Представитель в Европейской экономической зоне. А у вас он есть?
Если вы — контролер или процессор, находящийся за пределами ЕЭЗ, вам следует назначить представителя в ЕЭЗ по вопросам обработки персональных данных. Это правило действует для всех контролеров и процессоров, обработка данных которыми подпадает под действие GDPR в соответствии со ст. 3(2) GDPR.
Однако в редких случаях представителя действительно можно не назначать. Для этого должны сойтисьзвезды ✨одновременно несколько условий:
📉 обработка персональных данных носит нерегулярный характер;
🔒 обработка не предусматривает обработку в большом масштабе специальных категорий данных 👩⚕️🩺(статья 9(1) GDPR), или персональных данных, касающихся судимостей и правонарушений 👮♀️🔗(cтатья 10 GDPR);
💣 низка вероятность того, что обработка (с учетом своего характера, контекста, масштаба и целей) приведет к какому бы то ни было риску для прав и свобод физических лиц.
Пример: китайская компания разработала ПО для управления производственными процессами в химической промышленности. На своем сайте, доступном в том числе на английском языке, они заявляют о том, что готовы заключить лицензионное соглашение с компанией из любой точки мира. Помимо развертывания ПО на серверах клиента, китайская компания также оказывает услуги по технической доработке и обновлению ПО.
В подобной ситуации китайская компания обрабатывает персональные данные представителей своих европейских клиентов (или потенциальных клиентов) и ориентируется в том числе на рынок ЕЭЗ. Это позволяет говорить о применимости к такой обработке норм GDPR 🇪🇺 по статье 3(2) GDPR.
Поскольку ПО предназначено для управления производственными процессами (не для управления персоналом или доступом к базам данных), объем именно персональных данных в такой системе будет невелик (например, там могут быть указаны данные инженеров, ответственных за определенный процесс). Поэтому даже получив доступ к этим данным во время обновления и обслуживания системы, китайская компания будет обрабатывать персональные данные фактически на нерегулярной основе. Кроме того, в этой системе не будет специальных персональных данных или данных о судимости и правонарушениях. И, наконец, такая обработка вряд ли приведет к каким-либо рискам ⚡️ для прав и свобод физических лиц. То есть, китайской компании ✅ не нужно назначать представителя в ЕЭЗ по вопросам обработки персональных данных. Кроме того, если в этой компании работает менее 250 человек, она также не обязана вести реестр обработок персональных данных (ст. 30(5) GDPR) 👍
Если вы — контролер или процессор, находящийся за пределами ЕЭЗ, вам следует назначить представителя в ЕЭЗ по вопросам обработки персональных данных. Это правило действует для всех контролеров и процессоров, обработка данных которыми подпадает под действие GDPR в соответствии со ст. 3(2) GDPR.
Однако в редких случаях представителя действительно можно не назначать. Для этого должны сойтись
📉 обработка персональных данных носит нерегулярный характер;
🔒 обработка не предусматривает обработку в большом масштабе специальных категорий данных 👩⚕️🩺(статья 9(1) GDPR), или персональных данных, касающихся судимостей и правонарушений 👮♀️🔗(cтатья 10 GDPR);
💣 низка вероятность того, что обработка (с учетом своего характера, контекста, масштаба и целей) приведет к какому бы то ни было риску для прав и свобод физических лиц.
Пример: китайская компания разработала ПО для управления производственными процессами в химической промышленности. На своем сайте, доступном в том числе на английском языке, они заявляют о том, что готовы заключить лицензионное соглашение с компанией из любой точки мира. Помимо развертывания ПО на серверах клиента, китайская компания также оказывает услуги по технической доработке и обновлению ПО.
В подобной ситуации китайская компания обрабатывает персональные данные представителей своих европейских клиентов (или потенциальных клиентов) и ориентируется в том числе на рынок ЕЭЗ. Это позволяет говорить о применимости к такой обработке норм GDPR 🇪🇺 по статье 3(2) GDPR.
Поскольку ПО предназначено для управления производственными процессами (не для управления персоналом или доступом к базам данных), объем именно персональных данных в такой системе будет невелик (например, там могут быть указаны данные инженеров, ответственных за определенный процесс). Поэтому даже получив доступ к этим данным во время обновления и обслуживания системы, китайская компания будет обрабатывать персональные данные фактически на нерегулярной основе. Кроме того, в этой системе не будет специальных персональных данных или данных о судимости и правонарушениях. И, наконец, такая обработка вряд ли приведет к каким-либо рискам ⚡️ для прав и свобод физических лиц. То есть, китайской компании ✅ не нужно назначать представителя в ЕЭЗ по вопросам обработки персональных данных. Кроме того, если в этой компании работает менее 250 человек, она также не обязана вести реестр обработок персональных данных (ст. 30(5) GDPR) 👍
❤5🔥4👍3
«Коучинг по подготовке к CIPP/E - это самый 🪄волшебный пендель, который нужен всем», – делится впечатлениями о курсе Ксения, выпускница предыдущего потока.
«Трепетно люблю вашу школу и всем рекомендую! Это тот самый волшебный пендель, который нужен всем. Тренер коучинга Татьяна – замечательная и очень поддержала и помогла не забросить и быстро сдать экзаменационный тест.
Я бы будущим ученикам сказала так, волшебства ждать не надо – за вас никто не выучит и не сдаст. Но для того, кто готов учить, работать, это очень нужное подспорье».
😍 Поэтому, если вам нужна поддержка, команда и мотивация, то присоединяйтесь к августовскому потоку коучинга по подготовке к сертификации CIPP/E. С вас – желание работать, так как мы не школа магии, а приватности.
Все подробности узнавайте у нашего менеджера Антона или на сайте:) 💭Ждем ваших сообщений. Ближайший поток: 17 августа - 30 октября😊
«Трепетно люблю вашу школу и всем рекомендую! Это тот самый волшебный пендель, который нужен всем. Тренер коучинга Татьяна – замечательная и очень поддержала и помогла не забросить и быстро сдать экзаменационный тест.
Я бы будущим ученикам сказала так, волшебства ждать не надо – за вас никто не выучит и не сдаст. Но для того, кто готов учить, работать, это очень нужное подспорье».
😍 Поэтому, если вам нужна поддержка, команда и мотивация, то присоединяйтесь к августовскому потоку коучинга по подготовке к сертификации CIPP/E. С вас – желание работать, так как мы не школа магии, а приватности.
Все подробности узнавайте у нашего менеджера Антона или на сайте:) 💭Ждем ваших сообщений. Ближайший поток: 17 августа - 30 октября😊
🔥8❤2
Мы вновь готовимся к встрече с вами в эфире! Тема нашей следующей встречи - "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" 💫
Теория - это прекрасно, но практика делает её гораздо нагляднее. Во время эфира мы рассмотрим ошибки в составлении политики приватности на конкретных примерах. Мы прочитали десятки политик, составленных белорусскими организациями, подобрали наиболее часто встречающиеся ошибки и хотим показать их вам (чтобы вы знали, как точно не надо🫢).
Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Кроме того, мы собрали не только ошибки, но и примеры качественно написанных политик (честное слово, среди подобранных примеров нет наших клиентов 😊). Так что мы не только критикуем, мы ещё и показываем, как сделать лучше.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
Встречаемся в четверг (13 июля) в 16:00 (GMT+3), в нашем телеграм-канале "ПРО Приватность". Не забудьте внести эфир в календарь!
Теория - это прекрасно, но практика делает её гораздо нагляднее. Во время эфира мы рассмотрим ошибки в составлении политики приватности на конкретных примерах. Мы прочитали десятки политик, составленных белорусскими организациями, подобрали наиболее часто встречающиеся ошибки и хотим показать их вам (чтобы вы знали, как точно не надо🫢).
Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Кроме того, мы собрали не только ошибки, но и примеры качественно написанных политик (честное слово, среди подобранных примеров нет наших клиентов 😊). Так что мы не только критикуем, мы ещё и показываем, как сделать лучше.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
Встречаемся в четверг (13 июля) в 16:00 (GMT+3), в нашем телеграм-канале "ПРО Приватность". Не забудьте внести эфир в календарь!
👍6
Data Privacy Office открывает набор на стажировку в практику защиты персональных данных по европейскому праву 🚀
Коллеги, мы в поиске студентов-юристов старших курсов и недавних выпускников. Будем рады, если вы поделитесь контактами или перешлете это сообщение своим знакомым.
Немного о нас😁
Data Privacy Office — консалтинговая и тренинговая компания в области защиты персональных данных. Мы помогаем IT компаниям осваивать зарубежные рынки, приводя их работу с персональными данными в соответствие с местным регулированием. Мы растем и расширяемся, открыли офисы в Минске, Берлине и Дубае и ищем в команду умных и заряженных ребят, которым поможем вырасти в ценных и крутых специалистов.
Наш идеальный молодой специалист имеет:
▪️широкий правовой кругозор (знания в областях договорного права, IP, международного права и прав человека, конституционного, административного и даже уголовного - все это пригодится и будет крепкой основой);
▫️ базовые знания истории и права ЕС;
▪️ интерес к регулированию персданных в зарубежных странах (мы работаем не только с правом ЕС, но и многих других стран);
▫️ хорошую успеваемость;
▪️базовое понимание IT, интерес к сфере IT, AI, регулированию Интернета и связи и даже шпионским скандалам;
▫️ интерес к -tech бизнесу и к бизнесу вообще (консультант погружается и досконально разбирается в бизнесе своего клиента);
▪️умеет говорить и писать грамотно, понятно и по делу;
▫️ свободный английский (или не ниже B2), знание других иностранных языков очень приветствуется.
Soft skills:
🔺Ценностная установка: человек - это цель, а не средство;
🔺Разносторонние интересы и навыки;
🔺Умение работать как в команде, так и самостоятельно;
🔺Стремление к постоянной учебе и развитию.
Продолжительность стажировки — 3 месяца. Стажировка неоплачиваемая, но мы вкладываемся и обучаем наших стажеров:
➖ стажер проходит наш топовый курс DPP (Data Privacy Professional);
➖ изучает множество других тем, которые не вошли в курс;
➖ находится под наставничеством старшего консультанта;
➖ участвует в реальных консалтинговых проектах;
➖ участвует в других проектах (мы пишем, выступаем, делаем аналитику, а также поддерживаем самую удобную нормативно-правовую базу по европейскому data protection регулированию GDPR-text.com).
По результатам стажировки лучшим мы предложим присоединиться к команде в качестве помощника/младшего консультанта.
Стажировка предполагает удаленный формат, но если ваше местоположение совпадет с местоположением нашего консультанта, то формат может стать гибридным :)
Ждем CV с парой сопроводительных строк на daria.zagranichnova@data-privacy-office.eu
Будьте готовы выполнить тестовое задание. Отбор состоит из скрининга резюме, тестового задания и устного собеседования.
Коллеги, мы в поиске студентов-юристов старших курсов и недавних выпускников. Будем рады, если вы поделитесь контактами или перешлете это сообщение своим знакомым.
Немного о нас😁
Data Privacy Office — консалтинговая и тренинговая компания в области защиты персональных данных. Мы помогаем IT компаниям осваивать зарубежные рынки, приводя их работу с персональными данными в соответствие с местным регулированием. Мы растем и расширяемся, открыли офисы в Минске, Берлине и Дубае и ищем в команду умных и заряженных ребят, которым поможем вырасти в ценных и крутых специалистов.
Наш идеальный молодой специалист имеет:
▪️широкий правовой кругозор (знания в областях договорного права, IP, международного права и прав человека, конституционного, административного и даже уголовного - все это пригодится и будет крепкой основой);
▫️ базовые знания истории и права ЕС;
▪️ интерес к регулированию персданных в зарубежных странах (мы работаем не только с правом ЕС, но и многих других стран);
▫️ хорошую успеваемость;
▪️базовое понимание IT, интерес к сфере IT, AI, регулированию Интернета и связи и даже шпионским скандалам;
▫️ интерес к -tech бизнесу и к бизнесу вообще (консультант погружается и досконально разбирается в бизнесе своего клиента);
▪️умеет говорить и писать грамотно, понятно и по делу;
▫️ свободный английский (или не ниже B2), знание других иностранных языков очень приветствуется.
Soft skills:
🔺Ценностная установка: человек - это цель, а не средство;
🔺Разносторонние интересы и навыки;
🔺Умение работать как в команде, так и самостоятельно;
🔺Стремление к постоянной учебе и развитию.
Продолжительность стажировки — 3 месяца. Стажировка неоплачиваемая, но мы вкладываемся и обучаем наших стажеров:
➖ стажер проходит наш топовый курс DPP (Data Privacy Professional);
➖ изучает множество других тем, которые не вошли в курс;
➖ находится под наставничеством старшего консультанта;
➖ участвует в реальных консалтинговых проектах;
➖ участвует в других проектах (мы пишем, выступаем, делаем аналитику, а также поддерживаем самую удобную нормативно-правовую базу по европейскому data protection регулированию GDPR-text.com).
По результатам стажировки лучшим мы предложим присоединиться к команде в качестве помощника/младшего консультанта.
Стажировка предполагает удаленный формат, но если ваше местоположение совпадет с местоположением нашего консультанта, то формат может стать гибридным :)
Ждем CV с парой сопроводительных строк на daria.zagranichnova@data-privacy-office.eu
Будьте готовы выполнить тестовое задание. Отбор состоит из скрининга резюме, тестового задания и устного собеседования.
❤10🔥4
Встречаемся уже сегодня, 13 июля в 16:00 (GMT+3), на вебинаре "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" в нашем телеграм-канале "ПРО Приватность"💫
Анастасия Пархимович, CIPP/E, консультант по GDPR, расскажет о частых ошибках в составлении политики приватности, продемонстрирует примеры "плохих" и "хороших" политик, а, главное, ответит на все вопросы, которые могли возникнуть у вас в ходе собственной работы по созданию.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
До встречи на вебинаре в 16:00 🙌🏻
Анастасия Пархимович, CIPP/E, консультант по GDPR, расскажет о частых ошибках в составлении политики приватности, продемонстрирует примеры "плохих" и "хороших" политик, а, главное, ответит на все вопросы, которые могли возникнуть у вас в ходе собственной работы по созданию.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
До встречи на вебинаре в 16:00 🙌🏻
👍7😍1
Мы в эфире 🔥
Присоединяйтесь на вебинар "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" 💫
В эфире: Анастасия Пархимович, CIPP/E, консультант по GDPR.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Оставить вопросы нашему спикеру можно в комментариях к этому посту👇🏻
Присоединяйтесь на вебинар "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" 💫
В эфире: Анастасия Пархимович, CIPP/E, консультант по GDPR.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Оставить вопросы нашему спикеру можно в комментариях к этому посту👇🏻
❤🔥4
DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?🤔
Узнайте 25 июля в 19:00 (GMT+3) на вебинаре с Дмитрием Филатовым, экспертом по защите персональных данных, обладающим сертификатами CIPP/E, CIPT, GDPR DPP и GDPR DPM.
На мероприятии мы разберем различные аспекты работы DPO. Некоторые организации, такие как надзорные органы (EDPB, CNIL, DPC Ireland и другие), а также IAPP, указывают на необходимость, чтобы DPO имел понимание ИТ и ИБ.
В программе вебинара:
• DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
• Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
• Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
• Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
Считаете, что DPO нужны только legal навыки? Вот несколько ссылок на важные документы от надзорных органов:
🖇CNIL: Practical Guide GDPR - DPO
🖇Art29WP: Guidelines on Data Protection Officers (‘DPOs’)
🖇Art29WP DPO FAQs
🖇Data Protection Commission Ireland
🖇IAPP DPO Job Denoscription
Присоединяйтесь 25 июля в 19:00! Место встречи: телеграм-канал «ПРО Приватность»😎
Узнайте 25 июля в 19:00 (GMT+3) на вебинаре с Дмитрием Филатовым, экспертом по защите персональных данных, обладающим сертификатами CIPP/E, CIPT, GDPR DPP и GDPR DPM.
На мероприятии мы разберем различные аспекты работы DPO. Некоторые организации, такие как надзорные органы (EDPB, CNIL, DPC Ireland и другие), а также IAPP, указывают на необходимость, чтобы DPO имел понимание ИТ и ИБ.
В программе вебинара:
• DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
• Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
• Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
• Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
Считаете, что DPO нужны только legal навыки? Вот несколько ссылок на важные документы от надзорных органов:
🖇CNIL: Practical Guide GDPR - DPO
🖇Art29WP: Guidelines on Data Protection Officers (‘DPOs’)
🖇Art29WP DPO FAQs
🖇Data Protection Commission Ireland
🖇IAPP DPO Job Denoscription
Присоединяйтесь 25 июля в 19:00! Место встречи: телеграм-канал «ПРО Приватность»😎
❤🔥8👍5🔥4❤2
ПРО приватность | Data Privacy Office pinned «DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?🤔 Узнайте 25 июля в 19:00 (GMT+3) на вебинаре с Дмитрием Филатовым, экспертом по защите персональных данных, обладающим сертификатами CIPP/E, CIPT, GDPR DPP и GDPR DPM. На мероприятии…»
Добро пожаловать в США!
Итак, прошлая неделя ознаменовалась вступлением в силу (10 июля) механизма для передачи персональных данных из ЕС в США - Data Privacy Framework (DPF). На этой неделе (17 июля) вступили в силу дополнения этого механизма для передачи данных из Соединенного Королевства и Швейцарии. Пришла пора разобраться с тем, что собой представляет этот механизм. Начнем, как обычно, с начала.
❓Для чего понадобился DPF?
🎯 Цель DPF - облегчить передачу персональных данных между Евросоюзом 🇪🇺, Соединенным Королевством 🇬🇧 и Швейцарией 🇨🇭- с одной стороны - и США 🇺🇸 - с другой стороны.
Согласно GDPR, передача персональных данных в США - это "передача персональных данных в третью страну" (иначе говоря, "трансграничная передача"), регулируемая Главой V GDPR. В зависимости от того, какого уровня защиту обеспечивает законодательство и практика "принимающей страны" (а нашем случае - США), трансграничная передача основывается на решении об адекватности либо на одной из надлежащих гарантий, перечисленных в ст. 46 GDPR.
✅ Наличие решения об адекватности сильно упрощает передачу персональных данных, поскольку в этом случае никаких дополнительных действий, связанных с передачей данных вовне ЕС, принимать не нужно. То есть, такая передача аналогична передаче внутри ЕЭЗ: между контролером и процессором заключается договор (ст. 28 GDPR), однако он не будет содержать особых условий, связанных с передачей данных в страну, где не действует GDPR.
❌ Однако если решения об адекватности нет, передавать персональные данные сложнее. Для этого требуется обеспечить на стороне получателя высокий уровень защиты данных - те самые "надлежащие гарантии". То есть, принимающая сторона должна соблюдать правила обращения с персональными данными, сопоставимые с правилами, установленными в GDPR, даже если местное законодательство устанавливает куда более низкий стандарт защиты.
Обеспечение надлежащих гарантий в большинстве случаев дорогостоящий, длительный и трудозатратный процесс 💣. Поэтому, учитывая объем передачи персональных данных в США (особенно с учетом использования разработанного американскими компаниями программного обеспечения), упрощение передачи было насущной проблемой.
❓Почему такого механизма не было раньше?
Такой механизм был, причем даже не один. Ранее для передачи персональных данных в США существовали два механизма.
▪️Механизм "Безопасная гавань" (Safe Harbour Privacy Principles) действовал с 2000 по 2015 год, пока Суд Евросоюза не отменил решение о передаче данных по схеме "Безопасной гавани" в связи с широкими полномочиями американских правоохранительных органов в сфере доступа к персональным данным и их обработки.
▪️На замену "Безопасной гавани" пришел "Щит приватности" (EU - US Privacy Shield), функционировавший с 2016 по 2020 год. Его постигла та же судьба: решением Суда Евросоюза был отменен и он. После этого любая передача персональных данных из ЕС в США должна была основываться на одной из надлежащих гарантий из ст. 46 GDPR.
❓Работает ли механизм DPF автоматически для всех американских компаний?
Нет, наряду с "Безопасной гаванью" и "Щитом приватности" новый механизм предполагает самосертификацию американских компаний, желающих получать персональные данные из ЕС по упрощенной схеме. То есть, мы имеем дело с решением об адекватности (ст. 45 GDPR), однако это решение распространяется не на все компании в стране (подход, принятый в других действующих решениях об адекватности), а лишь на те компании, которые заявили о своем участии в DPF, предприняли дополнительные действия и подали документы на включение их в базу данных компаний, участвующих в DPF. База компаний, участвующих в DPF, открыта для всех интересующихся: https://www.dataprivacyframework.gov/s/participant-search
Кстати, в этом перечне уже больше 2600 компаний! 😎
В ближайшие две недели мы будем продолжать рассказывать о новом механизме передачи персональных данных в США. Следите за обновлениями!
Итак, прошлая неделя ознаменовалась вступлением в силу (10 июля) механизма для передачи персональных данных из ЕС в США - Data Privacy Framework (DPF). На этой неделе (17 июля) вступили в силу дополнения этого механизма для передачи данных из Соединенного Королевства и Швейцарии. Пришла пора разобраться с тем, что собой представляет этот механизм. Начнем, как обычно, с начала.
❓Для чего понадобился DPF?
🎯 Цель DPF - облегчить передачу персональных данных между Евросоюзом 🇪🇺, Соединенным Королевством 🇬🇧 и Швейцарией 🇨🇭- с одной стороны - и США 🇺🇸 - с другой стороны.
Согласно GDPR, передача персональных данных в США - это "передача персональных данных в третью страну" (иначе говоря, "трансграничная передача"), регулируемая Главой V GDPR. В зависимости от того, какого уровня защиту обеспечивает законодательство и практика "принимающей страны" (а нашем случае - США), трансграничная передача основывается на решении об адекватности либо на одной из надлежащих гарантий, перечисленных в ст. 46 GDPR.
✅ Наличие решения об адекватности сильно упрощает передачу персональных данных, поскольку в этом случае никаких дополнительных действий, связанных с передачей данных вовне ЕС, принимать не нужно. То есть, такая передача аналогична передаче внутри ЕЭЗ: между контролером и процессором заключается договор (ст. 28 GDPR), однако он не будет содержать особых условий, связанных с передачей данных в страну, где не действует GDPR.
❌ Однако если решения об адекватности нет, передавать персональные данные сложнее. Для этого требуется обеспечить на стороне получателя высокий уровень защиты данных - те самые "надлежащие гарантии". То есть, принимающая сторона должна соблюдать правила обращения с персональными данными, сопоставимые с правилами, установленными в GDPR, даже если местное законодательство устанавливает куда более низкий стандарт защиты.
Обеспечение надлежащих гарантий в большинстве случаев дорогостоящий, длительный и трудозатратный процесс 💣. Поэтому, учитывая объем передачи персональных данных в США (особенно с учетом использования разработанного американскими компаниями программного обеспечения), упрощение передачи было насущной проблемой.
❓Почему такого механизма не было раньше?
Такой механизм был, причем даже не один. Ранее для передачи персональных данных в США существовали два механизма.
▪️Механизм "Безопасная гавань" (Safe Harbour Privacy Principles) действовал с 2000 по 2015 год, пока Суд Евросоюза не отменил решение о передаче данных по схеме "Безопасной гавани" в связи с широкими полномочиями американских правоохранительных органов в сфере доступа к персональным данным и их обработки.
▪️На замену "Безопасной гавани" пришел "Щит приватности" (EU - US Privacy Shield), функционировавший с 2016 по 2020 год. Его постигла та же судьба: решением Суда Евросоюза был отменен и он. После этого любая передача персональных данных из ЕС в США должна была основываться на одной из надлежащих гарантий из ст. 46 GDPR.
❓Работает ли механизм DPF автоматически для всех американских компаний?
Нет, наряду с "Безопасной гаванью" и "Щитом приватности" новый механизм предполагает самосертификацию американских компаний, желающих получать персональные данные из ЕС по упрощенной схеме. То есть, мы имеем дело с решением об адекватности (ст. 45 GDPR), однако это решение распространяется не на все компании в стране (подход, принятый в других действующих решениях об адекватности), а лишь на те компании, которые заявили о своем участии в DPF, предприняли дополнительные действия и подали документы на включение их в базу данных компаний, участвующих в DPF. База компаний, участвующих в DPF, открыта для всех интересующихся: https://www.dataprivacyframework.gov/s/participant-search
Кстати, в этом перечне уже больше 2600 компаний! 😎
В ближайшие две недели мы будем продолжать рассказывать о новом механизме передачи персональных данных в США. Следите за обновлениями!
👍10🔥5❤3
Вы не забыли, что уже сегодня в 19:00 (GMT+3) пройдет #вебинар «DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?» ?😉
Дмитрий Филатов, эксперт по защите персональных данных, CIPP/E, CIPT, GDPR DPP и GDPR DPM, вместе с Татьяной Сивухо, юрист-консультант и специалист по приватности, CIPP/E, обсудят, влиет ли ИТ бэкграунд на работу DPO.
В программе вебинара:
🧩DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
🧩Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
🧩Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
🧩Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
До встречи в 19:00 (GMT+3). Добавляйте мероприятие в календарь, чтобы не пропустить 📅
Дмитрий Филатов, эксперт по защите персональных данных, CIPP/E, CIPT, GDPR DPP и GDPR DPM, вместе с Татьяной Сивухо, юрист-консультант и специалист по приватности, CIPP/E, обсудят, влиет ли ИТ бэкграунд на работу DPO.
В программе вебинара:
🧩DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
🧩Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
🧩Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
🧩Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
До встречи в 19:00 (GMT+3). Добавляйте мероприятие в календарь, чтобы не пропустить 📅
🔥8👏1
Начали вебинар «DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?»🙂
Дмитрий Филатов, эксперт по защите персональных данных, и Татьяна Сивухо, юрист-консультант и специалист по приватности, ожидают ваших вопросов под этим постом 👇
Дмитрий Филатов, эксперт по защите персональных данных, и Татьяна Сивухо, юрист-консультант и специалист по приватности, ожидают ваших вопросов под этим постом 👇
🔥4❤1
Запись вебинара «DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?» уже доступна к просмотру ☺️👉 https://youtu.be/1a3sYWrgTbM
Благодарим спикеров Дмитрия Филатова, эксперта по защите персональных данных, и Татьяну Сивухо, прайваси-специалиста, за дискуссию.
Напомним, что вебинар состоялся в преддверии курса GDPR Data Privacy Technologist, который пройдет 7-23 августа.
Отвечаем на самый частый вопрос: GDPR Data Privacy Technologist - это курс не для технических специалистов.
Скорее, этот курс о технических аспектах приватности для не-технических специалистов.
Порой сложно быть на одном языке со всеми, кто шикарно жонглирует такими словами, как OOP, Solid, и вы думаете – последнее, это о чем-то твердом, да?
DPO или другие специалисты по приватности должны быть подкованы и в технических вопросах, чтобы давать советы и разбирать порой не самые простые прайваси сценарии и находить решения.
Если вы чувствуете, что вам не хватает данного навыка, то присоединяйтесь на курс GDPR Data Privacy Technologist.
Кратко о программе!
- Сравнение приватности и безопасности
- Законодательство о защите приватности
- Краткое введение в технические компоненты инфраструктуры
- Защита от технических рисков безопасности и приватности
- Жизненный цикл информации и ее защита на всех этапах
- Проектирование защищенных систем
- Фреймворки для защиты приватности и безопасности
- Актуальные вопросы приватности в современных технологиях
А кто же тренер? Курс будет вести Дмитрий Филатов CIPP/E, CIPT, GDPR DPP, GDPR DPM, опытный и сертифицированный специалист в области защиты персональных данных.
Пишите свои вопросы нашему менеджеру Антону, чтобы узнать о курсе подробнее! Или переходите по ссылке и задавайте свои вопросы в контактной форме!
Благодарим спикеров Дмитрия Филатова, эксперта по защите персональных данных, и Татьяну Сивухо, прайваси-специалиста, за дискуссию.
Напомним, что вебинар состоялся в преддверии курса GDPR Data Privacy Technologist, который пройдет 7-23 августа.
Отвечаем на самый частый вопрос: GDPR Data Privacy Technologist - это курс не для технических специалистов.
Скорее, этот курс о технических аспектах приватности для не-технических специалистов.
Порой сложно быть на одном языке со всеми, кто шикарно жонглирует такими словами, как OOP, Solid, и вы думаете – последнее, это о чем-то твердом, да?
DPO или другие специалисты по приватности должны быть подкованы и в технических вопросах, чтобы давать советы и разбирать порой не самые простые прайваси сценарии и находить решения.
Если вы чувствуете, что вам не хватает данного навыка, то присоединяйтесь на курс GDPR Data Privacy Technologist.
Кратко о программе!
- Сравнение приватности и безопасности
- Законодательство о защите приватности
- Краткое введение в технические компоненты инфраструктуры
- Защита от технических рисков безопасности и приватности
- Жизненный цикл информации и ее защита на всех этапах
- Проектирование защищенных систем
- Фреймворки для защиты приватности и безопасности
- Актуальные вопросы приватности в современных технологиях
А кто же тренер? Курс будет вести Дмитрий Филатов CIPP/E, CIPT, GDPR DPP, GDPR DPM, опытный и сертифицированный специалист в области защиты персональных данных.
Пишите свои вопросы нашему менеджеру Антону, чтобы узнать о курсе подробнее! Или переходите по ссылке и задавайте свои вопросы в контактной форме!
YouTube
DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?
В телеграм-канале "ПРО Приватность" прошел вебинар "DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?"👉 https://news.1rj.ru/str/data_privacy_office
Вебинар состоялся в преддверии курса GDPR Data Privacy Technologist, который пройдет 7-23…
Вебинар состоялся в преддверии курса GDPR Data Privacy Technologist, который пройдет 7-23…
🔥5👍2
DPF: продолжаем разговор!
Как мы и обещали, продолжаем рассказывать о DPF - механизме передачи персональных данных из ЕС в США без регистрации, справок и поручителей SCC, BCR, присоединения к кодексу поведения и применения статьи 49 GDPR.
❓Что такое самосертификация?
В основе механизма DPF лежит процедура самосертификации ✅. Суть её такова: каждая компания, желающая участвовать в DPF, проводит работу по внедрению принципов приватности, готовит политику приватности 📃, обучает людей 👩🏫, назначает 👮♀️ внутреннего уполномоченного по вопросам персональных данных.
Следующий шаг - подача документов на включение компании в реестр участников DPF. Документы рассматривает Управление международной торговли (входит в состав Министерства торговли США) как организация, контролирующая механизм DPF. Если претензий к документам нет, Управление вносит сведения о компании в реестр участников DPF 👍
❗️Управление проверяет представленные сведения и документы, но не реальную деятельность компании по обработке персональных данных и не соответствие документов этой реальной деятельности. Именно поэтому механизм представляет собой "самосертификацию" в отличие от обычной сертификации, в ходе который проверяющий чаще всего знакомится не только с документами, но и с реальным их исполнением.
❓Самосертификация - это разовая или регулярная процедура?
Самосертификация проводится регулярно: впервые - при подаче документов на участие в программе DPF, а в последующем - ежегодно в течение всего периода участия 🏅
Если компания не прошла повторную сертификацию вовремя, Управление предложит такой компании пройти сертификацию или отказаться от участия в программе. Если компания не отвечает, или начинает, но не завершает повторную сертификацию, или желает прекратить участие в программе, Управление включает такую компанию в перечень компаний, более не участвующих в программе DPF. Этот список также открыт всем желающим.
❓Как узнать, участвует ли компания в программе DPF?
Во-первых, можно проверить, включена ли организация в список компаний, участвующих в DPF, по ссылке: https://www.dataprivacyframework.gov/s/participant-search
Во-вторых, все компании, участвующие в DPF, обязаны включить в свои политики приватности соответствующее указание 📄.
Важно: если компания прекращает участвовать в программе DPF, такое указание необходимо удалить (при исключении компании из списка участников DPF Управление это проверяет). Более того, Управление также рассматривает жалобы на компании, которые включили такое указание в свои политики, но самосертификацию не прошли. Хотя, конечно, особо предприимчивые компании наверняка воспользуются преимуществом во времени между опубликованием такого текста у себя на сайте и проверкой Управления, если такая будет. Поэтому на всякий случай советуем проверять 🔎 контрагентов по списку участников DPF.
Совсем скоро мы поделимся новым материалом по данной теме. Следите за обновлениями!
Как мы и обещали, продолжаем рассказывать о DPF - механизме передачи персональных данных из ЕС в США без регистрации, справок и поручителей SCC, BCR, присоединения к кодексу поведения и применения статьи 49 GDPR.
❓Что такое самосертификация?
В основе механизма DPF лежит процедура самосертификации ✅. Суть её такова: каждая компания, желающая участвовать в DPF, проводит работу по внедрению принципов приватности, готовит политику приватности 📃, обучает людей 👩🏫, назначает 👮♀️ внутреннего уполномоченного по вопросам персональных данных.
Следующий шаг - подача документов на включение компании в реестр участников DPF. Документы рассматривает Управление международной торговли (входит в состав Министерства торговли США) как организация, контролирующая механизм DPF. Если претензий к документам нет, Управление вносит сведения о компании в реестр участников DPF 👍
❗️Управление проверяет представленные сведения и документы, но не реальную деятельность компании по обработке персональных данных и не соответствие документов этой реальной деятельности. Именно поэтому механизм представляет собой "самосертификацию" в отличие от обычной сертификации, в ходе который проверяющий чаще всего знакомится не только с документами, но и с реальным их исполнением.
❓Самосертификация - это разовая или регулярная процедура?
Самосертификация проводится регулярно: впервые - при подаче документов на участие в программе DPF, а в последующем - ежегодно в течение всего периода участия 🏅
Если компания не прошла повторную сертификацию вовремя, Управление предложит такой компании пройти сертификацию или отказаться от участия в программе. Если компания не отвечает, или начинает, но не завершает повторную сертификацию, или желает прекратить участие в программе, Управление включает такую компанию в перечень компаний, более не участвующих в программе DPF. Этот список также открыт всем желающим.
❓Как узнать, участвует ли компания в программе DPF?
Во-первых, можно проверить, включена ли организация в список компаний, участвующих в DPF, по ссылке: https://www.dataprivacyframework.gov/s/participant-search
Во-вторых, все компании, участвующие в DPF, обязаны включить в свои политики приватности соответствующее указание 📄.
Важно: если компания прекращает участвовать в программе DPF, такое указание необходимо удалить (при исключении компании из списка участников DPF Управление это проверяет). Более того, Управление также рассматривает жалобы на компании, которые включили такое указание в свои политики, но самосертификацию не прошли. Хотя, конечно, особо предприимчивые компании наверняка воспользуются преимуществом во времени между опубликованием такого текста у себя на сайте и проверкой Управления, если такая будет. Поэтому на всякий случай советуем проверять 🔎 контрагентов по списку участников DPF.
Совсем скоро мы поделимся новым материалом по данной теме. Следите за обновлениями!
🔥5👍3
И вновь о DPF
Вы еще не устали читать о DPF? Тогда мы идем к вам! И сегодня поговорим о гарантиях рассмотрения жалоб для субъектов персональных данных, чьи права предположительно были нарушены.
Что такое независимая инстанция для разрешения спора (Independent Recourse Mechanism)?
Седьмой из принципов DPF - Recourse, Enforcement and Liability - предусматривает право субъекта обратиться в независимую инстанцию 👩⚖️ для разрешения спора, связанного с нарушением принципов DPF (то есть, связанного с неправильной обработкой персональных данных). Выбор такой независимой инстанции остается за американской компанией. Именно она решает, какая организация будет работать "судом", поскольку такое рассмотрение должно быть бесплатным для субъекта (соответственно, компания несет все расходы 💵).
В политике приватности должно быть указание на то, в какую именно независимую инстанцию может обратиться субъект персональных данных. При необходимости Управление (напомним, что Управление международной торговли Министерства торговли США контролирует программу DPF) может обращаться с запросами как в американскую компанию, так и в выбранную ею независимую инстанцию.
Организовать рассмотрение жалоб в независимой инстанции компания-участник должна еще до самосертификации, поскольку Управление проверяет, действительно ли такое средство правовой защиты будет доступно субъекту персональных данных сразу после включения компании в список участников DPF. Поэтому если соответствующая инстанция требует предварительной регистрации в числе своих клиентов или уплаты членского взноса, эти формальности должны быть улажены до самосертификации.
Доступен ли такой механизм разрешения спора для всех лиц, чьи персональные данные обрабатывает американская компания?
Увы, нет ❌ (если, конечно, компания не решила распространить такой бонус на всех субъектов). Программа DPF регулирует именно передачу данных из ЕЭЗ в США, соответственно, возможность обратиться в независимую инстанцию доступна лишь для тех, чьи данные были переданы в соответствии с Главой V GDPR ("Передача персональных данных в третьи страны или международным организациям"). Специальная политика приватности, соответствующая требованиям программы DPF, также действует только на этот круг субъектов.
Что такое обязывающий арбитражный механизм (Binding Arbitration Mechanism)?
Согласно Приложению I (Annex I) к принципам DPF, у субъекта персональных данных есть право обратиться в арбитраж в связи с нарушением американской компанией правил обработки персональных данных (принципов DPF). Это право субъект может реализовать независимо от обращения в независимую инстанцию.
Важный нюанс: решение арбитража обязательно к исполнению 🖌. Если компания не исполняет решение, субъект имеет право обратиться в суд за принудительным исполнением решения арбитража.
Обращение в арбитраж также бесплатно для субъекта, однако каждая сторона самостоятельно несет расходы на юридическую помощь. Чтобы обеспечить финансирование арбитража, американская компания, участвующая в DPF, платит взносы в фонд 💎, управляемый Министерством торговли США.
Арбитраж выносит решение исключительно о неденежных способах защиты (удалении данных, возвращении данных, внесении изменений в неверные данные и т.д.). С помощью арбитража невозможно взыскать убытки или получить иное денежное возмещение 🙅♀️
Вы еще не устали читать о DPF? Тогда мы идем к вам! И сегодня поговорим о гарантиях рассмотрения жалоб для субъектов персональных данных, чьи права предположительно были нарушены.
Что такое независимая инстанция для разрешения спора (Independent Recourse Mechanism)?
Седьмой из принципов DPF - Recourse, Enforcement and Liability - предусматривает право субъекта обратиться в независимую инстанцию 👩⚖️ для разрешения спора, связанного с нарушением принципов DPF (то есть, связанного с неправильной обработкой персональных данных). Выбор такой независимой инстанции остается за американской компанией. Именно она решает, какая организация будет работать "судом", поскольку такое рассмотрение должно быть бесплатным для субъекта (соответственно, компания несет все расходы 💵).
В политике приватности должно быть указание на то, в какую именно независимую инстанцию может обратиться субъект персональных данных. При необходимости Управление (напомним, что Управление международной торговли Министерства торговли США контролирует программу DPF) может обращаться с запросами как в американскую компанию, так и в выбранную ею независимую инстанцию.
Организовать рассмотрение жалоб в независимой инстанции компания-участник должна еще до самосертификации, поскольку Управление проверяет, действительно ли такое средство правовой защиты будет доступно субъекту персональных данных сразу после включения компании в список участников DPF. Поэтому если соответствующая инстанция требует предварительной регистрации в числе своих клиентов или уплаты членского взноса, эти формальности должны быть улажены до самосертификации.
Доступен ли такой механизм разрешения спора для всех лиц, чьи персональные данные обрабатывает американская компания?
Увы, нет ❌ (если, конечно, компания не решила распространить такой бонус на всех субъектов). Программа DPF регулирует именно передачу данных из ЕЭЗ в США, соответственно, возможность обратиться в независимую инстанцию доступна лишь для тех, чьи данные были переданы в соответствии с Главой V GDPR ("Передача персональных данных в третьи страны или международным организациям"). Специальная политика приватности, соответствующая требованиям программы DPF, также действует только на этот круг субъектов.
Что такое обязывающий арбитражный механизм (Binding Arbitration Mechanism)?
Согласно Приложению I (Annex I) к принципам DPF, у субъекта персональных данных есть право обратиться в арбитраж в связи с нарушением американской компанией правил обработки персональных данных (принципов DPF). Это право субъект может реализовать независимо от обращения в независимую инстанцию.
Важный нюанс: решение арбитража обязательно к исполнению 🖌. Если компания не исполняет решение, субъект имеет право обратиться в суд за принудительным исполнением решения арбитража.
Обращение в арбитраж также бесплатно для субъекта, однако каждая сторона самостоятельно несет расходы на юридическую помощь. Чтобы обеспечить финансирование арбитража, американская компания, участвующая в DPF, платит взносы в фонд 💎, управляемый Министерством торговли США.
Арбитраж выносит решение исключительно о неденежных способах защиты (удалении данных, возвращении данных, внесении изменений в неверные данные и т.д.). С помощью арбитража невозможно взыскать убытки или получить иное денежное возмещение 🙅♀️
🔥4