Интересуюсь [вопрос с несколькими вариантами ответа😎]
Anonymous Poll
87%
GDPR
62%
ФЗ-152
24%
РБ 99-З
20%
UAE 🇦🇪
35%
Регулированием в Штатах
22%
Азия
0%
Уточню в комментариях 👇🏻
Какой формат контента хотелось бы получать в канале чаще?
Anonymous Poll
33%
Требуем больше мероприятий
52%
Верните рубрику новостей из мира приватности
67%
Хотим больше авторского контента от команды консультантов DPO
48%
Присылайте полезную инфографику
27%
А мемы можно добавить ?🥲
Коллеги, будем рады, если вы поделитесь в комментариях, как решили прийти в сферу🙂Кто вдохновлял / наставлял / советовал ?
Что читали / смотрели?💡
Что читали / смотрели?💡
На прошлой неделе мы провели опрос и выяснили, что большинство наших подписчиков только начинают свой путь в сфере защиты данных. Поэтому мы решили провести для вас онлайн-вебинар “Профориентация на Data Protection Officer” 🚀
⏰Когда: 11 сентября (понедельник) в 19:00 часов (GMT+3)
Вебинар пройдет в закрытом телеграм-чате. Для участия нужно воспользоваться секретной ссылкой👉 https://news.1rj.ru/str/+ezC-jas2Aw1jYzQy
Спикер вебинара Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, расскажет о нюансах профессии, а также поделится, какие hard и soft skills нужны для работы DPO.
Во время вебинара мы проведем онлайн-тестирование, которое поможет определить, какие навыки следует развивать именно вам для достижения успеха в этой области. Вы также сможете узнать больше о тонкостях работы в сфере защиты данных и составить свой карьерный трек, исходя из ваших текущих возможностей и потребностей 💼
Не упустите возможность поучаствовать! Присоединяйтесь к нам 11 сентября в 19:00 👉 https://news.1rj.ru/str/+ezC-jas2Aw1jYzQy
⏰Когда: 11 сентября (понедельник) в 19:00 часов (GMT+3)
Вебинар пройдет в закрытом телеграм-чате. Для участия нужно воспользоваться секретной ссылкой👉 https://news.1rj.ru/str/+ezC-jas2Aw1jYzQy
Спикер вебинара Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, расскажет о нюансах профессии, а также поделится, какие hard и soft skills нужны для работы DPO.
Во время вебинара мы проведем онлайн-тестирование, которое поможет определить, какие навыки следует развивать именно вам для достижения успеха в этой области. Вы также сможете узнать больше о тонкостях работы в сфере защиты данных и составить свой карьерный трек, исходя из ваших текущих возможностей и потребностей 💼
Не упустите возможность поучаствовать! Присоединяйтесь к нам 11 сентября в 19:00 👉 https://news.1rj.ru/str/+ezC-jas2Aw1jYzQy
🔥7👍1
It’s ICO calling 📞 #дайджест
ICO опубликовало новое руководство по массовой email рассылке
Руководство затрагивает использование скрытых копий для массовой рассылки, когда адресаты не видят электронных почт друг друга. По данным ICO, ошибка в использовании функции скрытой копии входит в десятку самых распространенных нарушений: с 2019 года их было зафиксировано около тысячи. В использовании механизма легко ошибиться и отправить сообщение обычным способом, когда получатели видят электронные адреса друг друга.
ICO обращает внимание на то, что список адресатов сообщения может раскрыть подробную информацию о человеке. Например, в 2019 году одна из больниц разослала своим пациентам массовые электронные письма о конкурсе. Однако, для отправки рассылки по ошибке использовалась не скрытая копия, а обычный механизм, где все получатели могли видеть электронные почты друг друга. Таким образом была раскрыта информация о том, что получатели являлись пациентами клиники, что является нарушением безопасности данных.
Можно ли использовать скрытые копии для рассылок? ICO разрешает использование функции, однако обращает внимание на характер сообщения. Вы можете использовать скрытые копии, если информация в сообщении не является чувствительной и риск для субъектов данных не значителен. В любом случае следует оценить, не является ли более целесообразным использование других безопасных методов, таких как сервисы для рассылок. ICO приводит примеры альтернатив и лучших практик в руководстве.
Читать руководство полностью: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/email-and-security/#isanemail
ICO опубликовало новое руководство по массовой email рассылке
Руководство затрагивает использование скрытых копий для массовой рассылки, когда адресаты не видят электронных почт друг друга. По данным ICO, ошибка в использовании функции скрытой копии входит в десятку самых распространенных нарушений: с 2019 года их было зафиксировано около тысячи. В использовании механизма легко ошибиться и отправить сообщение обычным способом, когда получатели видят электронные адреса друг друга.
ICO обращает внимание на то, что список адресатов сообщения может раскрыть подробную информацию о человеке. Например, в 2019 году одна из больниц разослала своим пациентам массовые электронные письма о конкурсе. Однако, для отправки рассылки по ошибке использовалась не скрытая копия, а обычный механизм, где все получатели могли видеть электронные почты друг друга. Таким образом была раскрыта информация о том, что получатели являлись пациентами клиники, что является нарушением безопасности данных.
Можно ли использовать скрытые копии для рассылок? ICO разрешает использование функции, однако обращает внимание на характер сообщения. Вы можете использовать скрытые копии, если информация в сообщении не является чувствительной и риск для субъектов данных не значителен. В любом случае следует оценить, не является ли более целесообразным использование других безопасных методов, таких как сервисы для рассылок. ICO приводит примеры альтернатив и лучших практик в руководстве.
Читать руководство полностью: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/email-and-security/#isanemail
👨💻7👍1
GDPR на местах
Надзорный орган Норвегии (Datatilsynet) выпустил руководство по мониторингу сотрудников
Очевидно, что гаджеты, которые сотрудники используют в рамках работы, фиксируют огромные объемы информации. Поэтому существует запрет на мониторинг использования девайсов. Datatilsynet разработал разъяснения о том, в каких случаях действует этот запрет и какие существуют исключения из него. Эти рекомендации помогут работодателям оценить, что может быть законным для внедрения на рабочем месте, а что является нарушением.
Читать руководство полностью (на норвежском языке): https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/overvaking-av-ansattes-bruk-av-elektronisk-utstyr/
Надзорный орган Швейцарии (FDPIC) подготовил руководство по проведению DPIA
C 1 сентября 2023 г. вступает в силу новая редакция Закона о защите данных (revFADP). В соответствии со ст. 22 и 23 revFADP контролеры будут обязаны проводить DPIA, если обработка влечет высокий риск для прав субъектов данных. В руководстве описывается, что должна включать оценка DPIA, как подробно следует описать обработку и риски. FDPIC приводит примеры рисковых обработок, а также критерии для отнесения их к таковым. В руководстве описывается не только сам процесс оценки и подготовки отчета, но и пошаговый план, как действовать после проведения оценки (необходимость внедрения мер, уведомления надзорного органа).
Кроме разъяснения теории, в руководстве также есть алгоритм предварительной оценки необходимости проведения DPIA и шаблон отчета DPIA
Читать руководство полностью (на английском языке): https://www.edoeb.admin.ch/edoeb/en/home/kurzmeldungen/dsfa.html
Надзорный орган Норвегии (Datatilsynet) выпустил руководство по мониторингу сотрудников
Очевидно, что гаджеты, которые сотрудники используют в рамках работы, фиксируют огромные объемы информации. Поэтому существует запрет на мониторинг использования девайсов. Datatilsynet разработал разъяснения о том, в каких случаях действует этот запрет и какие существуют исключения из него. Эти рекомендации помогут работодателям оценить, что может быть законным для внедрения на рабочем месте, а что является нарушением.
Читать руководство полностью (на норвежском языке): https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/overvaking-av-ansattes-bruk-av-elektronisk-utstyr/
Надзорный орган Швейцарии (FDPIC) подготовил руководство по проведению DPIA
C 1 сентября 2023 г. вступает в силу новая редакция Закона о защите данных (revFADP). В соответствии со ст. 22 и 23 revFADP контролеры будут обязаны проводить DPIA, если обработка влечет высокий риск для прав субъектов данных. В руководстве описывается, что должна включать оценка DPIA, как подробно следует описать обработку и риски. FDPIC приводит примеры рисковых обработок, а также критерии для отнесения их к таковым. В руководстве описывается не только сам процесс оценки и подготовки отчета, но и пошаговый план, как действовать после проведения оценки (необходимость внедрения мер, уведомления надзорного органа).
Кроме разъяснения теории, в руководстве также есть алгоритм предварительной оценки необходимости проведения DPIA и шаблон отчета DPIA
Читать руководство полностью (на английском языке): https://www.edoeb.admin.ch/edoeb/en/home/kurzmeldungen/dsfa.html
Datatilsynet
Overvåking av ansattes bruk av elektronisk utstyr
Vi har laget veiledning om hva forbudet mot å overvåke arbeidstakeres bruk av elektronisk utstyr innebærer.
😱5❤3👍2
ПРО приватность | Data Privacy Office pinned «На прошлой неделе мы провели опрос и выяснили, что большинство наших подписчиков только начинают свой путь в сфере защиты данных. Поэтому мы решили провести для вас онлайн-вебинар “Профориентация на Data Protection Officer” 🚀 ⏰Когда: 11 сентября (понедельник)…»
❓От чего, на ваш взгляд, зависит подбор правового основания для обработки персональных данных?
Этот вопрос мы часто задаем на нашем курсе GDPR DPP (Data Privacy Professional) - а сегодня зададим и вам.
Наличие правового основания у каждой обработки - это требование принципа законности (ст. 5 (1) а и ст. 6 GDPR). При этом для каждой обработки правовое основание подбирается отдельно - и может быть только одно. Ни больше, ни меньше. Почему правовых оснований не может быть меньше одного (то есть, не быть вовсе), очевидно - это нарушает 💣 принцип законности из ст. 6 GDPR. Однако проблема наличия сразу нескольких правовых оснований не столь очевидна. И впрямь, что плохого, если у нас не одно основание, а сразу два или три? Разве так не надежнее? 🤷♀️
⛔️ Увы, нет. Если у одной обработки персональных данных несколько правовых оснований, контролер фактически вводит субъекта персональных данных в заблуждение о том, какие именно права есть у такого субъекта.
Каждому правовому основанию соответствует свой набор прав. Это миф, что GDPR предоставляет субъекту неограниченные права. Представьте, что компания обрабатывает данные о зарплате💰 работника для уплаты налога. Конечно, работнику было бы удобнее, если бы данные можно было удалить, а налог - не платить. Однако такая возможность в GDPR не предусмотрена. Другое дело - согласие ✅ работника на публикацию фотографий с корпоратива (на которых он изображен) в социальных аккаунтах компании. В этом случае можно как отозвать согласие на обработку в будущем, так и попросить удалить уже обрабатываемые данные (фотографии).
Набор прав, соответствующий каждому правовому основанию, уникален 🔥. То есть, взяв любые два (а тем более три) правовых основания, мы неизбежно столкнемся с тем, что одно из прав будет доступно для одного правового основания и недоступно - для другого. Например, если мы укажем "договор" и "легитимный интерес" в качестве правовых оснований для одной и той же обработки, наш клиент (работник, субъект) не поймет, есть ли у него право на переносимость данных (которое "работает" для "договора" и "не работает" для "легитимного интереса") и право возражать против обработки (с которым как раз всё наоборот).
Если правовое основание всегда одно, вопрос его выбора становится ещё актуальнее: подобрать два-три "в принципе подходящих" варианта проще, чем выбрать один-единственный. Этому и многому другому мы учим 👨🏫 на курсе GDPR DPP:
- показываем таблицу "Водопад правовых оснований", разработанную Сергеем Воронкевичем, и учим с ней работать. Поверьте, выбирать правовое основание с вопросами из этой таблицы существенно проще;
- объясняем, как проводить оценку легитимного интереса 📊 (если вы сомневаетесь между ним и согласием);
- рассказываем, можно ли включить условие о рассылке (и многих других заманчивых обработках) в договор 📑с клиентом - и не брать на неё согласие;
- поясняем, законодательство каких стран 🇪🇺 следует учитывать, если контролер использует правовые основания "требование закона" и "публичный интерес".
Если вы ещё не были на курсе GDPR DPP, то деликатно намекаем: сентябрь - лучшее время для учебы. Ждём вас на ближайшем потоке, который стартует 18 сентября. Пароли-явки, как обычно, у нашего менеджера Антона.
Этот вопрос мы часто задаем на нашем курсе GDPR DPP (Data Privacy Professional) - а сегодня зададим и вам.
Наличие правового основания у каждой обработки - это требование принципа законности (ст. 5 (1) а и ст. 6 GDPR). При этом для каждой обработки правовое основание подбирается отдельно - и может быть только одно. Ни больше, ни меньше. Почему правовых оснований не может быть меньше одного (то есть, не быть вовсе), очевидно - это нарушает 💣 принцип законности из ст. 6 GDPR. Однако проблема наличия сразу нескольких правовых оснований не столь очевидна. И впрямь, что плохого, если у нас не одно основание, а сразу два или три? Разве так не надежнее? 🤷♀️
⛔️ Увы, нет. Если у одной обработки персональных данных несколько правовых оснований, контролер фактически вводит субъекта персональных данных в заблуждение о том, какие именно права есть у такого субъекта.
Каждому правовому основанию соответствует свой набор прав. Это миф, что GDPR предоставляет субъекту неограниченные права. Представьте, что компания обрабатывает данные о зарплате💰 работника для уплаты налога. Конечно, работнику было бы удобнее, если бы данные можно было удалить, а налог - не платить. Однако такая возможность в GDPR не предусмотрена. Другое дело - согласие ✅ работника на публикацию фотографий с корпоратива (на которых он изображен) в социальных аккаунтах компании. В этом случае можно как отозвать согласие на обработку в будущем, так и попросить удалить уже обрабатываемые данные (фотографии).
Набор прав, соответствующий каждому правовому основанию, уникален 🔥. То есть, взяв любые два (а тем более три) правовых основания, мы неизбежно столкнемся с тем, что одно из прав будет доступно для одного правового основания и недоступно - для другого. Например, если мы укажем "договор" и "легитимный интерес" в качестве правовых оснований для одной и той же обработки, наш клиент (работник, субъект) не поймет, есть ли у него право на переносимость данных (которое "работает" для "договора" и "не работает" для "легитимного интереса") и право возражать против обработки (с которым как раз всё наоборот).
Если правовое основание всегда одно, вопрос его выбора становится ещё актуальнее: подобрать два-три "в принципе подходящих" варианта проще, чем выбрать один-единственный. Этому и многому другому мы учим 👨🏫 на курсе GDPR DPP:
- показываем таблицу "Водопад правовых оснований", разработанную Сергеем Воронкевичем, и учим с ней работать. Поверьте, выбирать правовое основание с вопросами из этой таблицы существенно проще;
- объясняем, как проводить оценку легитимного интереса 📊 (если вы сомневаетесь между ним и согласием);
- рассказываем, можно ли включить условие о рассылке (и многих других заманчивых обработках) в договор 📑с клиентом - и не брать на неё согласие;
- поясняем, законодательство каких стран 🇪🇺 следует учитывать, если контролер использует правовые основания "требование закона" и "публичный интерес".
Если вы ещё не были на курсе GDPR DPP, то деликатно намекаем: сентябрь - лучшее время для учебы. Ждём вас на ближайшем потоке, который стартует 18 сентября. Пароли-явки, как обычно, у нашего менеджера Антона.
🔥8
Почему вам стоит задуматься о сертификации CIPP/E? Вот 5 причин, после которых вы точно захотите стать обладателем почетной сертификации.
🔍 Подтверждение экспертизы. Сертификация CIPP/E является международно признанным стандартом в области защиты персональных данных. При успешном прохождении экзамена, вы подтверждаете свою экспертизу и профессионализм в этой области.
🚀 Карьерный рост. Сертификация CIPP/E может значительно повысить ваши шансы на получение престижных должностей в области защиты персональных данных. Работодатели часто ищут специалистов с подтвержденными знаниями и навыками в области приватности.
📚 Глубокое понимание GDPR. Экзамен CIPP/E позволяет углубить свои знания о GDPR и его применении. Вы будете осведомлены о ключевых принципах, требованиях и механизмах соблюдения GDPR.
🌍 Международное признание. Сертификация CIPP/E признана ведущими организациями в области защиты персональных данных. Это дает вам международное признание и доверие со стороны коллег и работодателей.
📈 Профессиональное развитие. Подготовка к экзамену CIPP/E позволяет вам углубить свои знания и навыки в области защиты персональных данных. Вы будете в курсе последних трендов и лучших практик в этой области, что поможет вам стать востребованным специалистом и продвинуться в карьере.
Убедили? Тогда приглашаем присоединиться к нашему “Коучингу по подготовке к сдаче на международную сертификацию”, который пройдет с 7 сентября по 12 ноября.
Систематизировать знания по GDPR и попрактиковаться в решении кейсов возможно под чутким руководством Татьяны Сивухо, CIPP/E, GDPR DPP, Privacy by Design.
Кстати, совсем недавно Татьяна провела вводный урок, где рассказала подробности о том, как проходят занятия, поделилась лайфхаками решения практических заданий и ответила на интересующие вопросы студентов. Получить запись вводного, узнать подробности о коучинге и обсудить условия можно с нашими менеджерами Антоном и Никитой🙌🏻
Успейте воспользоваться возможностью подготовиться и получить сертификацию в этом году 💫
🔍 Подтверждение экспертизы. Сертификация CIPP/E является международно признанным стандартом в области защиты персональных данных. При успешном прохождении экзамена, вы подтверждаете свою экспертизу и профессионализм в этой области.
🚀 Карьерный рост. Сертификация CIPP/E может значительно повысить ваши шансы на получение престижных должностей в области защиты персональных данных. Работодатели часто ищут специалистов с подтвержденными знаниями и навыками в области приватности.
📚 Глубокое понимание GDPR. Экзамен CIPP/E позволяет углубить свои знания о GDPR и его применении. Вы будете осведомлены о ключевых принципах, требованиях и механизмах соблюдения GDPR.
🌍 Международное признание. Сертификация CIPP/E признана ведущими организациями в области защиты персональных данных. Это дает вам международное признание и доверие со стороны коллег и работодателей.
📈 Профессиональное развитие. Подготовка к экзамену CIPP/E позволяет вам углубить свои знания и навыки в области защиты персональных данных. Вы будете в курсе последних трендов и лучших практик в этой области, что поможет вам стать востребованным специалистом и продвинуться в карьере.
Убедили? Тогда приглашаем присоединиться к нашему “Коучингу по подготовке к сдаче на международную сертификацию”, который пройдет с 7 сентября по 12 ноября.
Систематизировать знания по GDPR и попрактиковаться в решении кейсов возможно под чутким руководством Татьяны Сивухо, CIPP/E, GDPR DPP, Privacy by Design.
Кстати, совсем недавно Татьяна провела вводный урок, где рассказала подробности о том, как проходят занятия, поделилась лайфхаками решения практических заданий и ответила на интересующие вопросы студентов. Получить запись вводного, узнать подробности о коучинге и обсудить условия можно с нашими менеджерами Антоном и Никитой🙌🏻
Успейте воспользоваться возможностью подготовиться и получить сертификацию в этом году 💫
👍3🏆2❤1
#прайвасикейс💼
Предположим, что есть сервис, который полностью удовлетворяет ваши потребности: удобный интерфейс, классный функционал — приложение, которое вы так давно искали😍
Но у него ужасная Privacy Notice, которая явно была скопирована с похожего сервиса🤨, и вдобавок вы никак не можете найти способ связаться с поддержкой.
Предположим, что есть сервис, который полностью удовлетворяет ваши потребности: удобный интерфейс, классный функционал — приложение, которое вы так давно искали😍
Но у него ужасная Privacy Notice, которая явно была скопирована с похожего сервиса🤨, и вдобавок вы никак не можете найти способ связаться с поддержкой.
🎯 Принцип ограничения целью = четкость формулировок + проверка на совместимость
Один из принципов обработки персональных данных, установленных GDPR - принцип ограничения целью (ст. 5 (1) b GDPR). Этот принцип требует, чтобы персональные данные собирались для конкретных, отчётливых и законных целей и не обрабатывались в последующем несовместимым с этими целями образом. То есть, в принципе ограничения целью можно выделить два компонента:
1️⃣ конкретная, отчётливая (ясная) и законная цель, и
2️⃣ использование данных для совместимых целей.
Сегодня поговорим о первом компоненте и разберемся в требованиях, предъявляемых GDPR к цели обработки персональных данных. Таких требований три: цель должна быть определенной (конкретной), отчетливой (чёткой, ясной) и законной.
Конкретная цель
Данные всегда обрабатываются (в том числе собираются) для какой-то цели. Не на всякий случай, не "чтобы было" или "а вдруг понадобится". Ещё до фактической обработки персональных данных мы должны определить для себя цели, для которых нам нужны данные, а также объем данных, необходимый для достижения этих целей (очевидно, что разные цели могут требовать разного объема персональных данных). Поэтому для начала нужно ответить себе на вопрос: "Для чего мне нужны эти данные? Какую цель они помогают достичь?"
Ясная цель
Как только мы сформулировали цель у себя в голове, пришло время сделать её достоянием общественности. Цель необходимо сформулировать таким образом, чтобы она была отчётливой, ясной ☀️. Ясная цель - это цель, понятная человеку, не имеющему специальных знаний. Причём ясность цели следует оценивать не по тому, понимает ли субъект значения слов, которыми сформулирована цель. Нужно идти глубже: человек должен понимать, что вы будете делать 🛠 с его персональными данными для достижения цели, как именно данные помогают этой цели достичь 🏆. Так, например, "развитие бизнеса и повышение качества обслуживания" - цель неконкретная, хотя все слова носителю языка вполне понятны. А "отправка сообщений о статусе заказа (отгрузка, задержка доставки, доставка в пункт выдачи)" - наоборот, вполне ясная цель.
Законная цель
И, наконец, требование законности ⚖️, которое созвучно принципу законности обработки персональных данных (ст. 5 (1) a GDPR), но выходит далеко за его рамки. Принцип законности как таковой находит развитие в ст. 6 GDPR, которая посвящена правовым основаниям. Однако помимо того, что обработка должна иметь правовое основание, цель обработки должна быть законна сама по себе. Если, например, проведение каких-либо медицинских опытов или манипуляций 🧬 запрещено законом государства, в котором происходит обработка, то даже при наличии согласия (то есть, правового основания) обрабатывать персональные данные для проведения таких опытов запрещено. Почему? Потому что закон запрещает такую цель в принципе. Примером может служить сообщение данных о половой принадлежности ребенка 👶 будущей маме в Южной Корее или Китае (там это запрещено законом, мама - и все остальные - узнают пол ребенка только после рождения). Даже если будущие родители дадут своё согласие на такие действия (в том числе на внесение данных в карту или отчет об УЗИ), такая цель незаконна ⛔️ с самого начала.
На следующей неделе мы рассмотрим второй компонент принципа ограничения целью - совместимое использование персональных данных. Но, конечно, на курсе GDPR DPP (Data Privacy Professional) наши студенты вместе с тренерами разбирают этот принцип куда детальнее. Если вы хотите присоединиться к группе, стартующей 18 сентября, то у вас уже есть конкретная, ясная и законная цель 😊 Осталось лишь написать нашим менеджерам Антону и Никите и сделать шаг навстречу этой цели! До встречи на курсе!
Один из принципов обработки персональных данных, установленных GDPR - принцип ограничения целью (ст. 5 (1) b GDPR). Этот принцип требует, чтобы персональные данные собирались для конкретных, отчётливых и законных целей и не обрабатывались в последующем несовместимым с этими целями образом. То есть, в принципе ограничения целью можно выделить два компонента:
1️⃣ конкретная, отчётливая (ясная) и законная цель, и
2️⃣ использование данных для совместимых целей.
Сегодня поговорим о первом компоненте и разберемся в требованиях, предъявляемых GDPR к цели обработки персональных данных. Таких требований три: цель должна быть определенной (конкретной), отчетливой (чёткой, ясной) и законной.
Конкретная цель
Данные всегда обрабатываются (в том числе собираются) для какой-то цели. Не на всякий случай, не "чтобы было" или "а вдруг понадобится". Ещё до фактической обработки персональных данных мы должны определить для себя цели, для которых нам нужны данные, а также объем данных, необходимый для достижения этих целей (очевидно, что разные цели могут требовать разного объема персональных данных). Поэтому для начала нужно ответить себе на вопрос: "Для чего мне нужны эти данные? Какую цель они помогают достичь?"
Ясная цель
Как только мы сформулировали цель у себя в голове, пришло время сделать её достоянием общественности. Цель необходимо сформулировать таким образом, чтобы она была отчётливой, ясной ☀️. Ясная цель - это цель, понятная человеку, не имеющему специальных знаний. Причём ясность цели следует оценивать не по тому, понимает ли субъект значения слов, которыми сформулирована цель. Нужно идти глубже: человек должен понимать, что вы будете делать 🛠 с его персональными данными для достижения цели, как именно данные помогают этой цели достичь 🏆. Так, например, "развитие бизнеса и повышение качества обслуживания" - цель неконкретная, хотя все слова носителю языка вполне понятны. А "отправка сообщений о статусе заказа (отгрузка, задержка доставки, доставка в пункт выдачи)" - наоборот, вполне ясная цель.
Законная цель
И, наконец, требование законности ⚖️, которое созвучно принципу законности обработки персональных данных (ст. 5 (1) a GDPR), но выходит далеко за его рамки. Принцип законности как таковой находит развитие в ст. 6 GDPR, которая посвящена правовым основаниям. Однако помимо того, что обработка должна иметь правовое основание, цель обработки должна быть законна сама по себе. Если, например, проведение каких-либо медицинских опытов или манипуляций 🧬 запрещено законом государства, в котором происходит обработка, то даже при наличии согласия (то есть, правового основания) обрабатывать персональные данные для проведения таких опытов запрещено. Почему? Потому что закон запрещает такую цель в принципе. Примером может служить сообщение данных о половой принадлежности ребенка 👶 будущей маме в Южной Корее или Китае (там это запрещено законом, мама - и все остальные - узнают пол ребенка только после рождения). Даже если будущие родители дадут своё согласие на такие действия (в том числе на внесение данных в карту или отчет об УЗИ), такая цель незаконна ⛔️ с самого начала.
На следующей неделе мы рассмотрим второй компонент принципа ограничения целью - совместимое использование персональных данных. Но, конечно, на курсе GDPR DPP (Data Privacy Professional) наши студенты вместе с тренерами разбирают этот принцип куда детальнее. Если вы хотите присоединиться к группе, стартующей 18 сентября, то у вас уже есть конкретная, ясная и законная цель 😊 Осталось лишь написать нашим менеджерам Антону и Никите и сделать шаг навстречу этой цели! До встречи на курсе!
🔥5👍1
☕️🍂Этим прекрасным осенним утром понедельника заварите чашечку кофе и насладитесь предсказаниями нашего Privacy-оракула 🔮на грядущую неделю.
♈️Овен
С наступлением осени овнам хочется, чтобы их просто кто-нибудь крепко обнял и сказал: «Все будет хорошо! Вот тебе шоколадка и выполненные мероприятия по GDPR-комплаенсу».
♉️Телец
Тельцам нужно многое: любовь, признание, забота, уважение, а еще LIA, TIA, DPIA… Слишком много? Но вы этого достойны и способны на гораздо большее!
♊️Близнецы
Меркурий в зените - близнецы на privacy-аудите. Эта неделя идеально подходит для того, чтобы детально погрузиться в процессы обработки персональных данных вашего продукта.
♋️Рак
Неделя хороша, чтобы исключить из жизни все лишнее, то же относится и к privacy-комплаенсу. Вспомните о минимизации, удалите все старые и ненужные данные.
♌️Лев
Львы - настоящие privacy-чемпионы. Ваша энергия зарядит всех коллег вокруг: работа кипит, документы составляются, защитные меры внедряются!
♍️Дева
На небосклоне дев взошла Privacy-звезда , а это значит, что любое начинание в деле защиты персональных данных увенчается успехом. Открывайте свой список задач и приступайте!
♎️Весы
Весы ценят равновесие, поэтому они будут стремиться найти баланс между интересами бизнеса и правами субъектов. Отличное время, чтобы провести оценку рисков.
♏️Скорпион
Скорпионам стоит перестать пытаться все контролировать и немного отпустить ситуацию: все риски не закроешь, соломку везде не постелешь - просто убедитесь, что вы сделали все от вас зависящее.
♐️Стрелец
Благодаря необъятному, как и душа стрельцов, Юпитеру их харизма сейчас на высоте. Самое время провести тренинг по защите персданных своим коллегам.
♑️Козерог
О гиперответственности козерогов слагают легенды. Направьте ее в продуктивное русло: пройдите обучение, освежите знания в технической части защиты данных, пообщайтесь с другими экспертами.
♒️Водолей
Водолеи часто опережают свое время, поэтому могут стать пионерами внедрения новейших технологий защиты данных в своей компании. Полный вперёд!
♓️Рыбы
Кто как не рыбы дорожат своей приватностью: этим фантазерам нужно уединение и пространство для творчества. Но не забудьте показать миру ценность приватности: сейчас прекрасное время, чтобы написать экспертную статью или выступить с докладом на конференции.
♈️Овен
С наступлением осени овнам хочется, чтобы их просто кто-нибудь крепко обнял и сказал: «Все будет хорошо! Вот тебе шоколадка и выполненные мероприятия по GDPR-комплаенсу».
♉️Телец
Тельцам нужно многое: любовь, признание, забота, уважение, а еще LIA, TIA, DPIA… Слишком много? Но вы этого достойны и способны на гораздо большее!
♊️Близнецы
Меркурий в зените - близнецы на privacy-аудите. Эта неделя идеально подходит для того, чтобы детально погрузиться в процессы обработки персональных данных вашего продукта.
♋️Рак
Неделя хороша, чтобы исключить из жизни все лишнее, то же относится и к privacy-комплаенсу. Вспомните о минимизации, удалите все старые и ненужные данные.
♌️Лев
Львы - настоящие privacy-чемпионы. Ваша энергия зарядит всех коллег вокруг: работа кипит, документы составляются, защитные меры внедряются!
♍️Дева
На небосклоне дев взошла Privacy-звезда , а это значит, что любое начинание в деле защиты персональных данных увенчается успехом. Открывайте свой список задач и приступайте!
♎️Весы
Весы ценят равновесие, поэтому они будут стремиться найти баланс между интересами бизнеса и правами субъектов. Отличное время, чтобы провести оценку рисков.
♏️Скорпион
Скорпионам стоит перестать пытаться все контролировать и немного отпустить ситуацию: все риски не закроешь, соломку везде не постелешь - просто убедитесь, что вы сделали все от вас зависящее.
♐️Стрелец
Благодаря необъятному, как и душа стрельцов, Юпитеру их харизма сейчас на высоте. Самое время провести тренинг по защите персданных своим коллегам.
♑️Козерог
О гиперответственности козерогов слагают легенды. Направьте ее в продуктивное русло: пройдите обучение, освежите знания в технической части защиты данных, пообщайтесь с другими экспертами.
♒️Водолей
Водолеи часто опережают свое время, поэтому могут стать пионерами внедрения новейших технологий защиты данных в своей компании. Полный вперёд!
♓️Рыбы
Кто как не рыбы дорожат своей приватностью: этим фантазерам нужно уединение и пространство для творчества. Но не забудьте показать миру ценность приватности: сейчас прекрасное время, чтобы написать экспертную статью или выступить с докладом на конференции.
❤🔥11🔥3👍2👏2❤1
Профессия Data Protection Officer на рынке труда появилась совсем недавно, но уже вызывает интерес у многих специалистов. Однако, несмотря на то, что нет четких требований по квалификации кандидатов, дискуссии о бэкграунде и необходимых навыках продолжаются.
Уже сегодня в 19:00(GMT+3) встречаемся на онлайн-мероприятии “
Сергей Воронкевич, CIPP/E,CIPM,CIPT,MBA,FIP, проведет онлайн-тестирование, которое поможет определить сильные и слабые стороны вашей личности и подскажет, какие навыки нужно развивать для достижения успеха в роли Data Protection Officer.
🏆Для тех, кто только начинает свой путь в профессии Data Protection Officer и хочет узнать больше о ее особенностях и требованиях.
🏆Для тех, кто ищет новые возможности для развития своих навыков и компетенций в сфере защиты персональных данных.
🏆Для всех, кто заинтересован в получении знаний и опыта в этой области и готов работать над собой и своими навыками.
Мероприятие проходит в преддверии фундаментального онлайн-курса GDPR Data Privacy Professional.
Присоединиться 👉🏻https://news.1rj.ru/str/+ezC-jas2Aw1jYzQy
Уже сегодня в 19:00(GMT+3) встречаемся на онлайн-мероприятии “
Профориентация на Data Protection Officer“ в телеграм-чате 👉🏻 https://news.1rj.ru/str/+ezC-jas2Aw1jYzQyСергей Воронкевич, CIPP/E,CIPM,CIPT,MBA,FIP, проведет онлайн-тестирование, которое поможет определить сильные и слабые стороны вашей личности и подскажет, какие навыки нужно развивать для достижения успеха в роли Data Protection Officer.
Для кого?
🏆Для тех, кто только начинает свой путь в профессии Data Protection Officer и хочет узнать больше о ее особенностях и требованиях.
🏆Для тех, кто ищет новые возможности для развития своих навыков и компетенций в сфере защиты персональных данных.
🏆Для всех, кто заинтересован в получении знаний и опыта в этой области и готов работать над собой и своими навыками.
Мероприятие проходит в преддверии фундаментального онлайн-курса GDPR Data Privacy Professional.
Присоединиться 👉🏻https://news.1rj.ru/str/+ezC-jas2Aw1jYzQy
Смысл как лекарство от выгорания
#вкругуколлег
Сезон отпусков заканчивается, начинаются рабочие будни. В преддверии коротких дней и длинных сумерек, новых проектов и курсов я хотела бы напомнить коллегам об одном из смыслов нашей работы. Вспомните притчу о трёх строителях храма. Один из них считал, что таскает камни, другой - что зарабатывает на хлеб семье. И только третий сказал, что его работа - строить прекрасный собор для людей. Смысл работы - наш контакт с Чем-то Большим ☀️, как его определяют сестры Нагоски в книге о выгорании. Доказано, что люди, не выпускающие из виду свой смысл, гораздо реже подвержены выгоранию 🔥. Мне кажется, иногда за заполнением реестра обработок и написанием политик мы теряем из виду наш "собор" - то Что-то Большее, что именно мы приносим миру. Поэтому сегодня я хотела бы вспомнить один из "соборов".
"The Private Is Political"
В книге "The Private is Political" Элис Марвик (Alice E. Marwick) рассматривает проблемы приватности в цифровых сетях США 🇺🇸 (в том числе в сетях государственных и частных баз данных). Одна из глав её исследования посвящена значению приватности для людей, чей достаток ниже среднего. Обычно эти люди живут в более бедных кварталах, их дети ходят в государственные школы, иногда эти семьи вынуждены обращаться за социальной помощью, налоговыми льготами или государственной страховкой. Поскольку единого закона о приватности ⚖️ в США нет (а во многих штатах обработка персональных данных и вовсе не регулируется), и государственные органы, и частные компании от ритейла до университетов активно собирают и анализируют информацию, которую люди публикуют о себе в социальных сетях 👩💻. Каждая из этих организаций делает это в собственных, вполне социально одобряемых целях (предупреждение преступности, предоставление социального жилья, прием в университет или на работу), однако результатом становится усиление дискриминации ⛔️.
Происходишь из небогатого района в крупном городе? - Возможно, это закроет для тебя двери в университет: студенты из небогатых семей могут испытывать финансовые сложности, а университету важно, чтобы как можно больше из поступивших доучились до конца и получили диплом 📜, это важный компонент государственного рейтинга университетов. Молодежь из среднего класса, скорее всего, не прервет учебу из-за финансовых сложностей, а значит, и рейтинг не упадет.
Опубликовал в Facebook фотографии из недавней поездки за город с семьей (даже если ты туда ездил на общественном транспорте)? - Вероятно, тебе откажут в налоговых льготах или социальной помощи 🤝: если ты ещё можешь отдыхать, значит, не так уж тебе нужна помощь. При этом гуманистический подход к социальной помощи предполагает, что потребности современного человека - это не просто крыша над головой и кусок хлеба. Это и медицинская помощь 🏥 (в том числе детям), и доступ к образованию 📚, и возможность работать на приемлемых условиях, не унижающих человеческое достоинство.
#вкругуколлег
Сезон отпусков заканчивается, начинаются рабочие будни. В преддверии коротких дней и длинных сумерек, новых проектов и курсов я хотела бы напомнить коллегам об одном из смыслов нашей работы. Вспомните притчу о трёх строителях храма. Один из них считал, что таскает камни, другой - что зарабатывает на хлеб семье. И только третий сказал, что его работа - строить прекрасный собор для людей. Смысл работы - наш контакт с Чем-то Большим ☀️, как его определяют сестры Нагоски в книге о выгорании. Доказано, что люди, не выпускающие из виду свой смысл, гораздо реже подвержены выгоранию 🔥. Мне кажется, иногда за заполнением реестра обработок и написанием политик мы теряем из виду наш "собор" - то Что-то Большее, что именно мы приносим миру. Поэтому сегодня я хотела бы вспомнить один из "соборов".
"The Private Is Political"
В книге "The Private is Political" Элис Марвик (Alice E. Marwick) рассматривает проблемы приватности в цифровых сетях США 🇺🇸 (в том числе в сетях государственных и частных баз данных). Одна из глав её исследования посвящена значению приватности для людей, чей достаток ниже среднего. Обычно эти люди живут в более бедных кварталах, их дети ходят в государственные школы, иногда эти семьи вынуждены обращаться за социальной помощью, налоговыми льготами или государственной страховкой. Поскольку единого закона о приватности ⚖️ в США нет (а во многих штатах обработка персональных данных и вовсе не регулируется), и государственные органы, и частные компании от ритейла до университетов активно собирают и анализируют информацию, которую люди публикуют о себе в социальных сетях 👩💻. Каждая из этих организаций делает это в собственных, вполне социально одобряемых целях (предупреждение преступности, предоставление социального жилья, прием в университет или на работу), однако результатом становится усиление дискриминации ⛔️.
Происходишь из небогатого района в крупном городе? - Возможно, это закроет для тебя двери в университет: студенты из небогатых семей могут испытывать финансовые сложности, а университету важно, чтобы как можно больше из поступивших доучились до конца и получили диплом 📜, это важный компонент государственного рейтинга университетов. Молодежь из среднего класса, скорее всего, не прервет учебу из-за финансовых сложностей, а значит, и рейтинг не упадет.
Опубликовал в Facebook фотографии из недавней поездки за город с семьей (даже если ты туда ездил на общественном транспорте)? - Вероятно, тебе откажут в налоговых льготах или социальной помощи 🤝: если ты ещё можешь отдыхать, значит, не так уж тебе нужна помощь. При этом гуманистический подход к социальной помощи предполагает, что потребности современного человека - это не просто крыша над головой и кусок хлеба. Это и медицинская помощь 🏥 (в том числе детям), и доступ к образованию 📚, и возможность работать на приемлемых условиях, не унижающих человеческое достоинство.
❤🔥5👍3
Люди-невидимки и немые голоса
Как пишет Марвик, распространенное в американском обществе мнение о том, что люди с небольшим доходом 💵- это непременно ленивые, глупые и безответственные личности, стигматизирует тех, кто вырос в небогатых семьях или живет в бедных кварталах. Именно поэтому реализовать свои права на достойные условия труда ⚒, образование👩🎓 и уровень жизни ☀️им зачастую сложнее. По этой причине многие молодые люди выкручивают на максимум механизм самоцензуры ❌: не добавляют в "друзья" своих одноклассников или соседей, не выкладывают фото, которыми хотели бы поделиться, не вступают в группы по интересам и не публикуют своё мнение 💬 об интересующих их вопросах. Сами они называют свои профили в социальных сетях "нейтральными" или "ванильными": для машины или чиновника, которые будет анализировать профиль, они будут выглядеть хотя бы "нормальными" ✅. Хотя по сути эти профили похожи на снятое молоко: одна вода и никакой жизни.
С помощью самоцензуры эти люди лишают мир себя самих, своих талантов, голосов, мнений. Чтобы "подходить" обществу, в котором они живут, они прячут свою идентичность - и лишаются возможности укреплять горизонтальные связи 🤝, находить единомышленников, развиваться среди людей, близких им по духу, и показывать проблемы ❗️этого общества, о которых более благополучные граждане и не подозревают. Вспомните бонсай - миниатюрные деревца 🌳, чей рост и развитие принудительно ограничивали. Семечко, которое могло стать мощной сосной, прекратилось в изящное, но карликовое, недоразвитое деревце, далекое от реализации своего потенциала. Хотим ли мы, чтобы люди в XXI веке становились такими же "карликовыми деревцами"? Едва ли.
Смысл для супергероя
Это, коллеги, и есть один из наших смыслов 💎, один из "соборов". Каждый раз, когда мы меняем чрезмерную обработку персональных данных, исключая лишние категории, мы уменьшаем шансы на дискриминацию 👍. Каждый раз, когда мы обеспечиваем право людей на то, чтобы в обработку их данных был включен и человек, а не только машина, мы возвращаем другим возможность быть услышанными 👍. Каждый раз, когда мы учим клиентов и их команды обрабатывать данные правильно, мы рисуем четкую границу между "можно" и "нельзя" - и теперь закрыть глаза на явное нарушение будет сложнее 👍.
Это наше Что-то Большее, наш способ сделать мир лучше. Так что мы тоже немного супергерои 🦸♀️ Очень важно не забывать об этом, время от времени окидывать взглядом те многочисленные камни, которые мы натаскали, и восхищаться прекрасным собором, который из них получился ✨
🔹🔹🔹
А какой "собор" вы видите в своей работе? Что для вас важно? Что помогает чувствовать себя супергероем? Делитесь в комментариях, ведь вы #вкругуколлег!
💫Автор: Анастасия Пархимович, CIPP/E, GDPR консультант.
Как пишет Марвик, распространенное в американском обществе мнение о том, что люди с небольшим доходом 💵- это непременно ленивые, глупые и безответственные личности, стигматизирует тех, кто вырос в небогатых семьях или живет в бедных кварталах. Именно поэтому реализовать свои права на достойные условия труда ⚒, образование👩🎓 и уровень жизни ☀️им зачастую сложнее. По этой причине многие молодые люди выкручивают на максимум механизм самоцензуры ❌: не добавляют в "друзья" своих одноклассников или соседей, не выкладывают фото, которыми хотели бы поделиться, не вступают в группы по интересам и не публикуют своё мнение 💬 об интересующих их вопросах. Сами они называют свои профили в социальных сетях "нейтральными" или "ванильными": для машины или чиновника, которые будет анализировать профиль, они будут выглядеть хотя бы "нормальными" ✅. Хотя по сути эти профили похожи на снятое молоко: одна вода и никакой жизни.
С помощью самоцензуры эти люди лишают мир себя самих, своих талантов, голосов, мнений. Чтобы "подходить" обществу, в котором они живут, они прячут свою идентичность - и лишаются возможности укреплять горизонтальные связи 🤝, находить единомышленников, развиваться среди людей, близких им по духу, и показывать проблемы ❗️этого общества, о которых более благополучные граждане и не подозревают. Вспомните бонсай - миниатюрные деревца 🌳, чей рост и развитие принудительно ограничивали. Семечко, которое могло стать мощной сосной, прекратилось в изящное, но карликовое, недоразвитое деревце, далекое от реализации своего потенциала. Хотим ли мы, чтобы люди в XXI веке становились такими же "карликовыми деревцами"? Едва ли.
Смысл для супергероя
Это, коллеги, и есть один из наших смыслов 💎, один из "соборов". Каждый раз, когда мы меняем чрезмерную обработку персональных данных, исключая лишние категории, мы уменьшаем шансы на дискриминацию 👍. Каждый раз, когда мы обеспечиваем право людей на то, чтобы в обработку их данных был включен и человек, а не только машина, мы возвращаем другим возможность быть услышанными 👍. Каждый раз, когда мы учим клиентов и их команды обрабатывать данные правильно, мы рисуем четкую границу между "можно" и "нельзя" - и теперь закрыть глаза на явное нарушение будет сложнее 👍.
Это наше Что-то Большее, наш способ сделать мир лучше. Так что мы тоже немного супергерои 🦸♀️ Очень важно не забывать об этом, время от времени окидывать взглядом те многочисленные камни, которые мы натаскали, и восхищаться прекрасным собором, который из них получился ✨
🔹🔹🔹
А какой "собор" вы видите в своей работе? Что для вас важно? Что помогает чувствовать себя супергероем? Делитесь в комментариях, ведь вы #вкругуколлег!
💫Автор: Анастасия Пархимович, CIPP/E, GDPR консультант.
❤12👍3❤🔥1
🎯 Принцип ограничения целью: определяем совместимую цель
Совместимым или несовместимым использованием может быть то использование, о котором субъект не был уведомлен в момент сбора его данных. То есть, если вы собираете персональные данные для какой-то явно заявленной цели, а впоследствии появляется новая цель 🚀, для которой вам необходимо эти данные использовать, нужно проверить обе цели на совместимость. Ниже приводим перечень критериев для такого сравнения:
- отношения (связь) между первоначальной и новой целью
Можно говорить о том, что цели связаны ⛓ между собой, если первоначальная цель предполагает последующую или если последующая цель - это логическое продолжение ➡️ первоначальной.
Пример: данные о выбранном покупателем пункте выдачи товаров используются для того, чтобы принять от покупателя некачественный товар или доставить ему товар-замену. Изначально данные были собраны для доставки купленного товара. Но приемка некачественного товара и отправка замены логично вытекают из основной цели.
- контекст сбора данных и разумные ожидания субъекта о дальнейшем использовании данных
Если субъект мог разумно полагать (то есть, подавляющее большинство субъектов без специальных знаний и специального образования в подобной ситуации ожидали бы), что данные будут использоваться не только для первоначальной цели, но и для другой цели тоже, цель вполне может быть совместимой ✅. Но стоит учитывать и контекст сбора данных. Чем меньше гибкости было у субъекта (например, если какие-то данные он был обязан дать по закону ⚖️ или если между субъектов и контролером есть дисбаланс власти 🥊), тем менее вероятно, что последующее использование будет совместимым.
Пример: в холле офиса установили камеры "для охраны посетителей и имущества", однако впоследствии данные с камер были использованы, чтобы вынести выговор секретарю, регулярно покидающему его рабочее место и не отвечающему на звонки клиентов. Использование данных для новой цели - проверки нахождения работника на рабочем месте - было явно несовместимым с первоначальной целью - охраной помещения, людей и имущества в нём. Кроме того, имеет место явный дисбаланс власти между работником и компанией.
- природа (сущность) данных и возможное влияние последующего использования на субъекта
Если для новой цели будут использоваться специальные категории данных, новая цель будет скорее признана несовместимой. Важно также проанализировать возможные последствия для субъекта: чем они неприятнее 😱, тем менее совместимой будет цель (эмоциональные последствия, например, раздражение или стресс, тоже считаются).
Пример: в примере выше (о камерах видеонаблюдения) использовались обычные персональные данные, однако с негативными последствиями (выговор). Этот фактор подрывает совместимость цели.
- меры защиты, принятые контролером для минимизации отрицательных последствий для субъекта
если мы желаем использовать данные для новой цели, необходимо принять меры защиты интересов субъекта, например, уточнить, нужен ли нам весь объём данных или только отдельные фрагменты - и разделить доступ к ним для людей, обрабатывающих данные для разных целей. Чем надежнее будет защищен субъект, тем больше шансов, что цель будет признана совместимой.
Чтобы узнать больше о принципах обработки персональных данных, можно закопаться в гайдлайнах и судебной практике... Но лучше прийти на курс GDPR DPP - и разобраться во всём быстрее и эффективнее! Все подробности у нашего менеджера Антона.
Совместимым или несовместимым использованием может быть то использование, о котором субъект не был уведомлен в момент сбора его данных. То есть, если вы собираете персональные данные для какой-то явно заявленной цели, а впоследствии появляется новая цель 🚀, для которой вам необходимо эти данные использовать, нужно проверить обе цели на совместимость. Ниже приводим перечень критериев для такого сравнения:
- отношения (связь) между первоначальной и новой целью
Можно говорить о том, что цели связаны ⛓ между собой, если первоначальная цель предполагает последующую или если последующая цель - это логическое продолжение ➡️ первоначальной.
Пример: данные о выбранном покупателем пункте выдачи товаров используются для того, чтобы принять от покупателя некачественный товар или доставить ему товар-замену. Изначально данные были собраны для доставки купленного товара. Но приемка некачественного товара и отправка замены логично вытекают из основной цели.
- контекст сбора данных и разумные ожидания субъекта о дальнейшем использовании данных
Если субъект мог разумно полагать (то есть, подавляющее большинство субъектов без специальных знаний и специального образования в подобной ситуации ожидали бы), что данные будут использоваться не только для первоначальной цели, но и для другой цели тоже, цель вполне может быть совместимой ✅. Но стоит учитывать и контекст сбора данных. Чем меньше гибкости было у субъекта (например, если какие-то данные он был обязан дать по закону ⚖️ или если между субъектов и контролером есть дисбаланс власти 🥊), тем менее вероятно, что последующее использование будет совместимым.
Пример: в холле офиса установили камеры "для охраны посетителей и имущества", однако впоследствии данные с камер были использованы, чтобы вынести выговор секретарю, регулярно покидающему его рабочее место и не отвечающему на звонки клиентов. Использование данных для новой цели - проверки нахождения работника на рабочем месте - было явно несовместимым с первоначальной целью - охраной помещения, людей и имущества в нём. Кроме того, имеет место явный дисбаланс власти между работником и компанией.
- природа (сущность) данных и возможное влияние последующего использования на субъекта
Если для новой цели будут использоваться специальные категории данных, новая цель будет скорее признана несовместимой. Важно также проанализировать возможные последствия для субъекта: чем они неприятнее 😱, тем менее совместимой будет цель (эмоциональные последствия, например, раздражение или стресс, тоже считаются).
Пример: в примере выше (о камерах видеонаблюдения) использовались обычные персональные данные, однако с негативными последствиями (выговор). Этот фактор подрывает совместимость цели.
- меры защиты, принятые контролером для минимизации отрицательных последствий для субъекта
если мы желаем использовать данные для новой цели, необходимо принять меры защиты интересов субъекта, например, уточнить, нужен ли нам весь объём данных или только отдельные фрагменты - и разделить доступ к ним для людей, обрабатывающих данные для разных целей. Чем надежнее будет защищен субъект, тем больше шансов, что цель будет признана совместимой.
Чтобы узнать больше о принципах обработки персональных данных, можно закопаться в гайдлайнах и судебной практике... Но лучше прийти на курс GDPR DPP - и разобраться во всём быстрее и эффективнее! Все подробности у нашего менеджера Антона.
🔥1💯1
Помните опрос, который мы проводили на прошлой неделе? Вот здесь 😅
Мнения разделились: кто-то использовал бы сервис ✅, который очевидно не соответствует принципам приватности, другие — нет ❌.
Наша команда подготовила список очевидных reg flags 🚩, которые помогут вам понять, как обстоят дела с приватностью у компании. А дальше вы можете почувствовать себя руководителем компании (= своей жизни) и оценить риски 🔥: стоит ли использовать этот сервис или нет!
Очевидные reg flags 🚩, на которые следует обратить внимание, включают:
- Отсутствие политики приватности. Кстати, чек-лист по политике можно найти здесь
- Политика непонятная или “украденная” у другой компании. Подробнее об этом в нашей статье «В приватности нет места копипасту»
- Отсутствие cookie-баннера 🍪
- Нет информации о компании и методах связи 📲
- У пользователя запрашивают больше данных, чем это нужно для целей
- Заранее проставленные галочки ✅
- Нет функционала отписки от рассылки
- Не реализован принцип Privacy by Default
- Компания игнорирует запросы субъекта на реализацию его прав 🙈
- Регистрация возможна с паролем “12345” или “qwerty” 🔓
Мнения разделились: кто-то использовал бы сервис ✅, который очевидно не соответствует принципам приватности, другие — нет ❌.
Наша команда подготовила список очевидных reg flags 🚩, которые помогут вам понять, как обстоят дела с приватностью у компании. А дальше вы можете почувствовать себя руководителем компании (= своей жизни) и оценить риски 🔥: стоит ли использовать этот сервис или нет!
Очевидные reg flags 🚩, на которые следует обратить внимание, включают:
- Отсутствие политики приватности. Кстати, чек-лист по политике можно найти здесь
- Политика непонятная или “украденная” у другой компании. Подробнее об этом в нашей статье «В приватности нет места копипасту»
- Отсутствие cookie-баннера 🍪
- Нет информации о компании и методах связи 📲
- У пользователя запрашивают больше данных, чем это нужно для целей
- Заранее проставленные галочки ✅
- Нет функционала отписки от рассылки
- Не реализован принцип Privacy by Default
- Компания игнорирует запросы субъекта на реализацию его прав 🙈
- Регистрация возможна с паролем “12345” или “qwerty” 🔓
🔥9