ПРО приватность | Data Privacy Office

Помогаем развивать Байнет 🤝🏻

Уже завтра, 3 декабря, наш консультант Анастасия Пархимович, CIPP/E, GDPR DPP, выступит на Internet Governance Forum 2024 🌐

IGF — это самая крупная в Беларуси открытая площадка для обсуждения актуальных аспектов развития интернета. Она собирает представителей разных секторов экономики, государства и обычных пользователей, чтобы совместными усилиями сделать Интернет лучше и безопаснее.

📝 На Форуме Анастасия расскажет слушателям о современных трендах защиты персональных данных в основных юрисдикциях.

#events

❄️ Первые зимние privacy-новости ❄️

🔹 В Австралии запретили социальные сети детям до 16 лет.
🔹 В Польше вынесли решения по трем случаям нарушения GDPR. (Кейс № 1, Кейс № 2, Кейс № 3)

#news

⚡️ Последний день Черной Пятницы ⚡️

Напомним условия:
💚 Два курса по цене одного.
💚 Бесплатный курс Awareness при покупке корпоративного обучения.

Оставляйте заявку на сайте и ловите свою возможность стать pro-экспертом выгодно 💸

Представим ситуацию:

Субъект данных запрашивает у онлайн-казино (контролера) информацию о себе в формате Excel на основании статьи 15 GDPR. Цель запроса — использовать эти данные в последующем иске о возврате средств, уплаченных за участие в азартных играх, поскольку компания не имела лицензии на соответствующую деятельность.

Контролер утверждает:

🔹 GDPR не требует предоставления информации в определенном формате.
🔹 Предоставление данных в запрашиваемом формате требует дополнительной работы персонала, чьи часы оплачиваются, даже если это не влечет за собой затрат.
🔹 Намерение субъекта данных использовать информацию в судебном процессе, не связанном с GDPR, не имеет значения для его запроса.
 
❓Какие из следующих утверждений о данной ситуации являются правильными?

1⃣ Контролер может отказать в запросе на предоставление данных в формате Excel, поскольку GDPR не указывает конкретные форматы.
2️⃣ Субъект данных может запросить информацию в определенном формате, если это не приводит к дополнительным затратам для контролера.
3️⃣ Право на запрос информации по статье 15 GDPR зависит от того, планирует ли субъект данных использовать информацию для целей, связанных с GDPR.
4️⃣ Контролер должен предоставить данные в формате на свое усмотрение, если это соответствует принципу прозрачности.

⚡️ От специалиста до pro-эксперта — одна пятница неделя⚡️

Объявляем Черную Пятницу от Data Privacy Office!

Выбирайте свои выгодные условия:
💚 Два курса по цене одного.
💚 Бесплатный курс Awareness при покупке корпоративного обучения.

📆 Акция действует с 25 по 29 ноября.

Подробные условия акции на сайте.

Сомневались, идти ли на обучение? Это ваш знак начать ⏰

#courses

💚 Время свежих privacy-новостей 💚

🔹 Подкомитет Сената США рассматривает вопрос об ответственности за мошенничество с помощью ИИ.
🔹 DPC опубликуют подробную информацию о выводах агентства по части легитимного интереса на основе дела LinkedIn.

#news

Понимаем, что осенняя хандра и тяжелая трудовая неделя могут принести неожиданные упаднические настроения…

Поэтому пришли вас поддержать мудрой цитатой! Data Privacy Office в вас верит, и вы в себя поверьте 💚

В соответствии с большинством законов о защите персональных данных, сотрудники компании — тоже субъекты данных. На них распространяются требования локальных privacy-законов. Однако в Австралии ситуация имеет свои особенности, которые мы рассмотрим подробнее.

В австралийском законодательстве существует понятие employee records exemption. Согласно ему обработка данных сотрудников не подпадает под действие Закона (Privacy Act). Тем не менее, как и у любого правила, здесь есть исключения. Закон применяется в следующих случаях:

🔹 Обработка данных происходит вне контекста прямых трудовых отношений.
🔹 Обработка касается кандидатов на должность, фрилансеров и других «внештатников».

Если разница между работником и кандидатом очевидна, то контекст прямых трудовых отношений может вызывать вопросы.

📌 Рассмотрим недавний кейс, который поможет разобраться.

На рабочем месте произошел инцидент: сотрудница столкнулась с проблемами со здоровьем, и ее госпитализировали. Руководство компании связалось с мужем сотрудницы для получения актуальной информации о ее состоянии. Затем менеджер разослал сотрудникам компании электронное письмо с информацией, что их коллега в порядке. При этом в письме были раскрыты название больницы, имя мужа и детали о состоянии здоровья сотрудницы. В общем, хотели как лучше, а получилось как всегда.

По возвращении на работу сотрудница подала внутреннюю жалобу на руководство компании. Из-за того, что жалоба не была должным образом рассмотрена, сотрудница была вынуждена обратиться с жалобой в надзорный орган (OAIC).

📌 Применяется ли employee records exemption в этом кейсе?

🔹 Один из аргументов работодателя — ссылка на employee records exemption. Мол, все происходило в рамках трудовых отношений, поэтому Закон не применим.
🔹 OAIC установил, что рассылка письма сотрудникам не была напрямую связана с трудовыми отношениями между работником и работодателем. Следовательно, исключение в данном случае не применяется.

Подробнее о том, почему все-таки OAIC посчитал данный инцидент нарушением Закона можно почитать тут.

📌 В результате сотрудница получила компенсацию в размере более 3000 долларов за причиненный моральный ущерб и расходы на психологическую помощь.

Таким образом, не любая обработка данных сотрудников подпадает под исключение employee records exemption. Это исключение следует толковать узко и рассматривать каждую обработку индивидуально.

✍🏻 Если у компании возникают вопросы относительно толкования требований, то отличным решением будет обратиться за разъяснением к локальным консультантам или напрямую к регулятору.

#opinion

В «Дорожной карте к демократическому ИИ» говорится о важности широкого общественного участия в разработке, развертывании и контроле ИИ.

Когда общество понимает, как работает ИИ, оно может сделать его более безопасным и полезным в использовании.

Мы поддерживаем эту концепцию и готовы делиться доступными знаниями об этой технологии совместно с Data Nomads Club.

📌 На воркшопе «AI Act и его влияние на компании и системы ML» обсудим:

🔹 Какие AI/ML системы затронут новые ограничения?
🔹 Какие шаги придется предпринять, чтобы соответствовать новому регулированию?
🔹 Что делать, если компания не готова следовать новым требованиям?

🗓 Дата и время: 28 ноября, 18:30 CET
🌐 Формат: онлайн

Ссылка для регистрации

#events

Делимся «Дорожной картой к демократическому ИИ» и ждем вас на ивенте 💚

📌 Делимся privacy-новостями за прошедшую неделю 📌

🔹 Meta снова перестраивает предложения по персонализированной рекламе в ЕС.
🔹 Совет CPPA утвердил правила для брокеров данных.
🔹 Национальному центру защиты персональных данных Беларуси исполнилось 3 года.

#news

Мы хотели написать что-то полезное про международную сертификацию CIPP/E…

Но поняли, что все самое важное и полезное мы уже рассказали в двух материалах раньше 🤷🏻

Вспоминаем поговорку «Все новое — это хорошо забытое старое» и отправляемся изучать:

🔹 Статья «CIPP/E: все, что вы хотели узнать о том, как сдать экзамен и стать экспертом»:

- Что такое CIPP/E?
- Для чего вам нужна эта сертификация?
- Как проходит экзамен на CIPP/E?
- Как оцениваются результаты?
- Пошаговый алгоритм подготовки к сертификации CIPP/E
- Какова цена вопроса?
- Почему CIPP/E — это только начало пути?

📚 Читать статью: здесь.

🔹 Чек-лист для подготовки к сдаче экзамена CIPP/E:

- Раздел «Topics» — все темы для изучения.
- Раздел «Progress tracking» — темы и под-темы, фиксация прогресса в обучении. Возле каждой под-темы есть чек-бокс, а возле каждой темы — трекер прогресса.

📚 Скачать чек-лист: здесь.

#tools_and_tips

Вопрос не из экзамена на получение CIPP/E, но тоже требует особого внимания ⚠️

✅ Правильный ответ — B.

Компания, расположенная в США, обрабатывает личные данные
граждан Европы и поэтому должна соблюдать GDPR. Получение информированного согласия — самое надежное правовое основание для обработки персональных данных в этом сценарии.

Информированное согласие может быть оформлено в виде Privacy Notice, в котором указываются права человека, связанные с использованием персональных данных только в указанных целях, а также информирование субъектов данных об их возможности отозвать согласие в любое время.

Уведомление должно информировать посетителя сайта об используемом программном обеспечении, включая автоматизированные системы принятия решений, профилирование и обмен персональными данными с другими получателями. В нем должны быть указаны контактные данные компании, ее представителя в ЕС и сотрудника по защите данных.

Завершающий вопрос №3

Американская интернет-компания использует ПО для отслеживания поведения в Интернете и прогнозирования будущих покупок своих европейских клиентов. Она делится этой информацией с третьими сторонами.

✅ Правильный ответ — C.

Руководящие принципы ОЭСР, Конвенция 108 и Директива о защите данных преследовали цель синхронизированного подхода к защите данных. Однако только после принятия GDPR был реализован гармоничный подход, которого не удалось достичь каждому из них.

ОЭСР создала необязательную серию руководящих принципов, которые послужили основой для многих будущих законов. Конвенция 108, договор Совета Европы, частично заимствована у ОЭСР и была доступна странам для использования с 1981 года.

В 1995 году Европейский союз принял Директиву о защите данных (Директива 95/46/EC), которая была основным европейским законом о защите данных до вступления в силу GDPR 25 мая 2018 года. Директива, в отличие от такого нормативного акта, как GDPR, требует от стран-участниц принятия собственных законов. Законодательство, которое служит версией этой директивы для страны.

Одна из целей GDPR — переход к регламенту, который представляет собой единый закон, автоматически применяющийся к странам-участницам, создавая более синхронизированный и согласованный подход к защите данных.

✅ Правильный ответ — D.

Согласно GDPR, организация должна раскрывать субъектам данных, как будут использоваться их персональные данные, и получать однозначное согласие на прямой маркетинг, если только прямой маркетинг не подпадает под действие легитимного интереса. Однако организация не обязана раскрывать субъектам данных законное основание для обработки.

Кроме того, организации должны раскрывать потребителям реальные имена и названия любых третьих лиц, с которыми будут переданы данные. Указать категории, к которым относятся эти третьи лица, недостаточно.

Шифрование должно быть взято во внимание, но не является обязательным в соответствии с GDPR. Тем не менее это является хорошей практикой для обеспечения безопасности.

Предлагаем попробовать свои силы и ответить на несколько вопросов из экзамена на международную сертификацию CIPP/E ✍🏻

Все вопросы прямиком из официальной книги для подготовки 🙂‍↕️

🎯 Закрываем хвосты своих целей на 2024 год!

Не успели поставить галочку напротив пункта «заняться самообразованием»? Не беда! У вас есть еще целых два месяца, 5 курсов и серия полезных мероприятий в офлайне (🎉) от Data Privacy Office!

Рассказываем, на что записаться в ноябре и декабре, чтобы есть новогодний салат с чистой совестью 🥗

💻 Обучающие мероприятия

1️⃣ Серия образовательных ивентов совместно с Revera Law Group

Офлайн-площадка, на которой эксперты Data Privacy Office и Revera Law Group обсудят актуальные вопросы белорусского законодательства в сфере приватности.

📍 Минск

Следите за обновлениями!

📚 Обучающие курсы

1️⃣ Курс GDPR Data Privacy Professional

Единственный курс на русском языке, который охватывает все аспекты GDPR и учит применять их на практике. GDPR — это основа для изучения privacy-законодательств других юрисдикций. Это делает его хорошим стартом для тех, кто хочет начать карьеру в сфере privacy.

Даты: 18 ноября → 13 декабря
Тренеры: Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.
Юлия Богданова, CIPP/E, CIPP/US, GDPR DPP, GDPR DPM, Strategic Privacy by Design.
Узнать подробнее: здесь.

2️⃣ Курс Global Data Privacy Manager

Этот курс — продолжение развития вашей карьеры в privacy. Он позволит закрепить базовые теоретические навыки на практике и успешно применять их в работе с собственными проектами. Этот курс для всех, кто нацелен стать востребованным Data Privacy Officer. Помимо знаний в приватности, таким специалистам нужно понимать, как управлять командой и процессами, правильно ставить и достигать цели.

Даты: 4 → 20 ноября.
Тренер: Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.
Узнать подробнее: здесь.

3️⃣ Data Privacy Technologist

Практикоориентированный курс для юристов, Data Protection Officers и других privacy-специалистов, которые хотят узнать о работе современных технологий и их особенностях в контексте обработки персональных данных.

Даты: 4 → 28 ноября.
Тренеры: Дмитрий Филатов, CIPP/E, CIPT, GDPR DPP, GDPR DPM, FIP.
Юлия Богданова, CIPP/E, CIPP/US, GDPR DPP, GDPR DPM, Strategic Privacy by Design.
Узнать подробнее: здесь.

4️⃣ AI Tools for DPO

Освойте основные ИИ-инструменты для работы с защитой персональных данных за 4 недели. На курсе — только практические навыки и опыт, без лишней теории и воды. Измените свой подход к защите данных, повысьте производительность и свою ценность на рабочем месте.

⚠️ Важно: курс проходит на английском языке.

Даты: 4 → 20 декабря
Тренер: Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office.
Узнать подробнее: здесь.

5️⃣ CIPP/E Coaching

Курс по подготовке к сдаче экзамена на международную сертификацию CIPP/E. Во время коучинга вы обобщите весь необходимый материал, заполните пробелы в знаниях и отработаете навык решения типовых тестов.

Даты: 18 Ноября 2024 → 30 Января 2025
Тренер: Ксения Лапутько, CIPP/E, CIPP/US, CIPP/C, CIPP/A, AIGP.

Stay tuned ✍🏻

#courses #events

📎 5 privacy-лайфхаков для вашего продукта

📌 Не используйте реальные персональные данные как внутренний идентификатор в системе.

Используете номер телефона или адрес электронной почты в качестве идентификатора в своей системе? Вам будет сложно выполнить положения GDPR о праве на удаление (статья 17 GDPR) и праве на возражение (статья 21 GDPR). Вместо этого следует генерировать уникальный внутренний идентификатор для каждого пользователя. Когда пользователь попросит «забыть» о нем, вы сможете удалить его идентифицирующую информацию: номер телефона и адрес электронной почты — и сохранить внутренний идентификатор пользователя.

📌 ПО должно быть дружественным к приватности по умолчанию.

Все конфигурации в системе можно описать, ответив на два вопроса:

🔹 Может ли пользователь изменить конфигурацию?
🔹 Выбрана ли настройка по умолчанию?

Вместо того чтобы использовать предварительно отмеченный флажок для подписки на рассылку, спросите пользователей: хотят ли они подписаться на нее? Такой подход в большей степени соответствует GDPR. К тому же потенциально это может увеличить конверсию: на подписку будут соглашаться те, кому действительно интересно ваше предложение.

📌 При сборе телефонных номеров из книг контактов пользователей используйте хэш-функцию для преобразования телефонного номера.

Чтобы пользователю было проще найти знакомых в приложении, он может дать разрешение на использование списка контактов. Однако загружать необработанные телефонные номера из контактов пользователей рискованно. В этом случае обрабатываются данные людей, которые могут не знать о сервисе. Вместо того чтобы загружать сам номер телефона, следует преобразовывать номер телефона в хэш. Пользователи все еще получают удобную функцию, а вы — пунктик на пути в комплаенсу.

📌 Сделайте свою политику приватности ясной, краткой и понятной.

Напишите ее так, как будто объясняете другу своими словами. Структурируйте, используйте списки, эмоджи, таблицы, изображения, сравнения — все, что поможет легче воспринимать информацию пользователям. Постарайтесь избегать генераторов политик приватности: они могут не учитывать особенности вашей деятельности и постоянно обновляющиеся операции по обработке данных.

📌 Обучите своих сотрудников защите данных.

Все просто: предупрежден — значит, вооружен.

До комплаенса вашего продукта — один шаг. Команда Data Privacy Office готова помочь его сделать 💚

#consulting

Когда мы говорим о защите персональных данных, один из ключевых принципов — это конфиденциальность. Ведь, если кто-то получит несанкционированный доступ к персональным данным, пострадают и другие важные принципы: ограничение целью, точность и ограничение хранения.

Чтобы обеспечить безопасность данных, особенно внутри компании, важно правильно настроить управление доступами с помощью процессов идентификации, аутентификации и авторизации.

📌 Что означают эти процессы?

🔹 Идентификация — это процесс определения, кто пытается получить доступ. Например, ввод логина или электронной почты.
🔹 Аутентификация — проверка, что пользователь действительно тот, за кого себя выдает. Это может быть ввод пароля или кода.
🔹 Авторизация — предоставление доступа к конкретным ресурсам на основе прав, если идентификация и аутентификация были успешны.

Пример: вы заходите на сайт Google.

1️⃣ Идентификация: Google просит вас ввести логин.
2️⃣ Аутентификация: Вы вводите пароль. Если он верный, система понимает, что это действительно вы.
3️⃣ Двухфакторная аутентификация: Дополнительно вводите одноразовый код из SMS или приложения для большей безопасности.
4️⃣ Авторизация: После успешных проверок вам открывается доступ к вашим данным.

Здесь каждый шаг важен: идентификация без аутентификации не защитит данные, а авторизация без проверок позволяет доступ даже посторонним.

📌 Реальные последствия нарушений

Нарушения в этих процессах могут привести к штрафам. Например, в 2022 году Discord был оштрафован на 800,000 евро французским надзорным органом. Одной из причин стало то, что пользователи могли устанавливать слабые пароли, состоящие всего из 6 букв и цифр. А это — серьёзный риск для безопасности данных.

Уже в этот понедельник стартует обновленная версия курса Data Privacy Technologist, на котором мы рассмотрим:

🔹 Что может выступать идентификатором в цифровом мире
🔹 Какие бывают факторы аутентификации и когда MFA не такая уж и MFA
🔹 Какие существуют модели управления доступом и в каких случаях они применяются
🔹 И многое другое про приватность в технологиях

Присоединяйтесь, чтобы погрузиться в мир технологий и научиться видеть обработку персональных данных под другим углом.

#courses

Разбавляем осеннюю хандру приятными переменами!

Мы изменили аватарку нашего канала, не теряйте 👀

Channel photo updated

✍🏻 Списывание, которое мы заслужили

Вечно всем повторяем:
«Не списывайте privacy-документы у конкурентов!»

А сами взяли и списали, но не политику приватности, а программу курса Data Privacy Technologist. Взяли и переписали прямиком из текста GDPR.

🏆 Только для того, чтобы после курса вы действовали по схеме:

Пришел, увидел, защитил. Никаких лишних действий.

В тексте GDPR не говорится о всех конкретных технических и организационных мерах для защиты персональных данных. Они должны обеспечивать уровень безопасности, который соответствует риску.

В статье 32 GDPR не перечислены конкретные требования к этим мерам. Однако в ней перечислены примеры возможных мер:

🔹 псевдонимизация и шифрование персональных данных.
🔹 способность обеспечить постоянную приватность, целостность, доступность и устойчивость систем и служб обработки.
🔹 способность своевременно восстанавливать доступность и доступ к персональным данным в случае физического или технического инцидента.
🔹 процесс регулярного тестирования, анализа и оценки эффективности технических и организационных мер по обеспечению безопасности обработки.

Также статья 32 гласит, что следует учитывать принципы Privacy by Design и Privacy by Default.

✍🏻 По каждому пункту у нас есть, что сказать. На курсе:

🔹 Рассматриваем криптографические алгоритмы: шифрование, хеширование, цифровая подпись — и алгоритмы анонимизации.
🔹 Рассказываем, как обезопасить данных со всех сторон: рабочие станции, резервное копирование, безопасный обмен.
🔹 Рассчитываем риски различных систем и учимся ими управлять.
🔹 Анализируем эффективность системы защиты персональных данных: качественно и количественно измеряем риски.
🔹 Углубляемся в принцип Privacy by Design в отдельном блоке курса.

Подробнее о курсе по ссылке.

#courses

Островок стабильности в этом изменчивом мире — privacy-новости по понедельникам ☕️

1. Законопроект об использовании и доступе к данным в Великобритании.
2. Ирландская комиссия по защите данных оштрафовала LinkedIn Ireland на 310 миллионов евро.

#news

Кейс № 4 ⚡️

Особенность этого кейса: клиент попросил провести мини-аудит компании-конкурента. Мы проанализировали их Privacy Notice, Cookie banner&policy, формы на сайте, и составили список недочетов.

📌 Клиент

Fintech-платформа, направленная на B2B.

📌 Задача

1. Выйти на рынок ЕС без нарушения законодательства.
2. Продемонстрировать клиентам соответствие и получить конкурентное преимущество перед аналогичными сервисами.

📌 Результат

- Внутренняя политика по защите персональных данных на двух языках.
- Тренинг по внутренней политике на двух языках.
- Политика по информационной безопасности на двух языках.
- Тренинг по политике информационной безопасности на двух языках.
- Ревью публичной оферты и рекомендации по изменениям с точки зрения защиты персональных данных.
- Разработка политики приватности для сайта.
- Рекомендации по новому cookie-баннеру.
- Cookie policy для сайта.
- GDPR Compliance Statement с мерами для соответствия законам о защите персональных данных.
- Joint Controllership Arrangement между группой компаний (Испания, США, РФ, Польша) + SCC, так как есть трансграничная передача.

📌 Срок реализации проекта

1 месяц.

Предыдущий пост с описанием кейса здесь.

✍🏻 Мы можем реализовать и ваш проект по достижению комплаенса в компании. Узнать больше о наших консалтинговых услугах — на нашем сайте.

#consulting

Этот вопрос — не просто пример. Это — реальный дискуссионный вопрос, который активно обсуждается в среде privacy-специалистов.

📌 До недавнего времени ответом на него было
скорее «нет». Такой позиции, в частности, придерживался голландский надзорный орган (Autoriteit Persoonsgegevens, далее — DPA). Он строго и ограниченно толковал это
правовое основание и условия его применения (например: case VoetbalTV).

Одно из последних решений DPA также основывалось на этой позиции. Оператор — Королевская Федерация Тенниса — был оштрафован на 525 000 евро за то, что передавал данные своих членов спонсорам (получая за это спонсорские выплаты), не взяв согласие субъектов и полагаясь на законный интерес. Не согласившись с выводами надзорного органа, оператор обратился в суд. Он в свою очередь обратился за толкованием законного интереса в Европейский суд (CJEU).

📌 Европейский суд не дал комментариев по существу спора, но изложил свою позицию. Согласно ей законный интерес не обязательно должен быть закреплен в законе, и коммерческие интересы действительно могут квалифицироваться как законные, при условии соблюдения всех других обязательств по защите данных.

В частности, Суд обозначил три условия, которые должны быть удовлетворены для того, чтобы обработка данных на основе законного интереса была законной. Эти условия:

🔹 Преследование законного интереса контролером или третьей стороной.
🔹 Обработка данных должна быть необходима для преследуемого законного интереса. Это означает, что его нельзя достичь так же эффективно другими, менее
интрузивными средствами
🔹 Интересы или фундаментальные свободы и права субъекта данных не должны преобладать над законным интересом контролера или третьей стороны (баланс прав).

📌 Таким образом, обработка данных исключительно в коммерческих целях может
основываться на легитимном интересе при соблюдении ряда условий.

Данное широкое толкование законного интереса еще не стало общей практикой
(решение предварительное). Тем не менее оно предоставляет бизнесу удобный инструмент для обработки данных в коммерческих целях.

✍🏻 В дополнение к комментарию также напомним: сейчас на стадии публичных обсуждений находится Руководство EDPB о том, как применять легитимный интерес. Ознакомиться с разрабатываемым документом можно по ссылке.

Автор: Владислав Варт, GDPR DPP, CIPP/E.

#opinion

Одно из удобных и часто используемых правовых оснований — законный
(легитимный) интерес (legitimate interest). Это правовое
основание позволяет не брать согласие. При этом — заставляет контролера
задуматься о правах и свободах субъектов с помощью balancing test.

📌 Однако сложность с
законным интересом состоит в том, что правовые границы этого основания непонятны. Операторам не всегда очевидно, можно ли для данной цели использовать законный интерес.

Если вы любите раскладывать все по полочкам и вести подробные списки дел, вы не просто педантичный человек. Возможно, вы не реализовали свой потенциал менеджера 🧐

Команда Data Privacy Office — такие же сторонники систематизации. В этот раз мы собрали свой опыт управления проектами в privacy и сделали из него справочник.

📌 В нем вы найдете:

🔹 Роли DPO в компании.
🔹 Пошаговый план организации системы защиты персональных данных от получения поддержки руководства до контроля.
🔹 Этапы работы над проектами по защите персональных данных.
🔹 Инструменты, которые упрощают работу DPO.
🔹 Советы по организации проектов в сфере защиты персональных данных.
🔹 Различия между проектами и процессами в сфере privacy.
🔹 Полезные материалы по теме.

Справочник можно использовать как опорный план при ведении проектов или как документ для онбординга privacy-специалистов.

🔥 Получить доступ к справочнику — по ссылке.

Больше о менеджменте в privacy — на курсе Global Data Privacy Manager.

#tool_and_tips

👀 Время свежих privacy-новостей 👀

🔹 ICO оштрафовали две компании, занимающиеся управлением финансами и долгами, за рассылку более 7,5 млн спам-сообщений людям.
🔹 ICO приняли меры против United Utilities в связи с нарушением прозрачности.
🔹 FTC добавляет право на удаление в соглашение по кибербезопасности.

#news

📎 Ценная возможность для privacy-экспертов

Eurasian Data Protection Congress 2024

📌 В рамках конгресса:

- более 50 спикеров,
- более 15 дискуссий.


Даты: 24 и 25 октября 2024 года.
Место: онлайн, запись и трансляции в YouTube и ВК.
Стоимость: бесплатно.

📌 Подробная информация — EDPC.NETWORK.

#events

🧐 Что интересного на международном рынке труда в сфере privacy?

Полистали ленту вакансий за вас и рассказываем, чего ждут компании от потенциальных сотрудников.

🔹 Выявление и управление рисками, связанными с защитой данных.
🔹 Разработка и внедрение системы защиты данных для обеспечения соответствия GDPR.
🔹 Создание и ведение реестра правовых оснований. Разработка карт потоков данных.
🔹 Знание законов и практики защиты данных, включая глубокое понимание GDPR.
🔹 Сильные навыки управления проектами.
🔹 Способность безопасно работать с чувствительной и конфиденциальной информацией.
🔹 Поддержание связи с Секцией управления информацией и технологиями (СУИТ) и техническими координаторами по каждой такой системе.
🔹 Заинтересованность в тенденциях и изменениях в области защиты данных и передового опыта в сфере приватности.
🔹 Консультация и поддержка при проведении DPIA.
🔹 Определение технических и организационных мер защиты, которые необходимо применить для снижения любых рисков для прав и интересов субъектов данных.
🔹 Управление разработкой процедур по управлению нарушениями данных, включая уведомления субъектов данных.
🔹 Сотрудничество с Управлением информационно-коммуникационных технологий (УИКТ) по вопросам управления нарушениями данных в информационных системах.
🔹 Реализации стратегий «Privacy by Default» и «Privacy by Design».
🔹 Экспертные знания в области защиты данных, информационной безопасности, уведомлений о нарушениях, политик и процедур в области приватности данных в соответствии с применимыми законами.
🔹 Глубокое знание законов/положений применимых законов, положений об уведомлении о нарушении приватности данных и знакомство с положениями об искусственном интеллекте.
🔹 Предыдущий опыт работы в юридической фирме в области защиты приватности/ИИ/уведомления о нарушениях/кибербезопасности, предотвращения потери данных.

Итак, выводим формулу идеального Data Protection Officer 👤

- Управляет командой
- Знает, как внедрить комплексную систему защиты персональных данных.
- Работает со всеми документами и процессами: политики, уведомления субъектов, коммуникация с надзорными органами, проведение DPIA.
- Работает с технологиями и информационной безопасностью.
- Имеет опыт работы с ИИ в контексте приватности.

📌 Подробные требования в вакансиях:
- https://www.linkedin.com/jobs/view/4051932854
- https://www.linkedin.com/jobs/view/4034498819
- https://www.linkedin.com/jobs/view/4028790173
- https://www.linkedin.com/jobs/view/4039200683
- https://www.linkedin.com/jobs/view/4025975372

#tools_and_tips

⚡️ Новый подкаст от Data Privacy Office ⚡️

Глубже погрузиться в тему privacy теперь можно с помощью подкаста «Deep Dive into Privacy».

Однако этот подкаст имеет одну особенность. Все как обычно — максимально технологично 🤌🏻

Этот подкаст ведется ИИ-консультантами и тщательно редактируется Сергеем Воронкевичем. Только достоверная информация и никакой воды.

Сергей Воронкевич, CIPP/E, CIPM, CIPT, MBA, FIP, основатель Data Privacy Office Europe, — автор и преподаватель курса AI Tools for DPO, а также создатель сервисов APPlicability и gdpr-text.com. Успешный опыт этих проектов доказывает: опыта и компетенций Сергея хватает, чтобы действительно полезные и надежные сервисы

🎙 Уже в эфире:

- обзор книги «Манифест инженера по защите персональных данных»,
- разбор нового руководства по легитимному интересу,
- аудиорецензия на Opinion EDPB 22/2024,
- кейс Fashion ID,
- и еще 6 выпусков о разных аспектах приватности.

Важно: подкаст выходит только на английском языке.

📌 Присоединяйтесь:

Telegram
Castbox
Spotify
Apple Podcast
Amazon Music
iHeartRadio

#podcast

Могу, умею, практикую!

Сможете сказать вы на любой из пунктов опроса после курса Global Data Privacy Manager.

В карточке собрали все, что вы получите во время обучения:

🔹 содержание курса,
🔹 основные навыки,
🔹 карьерные возможности.

Такую карточку и в LinkedIn выложить не стыдно вместо базового баннера о прохождении обучения! 🕶

#courses

💾 Персональные данные — это прежде всего данные.

В цифровом мире все данные так или иначе являются наборами 0 и 1. Но где и как эти 0 и 1 хранятся перед тем, как становятся информацией у нас на экране?

Есть множество способов хранить данные в цифровом виде. У каждого из них есть свои особенности, преимущества и недостатки.

HDD (hard disk drive) могут предложить большой объем памяти по относительно низкой цене. При этом они более медленные, чем SSD (Solid State Drive), и чувствительны к физическим повреждениям.

Также существуют файловые системы, которые по-разному организуют хранение на цифровых носителях. При этом, например, файловая система exFAT обеспечивает широкую совместимость с различными операционными системами (Mac OS, Windows, Linux), но не поддерживает сложные права доступа и шифрование.

📌 При организации обработки персональных данных DPO должен уметь оценивать в том числе и средства, которые обрабатывают эти данные. Это поможет выстроить процессы соответствующим образом. Для этого нужно знать: какие существуют типы памяти, в каких случаях они используются и какие риски могут возникнуть.

Больше о мире технологий в приватности вы можете узнать на обновленном курсе Data Privacy Technologist. Старт уже 4 ноября ⏰

#technologies

Не так давно мы делились статьей о социальной инженерии. Однако знания об этой проблеме не поместятся в один текст.

Чтобы сократить вероятность фишинговых инцидентов в компании в 20-30 раз, советуем посетить мероприятие от StopPhish.

📌 О чём узнаете на ивенте:

🔹 Фишинг нового поколения — Мошенники становятся умнее, и вы должны быть на шаг впереди.
🔹 Секреты защиты, которые вы ещё не пробовали — Как StopPhish помогли сократить фишинговые атаки в десятки раз.
🔹 8 бесплатных инструментов для моментальной защиты — Получите список сервисов, которые помогут закрыть уязвимости.
🔹 5 онлайн-сервисов, которые предотвратят атаки до их начала — Действуйте на опережение!

📌 Спикеры

🔹 Юрий Другач, сооснователь StopPhish, эксперт по уязвимостям в крупных компаниях.
🔹 Алишер Джураев, исследователь социальной инженерии в StopPhish.

После вебинара вы получите 13 полезных материалов и сервисов, которые улучшат безопасность в вашей компании.

📌 Подробная информация по ссылке.

#events

📌 Время privacy-новостей 📌

🔹 EDPB выпускает проект руководства по легитимному интересу и мнение о процессорах.
🔹 Судимость и условный тюремный срок бывшим сотрудникам RAC за кражу личных данных.
🔹 ICO оштрафовали две компании на 120 тысяч фунтов стерлингов за агрессивные маркетинговые кампании.

#news