Privacy HUB

2022-08-15 15:26:40 #Санкції

ЩЕ НЕ ЗАБУЛИ ПРО COVID?

Повномасштабне вторгнення внесло свої корективи в життя українців. Здавалось, ми наче тільки звикли до масок, соціальної дистанції, почали активно вакцинуватися та виконувати інші рекомендації ВООЗ. Зараз це все видається чимось дуже далеким, але для цивілізованих країн проблеми Covid все ще актуальні. Тому сьогодні розповідаємо про випадок у Румунії, який коштував SC Wabag Water Services SRL 1.000 євро.

Що трапилося?

Ви, напевно, пам'ятаєте, як великі компанії спонукали своїх працівників до вакцинації. А чи пам'ятаєте, як саме у вас це проходило? Чи отримав ваш роботодавець вашу згоду перед тим, як записати вас на укол?

А от SC Wabag Water Services SRL не отримав згоду свого співробітника та використав його персональні дані, аби записати його на вакцинацію. Співробітник такого піклування не оцінив і поскаржився на роботодавця регулятору. Як результат, останній отримав штраф на 1000 євро – небагато, але неприємно.

Що було порушено?

Є така місконцепція, що будь-які персональні дані – це власність організації, а вона може обробляти їх так, як їй заманеться, аби ці дані тільки були. Але ж ви знаете, що це не так, і організації обов'язково потрібно мати правову підставу для обробки даних. У Wabag Water Services такої підстави не знайшлось, що власне є порушенням статей 5 та 6 Регламенту.

До речі, компанії ще пощастило, адже тут можна було б і за неповідомлення про обробку, і за непрозорість, але регулятор вирішив зупинитися на 5 та 6.

ВИСНОВКИ

Для більшості прайвасистів це вже мантра, але ми зачитаємо її ще раз – “обробляйте персональні дані лише тоді, коли на те є правові підстави, ॐ (ом)”. І якщо у вас є така можливість, то намагайтеся дотримуватись соціальної дистанції та частіше мийте руки.

Все буде Україна!
_________
Джерела:
Новина ANS PDCP (румунська) Открыть/Комментировать

2022-08-12 13:33:53 #Персональне_чтиво

DATA ETHICS — THE NEW COMPETITIVE ADVANTAGE: ОГЛЯД КНИГИ

"В еру даних без етики неможливо вижити", — це слова авторок книги "Етика даних — нова конкурентна перевага" Грі Хасселблак та Пернілле Транберг. Як ви вже здогадалися, саме про цю книгу наш п'ятничний допис.

Про книгу

"Етика даних — нова конкурентна перевага" — це книга, присвячена аналізу тенденцій обігу даних. У цій роботі авторки розглядають кейси з різними компаніями, вперше вводять поняття "етики даних" та заявляють про її важливість.

Дані вже давно стали цінним активом на ринку. Не секрет, що навколо них побудовані бізнес-моделі Google, Facebook, завдяки даним формуються політичні компанії.

У той же час, у світі стає все більше прихильників “релігії big data”. Тож заперечувати роль даних у сучасному світі безглуздо. Але так само безглуздно ігнорувати ризики для прав людини. Тому, аби захистити ці самі права людини, авторки і вводять нове поняття “етика даних”.

Етика даних — це моральна концепція відповідального та сталого використання даних. Вимоги GDPR мають становити необхідний правовий мінімум. Але концепція має піти далі та стати частиною культури усього суспільства.

Спеціалісти повинні покладатися не тільки на вимоги законодавства, а й розглядати права людини як пріоритетну цінність у своїх рішеннях. Таким чином, суспільство має поступово залишити практики, що є наче легальними, але аморальними. Якщо трошки абсолютизувати, то можна назвати етику даних такою собі концепцією “anti-dark patterns”.

У своїй роботі Грі Хасселблак та Пернілле Транберг звертаються не тільки до спеціалістів із захисту даних та звичайних людей, але й до бізнесу та інститутів суспільства, таким чином намаються розглянути питання під різними кутами.

Авторки порівнюють етику даних із екологічною обізнаністю (“eco-friendly”). Адже, з даними так само, як і з екологією: якщо ми почнемо про них думати через 50 років, не вживаючи жодних заходів вже зараз, то потім буде запізно. Настав час, коли організації мають нарешті зрозуміти, що люди починають відмовляються від послуг компаній, які зловживають технологічною владою.

Як зрозуміло із самої назви, авторки намагаються використовувати "метод пундика" та закликають організації до етичного поводження з даними, адже ми підходимо до моменту в історії, коли саме етичне поводження з даними стає конкурентною перевагою.

Про авторок та їхню ініціативу

Грі Хасселблак та Пернілле Транберг разом з Біргіттою Кофод Ольсен є співзасновницями DataEthics, неприбуткової громадської організації з Данії.

Останні декілька років вони зосереджуються на створенні бази знань і мережі для етичного підходу до бізнесу та політики даних.

DataEthics досліджують етику даних, просувають альтернативні технології приватності, що орієнтовані на людину, проводять просвітницькі заходи та беруть активну участь у формуванні етичних стандартів даних. Іншими словами, вони активно формують культуру поводження із даними.

Навіщо читати?

Концепції етики даних близько 6 років (вже в школу можна віддавати). Але саме ця книга є першою серйозною публікацією, яка фундаментально підходить до розкриття цього поняття.

Познайомившись із цією роботою, ви зрозумієте та відчуєте, що стоїть за цією культурою. Авторки недарма займаються саме питанням етики, адже роботу написано в кращих традиціях plain language. Вони дуже легко, коротко та з гумором описують процеси, що відбувалися із даними від початку технологічного буму. В книзі також розглядають так звані сірі зони та рух компанії до довіри споживачів.

Крім того, дуже радимо пошукати відео з авторками та послухати їх виступи, вони дійсно надихають!

До речі, книга є у відкритому доступі. Якщо ви давно шукали, що ж почитати, та ніяк не могли обрати, то пропонуємо хороший варіант! Бажаємо приємного читання!

І пам'ятаймо, все буде Україна!
_________
Джерела:
Книга
DataEthics Открыть/Комментировать

2022-08-10 15:03:35 #Аналітика

ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СПОРТІ

Використання персональних даних є невід’ємною частиною спортивної діяльності. Без результатів медичних аналізів, відслідковування серцевого ритму, режиму сну, менструального циклу, інформації про фізичну активність неможливо покращити результативність спортсменів та привести їх до перемоги.

Французький регулятор CNIL серйозно зайнявся питанням захисту персональних у спорті і розробив спеціальні інстументи для дотримання правил захисту персональних даних в аматорському спорті.

Сфера застосування

Інструменти, що наразі запропоновані CNIL, в основному спрямовані на структури, задіяні в аматорському спортивному секторі (переважно на асоціації).

Зміст інструментів

CNIL розробив три основні інструменти, які включають:

матеріали з поясненням ключових понять захисту персональних даних (персональні дані, чутливі дані, обробка даних, мета обробки, анонімізація, поняття та обов’язки контролера). Матеріали лаконічні, зрозумілі, з використанням прикладів зі спортивної діяльності;

розширені відповіді на питання, що найчастіше виникають у спортивному секторі. Питання, зокрема, стосуються збирання спортивними стуктурами номеру соціального страхування та даних про здоров’я для вступу, перевіряти на наявність судимостей, вести статистику щодо спортивної активності членів тощо;

тест для самостійної оцінки відповідності вимогам законодавства із захисту персональних даних. Тест ілюструє ілюструє основні етапи проходження даних під час занять спортом, від збору даних до їх знищення. За кожним з чотирьох запропонованих етапів (збір даних, передача, повторне використання, збрегігання та знищення) спортивні структури можуть заповнити опитувальник та перевірити свою відповідність.

Подальші плани CNIL

За повідомленням CNIL, регулятор не збирається зупинятися на аматорському спорті та незабаром представить рекомендації для федерацій та професійних ліг.

Вони будуть призначені для вирішення конкретних проблем, з якими стикаються ці суб’єкти (яку правову підставу застосувати для поширення результатів спортивних змагань і який період зберігання цих даних, як обробляти статистику змагань, яку правову підставу застосовувати для спостереження за спортсменами тощо).


Все буде Україна!
_________
Джерела:
Інструменти CNIL для аматорського спорту Открыть/Комментировать

2022-08-09 15:12:25 #Новини_тижня

 НОВИНИ ТИЖНЯ [01.08 — 7.08]

① Суд Європейського Союзу виніс рішення, яке роз’яснює, як непряме розкриття даних про сексуальну орієнтацію захищено статтею 9 GDPR. Суд пояснив, що таке розкриття даних підпадає під спеціальні категорії персональних даних у статті 9. Рішення може створити прецедент для тлумачення законної обробки спеціальних категорій даних органами та компаніями із захисту даних. Як зазначено в рішенні «Суд вважає, що з конкретних іменних даних, що стосуються подружжя, співмешканця або партнера заявника, можна вивести певну інформацію щодо статевого життя чи сексуальної орієнтації заявника та його дружини, співмешканця чи партнера.» (параграф 119).

➁ Регулятор Франції створив інструменти, які допомагають професійним спортивним командам дотримуватися правил захисту даних. Посібник із самооцінки допомагає організаціям вивчити правила обробки даних співробітників і волонтерів для дотримання законодавства. Він пропонує довідник щодо основних понять, зокрема персональних даних, обробки даних і цілей, представлених у контексті спорту.

➂ Європейська рада із захисту даних прийняла Висновок 17/2022 щодо проекту рішення іспанського наглядового органу щодо обов’язкових корпоративних правил контролера ANTOLIN Group

➃ Регулятор Нижньої Саксонії оштрафував неназваний банк на суму 900 000 євро за ймовірне порушення GDPR. Компанія нібито аналізувала дані нинішніх і колишніх клієнтів без їхньої згоди. Було також розглянуто онлайн поведінку клієнтів, загальну кількість онлайн-банківських переказів. Ругулятор постановив, що така обробка не може ґрунтуватися на законному інтересі згідно зі статтею 6(1)(f). Штраф не остаточний.

➄ Гіганту рекламних технологій Criteo загрожує штраф у розмірі 60 мільйонів євро у Франції за порушення GDPR.

➅ Регулятор Австрії наказав банку видалити копію водійського посвідчення, яке він зберіг для дотримання Закону про відмивання грошей; банк не був зобов'язаний перевіряти особу суб'єкта даних згідно із законом.

➆ Регулятор Бельгії постановив, що обговорення персональних даних суб’єкта даних, пов’язаних зі здоров’ям, на нараді персоналу, де вона була відсутня, і включення даних до протоколу наради було несумісним з метою початкової обробки (управління персоналом) і не мало підстав для обробки.

➇ Регулятор Бельгії постановив, що контролер може покладатися на законний інтерес як правову основу для надсилання колишнім клієнтам повідомлень прямого маркетингу, якщо відносини закінчилися «не так давно» і суб’єкт даних не заперечував проти такої обробки.

➈ Адміністративний суд Франкфурта постановив, що німецька влада не зобов’язана використовувати наскрізне шифрування під час спілкування з постачальником зброї; транспортне шифрування (TLS) було сумісним із необхідним рівнем захисту даних.

➉ Італійський DPA наказав Google деіндексувати статтю про кримінальне розслідування щодо суб’єкта даних, оскільки відсутній суспільний інтерес до новини, незважаючи на те, що стаття була точною та актуальною. Открыть/Комментировать

2022-08-08 15:10:59 #Академія_приватності

«АКАДЕМІЇ ПРИВАТНОСТІ» (BY PRIVACY HUB) БУТИ!

Початок повномасштабного вторгнення РФ в Україну вніс свої корективи у життя кожного з нас. Проєкти нашої команди також були призупинені, але лише тимчасово.

Умови воєнного стану вкотре довели, наскільки важливим є захист персональних даних не тільки для захисту приватності, але й для збереження життя українців.

Окрім цього, ми натхнені наданням Україні статусу кандидата на вступ до ЄС, що має прискорити адаптацію українського законодавства у сфері захисту персональних даних до стандартів ЄС та Ради Європи.

Тож, Privacy HUB з новими силами і з урахуванням умов війни поновлює підготовку до Освітнього табору “Академія приватності”, який ми раніше анонсували на каналі.

Що це буде?

Наша команда реалізує Освітній табір «Академія приватності» за підтримки Європейського Союзу, Міжнародного фонду «Відродження», а також за сприяння Міністерства освіти і науки України.

«Академія приватності» – це 5-ти денний табір для викладачів ЗВО з усієї України, метою якого є розробка стандартів викладання та навчальної програми (силабусу) із курсу захисту персональних даних для студентів у сфері права, кібербезпеки, охорони здоров’я, медіа та реклами.

Менторами у цьому процесі будуть виступати українські та міжнародні експерти із захисту персональних даних, які допоможуть поглибити знання викладачів, створити силабус, а у подальшому сприятимуть широкому впровадженню курсу у навчальний процес.

Коли?

12-16 жовтня 2022 року

У якому форматі?

«Академія приватності» буде проводитися у змішаному форматі: офлайн у Києві та онлайн. Про місце проведення ми додатково повідомимо ближче до заходу.

Як взяти участь?

Викладачам ЗВО потрібно заповнити анкету та очікувати, коли ми зв’яжемося з ними.

Чи платна участь?

Участь безкоштовна. Питання щодо забезпечення проживання у м. Києві може вирішуватися окремо з кожним учасником.

Куди звернутися з питаннями щодо участі?

Будь-які питання можна адресувати на електронну адресу board@privacyhub.today.

Слідкуйте за реалізацією проєкту у рубриці #Академія_приватності.


Все буде Україна! Открыть/Комментировать

2022-08-05 16:06:18 Открыть/Комментировать

2022-08-05 16:05:00 #Інформаційна_безпека

ЗВ'ЯЗОК ПІД ЧАС ВІЙНИ

Пам'ятаєте, як два тижні тому ми збирали гроші на рації для нашого співзасновника? Так ось, спільними зусиллями ми змогли закрити збір, за що ми дуже дякуємо всім, хто долучився. А тепер, як і обіцяли, ми трошки розповімо вам про зв'язок в умовах бойових дій.

Мобільний зв'язок

Багато хто чув, що використання мобільного поруч із ворогом (1 - 10 км до фронту) це не завжди оптимальний варіант, але мало хто знає причини.

Дійсно, мобільний зв'язок дозволяє оперативно передати інформацію, але мобільній зв‘язок не є безпечним каналом комунікації. Так, використовуючи мобілки, ви можете наразити себе та своїх побратимів на небезпеку адже:

ворог може збирати IMEI телефонів та відслідковувати шляхи пересування солдатів на фронті;
через скупчення мобільних телефонів ворог здійснює коригування роботи артилерії.

Окрім цього, телеком оператори можуть не мати змоги підтримувати зв‘язок на територіях ведення бойових дій.

Через це військові надають перевагу радіозв'язку. Але чи є рації панацею? Якщо коротко, то ні. Як і у випадку з кібербезпекою, жоден спосіб захисту не є 100% гарантією безпеки. Але давайте поговоримо про рації!

Рації

Існують аналогові та цифрові радіостанції. Спершу поговоримо про аналогові. Чи краще вони, ніж мобілки? Так, але вони все одно не є безпечними, тому їх не рекомендують використовувати в безпосередній близькості до ворога. Адже, знайшовши хвилю, на якій солдати ведуть переговори, ворог отримує змогу прослуховувати все, що виходить в ефір. Для цього існують недорогі (від ~2500$) засоби радіоелектронної розвідки, які моніторять ефір на заданому спектрі частот. Зазвичай спектр роботи такого засобу покриває більшість хвиль, на яких можуть працювати рації.

Отже, аналогові рації кращі, ніж мобілки, і їх загалом можна використовувати, але робити це краще в тилу.

Оптимальним способом зв'язку є цифрові рації. І на те є кілька причин:

на відміну від аналогових рацій, цифрова рація надає змогу зашифрувати дані засобами криптографічного зв‘язку. Можливо навіть використовувати добре відомий 256-бітовий алгоритм AES-256. Таким чином, при моніторингу ефіру ворог не має змоги зрозуміти, про що йде мова.

у більшості середніх цифрових рацій встановлене 40-бітове шифрування, зламування якого на потужному комп‘ютері може займати до 15 хвилин. Втім, для того, щоб це зробити, зашифровану інформацію необхідно надіслати на «велику землю» – штаб, в якому є такі потужності. На місці зламування здійснюється у порядку живої черги з іншими підрозділами, тобто весь процес може займати 2-3 дні. За цей час актуальність інформації зводиться нанівець, а підрозділ, який прослуховують, може змінити ключі шифрування. На передовій зв‘язківці можуть встановлювати до 30 різних ключів шифрування на кожен окремий день місяця, щоб запобігти прослуховуванню рацій на вже зламаних каналах. По спливу 30 днів ключі оновлюються.

Що робити, коли є лише аналогова рація?

У такому разі військові створюють таблиці термінів, у яких команди всередині підрозділів замінюються цифрами або словами-шифрами. Наприклад, “дуб, дуб, я береза, як чутно?”. Певний час ворог, прослуховуючи ефір, не втямить, про який дуб та березу йде мова.

Це теж не панацея: за кілька днів прослуховування ворог зрозуміє, що дуб це пост #1, а береза – це командний пункт. Тому, що роблять військові? Правильно, регулярно змінюють таблиці термінів. Цей спосіб, до речі, застосовують навіть при використанні цифрових рацій.

ВИСНОВКИ

Ефективна та швидка комунікація є основою основ не лише у цивільному житті, але й під час війни. Особливо під час війни. Вчасно передана інформація може врятувати життя та допомогти ефективно знищити ворога. Тому важливо користуватись максимально безпечними каналами зв'язку, а за неможливості використовувати допоміжні рішення, шифри.

Ще раз дякуємо вам за те, що допомогли убезпечити комунікацію Влада та його побратимів.
Продовжуємо працювати на Перемогу!

Все буде Україна! Открыть/Комментировать

2022-08-04 17:28:59 СМІЛИВІСТЬ: БУТИ УКРАЇНОЮ!

Сьогодні 162-й день жорстокої повномасштабної війни Росії проти України.

162 дні український народ мужньо бореться за свободу, незалежність і майбутнє не лише України, а й усього демократичного світу. Україна переможе! Але для цього весь світ має об’єднатися з Україною та ізолювати Росію. Разом ми маємо довести, що права людини є найвищою цінністю. Разом ми маємо їх захистити.

Ми публікуємо відкритий лист до Міжнародної асоціації фахівців з приватності із закликом до рішучих дій з ізоляції Росії та підтримки України.

Закликаємо всіх українських фахівців підтримувати наш лист в LinkedIn та відправляти аналогічні листи міжнародним та європейським організаціям!

Ми маємо постійно говорити світові про війну в Україні. Маємо закликати світ надавати нам зброю та всіляку підтримку. Спільними зусиллями ми переможемо!

Все буде Україна! Открыть/Комментировать

2022-08-03 18:23:21 #Аналітика

ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ

Як перевірити, що користувач досяг певного віку, щоб відвідувати сайти для дорослих, гарантуючи при цьому захист його/її даних? Французький регулятор CNIL представляє свої рекомендації.

Законодавчі вимоги

Надання деяких послуг або товарів підпорядковується віковим вимогам, які зобов'язують відповідні сайти перевіряти вік клієнта: певні банківські послуги, покупка алкоголю, азартні ігри, ставки онлайн, порнографічні сайти тощо.

Система перевірки віку має будуватися на шести стовпах: мінімізація, пропорційність, надійність, простота, стандартизація та залучення третьої сторони.

Наявні системи перевірок

CNIL наводить кілька рішень, які можна використовувати до створення нового механізму.

Валідація платіжної картки

Недоліки: неповнолітні можуть мати картки; соціальна дискримінація дорослих; ризик фішингу.

Оцінка на основі аналізу особи

Недоліки: похибка; альтернативний підхід до апелянтів; інтрузивність (доступ до камери тощо); ризик шантажу.

Необхідна умова: довірена третя сторона.

Система автономної перевірки

Продаж "скретч-карт" лише для дорослих з ідентифікатором та паролем у торгових точках, де проводять перевірку віку у зв'язку з продажем алкоголю, сигарет та азартних ігор.

Недоліки: стигматизація; шахрайство шляхом перепродажу.

Необхідна умова: цей спосіб вимагає особливого управління, коли орган, що видає карти, керує системами автентифікації.

Аналіз документів, що посвідчують особу

Недоліки: легко обійти*; ризик для персональних даних.

*проте деякі системи порівнюють фото документа із тестом "живого виявлення" (фото/відео у момент запиту на перевірку віку). Цей процес надійніший, однак призводить до обробки біометричних даних.

Необхідна умова: необхідно створити орган із сертифікації для перевірки наявності необхідних гарантій для збору та аналізу документів.

Використання державних інструментів

Недоліки: невідповідність меті створення; держава матиме список суто приватних зв'язків; ризик асоціювання офіційної особи з інтимною інформацією/орієнтацією.

Необхідна умова: довірена третя сторона.

Інференційні системи перевірки віку

Імпортування історії перегляду інтернет-сторінок – метод не сумісний із захистом даних.

Аналіз "зрілості" за допомогою анкети – відносно надійно, потенційно дискримінаційно.

Аналіз переглядів на власних сервісах володільця сайту (особливо великих цифрових платформах) – необхідні умови: метод не повинен призводити до прийняття автоматизованого рішення; без збору додаткових даних; дані, отримані на сервісах платформи, необхідно відрізняти від даних, зібраних шляхом відстеження перегляду користувачем інших сайтів; система висновків повинна бути оцінена незалежною третьою стороною, щоб обмежити ризики.

Залучення третьої сторони

З метою збереження довіри між усіма учасниками та високого рівня захисту даних CNIL рекомендує сайтам не виконувати операції з перевірки віку самостійно, а покладатися на сторонні рішення, достовірність яких була перевірена незалежно:

видача підтвердження віку;

передача цього засвідченого підтвердження віку на відвідуваний сайт;

аналіз поданого підтвердження віку та надання/ненадання доступу.

Доручення цих функцій різним суб'єктам дозволяє захистити приватність:

сервіс, що надає підтвердження віку, знає особу користувача, але не знає, який сайт користувач відвідує;

сервіс, що передає підтвердження віку на сайт, може знати сайт, але не особу користувача;

сайт знає вік користувача (або тільки факт повноліття) і знає, що він відвідує цей сайт, але не знає його особу.

Створення спеціального знака або сертифікації протягом усього циклу управління підтвердженням віку могло б забезпечити відповідність цих систем GDPR.

CNIL спільно з Олів’є Блазі, професором Політехнічної школи та Центру експертизи державного цифрового регулювання, розробили демонстратор.

Все буде Україна!
_________
Джерела:
Рекомендації CNIL Открыть/Комментировать

2022-08-02 19:49:16 #Новини_тижня

НОВИНИ ТИЖНЯ [25.07 — 31.07]

① Державний уповноважений із захисту даних Нижньої Саксонії наклав штраф у розмірі 1,1 млн євро на Volkswagen.

➁ Орган із захисту даних Іспанії (AEPD) опублікував блог про належну обробку та оцінку використання біометричних даних відповідно до GDPR. AEPD відзначив ряд факторів оцінки, включаючи «адекватність, пропорційність і необхідність».

➂ Регулятор Британії (ICO) опублікував оновлену інструкцію щодо використання зобов’язуючих корпоративних правил (BCR) як механізму транскордонних передачі даних. Оновлення спрямовані на «спрощений» підхід для контролерів і процесорів, причому ICO зазначає, що «запитуватиме супровідні документи та зобов’язання лише один раз під час процесу затвердження». Регулятор також назвав BCR механізмом «золотого стандарту» для транскордонних передач.

➃ Орган із захисту даних Данії опублікував анкету для контролерів даних, які використовують хмарні технології.

➄ Європейська рада із захисту даних (EDPB) і Європейський наглядовий орган із захисту даних (EDPS) прийняли спільний висновок щодо проекту регламенту щодо запобігання та боротьби з сексуальним насильством над дітьми.

➅ Регулятор Франції (CNIL) опублікувала свої рекомендації щодо розробки систем перевірки віку. Беручи до уваги вимоги GDPR щодо мінімізації даних і обмеження цілей, CNIL пропонує підтверджувати вік користувачів за допомогою системи «довіреної третьої сторони», яка забезпечує «потрійний захист приватності» через практику анонімності.

➆ Датський регулятор виніс догану Управлінню даних охорони здоров’я Данії за порушення статті 32(1) GDPR через відсутність перевірки бази даних ліків на наявність помилок архітектури сервісу, що призвело до витоку даних 267 суб’єктів даних.

➇ Фінансовий суд Мюнхена постановив, що документи в податкових досьє (внутрішнє листування, заяви третіх осіб, нотатки та рукописні коментарі) не є персональними даними. Фінансовий суд розрізнив персональні дані як інформацію, що стосується ідентифікованої фізичної особи відповідно до статті 4(1) GDPR, і досьє або набори досьє.

➈ Австрійський федеральний адміністративний суд постановив, що точний метод, за допомогою якого страхова компанія розрахувала пропозицію про врегулювання диспуту, є комерційною таємницею, на яку поширюється стаття 15(4) GDPR, тобто не повинна бути надана суб´єкту даних. Слід зазначити, що контролер надіслав 200-сторінкову відповідь, включаючи, серед іншого, тип тарифу, виплачену суму відкупу, відповіді на медичну анкету та історію платежів.

➉ Національний інститут стандартів і технологій США (NIST) опублікував проект свого переглянутого керівництва з кібербезпеки, пов’язаного з HIPAA. Керівництво допоможе «зберігати конфіденційність, цілісність і доступність» даних пацієнтів відповідно до стандартів HIPAA.

Все буде Україна! Открыть/Комментировать