала алерты, но компания их проигнорировала;
📎 действующие меры защиты не позволили ограничить масштаб ущерба, несмотря на характер, объём обрабатываемых данных и количество субъектов данных.
В результате при компрометации системы персональные данные клиентов могли быть доступны в открытом и понятном виде. А сами пострадавшие узнали об инциденте только через месяц после его обнаружения.
Регулятор установил нарушение:
Статьи 5(1)(f) GDPR — принципа целостности и безопасности;
Статьи 34 GDPR — обязанности по информированию субъектов данных.
💸 Штраф: 1 560 000 €.
И главный вредный совет напоследок:
Если мониторинг сигналит, но бизнес-процессы пока не страдают, можно не торопиться. Алерты подождут, а уведомления всегда можно отправить позже. Главное — не перегружать себя безопасностью раньше времени.
🔗 Источник:
Решение AEPD
Продолжаем раздавать вредные советы.
Если пропустили предыдущий — он здесь
🗑 Вредный совет №2.
Игнорируйте алерты систем мониторинга безопасности. Не внедряйте эффективное шифрование: всё равно злоумышленники вряд ли дойдут именно до вас. Уведомлять пострадавших можно потом, когда будет настроение и свободное окно в календаре. А инвестировать в меры защиты пропорционально объёму и чувствительности данных — вообще избыточная идея.
Хороший пример такого подхода — SPRINTER MEGACENTROS DEL DEPORTE, S.L., розничная сеть спортивных товаров.
В конце октября 2023 года компания зафиксировала внешнее вторжение и кибератаку. Часть инфраструктуры была зашифрована, а последующий форензик-анализ подтвердил несанкционированный доступ и вывод персональных данных.
По оценке самой компании, инцидент затронул почти 6,4 миллиона человек.
В ходе разбирательства испанский надзорный орган AEPD пришёл к выводу, что технические и организационные меры безопасности не соответствовали уровню риска, который объективно существовал с учётом масштаба обработки данных.
В частности, было установлено, что:
📎 персональные данные не были защищены так, чтобы при компрометации системы они оставались нечитаемыми для злоумышленников — например, за счёт эффективного шифрования или эквивалентных мер;
📎 меры по предотвращению и раннему обнаружению атак оказались недостаточными, что позволило злоумышленникам не только получить доступ к инфраструктуре, но и спокойно осуществить вывод данных;
📎 контроль за безопасностью и реагирование на инциденты не обеспечивали своевременного выявления угроз: система мониторинга формировала алерты, но компания их проигнорировала;
📎 действующие меры защиты не позволили ограничить масштаб ущерба, несмотря на характер, объём обрабатываемых данных и количество субъектов данных.
В результате при компрометации системы персональные данные клиентов могли быть доступны в открытом и понятном виде. А сами пострадавшие узнали об инциденте только через месяц после его обнаружения.
Регулятор установил нарушение:
Статьи 5(1)(f) GDPR — принципа целостности и безопасности;
Статьи 34 GDPR — обязанности по информированию субъектов данных.
💸 Штраф: 1 560 000 €.
И главный вредный совет напоследок:
Если мониторинг сигналит, но бизнес-процессы пока не страдают, можно не торопиться. Алерты подождут, а уведомления всегда можно отправить позже. Главное — не перегружать себя безопасностью раньше времени.
🔗 Источник:
Решение AEPD
✍2🤔1