RPPA PRO: Privacy • AI • Cybersecurity • IP

#PrivacyNews

💬Автор: Олег Блинов

Another week of privacy news!

🔸 Hesse: HBDI issues statement on use of Google Fonts https://datenschutz.hessen.de/datenschutz/internet-und-medien/hinweise-des-hbdi-zu-google-fonts-abmahnungen: The German regulator once again recommends to switch to self-hosting fonts instead of using Google Fonts as they require users to transfer their IP and other header information to the US.

🔸 Google Analytics prohibited in Hungary (NAIH (Hungary) - NAIH-3561-4/2022) https://gdprhub.eu/index.php?title=NAIH_(Hungary)_-_NAIH-3561-4/2022: Another case against Google Analytics, went just as well as you would expect it from previous GA news (meaning it went real bad for Google). This time the review was initiated by a data subject supported by NOYB.

🔸 Amazon QLDB introduces redacting documents for GDPR compliance https://docs.aws.amazon.com/qldb/latest/developerguide/working.redaction.html: it’s been a source of constant confusion for me how to handle data deletion in immutable data sources (e.g. blockchain, S3-based analytics & logs etc.). Seems AWS is gradually implementing data redaction features, which is really awesome.

🔸 How to assess and gain confidence in your supply chain cyber security https://www.ncsc.gov.uk/files/Assess-supply-chain-cyber-security.pdf: not so much “news”, but a nice source of approaches on how to do supplier management. Props to @krakozubla for posting this to her channel

🔸 ENISA cybersecurity threat landscape report https://www.enisa.europa.eu/news/volatile-geopolitics-shake-the-trends-of-the-2022-cybersecurity-threat-landscape: can be used as a source of baseline. Interesting facts: Third-party incidents account for 17% of the intrusions in 2021 compared to less than 1% in 2020. The number of data compromises increased by 68%.

1.3K viewsedited 08:44

#ЯрмаркаВакансий

Юрист со специализацией на персональных данных в IT-холдинг, только на RPPA.ru

1.2K views15:10

RPPA PRO: Privacy • AI • Cybersecurity • IP

Когда: 16 ноября в 10:00 по мск
Где: онлайн
Темы:
— кибербезопасность в России (изменения в законодательстве, SOC, пентест);
— импортозамещение в новых реалиях (переход на отечественные ИТ-решения, реальные проблемы и пути их решения, практические кейсы).
Спикеры:
— Роскомнадзор
— Калуга Астрал
— Positive Technologies
— Р7
— Код Безопасности
— РЕД СОФ
Программа конференции
Организатор: Астрал.Безопасность
Стоимость: бесплатно
Регистрация: здесь

1.3K views10:12

RPPA PRO: Privacy • AI • Cybersecurity • IP

#events

Когда: 23 ноября в 16:00 (МСК)
Где: онлайн
Тема: вебинар "Делаем ИБ эффективной. Ликбез по процессному подходу к управлению ИБ"
Спикер: Денис Салихов, старший консультант центра информационной безопасности
Организатор: Инфосистемы Джет
Язык: русский
Стоимость: бесплатно
Регистрация: здесь

1.3K views10:13

RPPA PRO: Privacy • AI • Cybersecurity • IP

#PrivacyNews

Автор: Олег Блинов

Privacy news for this week:

🔸 Commercial interest is legitimate interest? https://www.lexology.com/library/detail.aspx?g=ededc1c1-9b97-4696-9fd0-3cc60136dec2: Not so long ago the Dutch DPA claimed that commercial interest is not LI for GDPR purposes. Even though prior to that the EDPB and CJEU already provided a wider interpretation. A Dutch court disagreed with the DPA in the famous VoetbalTV case. Now, in the KNLTB case, the Amsterdam District Court referred the question whether commercial interest is LI, to the CJEU.

🔸 Sanction of 800,000 euros against DISCORD INC. https://www.cnil.fr/fr/sanction-de-800-000-euros-lencontre-de-la-societe-discord-inc: Several interesting points here: (1) failure to delete inactive accounts (3+ years) is a retention violation; (2) art. 32 is breached through failure to enforce strong password requirements (which begs the question whether passwords are the only area where services have to protect people from themselves); and (3) clicking “X” in the application only minimized the window, which is in breach of Privacy by Design (finally some interesting stuff with PbD!).

🔸 UK ICO TIA Tool & Guidance (https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/11/blog-international-transfers-empowering-innovation-and-growth-whilst-protecting-people-s-personal-information/): Worth having a look at as an alternative (or supplement) to Rosenthal’s TIA which is to my knowledge the only good publicly available TIA template.

🔸 Serious criticism of JP/Politik’s consent solution at www.eb.dk (https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/nov/alvorlig-kritik-af-jppolitikens-samtykkeloesning-paa-wwwebdk): For Pete’s sake, now they don’t like the “accept all” button since it is not granular enough, even though there was a “only necessary” button on the same layer. Really tired of these changing goalposts.

🔸 Privacy for America research An Information Economy Without Data (https://www.privacyforamerica.com/wp-content/uploads/2022/11/Study-221115-Beales-and-Stivers-Information-Economy-Without-Data-Nov22-final.pdf): the source seems to be heavily biased in favour of the behavioral advertising industry, so take it with a grain of salt. The summary reads that “Limiting online advertising’s access to data about audience interests and demographics substantially reduces revenue to online content providers, by 50 to 70 percent”

🔸 META US Settlement for USD90M (https://www.govinfo.gov/content/pkg/USCOURTS-cand-5_12-md-02314/pdf/USCOURTS-cand-5_12-md-02314-14.pdf): Meta paid out 90M for cookies tracking via the Like button.

🔸 Forty Attorneys General Announce Historic $391.5M Settlement with Google over Location Tracking Practices (https://www.njoag.gov/forty-attorneys-general-announce-historic-settlement-with-google-over-location-tracking-practices/): Google continued to geo-track users despite users switching “Location History” off. There was a separate second switch, so this could also count as a Privacy by Design violation.

🔸 Unsealed court documents reveal data anarchy at Meta (https://www.iccl.ie/wp-content/uploads/2022/11/ICCL-to-Commission-17-November-2022.pdf): the Irish Council for Civil Liberties investigated Meta’s court disclosures and identified lack of Meta’s internal understanding, which data, for which purpose and by whom is being processed.

🔸 Shopify illegal? How the data protection authority declared the use of my Shopify shop to be illegal (field report) https://lsww.de/shopify-illegal/: A small Shopify store shares its tragic story of being attacked by the DPA due to Shopify’s use of US-based CDNs (content delivery networks). This adds to previous news on risks in connection with Google Fonts + is a good example that small business may also be targeted by DPAs.

Lexology

Is a commercial interest a legitimate interest?

The processing of personal data requires a legal basis, as mentioned in Article 6 of the General Data Protection Regulation (GDPR). Such a basis…

1.3K viewsedited 19:03

RPPA PRO: Privacy • AI • Cybersecurity • IP

#privacy #events

Когда: 01 декабря в 10:00 (по мск)
Где: в онлайн пространстве
Тема: Практический вебинар «152-ФЗ: всё, о чём вы стеснялись спросить»
Организатор: Kept (ex. KPMG)
Спикеры: Роман Мартинсон, Екатерина Басниева
Язык: русский
Стоимость: бесплатно, только для внутренних специалистов (модерация)
Регистрация

🔆БОНУС🔆

Перед мероприятием мы соберём ваши вопросы и постараемся на них ответить в рамках самого ивента.

Задать вопрос по ссылке.

1.2K viewsedited 11:37

RPPA PRO: Privacy • AI • Cybersecurity • IP

#PrivacyNews

💬Автор: Олег Блинов

Hi all! Weekly privacy updates here:

🔷 Dutch DPIA of Facebook Pages (https://www.privacycompany.eu/blogpost-en/human-rights-impact-assessment-of-facebook-pages): a 150+ page document which could be easily converted into a holistic GDPR textbook. Really useful for understanding GDPR principles, privacy risk management, transfers, contracts etc. Brilliant, reasonably in-depth, easy to read. Treat yourself.

🔷 Irish DPA on disclosure of international transfers in Privacy Notices (https://edpb.europa.eu/system/files/2021-09/dpc_final_decision_redacted_for_issue_to_edpb_01-09-21_en.pdf): EDPB published the final version of the Whatsapp deliberations. It seems that DPA understands the Art. 13 provision on disclosure of international transfers to include explicit statement of countries and whether an adequacy decision has been made on them. If not, then detailed safeguards need to be described. As if privacy notices weren’t legalese enough

🔷 Apple’s analytics data include an ID called “dsId” (https://www.digitalinformationworld.com/2022/11/new-report-proves-apples-phone-usage.html): the headline is a bit clickbait-y and I haven’t been able to fully verify the story. The researchers looked into web-based AppStore’s analytics traffic and noticed that it includes a dsId param which is also present in their iCloud account. From this, they infer that iPhones track you using personalized ids. At a minimum, the AppStore they inspected was interacted with using a web browser, which already throws a wrench into the analysis.

🔷 Reproductive Health Rights on the App Store (https://www.nj.gov/oag/newsreleases22/2022-1121_Apple-final-signature-blocks.pdf): a coalition of US attorneys asked Apple to pay special attention to reproductive health apps, including to ensure that they: (1) delete all non-essential data; (2) provide clear notices; (3) that the apps using Apple Health sync ensure the same security & privacy level as Apple itself.

www.privacycompany.eu

Human rights impact assessment of Facebook Pages | Privacy Company Blog

If you want to know how a service affects human rights, you have to perform a 'HRIA', a Human Rights Impact Assessment. The Dutch central government has already developed its own model to analyse the human rights impact of an algorithm, the IAMA model. Using…

1.6K viewsedited 12:28

RPPA PRO: Privacy • AI • Cybersecurity • IP

Tрудовые споры :: 10.pdf

1.1 MB

#materials #152ФЗ

▫️Как работать с данными третьих лиц, полученных от работников и соискателей ?

▫️Может ли соискатель совмещать функции субъекта и оператора персональных данных?

▫️Что учесть при разработке реферальной программы найма с точки зрения законодательства о

🍒 Полный текст статьи выше, но можно также ознакомиться в первоисточнике.

1.5K viewsedited 11:50

RPPA PRO: Privacy • AI • Cybersecurity • IP

#privacy #events Когда: 01 декабря в 10:00 (по мск) Где: в онлайн пространстве Тема: Практический вебинар «152-ФЗ: всё, о чём вы стеснялись спросить» Организатор: Kept (ex. KPMG) Спикеры: Роман Мартинсон, Екатерина Басниева Язык: русский Стоимость: бесплатно…

#events #152ФЗ

Уже вот-вот и проведём мероприятие, в рамках которого ответим на твои вопросы по приватности.

Регистрация
Задать вопрос по ссылке.

1.4K views19:36

RPPA PRO: Privacy • AI • Cybersecurity • IP

#ЯрмаркаВакансий

Data protection officer / Руководитель направления по защите персональных данных в БКС Мир Инвестиций, только на RPPA.ru

1.3K views18:34

RPPA PRO: Privacy • AI • Cybersecurity • IP

#materials #iapp

⛄️Я календарь переверну, а там уже декабрь ⛄️

Тем временем, IAPP опубликовала свой ежегодный отчет IAPP-EY Annual Privacy Governance Report 2022, здесь же он.

iapp.org

Privacy Governance Report 2024 – Executive Summary

This report provides comprehensive research on the location, performance and significance of privacy governance within organizations.

1.7K viewsedited 09:39

RPPA PRO: Privacy • AI • Cybersecurity • IP

#ЯрмаркаВакансий

Руководитель направления Центра DPO в Сбер.

Руководитель направления по защите персональных данных в Интеко.

Только на RPPA.ru

1.1K views17:56

RPPA PRO: Privacy • AI • Cybersecurity • IP

#materials #iapp

Обзор отчета IAPP 2022. Часть 1/3

🟢Управление🟢

🟢92% респондентов предпочитают централизованную или смешанную модели управления функцией приватности

🟢Распространена трехуровневая модель защиты: 1 - линия - работники, владеющие и контролирующие риски (менеджеры и спецы); 2 - линия - отв за комплаенс и управление рисками (внедренцы); 3 - линия - независимые аудиторы - и у 72% компаний реализована двухуровневая модель

🟢65% респондентов связывают стратегию по приватности с общей стратегией компании. При этом 45% обновляют стратегию по приватности ежегодно, а 20% каждые 6 месяцев

🟢Юридический департамент остаётся самой популярной структурой для размещения экспертов по приватности (41%), 22% - в департаменте комплаенс, а вот компании с большой выручкой хостят экспертом в других подразделениях, отличных от юридического

🟢В 80% организаций прайвасисты занимают руководящие позиции: члены правления (23% директора, 17% вице-президенты, 15% старшие вице-президенты, 14% c-suite, 12% старшие менеджеры)

🟢У 34% респондентов руководитель по приватности подотчетен главному юрисконсульту, 21% - CEO, 11% - CCO

🟢Внешняя поддержка функции приватности - основаная часть ресурсной модели для многих компаний

🟢В компаниях, примерно, по два работника по приватности выделено на страну и 10 на континент

Продолжение 👇

1.1K viewsedited 18:04

RPPA PRO: Privacy • AI • Cybersecurity • IP

rppa_comments_266fz.pdf

307.7 KB

#materials #privacy

Практический комментарий RPPA
к некоторым положениям Федерального закона от 14 июля 2022 года No 266-ФЗ "О внесении изменений в Федеральный закон «О персональных
данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

2.4K viewsedited 06:43

RPPA PRO: Privacy • AI • Cybersecurity • IP

#materials #iapp

Обзор отчета IAPP 2022. Часть 2/3

🟢Выделяют следующие роли в области приватности: лидер (Privacy leadership roles) - руководитель, отвечающий за линию приватности: подотчетные члены правления, CPO, региональные офицеры по приватности; технолоджи (Technology-based roles): инженеры, отвечающие за разработку, ревью и изменения в цифровые инструменты, используемые для построения функции приватности, в том числе и эксперты по ИБ; операционка (Operational roles): исполнители, поддерживающие функцию приватности, а также исполняющие обязанности по приватности, в частности исполнение запросов субъектов; риски и комплаенс (Privacy risk and compliance roles): управление рисками, регуляторный комплаенс, разработка внутренних политик, проведение аудитов, все то, что ведёт компанию к исполнению задач по приватности; аутсорс (External roles): ресурсы, поддерживающие команду по приватности, но не являющиеся работниками компании

🟢Самая большая команда по приватности, о которой стало известно в рамках исследования, состояла более, чем из 400 человек (прим. мое: вот нам всем туда, ага)

🟢Самая большая внешняя команда по приватности состояла из более 150 человек (прим. мое: а здесь консультанты солидный бизнес сделали)

🟢В секторах: гос, юридическом, образовательном, некоммерческом - меньше всего спецов по приватности в сравнении с остальными секторами

🟢В компаниях с выручкой более 60млрд$ самая большая текучка кадров

🟢За 12 месяцев размер команд по приватности увеличился в среднем на 12% - тысячи новых экспертов пришли в профессию. Причём в Европе штат увеличился только на 7%

🟢55% респондентов отметили недостаток у себя экспертизы по рискам приватности и комплаенсу

🟢Роли, из которых состоит большая часть команд по приватности: чемпионы по приватности / гуру, юристы по приватности, специалисты по приватности и комплаенсу - пользуются спросом

🟢20-30% опрошенных отметили, что нужны навыки инженера по приватности (privacy engineering): н-ер, разработчик, аналитик, проектировщик

🟢62% компаний согласны с тем, что ограниченная доступность ресурсов по приватности влияет на достижение целей компаний

🟢На 30% увеличилось количество вакансий в области приватности за предыдущий год (2020 - 2021)

Продолжение👇

1.0K viewsedited 02:05

RPPA PRO: Privacy • AI • Cybersecurity • IP

#materials #iapp

Обзор отчета IAPP 2022. Часть 3/3

🟢Компании с высокой выручкой отметили, что стало сложнее найти специалиста по приватности из-за высоких зп

🟢Самые высокие среднегодовые бюджеты на приватность зафиксированы в Азии и Сев. Америке и превышают 2млн$. А средний бюджет по рынку составил - 1,800,530$. 1% респондентов отметили, что имеют бюджет 50млн$

🟢Почти половина компаний с выручкой около 20млрд$ готовы потратить на приватность около 2млн$

🟢Более половины расходов среднестатистической компании уходит на выплату зп и бонусов работникам. Азия - единственный континент, где компании в среднем выделяют менее 50% своего бюджета на зп и бонусы. Остальные категории трат: технологии и инструменты - 10%, внешний юрист - 9%, проф развитие - 6%, консультанты - 6%, внутренние тренинги - 6%, ассоциации - 3%

🟢31% опрошенных обращают внимание на трансграничку (как сфера фокуса), также выделяют: PIA и PbD - 31%, удаление данных - 30%, управление и операционная модель - 28%, управление инцидентами и утечками - 24%

🟢71% компаний используют KPI для предоставления руководству информации о результат работы. Метрики также используются для: понимания трендов и проблем, предоставления видимости работы, поддержки стратегии приватности. При этом 1/5 опрошенных не используют метрики

🟢Метрики составляют по следующим темам (в порядке убывания): управление инцидентами и утечками, права субъектов, PIA и PbD, программа по приватности, управление взаимоотношениями с третьими лицами, инвентаризация, удаление данных, управление рисками и контролями по приватности, идентификация и количественная оценка рисков, управление и операционная модель, уведомление и согласие, трансграничка, ИБ, обмен данными

🟢89% респондентов собирают метрики вручную

Про опрос: члены IAPP, более 700 респондентов из 44 стран, за 10 недель

1.1K views05:31

RPPA PRO: Privacy • AI • Cybersecurity • IP

#research

Коллеги, приглашаем вас принять участие в исследовании рынка безопасности персональных данных📈

Исследование проводится Б-152 и RPPA при участии Актион Право с целью показать срез рынка, дать специалистам и бизнесу полезную информацию и ценные инсайты.

Отдельно мы посмотрим, как за год изменилась ситуация в области защиты персональных данных на фоне новой экономической ситуации.

▪️Исследование анонимное.

▪️Для участия вам необходимо будет ответить на несколько вопросов анкеты. Это займет не более 7 минут.

▪️Результаты будут опубликованы в начале года и будут доступны вам бесплатно. Пример исследования за прошлые годы можно увидеть здесь.

В знак нашей благодарности каждый участник исследования получит 🎁 чек-лист соответствия изменениям Закона 152-ФЗ «О персональных данных», вступивших в силу с 1 сентября 2022 г. В нем вы найдете понятные практические рекомендациями от экспертов Б-152.

📈Принять участие в исследовании

1.3K viewsedited 14:37

RPPA PRO: Privacy • AI • Cybersecurity • IP

#ЯрмаркаВакансий

Помощник адвоката в Цифровую коллегию адвокатов г.Москвы "ДБА и партнёры", только на RPPA.ru

928 views21:17

RPPA PRO: Privacy • AI • Cybersecurity • IP

#PrivacyNews

💬Автор: Олег Блинов

Batch of privacy news:

🔷 Fidelity card: the Italian DPA sanctions Douglas Italia for 1 million and 400 thousand euros (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9825667): following a merger, Douglas retained and used customer contact details for direct marketing, yet it was not able to produce records of consent provided. It also failed to delete inactive users. Interesting addition to acquisition due diligence checks.

🔷 DSK releases assessment of Microsoft 365 (https://techcrunch.com/2022/11/28/microsoft-365-faces-darkening-gdpr-compliance-clouds-after-german-report/): the German DPAs expressed frustration with lack of MS’s substantial improvements after 2 years of discussion. While the DPAs did not call MS365 outright illegal, they are concerned with collection of telemetry, lack of transparency and with transfers to the US.

🔷 Meta hit with ~$275M GDPR penalty for Facebook data-scraping breach (https://techcrunch.com/2022/11/28/facebook-gdpr-penalty/): another Privacy by Design case. In 2018-19, FB did not have protection against a user uploading a contract book with any number of (or all possible) phone numbers and asking FB to find “friends” based on these. Essentially, you could map all resulting users to phone numbers you brute forced. FB claimed this is fine since the users themselves left the setting to be searchable by anyone on. The DPA disagreed since privacy by design is meant to protect users from such abuses by setting the default option to being not searchable. Additionally, no technical measures were implemented to protect against such malicious behaviour.

🔷 CNIL penalty of 600,000 euros against EDF (https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-dedf): EDF relied on a data broker to collect data for marketing purposes, and could only show the consent forms, but not evidence of actual consents. Furthermore, passwords were hashed, but not salted, which made them vulnerable to use of rainbow tables.

🔷 Hamburg DPA on data transfers to the US: impact of the new US Executive Order (https://datenschutz-hamburg.de/pages/executiveorder/): the German DPA is happy about US’s willingness to adapt to EU’s concerns, but pointed out some flaws, such as lack of transparency from the data subjects’ perspective regarding the procedure of effective recourse.

🔷 Apple SKAdNetwork explained (https://www.appsflyer.com/glossary/skadnetwork/): Nicely done videos from AppsFlyer explaining how Apple’s privacy-friendly SKAdNetwork works.

GPDP

Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. - 20 ottobre 2022 [9825667]

VEDI ANCHE Newsletter del 28 novembre 2022

872 viewsedited 09:50

RPPA PRO: Privacy • AI • Cybersecurity • IP

#PrivacyNews

💬Автор: Олег Блинов

Time for another batch of privacy news!

🔷 EU set to bar Meta from ads based on personal data (https://www.reuters.com/technology/eu-raises-concerns-over-metas-targeted-ad-model-wsj-2022-12-06/, https://noyb.eu/en/noyb-win-personalized-ads-facebook-instagram-and-whatsapp-declared-illegal): according to insiders, EDPB has asked the Irish DPA to issue of decision blocking Meta from relying on contract to provide personalized ads and to seek user consent instead. A binding decision from the Irish authorities is expected in Jan 23 and could come with a hefty fine. The fundamental disagreement is that Meta considers personalization an intrinsic part of their service, while the regulators consider it an intrusion into private space. This will likely further diminish the efficiency of ads on fb & Instagram and drive up ad costs for these platforms.

🔷 Italy fines US company behind Clubhouse €2M for GDPR violations (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9828901): the famous Clubhouse app owner was fined for failure to abide by a wide range of GDPR obligations, including privacy policy clarity, retention periods, DPIA etc. The most interesting part is that the DPA required Clubhouse to switch to consent for profiling, which was used to improve and personalize the experience, select interests, recommend rooms and users to follow and clubs of interest. Initially, the company relied on contract, which the DPA disagreed with. In one of the final paragraphs the DPA seems to state that profiling cannot be based on LI and consent is therefore the only option.

🔷 DSK updates TTDSG guidance (https://www.datenschutzkonferenz-online.de/media/oh/20221130_OH_Telemedien_2021_Version_1_1.pdf): some developments on the German cookies compliance rulings. From what I can see, nothing extraordinary, though I should read it in more detail some time.

Reuters

EU set to bar Meta from ads based on personal data

Meta will only be able to run advertising based on personal data with users' consent, according to a confidential EU privacy watchdog decision, a person familiar with the matter said on Tuesday, in a blow to the U.S. social network.

954 viewsedited 09:51

RPPA PRO: Privacy • AI • Cybersecurity • IP

#article #152ФЗ

Статья Михаила Емельянникова про оценку вреда субъектам ПД

Blogspot

Оценка вреда: анализируем новые требования

Как знают все интересующиеся, с 1 сентября этого года, в соответствии с новой редакцией пункта 5 части 1 статьи 18.1 закона «О персональных ...

1.1K views11:59