Privacy HUB

2021-12-08 09:27:10 #Аналитика

ПОНЕСЕТ ЛИ ЕВРОКОМИССИЯ ОТВЕТСТВЕННОСТЬ ИЗ-ЗА GDPR?

У Европейской Комиссии есть множество задач, одна из них - контролировать соблюдение законов Европейского Союза, в том числе Общего Регламента.

Многие из вас знают, что не все государства-члены ЕС идеально соблюдают GDPR, теперь из-за этого может пострадать и ЕК.

Разбираемся с ситуацией!

Почему ЕК под ударом?

Ирландский Совет за Гражданские Свободы (ICCL) подал Европейскому Омбудсмену жалобу на ЕК за то, что последняя не качественно выполняет свои контрольные функции, и за не привлечение Ирландии к ответственности.

В чем суть жалобы? 

Жалоба состоит из двух частей: “мониторинг” и “действие”.

Из названия первой части уже можно предположить о чем она. ICCL обращает внимание Омбудсмена на то, что в соответствии со ст. 17 Договора о Европейском Союзе ЕК должна была собрать адекватную информацию для мониторинга применения Регламента.

То есть, главная претензия заключается в том, что за все время не было внедрено механизма который помогал бы отслеживать внедрение GDPR по странам.   

Вторая же часть сетует на то, что Комиссия не привлекла Ирландию к ответственности за неприменение Регламента.

К слову, в сентябре этого года ICCL опубликовали материал который показывает, что ирландский надзорный орган принял решение только по 2% дел связанных с трансграничной передачей данных. 

Для подготовки этого материала ICCL провели интервью с фактически всеми европейскими регуляторами.

После этого результат интервью сравнили с данными, которые предоставил EDPB.

Как результат - ICCL увидели, что та статистика которая попадает в ЕК “полностью неадекватная”. Что собственно и послужило причиной жалобы. 

Что будет дальше?

Европейскому Омбудсмену предстоит принять решение - открывать ли расследование.

Если расследование, все таки, начнется, то есть большая вероятность, что ЕК прислушается к рекомендациям, так как в 2019 году Комиссия приняла 79% поступивших рекомендаций.

Ирландию же, скорее всего, тоже могут ждать определенные последствия.

Не секрет, что Ирландией не довольны не только локальные NGO, но и другие регуляторы. Даже Европейский Парламент в мае 2021 года выпускал диспозитивный призыв привлечения Ирландии к ответсвенности.

А EDPS недавно анонсировал конференцию на июнь 2022 года, которая среди прочего будет посвящена вопросам применения GDPR.

ВЫВОДЫ

Наличие хорошей законодательной базы и надзорного органа еще не гарантирует полную защиту субъектов персональных данных.

Регулятор должен не просто существовать, а реально выполнять возложенные на него обязательства.

Будем следить за событиями и держать вас в курсе!

Интересно, будет ли не только Ирландия, но и Европейская Комиссия нести ответственность за нарушения Регламента.

Спасибо, что вы с нами.
 
Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

__________________
Источники:
Жалоба ICCL
Материал ICCL по работе надзорных органов
EDPB - работа надзорных органов
Регуляторы про DPC
ЕП про Ирландию Открыть/Комментировать

2021-12-07 09:15:09 100+ СТАРТАПОВ, ДР ФОНДА, НАЦИОНАЛЬНЫЙ РЕКОРД

Друзья, в эту пятницу, 10 декабря, произойдет историческое событие!

В рамках второй годовщины работы наших коллег из USF, состоится самый массовый питчинг украинских стартапов.

На одной сцене соберутся 111 команд, которые публично представят свои проекты, после чего официально будет поставлен и зафиксирован национальный рекорд Украины.

Мы рады быть частью этого исторического момента и поддержать инициативу, которая поможет привлечь внимание ко всей бурно растущей отечественной экосистеме инноваций.

Приглашаем вас поддержать и присоединиться.

Мероприятие организовано в гибридном формате:
есть возможность присутствовать как лично в Киеве
так и смотреть прямой эфир онлайн.

Регистрация открыта для СМИ, инвесторов, команд стартапов и всех игроков нашего стартаперского мира - вот здесь.

Также будут презентованы результаты двухлетней деятельности Фонда и новая книга, посвященная успехам стартапов. 

До встречи 10 декабря! Открыть/Комментировать

2021-12-06 09:50:40 #Санкции

ШТРАФLESS: ИСТОРИЯ О ТОМ, КАК ЗАПИСЫВАЛИ РАЗГОВОРЫ С ФИНСКИМИ ФОПАМИ

Что произошло?

В ходе хозяйственной деятельности частный торговец (другими словами - финский ФОП) имел телефонный звонок с компанией, который компания записала.

Торговец запросил доступ к записи телефонного разговора на основании статьи 15 GDPR.

Компания заявила, что не может предоставить копию телефонного разговора в аудиоформате, а вместо этого предоставила торговцу расшифровку записи в текстовом формате.

Финскому ФОПу это не понравилось и он подал жалобу финскому регулятору (Tietosuojavaltuutetun toimisto - офис Омбудсмена по защите персональных данных) с просьбой уточнить, имеет ли компания право предоставить письменную стенограмму записи разговора.

Что нарушили?

Регулятор сначала проверил, состоит ли аудиозапись телефонного разговора из персональных данных в смысле статьи 4(1) GDPR.

Ссылаясь на формулировку этой статьи, а также на прецедентное право Финляндии и ЕС, регулятор пришёл к выводу, что голос человека следует рассматривать как персональные данные.

Ссылаясь на решение CJEU C-92-09 Volker и Markus Schecke, регулятор также подчеркнул, что тот факт, что финский ФОП действовал в качестве самозанятого торговца во время телефонного разговора, не меняет вывода отнесения голоса к персональным данным.

Как поясняется в пункте 53 решения CJEU, действительно, законодательство ЕС о защите данных также применяется к юридическим лицам в той мере, в какой физическое лицо идентифицируется как юридическое лицо (как это и в данном случае).

Как следствие, регулятор пришёл к выводу, что финский ФОП имел право доступа к записи в соответствии со статьей 15 GDPR.

Что решил регулятор?

Регулятор изучил, в каком формате компания должна была предоставить копию персональных данных в свете статьи 15(3) GDPR.

Регулятор отметил, что в некоторых случаях персональные данные должны быть предоставлены в определенном формате.

Если обрабатываемые персональные данные состоят, например, из голоса субъекта данных, субъект данных имеет право на доступ к аудиозаписи этого голоса как такового.

Однако, регулятор отметил, что в данном случае не было никаких указаний на то, что информация должна быть предоставлена ​​в виде аудиозаписи, поскольку торговец хотел получить доступ к содержанию телефонного разговора, а не к своему голосу.

Как следствие, финский регулятор обнаружил, что компания не обязана предоставлять персональные данные в их первоначальной форме, если данные также могут быть надлежащим образом предоставлены другим способом, например, в письменной форме.

ВЫВОДЫ

Финский регулятор подчеркнул, что компания должна обеспечить, чтобы формат, в котором были предоставлены данные, позволял торговцу проверить точность персональных данных.

Другими словами, возможность для компании предоставить персональные данные в неоригинальной форме не означает, что компания может изменить содержание персональных данных (т. е. письменная стенограмма аудиозаписи должна соответствовать фактическому разговору, который имел место между торговцем и компанией).

Штрафless

Для компании всё закончилось хорошо и без санкций, так как в данном случае компания предоставила торговцу письменную стенограмму телефонного разговора и регулятор Финляндии не обнаружил никаких нарушений статей 12 и 15 GDPR.

Спасибо, что вы с нами.
 
Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

_________
Источник:
Tietosuojavaltuutetun toimisto (Finland) - 3592/152/2019 Открыть/Комментировать

2021-12-03 09:06:23 #Аналитика #аКакУнас

УКРАИНСКИЙ НАДЗОР: ОБЗОР ЗАКОНОПРОЕКТА (ЧАСТЬ 6)

Что делать после назначения ДПО? Куда бежать при нарушении безопасности?

На эти и другие вопросы, мы получим ответ сегодня, когда рассмотрим главу 6, в которой повествуется о том как, надзорный орган будет взаимодействовать с субъектами контроля.

Уведомление Комиссии о назначении ДПО 

Контролер или процессор обязаны сообщить Комиссии о назначении ДПО в течении 10 дней с момента назначения.

Субъекты контроля сообщают: имя, контактный телефон, емейл, название организации, а также адрес и код в Едином Государственном Реестре.

Комиссия, в свою очередь, публикует контактные данные ДПО у себя на сайте.

Уведомление о нарушении безопасности

Комиссия утверждает порядок уведомления.

При получении соответствующего уведомления Комиссия проводит внеплановую проверку и принимает меры для устранения нарушения и минимизации его последствий для субъектов.

Учет нарушения безопасности персональных данных также будет круглосуточно доступен на сайте, включая факты связанные с ним, последствия и меры устранения. 

DPIA и консультации

Комиссия утверждает перечень видов обработки, по которым обязательно проводить DPIA.

Кроме этого, Комиссия проводит консультации с контролерами в следующих случаях:

когда результаты DPIA показывают высокий риск, который контролер не может самостоятельно минимизировать 

когда государственные органы планируют провести широкомасштабную обработку данных 

Если контролер обратиться за консультацией, то он должен быть готов предоставить информацию предусмотренную законом, а также любую другую информацию которую Комиссия запросит.

И, как в случае с ДПО и нарушениями безопасности, Комиссия публикует у себя на сайте реестр выводов о результатах консультаций с органами государственной власти.

Информацию с ограниченным доступом публиковать не будут. 

Полномочия Комиссии касательно передачи данных в другие государства или международные организации

На своем сайте регулятор будет публиковать список государств и/или организаций и лиц, на которых не распространяется GDPR и/или Конвенция 108+.

Также на сайте можно будет найти перечень государств и/или организаций и лиц, которые не обеспечивают должный уровень защиты персональных данных.

В случаях, когда передача данных в другое государство или международную организацию запрещена без разрешения Комиссии, то она рассматривает вопрос гарантий сохранности данных на основании:
договорных положений
соглашения между государствами 

А решение о разрешении/отказе на такую передачу Комиссия дает в разумные сроки, но не позже чем 3 месяца. BCR она утверждает не больше, чем в течение 30 дней с момента их получения.

О передаче персональных данных на основании одного из исключений Комиссии нужно сообщать не позже, чем через 3 дня после такой передачи.

Регулятор в срок не более 30 дней проверяет соблюдение контролером требования Закона о ЗПД.

На сегодня все!

Поделитесь впечатлениями, как вам проект такого взаимодействия?

Желаем вам прекрасных выходных, надевайте шапку!

Спасибо, что вы с нами.
 
Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

_________
Источник:
Текст законопроекта Открыть/Комментировать

2021-12-01 08:22:31 #Аналитика

ПРИВАТНОСТЬ В ИНТЕРНЕТ РЕКЛАМЕ

25 ноября 2021 года ICO опубликовало свое Мнение об ожиданиях в отношении защиты данных и приватности для предложений технологий в интернете.

Мнение устанавливает стандарты защиты персональных данных при разработке новых рекламных технологий в интернете и дает игрокам AdTech рекомендации о том, как они могут продемонстрировать комплаенс.

В Мнении ICO разобрала разные примеры предложений технологий на рынке такие как известный отказ от файлов cookie от третьих сторон; ограничения в идентификации через браузер или софт, разработанные Apple, Brave, Microsoft, Mozilla; Google Privacy Sandbox.

ОЖИДАНИЯ ICO

ICO ожидает, что любое решение, предложение или инициатива соблюдают следующие принципы:

Проектируемая приватность (PbD)
Интересы, права и свободы людей должны стоять в основе любого спроектированного предложения. Участники рынка должны подумать о том, как они будут подтверждать свою оценку соблюдения PbD при разработке продуктов, услуг и приложений (например, как они эффективно реализуют принципы защиты данных).

Выбор пользователя
Предлагать пользователям выбор получения рекламных объявлений без отслеживания, профилирования или таргетинга на основе их персональных данных.

Подотчетность
Новые инициативы должны быть прозрачными в отношении того, как и почему обрабатываются персональные данные, и кто несет ответственность за эту обработку.

Цель
Сделать конкретные цели обработки персональных данных легко доступными и продемонстрировать, насколько сценарий обработки является справедливым, законным и прозрачным.

Снижение вреда
Устранение существующих рисков приватности и снижение любых новых рисков приватности, которые представляет предложение.

РЕКОМЕНДАЦИИ ICO

Вышеизложенные принципы следует рассматривать как единое целое. Любые предложения должны демонстрировать, как они применяются.

Следующие ниже рекомендации содержат дальнейшие конкретные указания:

Продемонстрируйте и объясните выбранные варианты дизайна решения;

Будьте честны и прозрачны в отношении преимуществ использования технологий;

Минимизируйте сбор и дальнейшую обработку данных;

Защитите пользователей и предоставьте им полноценный контроль;

Оцените необходимости и соразмерности в технологии;

Оцените законность, риски и информационные права в технологии;

Оцените наличие рисков с обработки чувствительных данных.

ВЫВОДЫ

ICO заявляет: «В конечном итоге новые предложения по онлайн-рекламе должны повысить доверие к цифровой экономике, а не ослабить ее.»

ICO приветствует предложения из AdTech по устранению использования навязчивых технологий, которые увеличивают риски для людей, и признает уже предпринимаемые усилия, направленные на решение проблем защиты данных с помощью файлов cookie и аналогичных технологий.

Спасибо, что вы с нами.
 
Если вы хотите нас поддержать, станьте нашим патроном прямо сейчас.

_________
Источник:
Information Commissioner’s Opinion: Data protection and privacy expectations for online advertising proposals Открыть/Комментировать

2021-11-29 09:42:36 #ДайджестМесяца

ДАЙДЖЕСТ ЗА НОЯБРЬ

Ноябрь пролетел незаконно быстро.

Совсем скоро будем наряжать алгоритмическое дерево принятия решения и играть в privacy-санту.

А пока подводим итоги того, что у нас происходило за последний месяц осени.
 

ПОБЕДА В КОНКУРСЕ ПРОЕКТОВ
 
В сентябре мы подали заявку с образовательным проектом на участие в конкурсе по защите прав человека в условиях распространения цифровых технологий.

12 ноября узнали о том, что прошли в список 7 победителей.

Stay tuned, следующий этап - реализация проекта!
 

ПРАЙВАСИ КРАШ-ТЕСТ СТАРТАПОВ

На прошлой неделе совместно с белорусскими коллегами громили системы защиты персональных данных украинских и белорусских стартапов в прямом эфире, бесплатно и без регистрации.

Кто пропустил - повтор можно посмотреть здесь.


ВТОРОЙ СЕЗОН «CYBER ACCELERATOR»
 
Как мы упоминали ранее, мы подключились с менторству и отбору стартапов для программы украинского кибер-акселератора.

Недавно стартовал второй сезон акселератора и прямо сейчас проходит отбор стартапов на программу!
 
Всем заявителям желаем удачи!
 

  РЕЙТИНГ ТЕКСТОВ ПРОШЛОГО МЕСЯЦА
 
#Санкции
ШТРАФ €4 000 ЗА ДОБАВЛЕНИЕ В ГРУППУ В МЕССЕНДЖЕРЕ БЕЗ СПРОСА
ЖУРНАЛИСТЫ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ: CASE STUDY
€13 200 ЗА “ПЛОХОГО” DPO
ШТРАФ 78 000 ЗА ПОТЕРЯННУЮ ПОСЫЛКУ
 
#Аналитика
ЖУРНАЛИСТЫ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ: КОДЕКС ПОВЕДЕНИЯ ОТ ICO
ПРАВО НА ЗАБВЕНИЕ НЕ ПОЗВОЛЯЕТ УДАЛИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ИЗ РЕЕСТРА КРЕЩЕНИЯ
ГАЙД НА ОГРАНИЧЕНИЯ ПО СТ. 23
НОВЫЙ ГАЙД EDPB ПО МЕЖДУНАРОДНЫМ ПЕРЕДАЧАМ

#аКакУнас
УКРАИНСКИЙ НАДЗОР: ОБЗОР ЗАКОНОПРОЕКТА (ЧАСТЬ 2)
УКРАИНСКИЙ НАДЗОР: ОБЗОР ЗАКОНОПРОЕКТА (ЧАСТЬ 3)
УКРАИНСКИЙ НАДЗОР: ОБЗОР ЗАКОНОПРОЕКТА (ЧАСТЬ 4)
УКРАИНСКИЙ НАДЗОР: ОБЗОР ЗАКОНОПРОЕКТА (ЧАСТЬ 5)

 
Спасибо, что вы с нами.
 
Если вы хотите нас поддержать, станьте нашим патроном прямо сейчас. Открыть/Комментировать

2021-11-26 09:03:02 #Аналитика #аКакУнас

УКРАИНСКИЙ НАДЗОР: ОБЗОР ЗАКОНОПРОЕКТА (ЧАСТЬ 5)

Пока регулятор следит за тем, чтобы организации соблюдали законодательство, кто следит за регулятором?

Раздел V как раз посвящен вопросам подотчетности Нацкомиссии.

Общественный совет (ст. 47)

Осуществляет общественный контроль за деятельностью Нацкомиссии
Состоит из 15 человек 
Формируется по результатам открытого и прозрачного конкурса (рейтинговое интернет-голосование граждан, проживающих на территории Украины, в порядке, установленном КМУ)

Представить кандидатуру на должность члена могут общественные объединения и творческие союзы в сфере защиты персональных данных (ЗПД) или доступа к публичной информации (ДПИ), если они:

активно действуют в указанных сферах не менее 3 лет:
— организуют по меньшей мере дважды в год общественные мероприятия по проблемам в сфере ЗПД или ДПИ
— инициируют публичные обсуждения актуальных вопросов, публичные дискуссии по профессиональным вопросам

имеют среди своих членов авторитетных экспертов в сфере ЗПД или ДПИ. 

Общественное объединение имеет право подать одну кандидатуру на должность члена.

В состав не могут входить лица:
указанные в п.1, пп. "а" п. 2 ч. 1 ст. 3 ЗУ "О предотвращении коррупции" (лица, уполномоченные на выполнение функций государства или местного самоуправления; лица, которые приравниваются к ним, т.е. должностные лица юр. лиц публичного права и т.д.)
экс-госслужащие (работники) Нацкомиссии за последние 3 года
и их близкие лица

Общественный совет полномочен, если в его состав входят не менее 9 человек. 
Срок полномочий Общественного совета — 2 года. 

Функции Общественного совета:
заслушивает информацию о деятельности, выполнении планов и задач Нацкомиссии, осуществляет мониторинг эффективности реализации Нацкомиссией ее полномочий;
анализирует ситуацию с обеспечением независимости Нацкомиссии;
рассматривает ежегодный доклад Нацкомиссии и утверждает заключение по нему;
участвует в разработке стратегических и программных документов Нацкомиссии;
участвует в разработке проектов нормативно-правовых актов Нацкомиссии и готовит заключения по ним;
осуществляет другие полномочия, предусмотренные Положением об Общественном совете при Нацкомиссии, которое утверждает КМУ.

Ежегодные и специальные доклады (ст. 48)

Нацкомиссия предоставляет в ВРУ и КМУ:

Ежегодный доклад (до 20.03. текущего года)

— о состоянии соблюдения законодательства о ЗПД и ДПИ, и о выявленных недостатках в законодательстве и практике его применения
— со ссылками на случаи нарушений, принятые необходимые меры, результаты проверок, выводы и рекомендации, информацию о состоянии выполнения рекомендаций и другие статистические данные.

Специальный доклад 
— по собственной инициативе Нацкомиссии
— по отдельным вопросам соблюдения в Украине прав на ЗПД и ДПИ

По результатам рассмотрения ВРУ принимает постановление, а КМУ — распоряжение.

Как и доклады, они публикуются в оф. изданиях ВРУ, КМУ и на веб-сайтах ВРУ, КМУ и Нацкомиссии.

Обращение Нацкомиссии в суд (ст. 49)

Нацкомиссия в связи с нарушением законодательства о ЗПД или ДПИ может обратиться в суд с иском по:
признанию недействительными нормативно-правовых и других актов (их положений) органов власти, органов местного самоуправления, органов административно-хозяйственного управления и субъектов контроля;
обязательству субъекта контроля прекратить нарушение законодательства о ЗПД или ДПИ;
по другим основаниям, предусмотренным законом.

Нацкомиссия в исковом заявлении обосновывает, в чем заключается нарушение ЗУ «О ЗПД» или ЗУ «О ДПИ».

Спасибо, что вы с нами.
 
Если вы хотите нас поддержать, станьте нашим патроном прямо сейчас.

_________
Источник:
Текст законопроекта Открыть/Комментировать

2021-11-24 10:15:50 #Аналитика

НОВЫЙ ГАЙД EDPB ПО МЕЖДУНАРОДНЫМ ПЕРЕДАЧАМ

Если вы хоть раз задумывались, нужно ли подписывать SCC с процессором, к которому и так применяется GDPR по ст. 3.2, то сегодняшний пост посвящается вам.
 
Что произошло?
 
GDPR не даёт определение того, что понимается по термином «международная передача».

Речь идёт только о том, что любая передача персональных данных, которые обрабатываются либо для дальнейшей обработки, должна сопровождаться мерами из Раздела 5 GDPR.
 
Цель таких мер объясняется п. 102 Преамбулы: при передаче данных за пределы ЕС уровень защиты не должен понижаться.
 
На первый взгляд всё просто. Когда начинаешь изучать вопрос более детально, появляются неудобные вопросы: нужно ли внедрять меры по международной передаче для сотрудника за границей ЕС?
 
А как насчёт получателей данных, к которым уже и так применяется GDPR?

Ведь в таком случае, уровень защиты данных не понижается.
 
Как результат, национальные регуляторные органы (и сам Союз) берутся разъяснять, что такое международная передача.
 
Пример: ICO считает, что это должна быть обязательно передача третьему лицу, к которому GDPR НЕ применяется. То есть если передаёте процессору, который под GDPR-ом экстерриториально, дополнительных SCC не требуется.
 
Подобная линия аргументации прослеживалась и в уже недействительном EU-US Privacy Shield (п. 2.15): щит как сертификацию можно было получить исключительно в случаях, когда к получателю данных не применялось европейское право.
 
В то же время, ст. 3.2 (экстерриториальное применение) говорит, что GDPR применяется к процессорам за пределами Союза, которые сопровождают предложение услуг или мониторинг поведения субъектов данных в ЕС контролёрами за пределами Союза.
 
То есть если AWS из США хостит данные для онлайн-магазина из США, работающего на рынок ЕС, то SCC, вроде как, не нужны.

Для такой же услуги, но для магазина в Германии, SCC нужны, так как магазин находится в Германии, а к AWS в таком случае по ст. 3.1 GDPR не применяется.
 
Не знаем как у вас, но у нас в результате складывалось впечатление, что в GDPR есть неприкрытые пробелы.
 
Посмотрим, по силам ли EDPB решить проблему.
 
КРИТЕРИИ МЕЖДУНАРОДНОЙ ПЕРЕДАЧИ
 
Гайд предоставляет три составляющих международной передачи:
 
контролёр или процессор, к которому применяется GDPR (экспортёр);
 
разглашает либо иным способом делает доступными персональные данные для другого контролёра или процессора (импортёр);
 
импортёр находится на территории третьей страны или является международной организацией, ВНЕ ЗАВИСИМОСТИ ОТ ТОГО, ПРИМЕНЯЕТСЯ ЛИ К ИМПОРТËРУ GDPR.
 
ПОЧЕМУ ВНЕ ЗАВИСИМОСТИ?
 
EDPB жонглируют разумом читателя, говоря что даже экстерриториальная применимость GDPR может быть сведена на «нет» законодательством третьей страны.

Поэтому SCC (это если ещё удастся пройти International Transfer Assessment) или другие меры из раздела 5 GDPR всё же понадобятся.
 
Вот так вот расходятся новые и старые документы ЕС, а также UK в понимании международных передач.
 
P.S.

Даже если вы передаёте данные сотруднику в пределах одной компании, но за границей ЕС продолжают жонглировать они, это всё равно может быть риском доступа властей третьей страны к данным.

Соответственно, вам также понадобятся дополнительные защитные гарантии, но уже по ст. 24, 32, 35 GDPR.
 
Автор сегодняшнего поста по этому всему поводу удаляется в запой.

А вам желаем продолжения продуктивной недели.

________________
Источник:
Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR Открыть/Комментировать

2021-11-22 10:22:20 #Санкции

ШТРАФ 78 000 ЗА ПОТЕРЯННУЮ ПОСЫЛКУ

Многие отправляют посылки через курьерскую службу.

При этом испытывая страх того, что посылка может не доехать, или доехать не в товарном виде.

К несчастью, для польского Bank Millennium S.A. этот страх материализовался.

Как результат - утечка данных и 78 тысяч штрафа. 

Что произошло?

Bank Millennium S.A. отправлял посылку через службу курьерской доставки.

Что-то пошло не так и посылка с ФИО, идентификационными кодами, домашними адресами, номерами аккаунтов и другой информацией была потеряна.

Кто-то об этом узнал и пожаловался в надзорный орган. 

В мире защите персональных данных такого рода инцидент классифицируется как утечка данных.

Не смотря на это Bank Millennium S.A. решил не сообщать о случившемся ни надзорному органу, ни субъектам персональных данных.

Да, GDPR, предусматривает возможность не сообщать об инцидентах, если их последствия не несут вред субъектам, но очевидно, что это не тот случай. 

Что нарушили?

UODO констатировал факт нарушения ст. 33 (сообщение об инциденте надзорному органу) и ст. 34 (сообщение об инциденте субъектам персональных данных). 

ВЫВОДЫ

Проведите оценку рисков внутри своей организации.

Это поможет вам авторитетно принимать решения касательно уведомления или не уведомления надзорных органов или субъектов.

И это, однозначно, более правильное решение, чем надеятся, что пронесет. 

Всем хорошей недели!

________________
Источник:
Решение UODO (польский язык) Открыть/Комментировать

2021-11-19 09:42:02 #Аналитика #аКакУнас

УКРАИНСКИЙ НАДЗОР: ОБЗОР ЗАКОНОПРОЕКТА (ЧАСТЬ 4)

Сегодня в меню проверки Нацкомиссии, регулируемые ст. 45-46 законопроекта.

Вероятность и особенность национальной проверки в ЕС компании часто оценивают в ходе принятия решения, внедрять ли cookie баннер по последним стандартам регуляторных разъяснений.

Если хотите тоже научиться искусству “риск-ориентированного” подхода aka “мы же маленькая компания, вряд ли нас оштрафуют”, сегодняшний пост для вас.

Основания для проверки (ст. 45)

Этот вопрос действительно часто спрашивают клиенты: “а как регулятор узнает о нарушении?”

Украинский законопроект устанавливает 3 основания для проверок:

Обращения о нарушении законов.
Причём необязательно, чтобы обратился субъект данных, что потенциально может привести к злоупотреблениям;

Плановые ежегодные проверки;

Получение информации о нарушении их открытых источников, в результате проведения проверки или мониторинга соблюдения законов.

План ежегодных проверок утверждается Нацкомиссией до 25 декабря предыдущего года. Даты проверок не указываются.

Виды проверок (ст. 45)

Плановые и внеплановые;

С выездом на место нарушения или без выезда.

Выезд осуществляется на место, где организация ведёт деятельность.

Во втором же случае у организации запрашивается отчётная документация, сведения и объяснения организации.

Согласие организации на проведение проверки не требуется.

Предмет проверки (ст. 46)

В случае проверки по заявлению, Нацкомиссия ограничивается обстоятельствами, по которым написали заявления, либо же обстоятельствами, которые привели к проверяемому нарушению;

В случае плановой проверки соответствие организации требованиям законов о защите данных в целом.

Продолжительность проверки (ст. 46)

Нарушениям защиты персональных данных грозит до 180 дней проверки, доступу к публичной информации - 50 дней.

Суммарно представители Нацкомиссии не могу пребывать в помещениях организации более 30 дней.

Результаты проверки

На основании акта о результатах проверки Нацкомиссия может вынести одно из решений из постика прошлой недели, а также обязать:

Удовлетворить запрос субъекта персональных данных;

Привести свою деятельность в соответствие с законодательством о защите персональных данных или доступ к публичной информации;

Уведомить субъекта персональных данных об утечке персональных данных;

Остановить обработку персональных данных;

Принять другие действия по соответствию (whatever this means);

Нацкомиссия может дать рекомендации на будущее о соответствии.


Всем хороших выходных!

На следующей неделе поговорим о подотчётности будущей комиссии.

_________
Источник:
Текст законопроекта Открыть/Комментировать