#rights
Microsoft и Bali https://m.cnews.ru/news/top/2019-01-04_microsoft_sozdaet_instrumentkotoryj_vernet_polzovatelyam
Microsoft и Bali https://m.cnews.ru/news/top/2019-01-04_microsoft_sozdaet_instrumentkotoryj_vernet_polzovatelyam
CNews.ru
Microsoft создает инструмент, который вернет пользователям контроль над их данными
Microsoft запустила проект Bali, цель которого — передать в руки пользователей контроль над данными, которые собирают о них различные компании. Проект находится на стадии тестирования.
Privacy GDPR Russia
#materials #EDPB Руководство EDPB on data subject rights - Right of access. 💡Использование: реализация права субъекта на доступ к ПД в рамках гдпр / лучшие практики для 152-ФЗ
#materials #EDPB #rights
Основные тезисы Руководства EDPB по доступу к данным и реализации прав субъектов.
💬Автор: Олег Блинов
Ст. 12: Как реализовывать права субъектов
▫️Запрос нельзя направлять на совершенно непригодные для этого каналы (к примеру, на адрес клининг-леди). А вот если это обычный способ общения с контролером (читай, адрес суппорта), то обращение эффективно, даже если вы обозначили, что запросы по перс данным нужно слать только на конкретный адрес.
▫️ Если данные собираются через псевдономизированные данные (к примеру, айди в куках), то нужно предусматривать способы реализации прав, завязанные с такими айди;
запрос паспорта как правило является непропорциональной мерой для идентификации субъекта;
▫️В случае запроса паспорта контролер должен предупредить субъекта, что он может повесить черные прямоугольники на все, кроме имени, выдавшего органа, срока действительности, т.е. в том числе удалить номер паспорта.
▫️ При реализации прав субъекта через посреднические сервисы нужно проверять полномочия типа доверок.
▫️ Срок ответа начинается в момент получения запроса. Срок ставится на паузу на время уточнения запроса / идентификации субъекта.
Ст. 15: Право на доступ
▫️ Ответ состоит из 3 частей: (1) подтверждение обработки; (2) информация об обработке; (3) копия.
▫️ Не имеет значения, зачем субъект запрашивает данные. Даже если хочет навредить контроллеру / подать на него в суд / вотэвер.
▫️ Право на доступ не зависит от источника данных (структурированные <> неструктурированные данные).
▫️ Деньги за запрос можно брать только за повторный запрос. Если запрос касается других данных или в другой момент времени, то это новый запрос, денег за него просить нельзя.
▫️Стоимость копии включает только стоимость самой копии, но не административные расходы на ее подготовку.
▫️Если инфы очень очень много, то субъекту можно предложить уточнить свой запрос. Если субъект отвечает, что хочет все, то нужно предоставить все.
▫️Если контроллер обнаруживает незаконную обработку данных, то нужно предоставить эти незаконно обрабатываемые данные и снабдить пояснением, что закон нарушен
▫️ст. 32 применяется к экспорту данных. Стоит использовать шифрование, пароли и тд.
▫️Чтобы запрос считался относящимся к ст. 15, достаточно, чтобы субъект выразил желание узнать, какие ПДн обрабатываются контролером. Примеры вордингов запросов: (1) wish to obtain access to the personal data; (2) exercising their right of access; (3) wish to know the information concerning them that the controller processes.
▫️Если предоставленная копия включает данные третьих лиц, то нужно предупредить субъекта, что в случае выхода за пределы household exemption from GDPR applicability он станет сам оператором.
▫️Если данные удалены из production systems, но сохраняются в бекапах, то нужно сообщить об этом субъекту и в случае технической возможности предоставить доступ к ним.
▫️Хотя у контролера есть право выбора, раскрывать ли recipients or categories of recipients, нужно быть настолько точными, насколько возможно (вау, спасибо).
▫️Если не можем назвать конкретный срок хранения, то нужно назвать триггер для начала срока и срок после него.
▫️📢(!!!) При предоставлении данных нет никакого теста пропорциональности запроса / целей запроса и необходимых усилий контролера. Это прямой ответ на практику, которую кидал выше, что Право на access по ст. 15 не безусловно согласно немецким судам.
▫️Если предоставляются “сырые” данные, то нужно обязательно сопровождать их пояснениями, чтобы обычный человек их мог понять
предоставлять ответ можно в пдф и других немашиночитаемых форматах.
▫️В предоставлении доступа можно отказать, если это нарушает коммерческую тайну / иной айпи, но нужно обосновать такое решение.
Ссылка с практикой немецких судов🔽
Основные тезисы Руководства EDPB по доступу к данным и реализации прав субъектов.
💬Автор: Олег Блинов
Ст. 12: Как реализовывать права субъектов
▫️Запрос нельзя направлять на совершенно непригодные для этого каналы (к примеру, на адрес клининг-леди). А вот если это обычный способ общения с контролером (читай, адрес суппорта), то обращение эффективно, даже если вы обозначили, что запросы по перс данным нужно слать только на конкретный адрес.
▫️ Если данные собираются через псевдономизированные данные (к примеру, айди в куках), то нужно предусматривать способы реализации прав, завязанные с такими айди;
запрос паспорта как правило является непропорциональной мерой для идентификации субъекта;
▫️В случае запроса паспорта контролер должен предупредить субъекта, что он может повесить черные прямоугольники на все, кроме имени, выдавшего органа, срока действительности, т.е. в том числе удалить номер паспорта.
▫️ При реализации прав субъекта через посреднические сервисы нужно проверять полномочия типа доверок.
▫️ Срок ответа начинается в момент получения запроса. Срок ставится на паузу на время уточнения запроса / идентификации субъекта.
Ст. 15: Право на доступ
▫️ Ответ состоит из 3 частей: (1) подтверждение обработки; (2) информация об обработке; (3) копия.
▫️ Не имеет значения, зачем субъект запрашивает данные. Даже если хочет навредить контроллеру / подать на него в суд / вотэвер.
▫️ Право на доступ не зависит от источника данных (структурированные <> неструктурированные данные).
▫️ Деньги за запрос можно брать только за повторный запрос. Если запрос касается других данных или в другой момент времени, то это новый запрос, денег за него просить нельзя.
▫️Стоимость копии включает только стоимость самой копии, но не административные расходы на ее подготовку.
▫️Если инфы очень очень много, то субъекту можно предложить уточнить свой запрос. Если субъект отвечает, что хочет все, то нужно предоставить все.
▫️Если контроллер обнаруживает незаконную обработку данных, то нужно предоставить эти незаконно обрабатываемые данные и снабдить пояснением, что закон нарушен
▫️ст. 32 применяется к экспорту данных. Стоит использовать шифрование, пароли и тд.
▫️Чтобы запрос считался относящимся к ст. 15, достаточно, чтобы субъект выразил желание узнать, какие ПДн обрабатываются контролером. Примеры вордингов запросов: (1) wish to obtain access to the personal data; (2) exercising their right of access; (3) wish to know the information concerning them that the controller processes.
▫️Если предоставленная копия включает данные третьих лиц, то нужно предупредить субъекта, что в случае выхода за пределы household exemption from GDPR applicability он станет сам оператором.
▫️Если данные удалены из production systems, но сохраняются в бекапах, то нужно сообщить об этом субъекту и в случае технической возможности предоставить доступ к ним.
▫️Хотя у контролера есть право выбора, раскрывать ли recipients or categories of recipients, нужно быть настолько точными, насколько возможно (вау, спасибо).
▫️Если не можем назвать конкретный срок хранения, то нужно назвать триггер для начала срока и срок после него.
▫️📢(!!!) При предоставлении данных нет никакого теста пропорциональности запроса / целей запроса и необходимых усилий контролера. Это прямой ответ на практику, которую кидал выше, что Право на access по ст. 15 не безусловно согласно немецким судам.
▫️Если предоставляются “сырые” данные, то нужно обязательно сопровождать их пояснениями, чтобы обычный человек их мог понять
предоставлять ответ можно в пдф и других немашиночитаемых форматах.
▫️В предоставлении доступа можно отказать, если это нарушает коммерческую тайну / иной айпи, но нужно обосновать такое решение.
Ссылка с практикой немецких судов🔽