Privacy HUB

2021-11-17 11:12:46 КРАШ-ТЕСТЫ: СТАРТАПЫ ПОД СЛЕДСТВИЕМ ПРИВАТНОСТИ

Когда?
Уже завтра, 18 ноября в 16:00 по Киеву!

Регистрация: тут

Ваша политика приватности напоминает сборник терминов, где разобраться могут только приближённые к юридического департаменту?

Считаете, что данных о человеке нужно как можно больше и хранить их как можно дольше, а главное - использовать везде и без спроса?

Признавайтесь, знакомо?
Тогда приглашаем на совместный интерактивный вебинар Data Privacy Office и Privacy HUB.

Наши эксперты предварительно проанализировали стартапы и готовы лаконично сыпать замечаниями и индивидуальными рекомендациями об их приватности в прямом эфире. Вы сможете без «‎цензуры» следить за разбором сайтов ваших коллег.

И несколько правил предстоящего вебинара

✘ Никакого юридического жаргона
✘ Никаких абстрактных примеров и выдуманных кейсов
✘ Никакой цензуры в обсуждениях Открыть/Комментировать

2021-11-17 09:49:01 #Аналитика

ГАЙД НА ОГРАНИЧЕНИЯ ПО СТ. 23

Возможно ли законно ограничить права субъекта, контролера и процессора?
А обязанности контролера и процессора?

Да, в обоих случаях, статья 23 Регламента это прямо предусматривает.

Но как это работает, понять сложно.

Потому EDPB выпустил гайд на эту тему, который сегодня коротко разбираем. 

Определение

GDPR не дает определение “ограничениям”, а лишь описывает ситуации когда их возможно применить (статья 73 преамбулы и статья 23 Регламента).

Поэтому первое, что делает гайд - это предоставляет дефиницию. 

Ограничение - любое объема прав и обязательств по статьям 11-22 и 34, а также статьи 5. Ограничение прав субъектов возможно только когда такое ограничение преследует цели защиты прав и свобод других лиц или важные цели публичного интереса ЕС или государства-члена.

Ограничение будет законным, если оно

прямо предусмотрено законодательством
выполняет требования статьи 23.1 GDPR
затрагивает ограниченное количество прав субъектов и обязанностей контролера/процессора 
уважает суть фундаментальных прав и свобод 
необходимо и пропорционально для целей демократического общества 

Некоторые особенности ограничений

с контролера никогда не снимается обязательство по 5.2 (принцип подотчетности)
ограничения накладываются учитывая требования Устава ЕС и Европейской Конвенции по правам человека
ограничения могут быть в разной форме, но никогда такими которые полностью приостанавливают все права субъекта

Требования к ограничениям

Уважение к сути фундаментальных прав и свобод.
Ограничение которое аннулирует фундаментальные права не может считаться законным. 

Законодательные меры по ограничениям должны быть предсказуемыми.
Законодательство должно быть достаточно ясным в своих терминах, чтобы дать адекватное указание на обстоятельства и условия, при которых контролеры имеют право прибегать к ограничениям.

К слову, сама по себе пандемия не является достаточным основанием для ограничения прав.

Напротив, любое ограничение должно способствовать защите важной цели общественного интереса ЕС или государства-члена.

Основание для ограничения

Связь между предполагаемыми ограничениями и преследуемой целью должна быть четко указана в законодательной мере.

Ограничения могут быть наложены в исключительных случаях.

права людей под следствием нужно реализовывать таким образом, чтобы реализация не навредила следствию.

Например, если это возможно, сообщать об ограничении права или давать ограниченные данные.

Как вариант выполнить запрос по завершению следствия или использование механизма непрямого доступа - когда регулятор вместо субъекта проверяет законность обработки. 

общественная безопасность включает в себя защиту человеческой жизни, особенно в ответ на природные или техногенные катастрофы

в разных случая защита прав субъекта и других лиц предполагает ограничение прав разных сторон.

Например, человек подвергся харассменту на рабочем месте и сообщил об этом руководству.

В таком случае харасер может быть ограничен в праве на доступ к информации, если это может подвергнуть риску жертву.

Однако, и жертва может быть аналогично ограничена, если доступ к его/ее данным нарушит приватность харассера. 

законодатель должен провести тест баланса, необходимости и провести консультацию с надзорным органом перед тем как легализовывать определенные ограничения 

ВЫВОДЫ

Регламент позволяет в определенных случаях ограничивать права и обязанности.

Ограничение должно соответствовать статье 23.

Законодатель должен провести тест баланса и консультацию с регулятором перед внедрением любых заключений.

Права субъектов должны быть реализованы после снятия ограничений.

_________
Источник:
Guidelines 10/2020 on restrictions under Article 23 GDPR Открыть/Комментировать

2021-11-15 12:14:56 #Санкции

€13 200 ЗА “ПЛОХОГО” DPO

Регулятор Люксембурга (CNPD) оштрафовал компанию на 13,200 евро за два нарушения GDPR, выявленные в ходе аудита работы офицера по защите данных (DPO) в компании.

Что произошло?

CNPD первоначально обнаружил четыре нарушения, но подтвердил только два из них, поскольку компания уже приняла меры для устранения этих нарушений.

В ходе аудиторской проверки, проведенной CNPD в отношении роли DPO в компании, CNPD обнаружила, что компания не выполнила ряд обязательств, касающихся назначения и роли DPO.

Что нарушили?

нарушение обязательства назначать DPO на основании его/ее профессиональных качеств (статья 37 (5) GDPR)

Согласно CNPD, это обязательство достигается, если DPO имеет не менее трех лет профессионального опыта в области защиты данных.

В этом случае, однако, в аудиторском отчете указано, что DPO не обладал каким-либо особым опытом в области защиты данных на момент своего назначения, но был назначен потому, что он уже занимал должность «Директора по комплаенсу и юридического отдела» («Chief Compliance & Legal Officer») в компании.

В ответ на этот вывод аудиторского отчета компания направила в CNPD дополнительные документы, подтверждающие, что DPO имеет более трех лет профессионального опыта в области защиты данных;

нарушение обязательства привлекать DPO ко всем вопросам, связанным с защитой персональных данных (статья 38 (1) GDPR)

Согласно CNPD, это обязательство достигается, если DPO формально и часто участвует в исполнительном комитете, комитетах по координации проектов, комитетах по новым продуктам, комитетах по безопасности или в других комитетах, которые считаются полезными в контексте защиты персональных данных.

В аудиторском заключении указано, что это не предусмотрено процедурами компании.

Компания предприняла шаги для формализации участия и присутствия DPO в структурных консультативных органах, а также во внутренних процедурах и политиках в качестве меры, которая должна соответствовать законодательству и руководящим принципам WP29.

нарушение обязательства по предоставлению DPO необходимых ресурсов (статья 38 (2) GDPR)

Согласно CNPD, это обязательство достигается, если команде DPO выделяется как минимум один эквивалент полной занятости (ЭПЗ), т. е. один человек, работающий полный рабочий день в качестве DPO, и имеет возможность полагаться на другие подразделения, такие как юридический отдел, ИТ, безопасность и т. д.

В ходе аудита было обнаружено, что ресурсы, выделенные группе защиты данных, были приблизительно 0,7 ЭПЗ. Кроме того, не было определено время, отведенное DPO к задаче защиты данных.

В ответ на аудиторский отчет компания объявила, что руководство решило, что DPO будет выполнять свои обязанности на постоянной основе (один ЭПЗ).

нарушение обязательства гарантировать, что DPO имеет задачу контролировать соответствие GDPR с политиками контролера (статья 39 (1) GDPR)

Согласно CNPD, это обязательство достигается, если организация имеет формализованный план контроля защиты данных, в котором определены задачи мониторинга группы DPO.

Аудиторский отчет показал, что у компании были определенные процедуры (например, для ответа на запросы субъектов данных), но не было процедур мониторинга.

В ответ на этот вывод компания раскрыла документы, показывающие, что в отношении обработки персональных данных были внедрены процедуры внутреннего соблюдения и мониторинга, и что эти процедуры часто пересматривались.

ИТОГИ

Хотя аудиторский отчет выявил четыре нарушения защиты данных и предлагал наложить санкции на основании всех четырех нарушений, CNPD поддержал в своем решении только два нарушения, принимая во внимание меры, которые уже были приняты организацией в ходе проверки.

Однако CNPD отметила, что эти меры были приняты после начала расследования, и поэтому компания заранее не выполнила свои обязательства.

В результате CNPD наложил на компанию штраф в размере 13 200 евро.

________________
Источник:
Решение (на французском) Открыть/Комментировать

2021-11-12 13:41:56 НАБІР ДО КІБЕРАКСЕЛЕРАТОРА

Наші друзі з Кіберакселератора розпочинають другий набір підприємців на тримісячну акселераційну програму, що реалізується командою SocialBoost у межах проєкту USAID Cybersecurity Activity.

Акселератор є першою програмою в країні, що спрямована на розвиток українських компаній, які пропонують продукти та послуги у галузі кібербезпеки.

Унікальна програма, що об’єднує менторів з 10 країн світу, корпоративних партнерів глобального масштабу, доступ до інвестицій та грантових коштів та програму орієнтовану на потреби бізнесу на стадії масштабування.

До нової когорти акселератора мають можливість потрапити продуктові чи сервісні компанії, що працюють у секторі ІТ або кібербезпеки та зареєстровані в Україні. 

Команди-учасники отримають

можливість трансформації та розширення бізнесу у сфері кібербезпеки - планування стратегії та розробки готового продукту (до 100 годин лекцій та воркшопів за всю програму);

методичну та технічну підтримку, адаптовану до потреб продукту, послуги чи навіть ідеї (наприклад, індивідуальні сесії, менторські години та консультації топових експертів з понад 10 країн світу);

можливість налагодити контакти з корпораціями-партнерами, провідними глобальними гравцями та інвесторами;

індивідуальний ментор — експерт з галузі протягом всієї програми для відстеження прогресу та консультування;

PR та комунікаційну підтримку бізнесу;

інвестиційні можливості — доступ до профільних фондів та грантів;

стратегічні партнерства в секторі телекомунікацій, енергетики та фінансових технологій, банкінгу  в Україні та пілоти з державними установами; 

додаткові технічні можливості, які надає SocialBoost та організації-партнери (наприклад, AWS).


Крім того, під час акселерації компанії матимуть змогу розробити або вдосконалити свої бізнес-канваси, презентації та ключові фінансові та операційні документи.

ВИСНОВОК

Заявку на участь можна подати до 18 листопада включно на вебсайті Кіберакселератора: https://www.cyberua.org — не втрачайте можливість та подавайте  заявки на участь якомога раніше. Открыть/Комментировать

2021-11-12 13:41:53 Открыть/Комментировать

2021-11-12 09:18:46 #Аналитика #аКакУнас

УКРАИНСКИЙ НАДЗОР: ОБЗОР ЗАКОНОПРОЕКТА (ЧАСТЬ 3)

Третий раздел устанавливает производства Национальной комиссии. 

Основания

Национальная комиссия может открыть производство в 3 случаях:
по обращению физлиц (в том числе малолетних лиц), а также по обращению юрлиц
по обращению объединений без статуса юрлица 
по собственной инициативе 

Жалоба

Заявитель может подать жалобу в течении полугода с момента выявления нарушения, в исключительных случаях комиссия может продлить срок, но не более чем на год. 

Жалоба подается. в письменной форме, в электронной форме, в случаях срочного реагирования - устно.

В жалобе должно быть:
ФИО заявителя, или название компании, почтовый адрес 
обстоятельства нарушения, копия документов, подтверждающие их, в случае отсутствия копий объяснение - почему их нет
дату подачи, подпись или электронную подпись

Кроме жалоб можно подать и заявления - совет, или рекомендацию по урегулированию профильных отношений.

Получив жалобу комиссия принимает решение стоит ли начинать производство, которое включает расследование инспектора Нацкома и рассмотрение дела им же.

Производство должно длиться не более года с момента его открытия.

Производство может быть как офлайн, так и онлайн в режиме видеоконференции. 

В производстве могут участвовать следующие лица: 
инспектор 
эксперт 
специалист 
переводчик 
свидетель 
представитель органов 
заявитель (или его представитель) 

Разница между экспертом и свидетелем заключается в том, что эксперт помогает в исполнении функций Нацкома, а специалист предоставляет консультации или техническую помощь по тем вопросам, по которым нужны разъяснения. 

Расследование и рассмотрение дела

Инспектор комиссии определяет имело ли место нарушение, проводит необходимые проверки и определяет свидетелей которых необходимо вызвать.

По результатам расследования готовится вывод о наличии/отсутствии нарушения. 

Рассмотрение может быть по стандартной или упрощенной процедуре.

Последняя используется в малозначительных делах, то есть в делах для рассмотрения которых не нужно вызывать участников на заседание комиссии, срок по таким делам не более четырех месяцев.

Заявитель, также, может подать ходатайство на использование упрощенной процедуры вместо стандартной. 

Решение 

По результатам рассмотрения может быть принято одно из следующих решений:
привлечение к ответственности и/или обязательство устранить нарушение 
привлечение к ответственности и/или обязательство принять меры з целью предотвращения нарушений 
закрытие производства в случае отсутствия нарушения 
закрытие производства в случае, если на его протяжении были выявлены основания для отказа в открытии производства 

Решение комиссии можно оспорить в суде, а штрафы оплачиваются в течении 30 дней с момента сообщения о штрафе.

Квитанцию об оплате нужно отправить не позже 3 рабочих дней после окончания срока оплаты.

В случае не оплаты штрафы будут взыскиваться в принудительном порядке. 

Исполнение решений Нацкома в части обязательства совершить действия 

Решения должны быть исполнены в установленный срок.

После того как решение было исполнено, об этом в течении 5 дней нужно сообщить комиссии, но может быть и так, что комиссия потребует немедленного сообщения.

Срок сообщения может быть продлен по ходатайству. 

Неисполнение решений в части совершений действий влечет за собой штраф в размере от 20 000 до 100 000 для физлиц и от 0.5% до 1% годового оборота юрлиц, но не менее чем 3 000 не облагаемых минимумов.

Такие же штрафы предусмотрены и за отказ от допуска к проверке. 

Неисполнение решений должностным лицом влечет за собой административную, дисциплинарную или криминальную ответственность, установленную законом.

_________
Источник:
Текст законопроекта Открыть/Комментировать

2021-11-10 09:10:25 #Аналитика

ПРАВО НА ЗАБВЕНИЕ НЕ ПОЗВОЛЯЕТ УДАЛИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ИЗ РЕЕСТРА КРЕЩЕНИЯ

Что случилось?

Приход Римско-католической церкви (далее - Приход), будучи контролером данных, рассматривал заявление физического лица на право на забвение (удаление данных).

Субъект попросил удалить его персональные данные из реестра крещения (далее - Реестр), потому что он больше не был членом церкви.

По его мнению, собранные данные больше не нужны по отношению к целям, для которых они были собраны.

Он не давал согласия на крещение и обработку персональных данных.

Субъект также утверждал, что персональные данные, внесенные в Реестр, свидетельствуют о религиозных убеждениях и ущемляют его религиозную свободу.

Какие данные были в Реестре?

В Реестре были собраны следующие данные: имя и фамилия субьекта крещения, дата рождения, дата крещения, имена родителей и крестных родителей, а также место жительства. 

Позиция Прихода

Приход утверждал, что правовой основой для обработки данных в Реестре является, в основном, Закон о защите документов и архивов и архивных учреждениях (далее - Закон), который классифицирует Реестр как архивный материал выдающегося национального значения, поэтому не разрешается удалять какие-либо содержащиеся в нем данные.

Приход также сделал дополнительную запись в Реестре о том, что данное лицо больше не является членом церкви. 

Оценка Регулятора

Комиссар по информации Республики Словения (далее - Регулятор) оценил, необходима ли обработка для целей архивирования в общественных интересах в соответствии со ст. 89(1) GDPR, и может ли удаление сделать невозможным или серьезно помешать достижению целей этой обработки (ст. 17(3)(d) GDPR).

Регулятор подчеркнул, что сам вышеуказанный Закон предусматривает, что церковный документальный материал имеет характеристики архивного материала.

Он также подчиняется принципам постоянства и целостности и предусматривает меры, которые могут рассматриваться как соответствующие меры безопасности в соответствии со ст. 89(1) GDPR. 

Регулятор решил, что Реестр является архивным документом в соответствии с национальным законом и что физическое лицо не может требовать права на удаление, когда обработка необходима для целей архивирования в общественных интересах.

Удаление данных серьезно затруднит достижение этих целей. 

Судебный пересмотр решения

Решение было обжаловано в суде, но Административный суд подтвердил решение Регулятора и добавил, что обработка не связана с религиозными элементами только потому, что Приход хранит его данные в Реестре.

Запись в Реестре ясно демонстрирует, что лицо больше не является членом церкви, что также свидетельствует о его праве не принадлежать к определенной религии.

_________
Источник:
Slovenian Administrative Court upholds the decision of the Slovenian SA: the right of erasure does not enable an individual to have his personal data erased from Baptismal Register Открыть/Комментировать

2021-11-08 10:13:13 #Санкции

ЖУРНАЛИСТЫ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ: CASE STUDY

Читали пост прошлой среды #аналитика о гайде о защите данных для журналистов? Если нет, то вот.
 
Для закрепления темы даём обзор на недавнее решение регулятора в Словении.

К слову, Словения – один из рекордсменов по наименьшему кол-ву штрафов в ЕС.
 
Что произошло?
 
На протяжении последних 7-15 лет (примерно, как говорится) словенская медиа-компания сделала 88 фотографий неназванного субъекта персональных данных во время её посещения публичных мероприятий.
 
Фотографии были опубликованы на сайте, а также выставлены на онлайн-продажу.

Субъект данных воспользовался правом на забвение по статье 17 GDPR.

Контролер отклонил ее требование по следующим причинам: обработка необходима для осуществления свободы выражения мнения в деятельности СМИ, публичного права на информацию и на основании законных интересов в соответствии со ст. 6.1f GDPR.
 
Результат: жалоба регулятору, расследование, решение.
 
Что нарушили?
 
Ст. 12-14: вебсайт, на котором размещались фотографии, не содержал Privacy Notice. Как результат, субъект данных не был уведомлён об обработке;

Ст. 5-6: контролёр данных не смог продемонстрировать законный интерес, равно как и наличие публичного интереса в обработке.

Как вы помните, для освобождения от ряда GDPR обязательств контролёр должен продемонстрировать наличие публичного интереса, а также, что достижение такого интереса невозможно при соблюдении требований GDPR – в этом случае ст. 17:
 
“Публикации были предназначены только для раскрытия интересной информации «любознательным читателям», которые ищут информацию о публичных мероприятиях и о личной жизни конкретного человека.

Содержание веб-сайта не способствовало дискуссиям, имеющим социальную значимость, и не относилось к теме, представляющей публичный интерес. Человек также не был «абсолютно» публичной фигурой”. Whatever the latter means…
 
Соответственно, контролёр не был освобождён и от обязательств ст. 17 GDPR по удалению данных.
 
Интересно, что регулятор отметил нарушение защиты персональных данных и других людей: из фотографий можно было определить, какие именно человек посещал мероприятия, а также личности посетителей, которые составили ей компанию.
 
ИТОГ
 
На этот раз без штрафа, но впредь будьте осторожны: медиа компанию обязали удалить 88 фотографий из публичного доступа.

Всем хорошей недели!

________________
Источник:
Slovenian SA orders the controller to delete a collection of 88 photos according to Article 17 of the GDPR Открыть/Комментировать

2021-11-05 08:58:30 #Аналитика #аКакУнас

УКРАИНСКИЙ НАДЗОР: ОБЗОР ЗАКОНОПРОЕКТА (ЧАСТЬ 2)

Второй раздел посвящен особенностям организации деятельности Национальной комиссии (Нацком). 

Гарантии независимости

Состав Нацкома
Всего 7 членов. 
Полномочна при назначении более половины состава.
Система органов — Нацком, аппарат и территориальные отделения.

Требования к члену Нацкома
— гражданство Украины
— не младше 30 лет
— магистр права или публичного управления
— 5 лет опыта работы в сфере ЗПД и/или доступа к публичной информации (ДПИ)
— владение украинским языком и одним из оф. языков Совета Европы
— деловые и моральные качества, состояние здоровья для выполнения соответствующих служебных обязанностей

Определения того, кто не может быть членом, стандартные как для государственных служащих (недееспособность/ограниченная дееспособность, непогашенная судимость и т.д.) Также не может быть нардепом, членом избирательной комиссии, предпринимателем...

Конкурс 
Члены Нацкома назначаются на 5 лет по результатам открытого конкурса, который проводится Конкурсной комиссией. Нельзя занимать эту должность два срока подряд.

Конкурс объявляется КМУ за 3 месяца до прекращения полномочий члена Нацкома или за 14 дней в случае досрочного. Порядок и условия проведения открытого конкурса утверждаются Конкурсной комиссией.

Конкурсная комиссия
— 1 от комитета ВРУ (ЗПД)
— 1 от комитета ВРУ (ДПИ)
— 1 от Уполномоченного ВРУ по правам человека
— 2 от КМУ
— 4 предложенные общественными объединениями, которые имеют опыт в сфере ЗПД и ДПИ.

Требования к членам: магистр, безупречная деловая репутация, высокие профессиональные и моральные качества, опыт в области ЗПД и ДПИ не менее 5 лет.

Исполняют свои функции на общественных началах. Срок полномочий — 3 года.
Работу Конкурсной комиссии обеспечивает Секретариат КМУ.

Заседания открытые, голосование тайное. Решение Конкурсной комиссии считается принятым, если за него на заседании проголосовало не менее 6 членов.

Прекращение полномочий
Случаи стандартны. 
На членов Нацкома распространяется ЗУ "Про предотвращение коррупции" 

Председатель Нацкома
Избирается на 3 года из числа членов. Нельзя занимать должность два срока подряд.

Имеет право присутствовать на заседаниях ВРУ, ее комитетов, постоянных, временных специальных и временных следственных комиссий, а также участвовать с правом совещательного голоса в заседаниях КМУ, других госорганов и органов местного самоуправления при рассмотрении вопросов, связанных с формированием и реализацией политики; в сфере ЗПД и ДПИ.

Полномочия членов Нацкома перечислены в ст.12

Организация работы
Заседания не реже 1 раза в неделю и правомочны при участии не менее 5 членов. Порядок определяется регламентом.
Решения Нацкома принимаются:
— большинством от общего состава
— открытым голосованием
— для избежания разглашения тайны/конфиденциальной информации могут в совещательной комнате

Аппарат
Правовой статус госслужащих аппарата определяется ЗУ "О государственной службе" с учетом особенностей. 
Решением КМУ по представлению Нацкома могут создаваться не более 6 территориальных отделений как структурные подразделения, не имеющие статуса юр. лица.
Предельная численность госслужащих органов Нацком — 400 человек.

Служба инспекторов
Формируется из магистров права со стажем проф. деятельности не менее 5 лет. Назначаются по результатам открытого конкурса. 
Среди полномочий:
— расследования по обращениям о нарушении законодательства в сфере ЗПД и ДПИ;
— проверки контролеров, операторов и распорядителей ПИ с правом беспрепятственного доступа в их помещения, к их системам, реестрам, банкам данных и т.д.

Оплата труда
Например, председатель Нацкома будет получать не менее 95 000 гривен, член – 83 000, а инспектор – 71 000 (по прожит. мин. 2021)

Консультативный совет
Основное задание — предоставление выводов по проектам и актам. 
Состоит из 7 членов, избранных на 3 года.
Вознаграждение почасовое (5 почасовых размеров минимальной з/п)
_________
Источник:
Текст законопроекта Открыть/Комментировать

2021-11-03 08:57:52 #Аналитика

ЖУРНАЛИСТЫ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ: КОДЕКС ПОВЕДЕНИЯ ОТ ICO

Мы часто грешим обзором материалов британского регулятора.

Чего уж тут: имеют максимально прикладной характер, обосновано написаны, и в большинстве случаев в яблочко.  

Сегодня в объективе принципы по обработке персональных данных для сферы, освобождённой от ряда GDPR-обязательств: журналистика.

ICO опубликовал черновой кодекс лучших практик для публичной консультации.
 

Предыстория
 
UK закон о защите данных (DPA 2018) требует от ICO разработки нормативного кодекса практики с практическими рекомендациями для организаций и частных лиц, обрабатывающих персональные данные в журналистских целях.
 
DPA 2018 также требует, чтобы ICO разработало руководство для общественности о том, как обжаловать действия медиа-организаций по обработке.
 
 С этой целью и на основании наработок из своего гайда по журнализму 2014 года, ICO подготовил ряд действий, которые журналист обязан предпринять при обработке персональных данных.
 

Что следует учесть журналисту?

Определить, подпадают ли его действия под исключения из GDPR для журналистики;

Задокументировать основания для освобождения от GDPR обязательств;

Обеспечить информационную безопасность для персональных данных;

Соответствовать общим принципам GDPR и правовым основаниям, если не попали под освобождение.
 

От каких GDPR обязательств журналисты могут быть освобождены?

Соответствие GDPR принципам, кроме безопасности данных;

Наличие правового основания, включая обработку чувствительных данных, данных об уголовных преступлениях, согласие и согласие детей;

Соответствие правам субъектов, как право быть проинформированным, право на доступ к данным, исправление, удаление и т.д.;

Уведомление об утечке данных и предварительная консультация с ICO (ст. 36 GDPR);

Правила по международной передаче данных.
 

При каких условиях журналист может быть освобождён от вышеуказанных GDPR обязательств?

Цель обработки – журналистика;

Конечной целью является публикация данных;

Публикация несёт общественный интерес;

Соответствие требованиям защиты данных негативно повлияет на цель публикации.
 
Последний пункт - ambiguous as it is.
 

Next steps
 
ICO призывает журналистов, медиа-организации, НКО и других представителей общественности предоставить свои мнения по черновику кодекса до 10 января 2022 года.
 
Регулятор также проведет онлайн-семинары с представителями отрасли в ноябре 2021 года для обсуждения ключевых тем в коде и разработки практических инструментов/ресурсов.

Чтобы зарегистрироваться на семинар, необходимо заполнить онлайн-опрос.

_________
Источник:
Draft journalism code of practice Открыть/Комментировать