Cost_of_a_Data_Breach_Report_2022_IBM_1659042816.pdf
3.4 MB
#materials #privacy #databreach
И завершаю сегодняшнюю кофеинную ддос атаку интереснейшим отчетом отIBM - Cost of Data Breach Report 2022
И завершаю сегодняшнюю кофеинную ддос атаку интереснейшим отчетом от
#PrivacyNews
А вот и подборка новостей от Олега Блинова, на английском.
🔸 Baden-Württemberg: Public Procurement Chamber finds possibility of data access by third country contrary to GDPR.
The Public Procurement Chamber of Baden-Württemberg decided it is an infringement upon Chapter V if there is even a possibility that the US parent of a EU subsidiary providing cloud services may access data. Crazy and adding to operational risk of use of AWS, Azure and others.
🔸 Geolocation of rental vehicles: UBEEQO INTERNATIONAL fined 175,000 euros.
The CNIL carried out investigations on the company UBEEQO INTERNATIONAL, which rents vehicles for a short period. The company collected data relating to the geolocation of the rented vehicle every 500 meters. Breaches:
— minimisation: CNIL decided that the purposes of the company (maintenance and performance of the service, location in case of theft, assistance to customers) do not justify collection of geolocation. Impact: just higher uncertainty when approving business activities.
— retention: 3 years storage is too much. CNIL also took issue with the fact that the company stored data of people who had been inactive for more than eight years. Impact: storage period are consistently capped at below 3 years; regulators regularly state that inactive users should be booted.
— transparency: not entirely clear what the CNIL did not like.
🔸 900,000 euro fine against credit institution for profiling for advertising purposes.
A bank analyzed data of active and former customers (total volume of purchases in app stores, the frequency of use of statement printers, and the total amount of transfers). Results of the analysis were compared with a credit agency and enriched from there. The aim was to identify customers with a greater propensity for digital media and to address them more effectively. The DPA was extremely clear that LI cannot be relied upon for profiling, as people do not have an expectation that data controllers will use data files on a large scale to identify their inclination toward certain product categories or communication channels.
Impact: very straight-forward ban on reliance on LI for creating ads profiles and optimization based on user actions and attributes.
А вот и подборка новостей от Олега Блинова, на английском.
🔸 Baden-Württemberg: Public Procurement Chamber finds possibility of data access by third country contrary to GDPR.
The Public Procurement Chamber of Baden-Württemberg decided it is an infringement upon Chapter V if there is even a possibility that the US parent of a EU subsidiary providing cloud services may access data. Crazy and adding to operational risk of use of AWS, Azure and others.
🔸 Geolocation of rental vehicles: UBEEQO INTERNATIONAL fined 175,000 euros.
The CNIL carried out investigations on the company UBEEQO INTERNATIONAL, which rents vehicles for a short period. The company collected data relating to the geolocation of the rented vehicle every 500 meters. Breaches:
— minimisation: CNIL decided that the purposes of the company (maintenance and performance of the service, location in case of theft, assistance to customers) do not justify collection of geolocation. Impact: just higher uncertainty when approving business activities.
— retention: 3 years storage is too much. CNIL also took issue with the fact that the company stored data of people who had been inactive for more than eight years. Impact: storage period are consistently capped at below 3 years; regulators regularly state that inactive users should be booted.
— transparency: not entirely clear what the CNIL did not like.
🔸 900,000 euro fine against credit institution for profiling for advertising purposes.
A bank analyzed data of active and former customers (total volume of purchases in app stores, the frequency of use of statement printers, and the total amount of transfers). Results of the analysis were compared with a credit agency and enriched from there. The aim was to identify customers with a greater propensity for digital media and to address them more effectively. The DPA was extremely clear that LI cannot be relied upon for profiling, as people do not have an expectation that data controllers will use data files on a large scale to identify their inclination toward certain product categories or communication channels.
Impact: very straight-forward ban on reliance on LI for creating ads profiles and optimization based on user actions and attributes.
DataGuidance
Baden-Württemberg: Public Procurement Chamber finds possibility of
The Public Procurement Chamber of Baden-Württemberg issued, on 13 July 2022, a decision regarding the question of whether it is unlawful that US providers of digital servers and/or cloud services can
#events #cybersecurity
Когда: 11 августа 2022 года в 10:00 по МСК
Где: онлайн
Тема: «Указ Президента РФ №250»
Спикер: Юрий Баранов — Специалист по обнаружению компьютерных атак и инцидентов Центра мониторинга информационной безопасности
Организатор: Астрал.Безопасность
Стоимость: бесплатно
Регистрация: здесь
Когда: 11 августа 2022 года в 10:00 по МСК
Где: онлайн
Тема: «Указ Президента РФ №250»
Спикер: Юрий Баранов — Специалист по обнаружению компьютерных атак и инцидентов Центра мониторинга информационной безопасности
Организатор: Астрал.Безопасность
Стоимость: бесплатно
Регистрация: здесь
#events #privacy
Когда: 11 августа в 10:00 по МСК
Где: вебинар.ру
Тема: «Обзор изменений 152-ФЗ»
Спикеры:
▫️Екатерина Басниева и Роман Мартинсон, Старшие консультанты Кэпт, Группа по оказанию услуг в области кибербезопасности
и цифровой криминалистики
▫️Валерий Комаров, независимый эксперт, автор блога «Рупор бумажной безопасности»
Организатор: Kept
Стоимость: бесплатно, только для внутренних специалистов
Регистрация: здесь до 10 августа
💬Программа:
10:00 - 10:10 — Вступительное слово, Илья Шаленков, Кристина Боровикова, Cybersecurity и Privacy, Kept
10:10 - 11:00 — Основные изменения в 152-ФЗ и сроки вступления в силу и практические аспекты изменений для бизнеса, Екатерина Басниева, Роман Мартинсон, Cybersecurity и Privacy, Kept
11:00 - 11:15 — Порядок и схема взаимодействия субъектов КИИ с ГосСОПКА, Комаров Валерий, независимый эксперт
11:15 - 11:30 — Дискуссия, все спикеры
Когда: 11 августа в 10:00 по МСК
Где: вебинар.ру
Тема: «Обзор изменений 152-ФЗ»
Спикеры:
▫️Екатерина Басниева и Роман Мартинсон, Старшие консультанты Кэпт, Группа по оказанию услуг в области кибербезопасности
и цифровой криминалистики
▫️Валерий Комаров, независимый эксперт, автор блога «Рупор бумажной безопасности»
Организатор: Kept
Стоимость: бесплатно, только для внутренних специалистов
Регистрация: здесь до 10 августа
💬Программа:
10:00 - 10:10 — Вступительное слово, Илья Шаленков, Кристина Боровикова, Cybersecurity и Privacy, Kept
10:10 - 11:00 — Основные изменения в 152-ФЗ и сроки вступления в силу и практические аспекты изменений для бизнеса, Екатерина Басниева, Роман Мартинсон, Cybersecurity и Privacy, Kept
11:00 - 11:15 — Порядок и схема взаимодействия субъектов КИИ с ГосСОПКА, Комаров Валерий, независимый эксперт
11:15 - 11:30 — Дискуссия, все спикеры
Mts-link.ru
Вебинар Kept c обзором изменений 152-ФЗ
Глобальным трендом последних лет является ужесточение законодательства в области обработки и защиты персональных данных. Российское законодательство о персональных данных в этом отношении также не является исключением. Так, 14 июля 2022 года с целью дополнительной…
#events #privacy
Когда: 9 августа в 12:00 (МСК)
Где: онлайн
Тема: Реформа закона о персональных данных: как подготовиться?
Спикеры: Максим Лагутин, исполнительный директор и сооснователь Б-152, Максим Зиновьев, эксперт-методист отдела по защите персональных данных Б-152, CIPP/E
Организатор: Б-152
Язык: русский
Стоимость: бесплатно
Регистрация: здесь
Когда: 9 августа в 12:00 (МСК)
Где: онлайн
Тема: Реформа закона о персональных данных: как подготовиться?
Спикеры: Максим Лагутин, исполнительный директор и сооснователь Б-152, Максим Зиновьев, эксперт-методист отдела по защите персональных данных Б-152, CIPP/E
Организатор: Б-152
Язык: русский
Стоимость: бесплатно
Регистрация: здесь
Denis_Sadovnikov_IV_Data_protection_Authorities.pdf
15.6 MB
#materials #privacy
Data Protection Supervising Authorities.
Liability for infringements of data protection law
💬Источник: Денис Садовников
Data Protection Supervising Authorities.
Liability for infringements of data protection law
💬Источник: Денис Садовников
#materials #fines #privacy
С просторов Linkedin - калькулятор рассчета стартовой суммы штрафов за нарушения GDPR - DeFine, учитывающий, в тч EDPB методологию.
💬Источник: Екатерина Калугина
С просторов Linkedin - калькулятор рассчета стартовой суммы штрафов за нарушения GDPR - DeFine, учитывающий, в тч EDPB методологию.
💬Источник: Екатерина Калугина
Khlaw
DeFine | Keller and Heckman
What is DeFine? DeFine is a translation into a calculator of part of the methodology proposed by the European Data Protection Board to calculate GDPR fines (see EDPB, Guidelines 04/2022 on the calculation of administrative fines under the GDPR, 12 May 2022…
#materials #special #privacy
Стоит обратить внимание на решение CJEU, содержащее в себе в том числе трактовку определения спец категории ПД.
▫️Article 9(1) of the GDPR provides that, inter alia, processing of personal data ‘revealing’ racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of data ‘concerning’ health or data ‘concerning’ a natural person’s sex life or sexual orientation, are to be prohibited.
▫️The verb ‘reveal’ is consistent with the taking into account of processing not only of inherently sensitive data, but also of data revealing information of that nature indirectly, following an intellectual operation involving deduction or cross-referencing, the preposition ‘concerning’ seems, on the other hand, to signify the existence of a more direct and immediate link between the processing and the data concerned, viewed inherently.
▫️Those provisions cannot be interpreted as meaning that the processing of personal data that are liable indirectly to reveal sensitive information concerning a natural person is excluded from the strengthened protection regime prescribed by those provisions, if the effectiveness of that regime and the protection of the fundamental rights and freedoms of natural persons that it is intended to ensure are not to be compromised.
Article 9(1) of the GDPR must be interpreted as meaning that the publication of personal data that are liable to disclose indirectly the sexual orientation of a natural person constitutes processing of special categories of personal data, for the purpose of those provisions.
💬Источник: Денис Садовников
Стоит обратить внимание на решение CJEU, содержащее в себе в том числе трактовку определения спец категории ПД.
▫️Article 9(1) of the GDPR provides that, inter alia, processing of personal data ‘revealing’ racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of data ‘concerning’ health or data ‘concerning’ a natural person’s sex life or sexual orientation, are to be prohibited.
▫️The verb ‘reveal’ is consistent with the taking into account of processing not only of inherently sensitive data, but also of data revealing information of that nature indirectly, following an intellectual operation involving deduction or cross-referencing, the preposition ‘concerning’ seems, on the other hand, to signify the existence of a more direct and immediate link between the processing and the data concerned, viewed inherently.
▫️Those provisions cannot be interpreted as meaning that the processing of personal data that are liable indirectly to reveal sensitive information concerning a natural person is excluded from the strengthened protection regime prescribed by those provisions, if the effectiveness of that regime and the protection of the fundamental rights and freedoms of natural persons that it is intended to ensure are not to be compromised.
Article 9(1) of the GDPR must be interpreted as meaning that the publication of personal data that are liable to disclose indirectly the sexual orientation of a natural person constitutes processing of special categories of personal data, for the purpose of those provisions.
💬Источник: Денис Садовников
Rosenthal-LA-method-FAQ.pdf
3.1 MB
#materials #privacy
Ответы на вопросы по статистическому методу расчета рисков доступа представителей ин власти к данным от Розенталя
💬Источник: Олег Блинов
Ответы на вопросы по статистическому методу расчета рисков доступа представителей ин власти к данным от Розенталя
💬Источник: Олег Блинов
#НеДляГалочки #podcast
🎙Реформа закона о персональных данных 2022 — как жить с новыми требованиями?
14 июля 2022 года был принят Федеральный закон № 266-ФЗ, которым внесены существенные изменения в Закон о персональных данных (№ 152-ФЗ). В этом выпуске обсуждаем самые горячие и сложные вопросы в связи с изменениями:
🔥 Экстерриториальное действие закона: как иностранные компании будут исполнять его требования [2:00]
🔥 Трансграничная передача: новые правила об уведомлении РКН и проверке контрагента [16:10]
🔥 Уведомления об утечках: будет ли работать новый порядок на практике [40:18]
🔥 ГосСОПКА: что это такое и надо ли всем туда подключаться [54:05]
Ведущие выпуска:
🤩 Приглашенная privacy-звезда — Алексей Мунтян, со-основатель RPPA, фаундер фирмы Privacy Advocates
Ирина Шурмина, SEAMLESS Legal (ex-CMS)
Кристина Боровикова, со-основатель RPPA, Kept
Ксения Андреева, Morgan Lewis
Елизавета Дмитриева, data privacy engineer в российском инхаусе
🧸Благодарим всех за поддержку и призываем писать нам отзывы, пожелания и предложения!
Apple | Yandex
🎙Реформа закона о персональных данных 2022 — как жить с новыми требованиями?
14 июля 2022 года был принят Федеральный закон № 266-ФЗ, которым внесены существенные изменения в Закон о персональных данных (№ 152-ФЗ). В этом выпуске обсуждаем самые горячие и сложные вопросы в связи с изменениями:
🔥 Экстерриториальное действие закона: как иностранные компании будут исполнять его требования [2:00]
🔥 Трансграничная передача: новые правила об уведомлении РКН и проверке контрагента [16:10]
🔥 Уведомления об утечках: будет ли работать новый порядок на практике [40:18]
🔥 ГосСОПКА: что это такое и надо ли всем туда подключаться [54:05]
Ведущие выпуска:
🤩 Приглашенная privacy-звезда — Алексей Мунтян, со-основатель RPPA, фаундер фирмы Privacy Advocates
Ирина Шурмина, SEAMLESS Legal (ex-CMS)
Кристина Боровикова, со-основатель RPPA, Kept
Ксения Андреева, Morgan Lewis
Елизавета Дмитриева, data privacy engineer в российском инхаусе
🧸Благодарим всех за поддержку и призываем писать нам отзывы, пожелания и предложения!
Apple | Yandex
Apple Podcasts
«Не для галочки - подкаст о приватности»: «Реформа закона о персональных данных 2022 — как жить с новыми требованиями?» в Apple Podcasts
Шоу «Не для галочки - подкаст о приватности», выпуск «Реформа закона о персональных данных 2022 — как жить с новыми требованиями?» от 5 авг. 2022 г.
Privacy GDPR Russia pinned «#НеДляГалочки #podcast 🎙Реформа закона о персональных данных 2022 — как жить с новыми требованиями? 14 июля 2022 года был принят Федеральный закон № 266-ФЗ, которым внесены существенные изменения в Закон о персональных данных (№ 152-ФЗ). В этом выпуске…»
Forwarded from Privacy Advocates (Alexey Muntyan)
This media is not supported in your browser
VIEW IN TELEGRAM
Реформа 152-ФЗ "О персональных данных" за 33 секунды =)
Спасибо, @ShirmanV!
Спасибо, @ShirmanV!
#materials #privacy
Статья Персональные данные. Ответы на вопросы работодателей и примеры формулировок для договора.
💬Авторы: Марина Юфа, Владислав Симоненко
Только для членов RPPA.ru
ПРИСОЕДИНИТЬСЯ
Статья Персональные данные. Ответы на вопросы работодателей и примеры формулировок для договора.
💬Авторы: Марина Юфа, Владислав Симоненко
Только для членов RPPA.ru
ПРИСОЕДИНИТЬСЯ
#events #privacy
Когда: 18 августа в 12:00 (МСК)
Где: онлайн
Тема: Комплаенс соответствия 152-ФЗ. Как проверять информационную безопасность контрагентов с 1 сентября 2022?
Спикеры: Максим Лагутин, ведущий эксперт по защите ПДн и сооснователь Б-152
Организатор: Б-152
Язык: русский
Стоимость: бесплатно
Регистрация: здесь
Когда: 18 августа в 12:00 (МСК)
Где: онлайн
Тема: Комплаенс соответствия 152-ФЗ. Как проверять информационную безопасность контрагентов с 1 сентября 2022?
Спикеры: Максим Лагутин, ведущий эксперт по защите ПДн и сооснователь Б-152
Организатор: Б-152
Язык: русский
Стоимость: бесплатно
Регистрация: здесь
#PrivacyNews
Свежачок от Олега Блинова
🔸 Facebook avoids a service shutdown in Europe for now (https://techcrunch.com/2022/08/11/facebook-europe-shut-down-delay/)
As was probably predictable, the Irish regulator received objections to their intention to shutdown FB for transfer of data to the US. It is likely that the internal discussions and dispute resolutions will take months and months.
🔸France: CNIL proposes €60M fine against Criteo for non-compliance with GDPR (https://www.dataguidance.com/news/france-cnil-proposes-60m-fine-against-criteo-non)
Very little is actually clear from the news. From my short review of the 2018 complaint of an activist group, it seems the applicant (and later CNIL) allege that AdTech data brokerage should rely on consent due to cross-tracking. Relevant for fb and TCF-based data sharing.
🔸 EU: NOYB lodges 226 complaints against websites’ cookie banner settings (https://www.dataguidance.com/news/eu-noyb-lodges-226-complaints-against-websites-cookie)
Another case of NOYB activism.
🔸 IP (Slovenia) - 0612-23/2019/19 (https://gdprhub.eu/index.php?title=IP_(Slovenia)_-_0612-23/2019/19) (kudos @actuaris)
From the description of the case it may appear that the vendor fulfilled a completely technical role of providing integrations for data transmission. However, the DPA found that because clients had no power to ensure technical compliance with the GDPR, the cloud computing provider was acting as controller. Hence, the parties had to sign a JC agreement. No fine imposed.
Свежачок от Олега Блинова
🔸 Facebook avoids a service shutdown in Europe for now (https://techcrunch.com/2022/08/11/facebook-europe-shut-down-delay/)
As was probably predictable, the Irish regulator received objections to their intention to shutdown FB for transfer of data to the US. It is likely that the internal discussions and dispute resolutions will take months and months.
🔸France: CNIL proposes €60M fine against Criteo for non-compliance with GDPR (https://www.dataguidance.com/news/france-cnil-proposes-60m-fine-against-criteo-non)
Very little is actually clear from the news. From my short review of the 2018 complaint of an activist group, it seems the applicant (and later CNIL) allege that AdTech data brokerage should rely on consent due to cross-tracking. Relevant for fb and TCF-based data sharing.
🔸 EU: NOYB lodges 226 complaints against websites’ cookie banner settings (https://www.dataguidance.com/news/eu-noyb-lodges-226-complaints-against-websites-cookie)
Another case of NOYB activism.
🔸 IP (Slovenia) - 0612-23/2019/19 (https://gdprhub.eu/index.php?title=IP_(Slovenia)_-_0612-23/2019/19) (kudos @actuaris)
From the description of the case it may appear that the vendor fulfilled a completely technical role of providing integrations for data transmission. However, the DPA found that because clients had no power to ensure technical compliance with the GDPR, the cloud computing provider was acting as controller. Hence, the parties had to sign a JC agreement. No fine imposed.
TechCrunch
Facebook avoids a service shutdown in Europe for now
A final decision on the neverending saga over the legality of Facebook's data transfers, and the fate of its service in Europe, will be kicked down the road.
#events #privacy
Когда: 24 августа в 12:00 (МСК)
Где: онлайн
Тема: Персональные данные и российский бизнес. Востребованность и перспективы DPO, тренды рынка. Результаты исследования 2021-2022
Спикер: Максим Лагутин, ведущий эксперт по защите ПДн и сооснователь Б-152
Организатор: Б-152
Язык: русский
Стоимость: бесплатно
Регистрация: здесь
Когда: 24 августа в 12:00 (МСК)
Где: онлайн
Тема: Персональные данные и российский бизнес. Востребованность и перспективы DPO, тренды рынка. Результаты исследования 2021-2022
Спикер: Максим Лагутин, ведущий эксперт по защите ПДн и сооснователь Б-152
Организатор: Б-152
Язык: русский
Стоимость: бесплатно
Регистрация: здесь
#events #cybersecurity
Когда: 30 августа 2022 года в 10:00 по МСК
Где: онлайн
Тема: «Кибербезопасность с InfoWatch»
Спикеры: Иван Сергеев и Юрий Рожнов
Организатор: Астрал.Безопасность
Стоимость: бесплатно
Регистрация: здесь
Когда: 30 августа 2022 года в 10:00 по МСК
Где: онлайн
Тема: «Кибербезопасность с InfoWatch»
Спикеры: Иван Сергеев и Юрий Рожнов
Организатор: Астрал.Безопасность
Стоимость: бесплатно
Регистрация: здесь
#events #privacy #cybersecurity
Друзья, я публикую информацию о мероприятиях совершенно бесплатно😜
▫️присылайте анонсы в формате канала
▫️или же ваши материалы, публикации, статьи, аналитику, обзоры и прочее-всякое-разное
Я за доступность знаний для всех!
Друзья, я публикую информацию о мероприятиях совершенно бесплатно😜
▫️присылайте анонсы в формате канала
▫️или же ваши материалы, публикации, статьи, аналитику, обзоры и прочее-всякое-разное
Я за доступность знаний для всех!