Правильные ответы на наш #privacyquiz ✅
Мы дали чуть больше времени пройти #privacyquiz. Теперь пришло время подвести итоги 🙌🏻
Итак, сегодня поговорим о том, когда можно (и когда нельзя) использовать стандартные договорные условия (Standard Contractual Clauses, SCC) для трансграничной передачи персональных данных.
Напомним, эти условия утверждены решением Еврокомиссии 2021/914 от 4 июня 2021 г. В тот день, кстати, Еврокомиссия утвердила целых два набора SCC: для трансграничной передачи (ст. 46(2)(с) GDPR) и для внутренней передачи от контролера процессору (ст. 28 GDPR), не перепутайте.
Хитрость в использовании SCC из решения 2021/914 для трансграничной передачи персональных данных состоит в том, что они:
а) используются всегда только в случае трансграничной передачи, то есть, сначала надо установить, работаем ли мы с "трансграничкой" или перед нами что-то другое;
б) подходят не для всякой трансграничной передачи, то есть, даже если перед нами "трансграничка", вовсе не обязательно, что текст SCC нам подойдет.
Поэтому, чтобы правильно ответить на вопрос теста, нужно для начала проверить, имеет ли место в каждой конкретной ситуации трансграничная передача, и если да, уточнить, можно ли здесь использовать SCC.
Вспомним признаки трансграничной передачи персональных данных (или, если точнее, передачи персональных данных в третьи страны или международным организациям):
1️⃣ на обработку персональных данных экспортером (имеется в виду обработка, в рамках которой данные передаются в третьи страны) распространяются нормы GDPR;
2️⃣ один контролер или процессор передает или делает доступными данные другому контролеру или процессору;
3️⃣ место нахождения получателя персональных данных находится за пределами ЕЭЗ (Евросоюз + Норвегия, Исландия и Лихтенштейн).
То есть, уже исходя из признаков трансграничной мы можем сказать точно: в первой ситуации компания столкнулась не с трансграничной передачей, а с трансграничным сбором персональных данных. Он Главой V GDPR не регулируется, соответственно, SCC мы не применяем.
Во второй, третьей и четвертой ситуациях трансграничная передача есть. Теперь нам нужно проверить, возможно ли в каждой из этих ситуаций применить SCC в качестве гарантии, предусмотренной ст. 46(2)(с) GDPR.
Обратимся к ст. 1 Решения Еврокомиссии 2021/914 от 4 июня 2021 г. Там сказано, что утверждаемый текст SCC предназначен для передачи данных контролеру или процессору, обработка данных которым НЕ регулируется нормами GDPR. То есть, если обработка данных импортером подпадает под действие GDPR (а GDPR вполне может распространяться и на обработку не-европейскими компаниями), именно этот набор SCC использовать нельзя. Таким образом, из оставшихся трех ситуаций нам надо отбросить те, в которых обработка данных импортером будет подпадать под действие GDPR.
В ситуации 2 импортер - китайская компания без организационной единицы в ЕЭЗ, работающая исключительно на рынке Юго-Восточной Азии. Согласно ст. 3 GDPR, обработка данных этой компанией не будет регулироваться правилами GDPR. Значит, ✅ шведская компания вправе использовать SCC из решения 2021/914 для возврата данных китайскому клиенту.
В ситуации 4 импортер - российская компания, предоставляющая сервера в аренду. У нее так же нет организационной единицы в ЕЭЗ, работает она только на российском рынке. Таким образом, для ✅ передачи данных от одной российской компании другой российской компании можно использовать текст SCC из решения 2021/914.
А вот импортер из ситуации 3, хотя и находится за пределами ЕЭЗ, тем не менее подчиняется правилам GDPR при обработке данных своих работников в рамках проведения программы для молодых лидеров. Почему? Потому что эти данные казахская компания обрабатывает в контексте деятельности своей организационной единицы в Финляндии. Соответственно, на эту обработку казахской компанией распространяются правила GDPR (ст. 3(1) GDPR). А значит, ❌ передача данных такому импортеру по SCC из решения 2021/914 невозможна, придется искать другой способ узаконить "трансграничку".
Правильный ответ: ситуации 2 и 4.
Мы дали чуть больше времени пройти #privacyquiz. Теперь пришло время подвести итоги 🙌🏻
Итак, сегодня поговорим о том, когда можно (и когда нельзя) использовать стандартные договорные условия (Standard Contractual Clauses, SCC) для трансграничной передачи персональных данных.
Напомним, эти условия утверждены решением Еврокомиссии 2021/914 от 4 июня 2021 г. В тот день, кстати, Еврокомиссия утвердила целых два набора SCC: для трансграничной передачи (ст. 46(2)(с) GDPR) и для внутренней передачи от контролера процессору (ст. 28 GDPR), не перепутайте.
Хитрость в использовании SCC из решения 2021/914 для трансграничной передачи персональных данных состоит в том, что они:
а) используются всегда только в случае трансграничной передачи, то есть, сначала надо установить, работаем ли мы с "трансграничкой" или перед нами что-то другое;
б) подходят не для всякой трансграничной передачи, то есть, даже если перед нами "трансграничка", вовсе не обязательно, что текст SCC нам подойдет.
Поэтому, чтобы правильно ответить на вопрос теста, нужно для начала проверить, имеет ли место в каждой конкретной ситуации трансграничная передача, и если да, уточнить, можно ли здесь использовать SCC.
Вспомним признаки трансграничной передачи персональных данных (или, если точнее, передачи персональных данных в третьи страны или международным организациям):
1️⃣ на обработку персональных данных экспортером (имеется в виду обработка, в рамках которой данные передаются в третьи страны) распространяются нормы GDPR;
2️⃣ один контролер или процессор передает или делает доступными данные другому контролеру или процессору;
3️⃣ место нахождения получателя персональных данных находится за пределами ЕЭЗ (Евросоюз + Норвегия, Исландия и Лихтенштейн).
То есть, уже исходя из признаков трансграничной мы можем сказать точно: в первой ситуации компания столкнулась не с трансграничной передачей, а с трансграничным сбором персональных данных. Он Главой V GDPR не регулируется, соответственно, SCC мы не применяем.
Во второй, третьей и четвертой ситуациях трансграничная передача есть. Теперь нам нужно проверить, возможно ли в каждой из этих ситуаций применить SCC в качестве гарантии, предусмотренной ст. 46(2)(с) GDPR.
Обратимся к ст. 1 Решения Еврокомиссии 2021/914 от 4 июня 2021 г. Там сказано, что утверждаемый текст SCC предназначен для передачи данных контролеру или процессору, обработка данных которым НЕ регулируется нормами GDPR. То есть, если обработка данных импортером подпадает под действие GDPR (а GDPR вполне может распространяться и на обработку не-европейскими компаниями), именно этот набор SCC использовать нельзя. Таким образом, из оставшихся трех ситуаций нам надо отбросить те, в которых обработка данных импортером будет подпадать под действие GDPR.
В ситуации 2 импортер - китайская компания без организационной единицы в ЕЭЗ, работающая исключительно на рынке Юго-Восточной Азии. Согласно ст. 3 GDPR, обработка данных этой компанией не будет регулироваться правилами GDPR. Значит, ✅ шведская компания вправе использовать SCC из решения 2021/914 для возврата данных китайскому клиенту.
В ситуации 4 импортер - российская компания, предоставляющая сервера в аренду. У нее так же нет организационной единицы в ЕЭЗ, работает она только на российском рынке. Таким образом, для ✅ передачи данных от одной российской компании другой российской компании можно использовать текст SCC из решения 2021/914.
А вот импортер из ситуации 3, хотя и находится за пределами ЕЭЗ, тем не менее подчиняется правилам GDPR при обработке данных своих работников в рамках проведения программы для молодых лидеров. Почему? Потому что эти данные казахская компания обрабатывает в контексте деятельности своей организационной единицы в Финляндии. Соответственно, на эту обработку казахской компанией распространяются правила GDPR (ст. 3(1) GDPR). А значит, ❌ передача данных такому импортеру по SCC из решения 2021/914 невозможна, придется искать другой способ узаконить "трансграничку".
Правильный ответ: ситуации 2 и 4.
🔥6❤4👍1
"Privacy for International Business 2023" ⚡️
Международная конференция, организованная нашей командой, состоится уже завтра, 20 июня с 10:50 — 18:00 (CET).
Ключевые темы конференции:
🌍How to Legally Transfer Personal Data from European Union?
💸Why GDPR Fines are Nothing in Comparison to Class Actions
🏆Benefits of Professional Certifications in Data Privacy. How to Prepare for the CIPP/E and CIPM Exams
🖥Magic Matrix or Use Case of Implementing Data Minimisation and Purpose Limitation in Processing Activities
📲Building Privacy into Product Design: Practical Tips for Startups
🎙Среди спикеров: Christopher Schmidt, FIP, CIPP/E, CIPM, CIPT, CDPO/FR , Denis Sadovnikov, FIP, CIPP/E, CIPM, GDPR DPP, Jamal Ahmed, CIPP/E, CIPM, CIPT, FIP, Marie Kristine Reyes, CIPP/E, ACIArb, Alina Voitukhovich, CIPP/E, Tatsiana Sivukha, CIPP/E , GDPR DPP и другие.
Конференция пройдет на английском языке. Присоединяйтесь к нам завтра с 10:50 по 18:00 (CET) 👉🏻 Зарегистрироваться 😎
Международная конференция, организованная нашей командой, состоится уже завтра, 20 июня с 10:50 — 18:00 (CET).
Ключевые темы конференции:
🌍How to Legally Transfer Personal Data from European Union?
💸Why GDPR Fines are Nothing in Comparison to Class Actions
🏆Benefits of Professional Certifications in Data Privacy. How to Prepare for the CIPP/E and CIPM Exams
🖥Magic Matrix or Use Case of Implementing Data Minimisation and Purpose Limitation in Processing Activities
📲Building Privacy into Product Design: Practical Tips for Startups
🎙Среди спикеров: Christopher Schmidt, FIP, CIPP/E, CIPM, CIPT, CDPO/FR , Denis Sadovnikov, FIP, CIPP/E, CIPM, GDPR DPP, Jamal Ahmed, CIPP/E, CIPM, CIPT, FIP, Marie Kristine Reyes, CIPP/E, ACIArb, Alina Voitukhovich, CIPP/E, Tatsiana Sivukha, CIPP/E , GDPR DPP и другие.
Конференция пройдет на английском языке. Присоединяйтесь к нам завтра с 10:50 по 18:00 (CET) 👉🏻 Зарегистрироваться 😎
🔥6❤🔥1❤1
Коллеги, мы сегодня здесь 👉🏻https://www.youtube.com/live/tIxDH6WOwTY?feature=share
Присоединяйтесь к нашей конференции "Privacy for International Business 2023"⚡️
Спикеры конференции: Christopher Schmidt, FIP, CIPP/E, CIPM, CIPT, CDPO/FR , Denis Sadovnikov, FIP, CIPP/E, CIPM, GDPR DPP, Jamal Ahmed, CIPP/E, CIPM, CIPT, FIP, Marie Kristine Reyes, CIPP/E, ACIArb, Alina Voitukhovich, CIPP/E, Tatsiana Sivukha, CIPP/E , GDPR DPP и другие.
Зарегистрируйтесь, чтобы получить запись конференции и презентации наших спикеров 👉🏻https://gdpr-day.com/
Присоединяйтесь к нашей конференции "Privacy for International Business 2023"⚡️
Спикеры конференции: Christopher Schmidt, FIP, CIPP/E, CIPM, CIPT, CDPO/FR , Denis Sadovnikov, FIP, CIPP/E, CIPM, GDPR DPP, Jamal Ahmed, CIPP/E, CIPM, CIPT, FIP, Marie Kristine Reyes, CIPP/E, ACIArb, Alina Voitukhovich, CIPP/E, Tatsiana Sivukha, CIPP/E , GDPR DPP и другие.
Зарегистрируйтесь, чтобы получить запись конференции и презентации наших спикеров 👉🏻https://gdpr-day.com/
YouTube
Privacy for International Business 2023
Welcome to the international conference "Privacy for international business 2023" organised by DPO Europe (https://data-privacy-office.eu/).
Program:
10:50-11:00 Opening of the Conference
11:00-11:30 Understanding the Differences between Anonymisation…
Program:
10:50-11:00 Opening of the Conference
11:00-11:30 Understanding the Differences between Anonymisation…
🔥2
AIGP_BOK_1.0.0.pdf
858.2 KB
Artificial Intelligence Governance Professional Body of Knowledge от IAPP 📚
Коллеги, спешим поделиться AIGP BoK, которая была опубликована вчера на официальном сайте IAPP.
✍🏻The BoK documents the information and skills that will be assessed on the upcoming AIGP certification exam, with six main parts showcasing the activities an AI governance professional should undertake to guide AI implementation in a way that mitigates risk and ensures safety and trust.
Коллеги, спешим поделиться AIGP BoK, которая была опубликована вчера на официальном сайте IAPP.
✍🏻The BoK documents the information and skills that will be assessed on the upcoming AIGP certification exam, with six main parts showcasing the activities an AI governance professional should undertake to guide AI implementation in a way that mitigates risk and ensures safety and trust.
🔥9👍1
🚀How companies make it difficult to unsubscribe
Начнем этот день с интересной публикации от Каролины Синдерс, основательницы агентства Convocation Design + Research.
Каролина провела эксперимент: попробовала отписаться от 16 онлайн сервисов и задокументировала весь путь (спойлер: он оказался тяжелым).
Отличная статья о том, как не надо делать. Здесь и серьезные нарушения, и ошибки, когда маркетинг и DPO не могут договориться.
Если вы хотите избежать похожих ошибок, то ждем вас на нашем курсе фундаментальном курсе по защите персональных данных GDPR Data Privacy Professional, который пройдет с 3 июля по 1 августа. Программу, условия и все подробности можно получить у нашего менеджера Антона.
Начнем этот день с интересной публикации от Каролины Синдерс, основательницы агентства Convocation Design + Research.
Каролина провела эксперимент: попробовала отписаться от 16 онлайн сервисов и задокументировала весь путь (спойлер: он оказался тяжелым).
Отличная статья о том, как не надо делать. Здесь и серьезные нарушения, и ошибки, когда маркетинг и DPO не могут договориться.
Если вы хотите избежать похожих ошибок, то ждем вас на нашем курсе фундаментальном курсе по защите персональных данных GDPR Data Privacy Professional, который пройдет с 3 июля по 1 августа. Программу, условия и все подробности можно получить у нашего менеджера Антона.
The Pudding
How companies use dark patterns to keep you subscribed
Unsubscribing should be easy. It’s not.
🔥3❤1😱1
История одного обучения на курсе GDPR Data Privacy Professional ⏬
Помню, пришла работать в команду Data Privacy Office. Приватность, защита персональных данных – 4 года назад было очень сложно объяснить друзьям, что это такое и почему это важно. И тем более, почему я здесь работаю😅
Да и я сама не очень понимала. Поэтому все сотрудники Data Privacy Office обучаются на легендарном курсе GDPR Data Privacy Professional.
Учитывая мой бэкграунд только в журналистике и маркетинге, первые часы обучения звучали как высшая математика. А вы понимаете, что такое высшая математика для журфака, да?
А потом… Раз и я начала воодушевленно слышать то, о чем говорит Сергей Воронкевич. Я начала понимать темы – одну за одной. Также вдохновленно впитывали знания и юристы, специалисты по информационной безопасности крупных ИТ-компаний.
🙈Для меня до сих пор остаётся удивительным, как курс GDPR Data Privacy Professional является незаменимым шагом в обучении приватности как для профи, так и для новичков.
Просто дает разные моменты. Новички становятся ближе к теме и обретают горящие глаза, а профи учатся практическим навыкам, вроде написания политики приватности, реестра обработки защиты персональных данных, оформлению трансграничной передачи данных и обретают структурность своих знаний. И тоже получают искру творить и работать.
Еще не было ни одного студента, кому не понравился курс. Что ж, а записываться или нет — решать вам.
К слову, старт курса: 3 июля 🔥
Контакты Антона и ссылочку оставляем✏️Вы знаете, куда писать, если что.
Помню, пришла работать в команду Data Privacy Office. Приватность, защита персональных данных – 4 года назад было очень сложно объяснить друзьям, что это такое и почему это важно. И тем более, почему я здесь работаю😅
Да и я сама не очень понимала. Поэтому все сотрудники Data Privacy Office обучаются на легендарном курсе GDPR Data Privacy Professional.
Учитывая мой бэкграунд только в журналистике и маркетинге, первые часы обучения звучали как высшая математика. А вы понимаете, что такое высшая математика для журфака, да?
А потом… Раз и я начала воодушевленно слышать то, о чем говорит Сергей Воронкевич. Я начала понимать темы – одну за одной. Также вдохновленно впитывали знания и юристы, специалисты по информационной безопасности крупных ИТ-компаний.
🙈Для меня до сих пор остаётся удивительным, как курс GDPR Data Privacy Professional является незаменимым шагом в обучении приватности как для профи, так и для новичков.
Просто дает разные моменты. Новички становятся ближе к теме и обретают горящие глаза, а профи учатся практическим навыкам, вроде написания политики приватности, реестра обработки защиты персональных данных, оформлению трансграничной передачи данных и обретают структурность своих знаний. И тоже получают искру творить и работать.
Еще не было ни одного студента, кому не понравился курс. Что ж, а записываться или нет — решать вам.
К слову, старт курса: 3 июля 🔥
Контакты Антона и ссылочку оставляем✏️Вы знаете, куда писать, если что.
🔥3👍1👏1
#отзыв
❓Почему стоит пройти курс GDPR DPP?
❓Кому подойдет данный курс?
❓Какие достоинства и преимущества курса можно выделить?
Об этом и не только поговорили с выпускником курса GDPR DPP Павлом Лозовенко, специалистом по защите персональных данных (Senior Data Protection Specialist) в компании, которая занимается разработкой мобильных игр, в публикации "Что говорят выпускники о курсе GDPR DPP?"
Ссылка 👉🏻 https://data-privacy-office.com/about-gdpr-dpp/
Узнать подробнее о новом потоке курса GDPR Data Privacy Professional можно у нашего менеджера Антона.
❓Почему стоит пройти курс GDPR DPP?
❓Кому подойдет данный курс?
❓Какие достоинства и преимущества курса можно выделить?
Об этом и не только поговорили с выпускником курса GDPR DPP Павлом Лозовенко, специалистом по защите персональных данных (Senior Data Protection Specialist) в компании, которая занимается разработкой мобильных игр, в публикации "Что говорят выпускники о курсе GDPR DPP?"
Ссылка 👉🏻 https://data-privacy-office.com/about-gdpr-dpp/
Узнать подробнее о новом потоке курса GDPR Data Privacy Professional можно у нашего менеджера Антона.
🔥4❤🔥1❤1
Представитель в Европейской экономической зоне. А у вас он есть?
Если вы — контролер или процессор, находящийся за пределами ЕЭЗ, вам следует назначить представителя в ЕЭЗ по вопросам обработки персональных данных. Это правило действует для всех контролеров и процессоров, обработка данных которыми подпадает под действие GDPR в соответствии со ст. 3(2) GDPR.
Однако в редких случаях представителя действительно можно не назначать. Для этого должны сойтисьзвезды ✨одновременно несколько условий:
📉 обработка персональных данных носит нерегулярный характер;
🔒 обработка не предусматривает обработку в большом масштабе специальных категорий данных 👩⚕️🩺(статья 9(1) GDPR), или персональных данных, касающихся судимостей и правонарушений 👮♀️🔗(cтатья 10 GDPR);
💣 низка вероятность того, что обработка (с учетом своего характера, контекста, масштаба и целей) приведет к какому бы то ни было риску для прав и свобод физических лиц.
Пример: китайская компания разработала ПО для управления производственными процессами в химической промышленности. На своем сайте, доступном в том числе на английском языке, они заявляют о том, что готовы заключить лицензионное соглашение с компанией из любой точки мира. Помимо развертывания ПО на серверах клиента, китайская компания также оказывает услуги по технической доработке и обновлению ПО.
В подобной ситуации китайская компания обрабатывает персональные данные представителей своих европейских клиентов (или потенциальных клиентов) и ориентируется в том числе на рынок ЕЭЗ. Это позволяет говорить о применимости к такой обработке норм GDPR 🇪🇺 по статье 3(2) GDPR.
Поскольку ПО предназначено для управления производственными процессами (не для управления персоналом или доступом к базам данных), объем именно персональных данных в такой системе будет невелик (например, там могут быть указаны данные инженеров, ответственных за определенный процесс). Поэтому даже получив доступ к этим данным во время обновления и обслуживания системы, китайская компания будет обрабатывать персональные данные фактически на нерегулярной основе. Кроме того, в этой системе не будет специальных персональных данных или данных о судимости и правонарушениях. И, наконец, такая обработка вряд ли приведет к каким-либо рискам ⚡️ для прав и свобод физических лиц. То есть, китайской компании ✅ не нужно назначать представителя в ЕЭЗ по вопросам обработки персональных данных. Кроме того, если в этой компании работает менее 250 человек, она также не обязана вести реестр обработок персональных данных (ст. 30(5) GDPR) 👍
Если вы — контролер или процессор, находящийся за пределами ЕЭЗ, вам следует назначить представителя в ЕЭЗ по вопросам обработки персональных данных. Это правило действует для всех контролеров и процессоров, обработка данных которыми подпадает под действие GDPR в соответствии со ст. 3(2) GDPR.
Однако в редких случаях представителя действительно можно не назначать. Для этого должны сойтись
📉 обработка персональных данных носит нерегулярный характер;
🔒 обработка не предусматривает обработку в большом масштабе специальных категорий данных 👩⚕️🩺(статья 9(1) GDPR), или персональных данных, касающихся судимостей и правонарушений 👮♀️🔗(cтатья 10 GDPR);
💣 низка вероятность того, что обработка (с учетом своего характера, контекста, масштаба и целей) приведет к какому бы то ни было риску для прав и свобод физических лиц.
Пример: китайская компания разработала ПО для управления производственными процессами в химической промышленности. На своем сайте, доступном в том числе на английском языке, они заявляют о том, что готовы заключить лицензионное соглашение с компанией из любой точки мира. Помимо развертывания ПО на серверах клиента, китайская компания также оказывает услуги по технической доработке и обновлению ПО.
В подобной ситуации китайская компания обрабатывает персональные данные представителей своих европейских клиентов (или потенциальных клиентов) и ориентируется в том числе на рынок ЕЭЗ. Это позволяет говорить о применимости к такой обработке норм GDPR 🇪🇺 по статье 3(2) GDPR.
Поскольку ПО предназначено для управления производственными процессами (не для управления персоналом или доступом к базам данных), объем именно персональных данных в такой системе будет невелик (например, там могут быть указаны данные инженеров, ответственных за определенный процесс). Поэтому даже получив доступ к этим данным во время обновления и обслуживания системы, китайская компания будет обрабатывать персональные данные фактически на нерегулярной основе. Кроме того, в этой системе не будет специальных персональных данных или данных о судимости и правонарушениях. И, наконец, такая обработка вряд ли приведет к каким-либо рискам ⚡️ для прав и свобод физических лиц. То есть, китайской компании ✅ не нужно назначать представителя в ЕЭЗ по вопросам обработки персональных данных. Кроме того, если в этой компании работает менее 250 человек, она также не обязана вести реестр обработок персональных данных (ст. 30(5) GDPR) 👍
❤5🔥4👍3
«Коучинг по подготовке к CIPP/E - это самый 🪄волшебный пендель, который нужен всем», – делится впечатлениями о курсе Ксения, выпускница предыдущего потока.
«Трепетно люблю вашу школу и всем рекомендую! Это тот самый волшебный пендель, который нужен всем. Тренер коучинга Татьяна – замечательная и очень поддержала и помогла не забросить и быстро сдать экзаменационный тест.
Я бы будущим ученикам сказала так, волшебства ждать не надо – за вас никто не выучит и не сдаст. Но для того, кто готов учить, работать, это очень нужное подспорье».
😍 Поэтому, если вам нужна поддержка, команда и мотивация, то присоединяйтесь к августовскому потоку коучинга по подготовке к сертификации CIPP/E. С вас – желание работать, так как мы не школа магии, а приватности.
Все подробности узнавайте у нашего менеджера Антона или на сайте:) 💭Ждем ваших сообщений. Ближайший поток: 17 августа - 30 октября😊
«Трепетно люблю вашу школу и всем рекомендую! Это тот самый волшебный пендель, который нужен всем. Тренер коучинга Татьяна – замечательная и очень поддержала и помогла не забросить и быстро сдать экзаменационный тест.
Я бы будущим ученикам сказала так, волшебства ждать не надо – за вас никто не выучит и не сдаст. Но для того, кто готов учить, работать, это очень нужное подспорье».
😍 Поэтому, если вам нужна поддержка, команда и мотивация, то присоединяйтесь к августовскому потоку коучинга по подготовке к сертификации CIPP/E. С вас – желание работать, так как мы не школа магии, а приватности.
Все подробности узнавайте у нашего менеджера Антона или на сайте:) 💭Ждем ваших сообщений. Ближайший поток: 17 августа - 30 октября😊
🔥8❤2
Мы вновь готовимся к встрече с вами в эфире! Тема нашей следующей встречи - "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" 💫
Теория - это прекрасно, но практика делает её гораздо нагляднее. Во время эфира мы рассмотрим ошибки в составлении политики приватности на конкретных примерах. Мы прочитали десятки политик, составленных белорусскими организациями, подобрали наиболее часто встречающиеся ошибки и хотим показать их вам (чтобы вы знали, как точно не надо🫢).
Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Кроме того, мы собрали не только ошибки, но и примеры качественно написанных политик (честное слово, среди подобранных примеров нет наших клиентов 😊). Так что мы не только критикуем, мы ещё и показываем, как сделать лучше.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
Встречаемся в четверг (13 июля) в 16:00 (GMT+3), в нашем телеграм-канале "ПРО Приватность". Не забудьте внести эфир в календарь!
Теория - это прекрасно, но практика делает её гораздо нагляднее. Во время эфира мы рассмотрим ошибки в составлении политики приватности на конкретных примерах. Мы прочитали десятки политик, составленных белорусскими организациями, подобрали наиболее часто встречающиеся ошибки и хотим показать их вам (чтобы вы знали, как точно не надо🫢).
Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Кроме того, мы собрали не только ошибки, но и примеры качественно написанных политик (честное слово, среди подобранных примеров нет наших клиентов 😊). Так что мы не только критикуем, мы ещё и показываем, как сделать лучше.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
Встречаемся в четверг (13 июля) в 16:00 (GMT+3), в нашем телеграм-канале "ПРО Приватность". Не забудьте внести эфир в календарь!
👍6
Data Privacy Office открывает набор на стажировку в практику защиты персональных данных по европейскому праву 🚀
Коллеги, мы в поиске студентов-юристов старших курсов и недавних выпускников. Будем рады, если вы поделитесь контактами или перешлете это сообщение своим знакомым.
Немного о нас😁
Data Privacy Office — консалтинговая и тренинговая компания в области защиты персональных данных. Мы помогаем IT компаниям осваивать зарубежные рынки, приводя их работу с персональными данными в соответствие с местным регулированием. Мы растем и расширяемся, открыли офисы в Минске, Берлине и Дубае и ищем в команду умных и заряженных ребят, которым поможем вырасти в ценных и крутых специалистов.
Наш идеальный молодой специалист имеет:
▪️широкий правовой кругозор (знания в областях договорного права, IP, международного права и прав человека, конституционного, административного и даже уголовного - все это пригодится и будет крепкой основой);
▫️ базовые знания истории и права ЕС;
▪️ интерес к регулированию персданных в зарубежных странах (мы работаем не только с правом ЕС, но и многих других стран);
▫️ хорошую успеваемость;
▪️базовое понимание IT, интерес к сфере IT, AI, регулированию Интернета и связи и даже шпионским скандалам;
▫️ интерес к -tech бизнесу и к бизнесу вообще (консультант погружается и досконально разбирается в бизнесе своего клиента);
▪️умеет говорить и писать грамотно, понятно и по делу;
▫️ свободный английский (или не ниже B2), знание других иностранных языков очень приветствуется.
Soft skills:
🔺Ценностная установка: человек - это цель, а не средство;
🔺Разносторонние интересы и навыки;
🔺Умение работать как в команде, так и самостоятельно;
🔺Стремление к постоянной учебе и развитию.
Продолжительность стажировки — 3 месяца. Стажировка неоплачиваемая, но мы вкладываемся и обучаем наших стажеров:
➖ стажер проходит наш топовый курс DPP (Data Privacy Professional);
➖ изучает множество других тем, которые не вошли в курс;
➖ находится под наставничеством старшего консультанта;
➖ участвует в реальных консалтинговых проектах;
➖ участвует в других проектах (мы пишем, выступаем, делаем аналитику, а также поддерживаем самую удобную нормативно-правовую базу по европейскому data protection регулированию GDPR-text.com).
По результатам стажировки лучшим мы предложим присоединиться к команде в качестве помощника/младшего консультанта.
Стажировка предполагает удаленный формат, но если ваше местоположение совпадет с местоположением нашего консультанта, то формат может стать гибридным :)
Ждем CV с парой сопроводительных строк на daria.zagranichnova@data-privacy-office.eu
Будьте готовы выполнить тестовое задание. Отбор состоит из скрининга резюме, тестового задания и устного собеседования.
Коллеги, мы в поиске студентов-юристов старших курсов и недавних выпускников. Будем рады, если вы поделитесь контактами или перешлете это сообщение своим знакомым.
Немного о нас😁
Data Privacy Office — консалтинговая и тренинговая компания в области защиты персональных данных. Мы помогаем IT компаниям осваивать зарубежные рынки, приводя их работу с персональными данными в соответствие с местным регулированием. Мы растем и расширяемся, открыли офисы в Минске, Берлине и Дубае и ищем в команду умных и заряженных ребят, которым поможем вырасти в ценных и крутых специалистов.
Наш идеальный молодой специалист имеет:
▪️широкий правовой кругозор (знания в областях договорного права, IP, международного права и прав человека, конституционного, административного и даже уголовного - все это пригодится и будет крепкой основой);
▫️ базовые знания истории и права ЕС;
▪️ интерес к регулированию персданных в зарубежных странах (мы работаем не только с правом ЕС, но и многих других стран);
▫️ хорошую успеваемость;
▪️базовое понимание IT, интерес к сфере IT, AI, регулированию Интернета и связи и даже шпионским скандалам;
▫️ интерес к -tech бизнесу и к бизнесу вообще (консультант погружается и досконально разбирается в бизнесе своего клиента);
▪️умеет говорить и писать грамотно, понятно и по делу;
▫️ свободный английский (или не ниже B2), знание других иностранных языков очень приветствуется.
Soft skills:
🔺Ценностная установка: человек - это цель, а не средство;
🔺Разносторонние интересы и навыки;
🔺Умение работать как в команде, так и самостоятельно;
🔺Стремление к постоянной учебе и развитию.
Продолжительность стажировки — 3 месяца. Стажировка неоплачиваемая, но мы вкладываемся и обучаем наших стажеров:
➖ стажер проходит наш топовый курс DPP (Data Privacy Professional);
➖ изучает множество других тем, которые не вошли в курс;
➖ находится под наставничеством старшего консультанта;
➖ участвует в реальных консалтинговых проектах;
➖ участвует в других проектах (мы пишем, выступаем, делаем аналитику, а также поддерживаем самую удобную нормативно-правовую базу по европейскому data protection регулированию GDPR-text.com).
По результатам стажировки лучшим мы предложим присоединиться к команде в качестве помощника/младшего консультанта.
Стажировка предполагает удаленный формат, но если ваше местоположение совпадет с местоположением нашего консультанта, то формат может стать гибридным :)
Ждем CV с парой сопроводительных строк на daria.zagranichnova@data-privacy-office.eu
Будьте готовы выполнить тестовое задание. Отбор состоит из скрининга резюме, тестового задания и устного собеседования.
❤10🔥4
Встречаемся уже сегодня, 13 июля в 16:00 (GMT+3), на вебинаре "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" в нашем телеграм-канале "ПРО Приватность"💫
Анастасия Пархимович, CIPP/E, консультант по GDPR, расскажет о частых ошибках в составлении политики приватности, продемонстрирует примеры "плохих" и "хороших" политик, а, главное, ответит на все вопросы, которые могли возникнуть у вас в ходе собственной работы по созданию.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
До встречи на вебинаре в 16:00 🙌🏻
Анастасия Пархимович, CIPP/E, консультант по GDPR, расскажет о частых ошибках в составлении политики приватности, продемонстрирует примеры "плохих" и "хороших" политик, а, главное, ответит на все вопросы, которые могли возникнуть у вас в ходе собственной работы по созданию.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
До встречи на вебинаре в 16:00 🙌🏻
👍7😍1
Мы в эфире 🔥
Присоединяйтесь на вебинар "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" 💫
В эфире: Анастасия Пархимович, CIPP/E, консультант по GDPR.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Оставить вопросы нашему спикеру можно в комментариях к этому посту👇🏻
Присоединяйтесь на вебинар "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" 💫
В эфире: Анастасия Пархимович, CIPP/E, консультант по GDPR.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Оставить вопросы нашему спикеру можно в комментариях к этому посту👇🏻
❤🔥4
DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?🤔
Узнайте 25 июля в 19:00 (GMT+3) на вебинаре с Дмитрием Филатовым, экспертом по защите персональных данных, обладающим сертификатами CIPP/E, CIPT, GDPR DPP и GDPR DPM.
На мероприятии мы разберем различные аспекты работы DPO. Некоторые организации, такие как надзорные органы (EDPB, CNIL, DPC Ireland и другие), а также IAPP, указывают на необходимость, чтобы DPO имел понимание ИТ и ИБ.
В программе вебинара:
• DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
• Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
• Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
• Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
Считаете, что DPO нужны только legal навыки? Вот несколько ссылок на важные документы от надзорных органов:
🖇CNIL: Practical Guide GDPR - DPO
🖇Art29WP: Guidelines on Data Protection Officers (‘DPOs’)
🖇Art29WP DPO FAQs
🖇Data Protection Commission Ireland
🖇IAPP DPO Job Denoscription
Присоединяйтесь 25 июля в 19:00! Место встречи: телеграм-канал «ПРО Приватность»😎
Узнайте 25 июля в 19:00 (GMT+3) на вебинаре с Дмитрием Филатовым, экспертом по защите персональных данных, обладающим сертификатами CIPP/E, CIPT, GDPR DPP и GDPR DPM.
На мероприятии мы разберем различные аспекты работы DPO. Некоторые организации, такие как надзорные органы (EDPB, CNIL, DPC Ireland и другие), а также IAPP, указывают на необходимость, чтобы DPO имел понимание ИТ и ИБ.
В программе вебинара:
• DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
• Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
• Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
• Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
Считаете, что DPO нужны только legal навыки? Вот несколько ссылок на важные документы от надзорных органов:
🖇CNIL: Practical Guide GDPR - DPO
🖇Art29WP: Guidelines on Data Protection Officers (‘DPOs’)
🖇Art29WP DPO FAQs
🖇Data Protection Commission Ireland
🖇IAPP DPO Job Denoscription
Присоединяйтесь 25 июля в 19:00! Место встречи: телеграм-канал «ПРО Приватность»😎
❤🔥8👍5🔥4❤2
ПРО приватность | Data Privacy Office pinned «DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?🤔 Узнайте 25 июля в 19:00 (GMT+3) на вебинаре с Дмитрием Филатовым, экспертом по защите персональных данных, обладающим сертификатами CIPP/E, CIPT, GDPR DPP и GDPR DPM. На мероприятии…»
Добро пожаловать в США!
Итак, прошлая неделя ознаменовалась вступлением в силу (10 июля) механизма для передачи персональных данных из ЕС в США - Data Privacy Framework (DPF). На этой неделе (17 июля) вступили в силу дополнения этого механизма для передачи данных из Соединенного Королевства и Швейцарии. Пришла пора разобраться с тем, что собой представляет этот механизм. Начнем, как обычно, с начала.
❓Для чего понадобился DPF?
🎯 Цель DPF - облегчить передачу персональных данных между Евросоюзом 🇪🇺, Соединенным Королевством 🇬🇧 и Швейцарией 🇨🇭- с одной стороны - и США 🇺🇸 - с другой стороны.
Согласно GDPR, передача персональных данных в США - это "передача персональных данных в третью страну" (иначе говоря, "трансграничная передача"), регулируемая Главой V GDPR. В зависимости от того, какого уровня защиту обеспечивает законодательство и практика "принимающей страны" (а нашем случае - США), трансграничная передача основывается на решении об адекватности либо на одной из надлежащих гарантий, перечисленных в ст. 46 GDPR.
✅ Наличие решения об адекватности сильно упрощает передачу персональных данных, поскольку в этом случае никаких дополнительных действий, связанных с передачей данных вовне ЕС, принимать не нужно. То есть, такая передача аналогична передаче внутри ЕЭЗ: между контролером и процессором заключается договор (ст. 28 GDPR), однако он не будет содержать особых условий, связанных с передачей данных в страну, где не действует GDPR.
❌ Однако если решения об адекватности нет, передавать персональные данные сложнее. Для этого требуется обеспечить на стороне получателя высокий уровень защиты данных - те самые "надлежащие гарантии". То есть, принимающая сторона должна соблюдать правила обращения с персональными данными, сопоставимые с правилами, установленными в GDPR, даже если местное законодательство устанавливает куда более низкий стандарт защиты.
Обеспечение надлежащих гарантий в большинстве случаев дорогостоящий, длительный и трудозатратный процесс 💣. Поэтому, учитывая объем передачи персональных данных в США (особенно с учетом использования разработанного американскими компаниями программного обеспечения), упрощение передачи было насущной проблемой.
❓Почему такого механизма не было раньше?
Такой механизм был, причем даже не один. Ранее для передачи персональных данных в США существовали два механизма.
▪️Механизм "Безопасная гавань" (Safe Harbour Privacy Principles) действовал с 2000 по 2015 год, пока Суд Евросоюза не отменил решение о передаче данных по схеме "Безопасной гавани" в связи с широкими полномочиями американских правоохранительных органов в сфере доступа к персональным данным и их обработки.
▪️На замену "Безопасной гавани" пришел "Щит приватности" (EU - US Privacy Shield), функционировавший с 2016 по 2020 год. Его постигла та же судьба: решением Суда Евросоюза был отменен и он. После этого любая передача персональных данных из ЕС в США должна была основываться на одной из надлежащих гарантий из ст. 46 GDPR.
❓Работает ли механизм DPF автоматически для всех американских компаний?
Нет, наряду с "Безопасной гаванью" и "Щитом приватности" новый механизм предполагает самосертификацию американских компаний, желающих получать персональные данные из ЕС по упрощенной схеме. То есть, мы имеем дело с решением об адекватности (ст. 45 GDPR), однако это решение распространяется не на все компании в стране (подход, принятый в других действующих решениях об адекватности), а лишь на те компании, которые заявили о своем участии в DPF, предприняли дополнительные действия и подали документы на включение их в базу данных компаний, участвующих в DPF. База компаний, участвующих в DPF, открыта для всех интересующихся: https://www.dataprivacyframework.gov/s/participant-search
Кстати, в этом перечне уже больше 2600 компаний! 😎
В ближайшие две недели мы будем продолжать рассказывать о новом механизме передачи персональных данных в США. Следите за обновлениями!
Итак, прошлая неделя ознаменовалась вступлением в силу (10 июля) механизма для передачи персональных данных из ЕС в США - Data Privacy Framework (DPF). На этой неделе (17 июля) вступили в силу дополнения этого механизма для передачи данных из Соединенного Королевства и Швейцарии. Пришла пора разобраться с тем, что собой представляет этот механизм. Начнем, как обычно, с начала.
❓Для чего понадобился DPF?
🎯 Цель DPF - облегчить передачу персональных данных между Евросоюзом 🇪🇺, Соединенным Королевством 🇬🇧 и Швейцарией 🇨🇭- с одной стороны - и США 🇺🇸 - с другой стороны.
Согласно GDPR, передача персональных данных в США - это "передача персональных данных в третью страну" (иначе говоря, "трансграничная передача"), регулируемая Главой V GDPR. В зависимости от того, какого уровня защиту обеспечивает законодательство и практика "принимающей страны" (а нашем случае - США), трансграничная передача основывается на решении об адекватности либо на одной из надлежащих гарантий, перечисленных в ст. 46 GDPR.
✅ Наличие решения об адекватности сильно упрощает передачу персональных данных, поскольку в этом случае никаких дополнительных действий, связанных с передачей данных вовне ЕС, принимать не нужно. То есть, такая передача аналогична передаче внутри ЕЭЗ: между контролером и процессором заключается договор (ст. 28 GDPR), однако он не будет содержать особых условий, связанных с передачей данных в страну, где не действует GDPR.
❌ Однако если решения об адекватности нет, передавать персональные данные сложнее. Для этого требуется обеспечить на стороне получателя высокий уровень защиты данных - те самые "надлежащие гарантии". То есть, принимающая сторона должна соблюдать правила обращения с персональными данными, сопоставимые с правилами, установленными в GDPR, даже если местное законодательство устанавливает куда более низкий стандарт защиты.
Обеспечение надлежащих гарантий в большинстве случаев дорогостоящий, длительный и трудозатратный процесс 💣. Поэтому, учитывая объем передачи персональных данных в США (особенно с учетом использования разработанного американскими компаниями программного обеспечения), упрощение передачи было насущной проблемой.
❓Почему такого механизма не было раньше?
Такой механизм был, причем даже не один. Ранее для передачи персональных данных в США существовали два механизма.
▪️Механизм "Безопасная гавань" (Safe Harbour Privacy Principles) действовал с 2000 по 2015 год, пока Суд Евросоюза не отменил решение о передаче данных по схеме "Безопасной гавани" в связи с широкими полномочиями американских правоохранительных органов в сфере доступа к персональным данным и их обработки.
▪️На замену "Безопасной гавани" пришел "Щит приватности" (EU - US Privacy Shield), функционировавший с 2016 по 2020 год. Его постигла та же судьба: решением Суда Евросоюза был отменен и он. После этого любая передача персональных данных из ЕС в США должна была основываться на одной из надлежащих гарантий из ст. 46 GDPR.
❓Работает ли механизм DPF автоматически для всех американских компаний?
Нет, наряду с "Безопасной гаванью" и "Щитом приватности" новый механизм предполагает самосертификацию американских компаний, желающих получать персональные данные из ЕС по упрощенной схеме. То есть, мы имеем дело с решением об адекватности (ст. 45 GDPR), однако это решение распространяется не на все компании в стране (подход, принятый в других действующих решениях об адекватности), а лишь на те компании, которые заявили о своем участии в DPF, предприняли дополнительные действия и подали документы на включение их в базу данных компаний, участвующих в DPF. База компаний, участвующих в DPF, открыта для всех интересующихся: https://www.dataprivacyframework.gov/s/participant-search
Кстати, в этом перечне уже больше 2600 компаний! 😎
В ближайшие две недели мы будем продолжать рассказывать о новом механизме передачи персональных данных в США. Следите за обновлениями!
👍10🔥5❤3