Privacy HUB

2022-08-01 15:25:00 #Санкції

€1,1 МЛН ЗА ТЕСТ-ДРАЙВ

Державний уповноважений із захисту даних (LfD) Нижньої Саксонії наклав штраф у розмірі 1,1 млн євро на німецький автомобільний концерн Volkswagen (Volkswagen Aktiengesellschaft).

Що відбулося?

У 2019 році поліція міста Зальцбург зупинила тестовий автомобіль компанії для перевірки: уважні поліцейські помітили на автомобілі незвичні пристрої.

На місці було встановлено, що автомобіль використовувався для тестування та навчання функціональності системи допомоги водієві для уникнення ДТП. Пристрої на автомобілі виявилися камерами, які фіксували дорожню обстановку, зокрема, для аналізу помилок та оптимізації системи.

Здавалося б, для виробників авто проведення тест-драйву із записом на камеру є цілком звичною практикою. Однак Volkswagen допустився помилки: на авто був відсутній магнітний знак із камерою, який би повідомляв іншим учасникам дорожнього руху про здійснення відеозапису.

Що було встановлено у результаті розслідування?

Під час розслідування з’ясувалося, що відсутність повідомлення про здійснення відеозапису — це не єдина проблема.

Тест-драйв автомобіля проводила стороння компанія. І тут проявилася друга помилка Volkswagen — відсутність договору, який би регулював обробку персональних даних компаніями.

Окрім цього, Volkswagen також не виконав вимоги ст. 35 GDPR щодо оцінки впливу на захист персональних даних, і перед початком обробки не були враховані можливі ризики та обмеження.

Що було порушено?

Volkswagen порушив вимоги ст.ст. 13, 28, 35 GDPR.

Як Volkswagen відреагував на ситуацію?

Компанія почала активно співпрацювати з регулятором, швидко усунула усі недоліки.

Що було враховано під час визначення розміру штрафу?

Регулятор визначив, що вчинені порушення є невеликої серйозності. Крім того, відсутність повідомлення на одному автомобілі, а не на цілій серії, є одиничним порушенням.

Як обставину, що пом’якшує, було враховано також те, що тест-драйви мали на меті підвищення безпеки дорожнього руху.

ВИСНОВКИ

Уважність до деталей важлива абсолютно в усьому. Відсутність знака-повідомлення лише на одному автомобілі дала старт розслідуванню і виявленню інших порушень, за які доведеться заплатити немаленьку суму.

Все буде Україна!

_________
Джерела:
Прес-реліз рішення регулятора (німецька) Открыть/Комментировать

2022-07-29 15:55:55 #ДайджестМісяця

ДАЙДЖЕСТ ЛИПНЯ

Ось і завершується другий місяць літа, а ми згадуємо, що ми робили і про що писали у липні.

Разом з Kyiv Legal Hackers провели міжнародну конференцію на тему захисту персональних даних. До дискусії долучились спікери з Британії та Сполучених Штатів Америки. Загалом було багато цікавого про культуру приватності, та чому її формування є важливим. Для тих хто не встиг подивитись наживо, ми зробили запис трансляції і подивитись можна тут у будь-який зручний для вас час.

Запустили нову рубрику #Новини_тижня, теперь щовівторка у нас на каналі ви зможете читаті найактуальніші новини зі світу захисту персональних даних.

Збирали кошти на рації для нашого співзасновника, який зараз зі зброєю у руках боронить нашу Україну. І таки зібрали! Дякуємо усім хто долучився до збору, скоро ми напишемо про це окремий пост.

РЕЙТИНГ ДОПИСІВ ЛИПНЯ

#Санкції
ВИКОРИСТАННЯ ГОЛОСУ ДЛЯ ОЦІНКИ ЕМОЦІЇ
ЧИ У МОДІ TOMs?
В'ЯЗНИЦЯ ЗА ВИКОРИСТАННЯ ПРОДУКТІВ GOOGLE
€ 132 000 ЗА НАДСИЛАННЯ МЕДИЧНИХ ДАНИХ ТРЕТІЙ ОСОБІ

#Аналітика
ЧОМУ ПРИВАТНІСТЬ ЖІНОК ПІД ЗАГРОЗОЮ У США?
ПОШИРЕНІ ПИТАННЯ ЩОДО ФАН-СТОРІНОК У FACEBOOK АБО
ЧОМУ ВАША ФАН-СТОРІНКА МОЖЕ НЕ ВІДПОВІДАТИ GDPR
ПЕРЕВІРКА ПОТОКІВ ДАНИХ В РОСІЮ: ЧИ ДОСТАТНЬО РІШУЧІ ЄВРОПЕЙСЬКІ РЕГУЛЯТОРИ
ПОСМІХНІТЬСЯ, ВАС АНАЛІЗУЄ КАМЕРА!

#Інформаційна_безпека
ПСЕВДОНІМІЗАЦІЯ: ADVANCED LEVEL
АНОНІМІЗУВАЛИ ЧИ ПСЕВДОНІМІЗУВАЛИ?

#Новини_тижня
НОВИНИ ТИЖНЯ [11.07 — 17.07]
НОВИНИ ТИЖНЯ [18.07 — 24.07]

Дякуємо, що ви з нами!
Продовжуємо працювати на Перемогу! Открыть/Комментировать

2022-06-20 13:48:39 #Санкції

ФАЙЛИ COOKIE НА САЙТАХ АБО БЕЗГЛЮТЕНОВА ДІЄТА ДЛЯ ПРЕСИ

Бельгійський регулятор L’APD наклав штраф у розмірі €50 000 на Roularta Media Group.

Це перше рішення прийняте після тематичного розслідування, проведеного Інспекційною службою щодо управління файлами cookie на найпопулярніших сайтах бельгійської преси.

Які є правила використання файлів cookie?

На використання файлів cookie (або укр. «реп'яшок») менеджери сайтів повинні заздалегідь отримати згоду користувача, за винятком випадків, коли вони «суворо необхідні» (для надання користувачеві послуги, яку він прямо просив, або для належної технічної роботи вебсайту).

У розумінні GDPR згода є дійсною, якщо вона відповідає суворим умовам (їх необхідно намотати на вус):

інформованість (користувач повинен бути повідомлений про розміщені файли cookie, їх призначення тощо),

однозначність (згода має бути результатом чіткого позитивного акту, тому продовження перегляду вебсайту не означає згоду),

добровільність (користувач не повинен зазнавати негативних наслідків, якщо відмовляється надати згоду),

конкретність (користувач надає згоду на чітко визначену обробку даних, тобто на конкретні типи файлів cookie, а не інші).

Що було порушено?

Не були дотримані всі необхідні умови:

попередня згода: близько 60 не «суворо необхідних» файлів cookie (у тому числі, мова йде про «статистичні», які помилково відносять до цієї категорії) були розміщені вебсайтами на пристрої користувача до отримання згоди;

інформація для користувача: медіа група проявила недбалість у наданні інформації користувачам своїх вебсайтів щодо файлів cookie;

однозначність волевиявлення: в полях вибору для надання згоди на розміщення файлів cookie сторонніми партнерами були попередньо встановлені позначки, але згода має бути результатом активної дії, і тому не може вважатися наданою «за замовчуванням».

відкликання згоди: згоду не можна було відкликати так легко, як вона була дана.

ВИСНОВКИ

Дане рішення вкотре нагадує, що компаніям не варто нехтувати правилами розміщення файлів cookie. Загалом Інспекційна служба перевірила 20 різних вебсайтів. Наразі вивчаються інші справи.

За допомогою подібних перевірок регулятор вирішив підвищити ефективність своєї роботи: проводити не лише реактивне розслідування на основі скарг, а запустити секторні та тематичні опитування серед бельгійців.

Стратегія здається виграшною (звісно, для регулятора, а не для компаній), хоча й потребує коштів та кадрів.

Privacy Notice та Cookie Policy безкоштовно. Privacy HUB надає шаблони документів волонтерським організаціям, які допомагають Україні, щоб забезпечити їх відповідність законодавству України та GDPR. Надіслати запит можна на board@privacyhub.today.

Все буде Україна!

________________
Джерела:
Новина на сайті регулятора (французькою мовою) Открыть/Комментировать

2022-06-17 12:00:24 #Аналітика #а_як_у_нас?

Транскордонна передача даних до України

Всі українці знают, що війна вносить свої корективи. Сфера захисту персональних даних не є виключенням.

Тому, від початку повномасштабної агресії росії проти України регулятори в Європі виразили свою позицію щодо передачі персональних даних до воюючих держав.

Сьогодні розглянемо заяву Datatilsynet - регулятора з Норвегії.

Що змінилось?

Через очевидні безпекові причини Datatilsynet закликав усі норвежські компанії переглянути свої процеси передачі персональних даних, зокрема переглянути правову підставу для передачі персональних даних.

Більше того, регулятор рекомендує переглянути і за необхідності оновити технічні та організаційні заходи щодо захисту даних.

Що це означає на практиці?

Заклик до перегляду правової підстави може у певних випадках означати “припинення співпраці із контрагентами з України або росії”.

Наприклад, передача даних на підставі “легітимного інтересу” можливо не буде працювати, через зміщення балансу і появи додаткових ризиків для прав і свобод.

Більше того, компаніям скоріш за все, потрібно буде оновити свої Tranfer Impact Assesments.

Що це означає глобально?

У кожній державі ЄЕЗ свій регулятор, у певних держав їх декілька. У кожного регулятора є своя позиція, тим не менш колеги по цеху захисту персональних даних, як правило, прислухаються до своїх колег із інших країн.

Відповідно, українським компаніям, що обробляють персональні дані європейських резидентів зараз як ніколи потрібно імплементувати відповідні технічні і організаційні заходи.

ВИСНОВКИ

З початком повномасштабного вторгнення ситуація у сфері захисту персональних даних в Україні змінилась.

Тепер компаніям з (як мінімум Норвегії) потрібно переглянути свої процеси щодо передачі пд, а українським компаніям потрібно прийняти заходи щодо захисту даних.

Із гарних новин - після перемоги у більшої кількості українських компаній буде повний порядок із захистом даних, що зробить їх більш привабливими для іноземних контрагентів.

Все буде Україна!

________________
Джерела:
Новина від регулятора (норвежська мова) Открыть/Комментировать

2022-06-15 13:09:58 #Аналітика

Чи може реклама для дітей бути справедливою?

На це питання спробували відповісти представники європейських органів із захисту прав споживачів та персональних даних за підтримки Європейської комісії та Секретаріату EDPB.

2022 рік був визначений як Європейський рік молоді, а тому питання створення максимально сприятливих умов для розвитку європейської молоді, зокрема, гарантування їхніх прав у цифровому середовищі – серед пріоритетів політики ЄС.

Як показують дослідження, уже з 5 років діти здатні розпізнавати рекламу як комерційну практику. Однак можливість виявляти нативну рекламу чи виділяти її серед іншого некомерційного контенту з’являється ближче до підліткового віку.

Оскільки діти проводять багато часу в інтернеті, вони є дуже вразливими до різноманітних маркетингових маніпуляцій (за допомогою анімацій, звуків, яскравих картинок), які можуть негативно впливати на їхню поведінку. Особливо це стосуються реклами на гральних платформах та у соціальних мережах.

У зв’язку з цим представники європейських органів із захисту прав споживачів та персональних даних розробили 5 основних принципів справедливої реклами для дітей:

Принцип 1.
Під час розробки рекламних або маркетингових прийомів, які будуть доступні дітям, мають враховуватися конкретні вразливості дітей.

Інтерфейс онлайн-сервісів не повинен розроблятися чи використовуватися для обману чи неправомірного впливу на дітей. Через особливу вразливість дітей персоналізований маркетинг слід вважати неприйнятним.

Принцип 2.
Зловживання вразливостями дітей у силу їхнього віку та довірливості неприпустиме.

Принцип 3.
Коли загальний маркетинговий контент адресований дітям або, ймовірно, буде їм доступний, маркетингова мета цього контенту має бути зазначена у зрозумілій для дітей формі.

Принцип 4.
Не можна закликати чи іншим чином спонукати дітей до придбання цифрових активів в іграх, зокрема, у безкоштовних іграх задля покращення умов гри.

Принцип 5.
Профілювання дітей для рекламних цілей забороняється.

ВИСНОВКИ

Цей мінімальний перелік принципів є необхідних для того, аби бізнес проводив свої рекламні кампанії у безпечний для дітей спосіб без маніпуляцій та неправомірного впливу.

Повага до захисту персональних даних дітей і здійснення справедливих і прозорих маркетингових практик – запорука розвитку вільного суспільства та кращого цифрового майбутнього молоді.

Все буде Україна!

________________
Джерела:
Advertising towards children Открыть/Комментировать

2022-06-13 12:59:09 АНОНС

Запрошуємо на івент «Персональні дані під час війни: захист, зміни, міфи».

Допоможемо розвінчати міфи та страхи користувачів цифрових сервісів щодо долі їхніх персональних даних під час війни.

Дата
16.06.2022 о 17:00 (онлайн)

Учасники
- Kyiv Legal Hackers,
- Privacy HUB,
- Офіс Уповноваженого ВРУ з прав людини
- експерти із захисту персональних даних

Адженда:
Що змінилося у сфері захисту персональних даних у зв‘язку з воєнним станом?

Чи може держава використовувати свої сервіси для «слідкування»?

Чи можуть ІТ-проєкти передавати самостійно або на запит держави дані користувачів?

Тотальне слідкування за населенням — правда чи міф?

Реєструйтеся
Участь безкоштовна - тут Открыть/Комментировать

2022-06-13 12:52:33 #Санкції

Google встряг на €10 млн за рішенням іспанського регулятора

Що зробив Google?

Google без дозволу передавав проекту Lumen дані людей, що хотіли скористатись правом на забуття.

Передача даних була умовою подання відповідної форми. Ви відчуваєте цю іронію, правда?

Lumen збирає запити щодо видалення вмісту з вебсайтів та формує з них публічно доступну базу даних "з метою допомоги користувачам знати їх права та проведення досліджень".

Будь-хто може зайти та подивитись який користувач і щодо яких посилань намагався реалізувати право на забуття.

Що було порушено?

У Google була відсутня підстава для розголошення даних третій особі.

Крім того, право на забуття реалізовувалось недостатньою мірою.

Цікаво, що при визначенні розміру штрафу регулятор також звертає увагу на обтяжливі обставини.

Це передача даних в США, відсутність можливості заперечити передачу, велика кількість постраждалих суб’єктів даних, передача деінде чутливих даних, тривалий час порушення.

І напевно, при визначенні розміру штрафу, регулятор врахував, що це його та наш улюблений Google.

ВИСНОВКИ

Будьте обережні з передачею даних третім особам, особливо в США, і не закривайте очі на порушення у вашій компанії.

Все буде Україна!

________________
Джерела:
Рішення AEPD (іспанська мова) Открыть/Комментировать

2022-06-10 11:59:03 #а_як_у_нас?

ЯК ЗАХИСТИТИ ПЕРСОНАЛЬНІ ДАНІ? РЕКОМЕНДАЦІЇ ОМБУДСМЕНА

31 травня ВРУ звільнила Людмилу Денісову, яка обіймала посаду Уповноваженого з прав людини з 2018 року.

Поки в кулуарах точаться суперечки з приводу конституційності цього рішення та його відповідності міжнародним стандартам, розглянемо в якості триб’юту Рекомендації Уповноваженого щодо захисту ПД в умовах воєнного стану.

Щодо обмежень прав людини та підстав для обробки ПД держорганами

Право на приватність не є абсолютним та може обмежуватися в визначених законом випадках.

Privacy HUB підготував таблицю, яка допоможе розібратися!

Згідно з ЗУ «Про правовий режим воєнного стану» воєнний стан передбачає надання відповідним органам державної влади, військовому командуванню, військовим адміністраціям та органам місцевого самоврядування повноважень, необхідних для відвернення загрози, відсічі збройної агресії та забезпечення національної безпеки, усунення загрози небезпеки державній незалежності України, її територіальній цілісності.

Підстави для обробки ПД зазначеними органами:
дозвіл на обробку ПД, наданий володільцю ПД відповідно до закону виключно для здійснення його повноважень – п. 2;
необхідність виконання обов’язку володільця ПД, який передбачений законом – п. 5 ч.1 ст. 11 ЗУ «Про ЗПД».

Щодо обов’язків володільців та розпорядників ПД стосовно забезпечення захисту ПД

Вони зобов’язані забезпечити захист ПД від випадкової втрати/знищення, від незаконної̈ обробки, незаконного знищення чи доступу до ПД. Це необхідно на всіх етапах обробки ПД, у тому числі за допомогою організаційних та технічних заходів.

Щодо підстав для обробки ПД підприємствами, установами і організаціями приватної форми власності, ФОПами, ФО, що провадять незалежну професійну діяльність з метою надання адресної благодійної допомоги громадянам, які постраждали від військової агресії

Підстави:
згода суб’єкта ПД на обробку його ПД – п. 1 ч. 1 ст. 11 ЗУ «Про ЗПД»;
укладення та виконання правочину, стороною якого є суб’єкт ПД або який укладено на користь суб’єкта ПД чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта ПД – п. 3;
захист життєво важливих інтересів суб’єкта ПД – п. 4.

Оброблятися повинні лише ті дані, обробка яких необхідна для досягнення мети (пропорційність). Все буде залежати від критеріїв, за якими відбувається надання матеріальної чи іншої благодійної/гуманітарної допомоги (категорії суб’єкта, стану здоров’я, матеріального забезпечення, сімейного статусу, кількості дітей тощо).

Щодо захисту своїх ПД від кіберзлочинців

Прості правила:
уважно ставитись до імейлів, повідомлень у месенджерах та соцмережах від незнайомих адресатів;
не відкривати підозрілі посилання та не завантажувати вкладені файли;
користуватись перевіреними джерелами інформації;
зробити резервні копії документів, фото, телефонної книги та зберігати у надійному місці;
виписати номери телефонів найближчих членів родини.

Щодо захисту своїх ПД від шахрайських дій

Уповноважений повідомляє про «фішинг в інтернеті» під виглядом виплати грошової допомоги українцям під час воєнного стану.

Щодо можливої загрози для громадян при наданні ПД на тимчасово окупованих територіях

Під приводом «перепису населення»/під час роздачі «гуманітарної допомоги» окупанти збирають ПД містян для подальшого їх переслідування і залякування.

Гарячі лінії
СБУ – 0800 50 14 82
Національна поліція України – 0800 50 02 02
Уповноважений – 0800 50 17 20

ВИСНОВКИ

Хоча Рекомендації є загальними та нагадують стислий конспект ЗУ «Про ЗПД», для пересічних громадян вони будуть корисними. А для нас з вами — Repetitio est mater studiorum!

Будьте пильні!

Все буде Україна!

________________
Джерела:
Рекомендації Уповноваженого щодо захисту персональних даних в умовах воєнного стану Открыть/Комментировать

2022-06-06 13:56:59 #Санкції

ШТРАФ МІНІСТЕРСТВУ ОБОРОНИ ІТАЛІЇ

Зараз, як ніколи, ми розуміємо всю важливість бездоганної роботи Міністерства оборони.

Адже війна навчила нас, що держава має бути готова у будь-який момент відбити напад ворога, а це вимагає неабиякої злагодженості.

І поки наші хлопці та дівчата боронять нас від агресора, Міністерство оборони Італії займається погашенням штрафу у 10 000 євро за інцидент у сфері захисту персональних даних.

Що зробило МО Італії?

Насправді порушення до болю тривіальне, але від того воно ще болючіше.

Хтось із працівників Міністерства форварднув імейли працівнику, який не мав бути отримувачем цих листів.

Коли отримувач по неволі поскаржився італійському регулятору GPDP, той оштрафував міністерство.

До речі, у листах була чутлива інформація.

Що було порушено?

GPDP хоч і застосував штрафні санкції, але зробив це досить легенько.

Адже регулятор фактично оштрафував Міністерство лише за відсутність правової підстави для обробки даних.

А за бажанням тут можна було б знайти і порушення безпеки даних, і порушення принципу проєктованої приватності, і недостатні заходи захисту даних і так далі.

Тому, можна сказати, що на цей раз МО Італії пронесло.

ВИСНОВКИ

“Сім разів відміряй – один раз відріж”, – це просте прислів'я потрібно використовувати не лише кравцям.

Якщо ви відправляєте чутливі дані будь-яким каналом зв'язку, не відправляйте їх у не зашифрованому вигляді.

Адже МО дійсно пощастило, що ці дані потрапили не тому співробітнику, але ж могло бути й таке, що дані потрапили б не у ті руки.

Захищайте дані, так не доведеться витрачати кошти на штрафи і їх можна буде використати на допомогу ЗСУ.

Все буде Україна!

________________
Джерела:
Новина від GPDP (італійська мова) Открыть/Комментировать

2022-06-03 14:10:59 #персональне_чтиво

PRIVACY IS POWER. WHY AND HOW YOU SHOULD TAKE BACK CONTROL OF YOUR DATA: ОГЛЯД КНИГИ

“Вони спостерігають за нами. Вони знають, що я пишу ці слова. Вони знають, що ви їх читаєте”, – саме так Карісса Веліс розпочинає свою книгу “Privacy is Power. Why and How You Should Take Back Control of Your Data”, написану як маніфест захисту приватності у цифровому світі.

У світі економіки даних, капіталізму спостереження, у якому влада належить глобальним корпораціям.

Декілька слів про авторку та історію написання книги

Карісса Веліс – професорка Факультету філософії та Інституту етики у галузі штучного інтелекту і наставниця у Гертфордському коледжі Оксфордського університету.

Дослідження філософії приватності авторка розпочала з особистих причин.

Під час вивчення архівних матеріалів про історію своєї родини, іспанських біженців у Мексиці часів Громадянської війни в Іспанії, вона натрапила на інформацію про покійного дідуся, яку її сім’я приховувала протягом багатьох років.

Веліс задумалася, чи має вона право знати те, про що так не хотіли розказувати її рідні.

Того ж року Сноуден опублікував матеріали масового спостереження, які ще більше вплинули на Веліс та спонукали розібратися, як використання персональних даних впливає на права людини, свободу та демократію.

Квінтесенція книги

Книга пані Веліс – це потужний заклик до кожного з нас повернути владу над персональними даними, яка опинилася у руках технологічних гігантів та держави.

Це не підручник чи навчальний посібник. Завдяки численним прикладам і детальному поясненню неочевидних способів збору і використання персональних даних книга є корисною і цікавою для максимально широкої аудиторії.

Карісса порівнює приватність з ключем, який відкриває найбільш особисті та інтимні аспекти життя, які і роблять нас тими, хто ми є. А втрата контролю над своїми персональними даними для людини, фактично, означає втрату себе, свої ідентичності та унікальності.

Веліс вказує, що суспільство може бути вільним тільки, якщо люди дбають про використання їхніх персональних даних. Приватність дає владу, а її відсутність – позбавляє можливості приймати свідомі рішення, самостійно визначати свої уподобання і те, як презентувати себе серед інших.

У глобальному плані збереження приватності є необхідною умовою побудови демократії. Веліс називає обманом демократію, у якій відсутня автономія особистості, зокрема можливість діяти відповідно до власних переконань та без надмірного стороннього впливу.

Карісса висуває тезу про взаємозалежність людей у питаннях приватності: жодна особа не має морального права продавати свої персональні дані, адже вони можуть розкривати інформацію про інших – рідних, близьких, друзів.

Відновлення контролю над своїми персональними даними – це про повернення влади. Адже приватність надто важлива, аби її занедбати.

А ви вже читали “Privacy is Power. Why and How You Should Take Back Control of Your Data?” З якими тезами авторки погоджуєтеся, а з якими ні? Поділіться з нами!

Все буде Україна

________________
Джерела:
Веб-сайт Карісси Веліс Открыть/Комментировать