#materials #iapp
Обзор отчета IAPP 2022. Часть 2/3
🟢Выделяют следующие роли в области приватности: лидер (Privacy leadership roles) - руководитель, отвечающий за линию приватности: подотчетные члены правления, CPO, региональные офицеры по приватности; технолоджи (Technology-based roles): инженеры, отвечающие за разработку, ревью и изменения в цифровые инструменты, используемые для построения функции приватности, в том числе и эксперты по ИБ; операционка (Operational roles): исполнители, поддерживающие функцию приватности, а также исполняющие обязанности по приватности, в частности исполнение запросов субъектов; риски и комплаенс (Privacy risk and compliance roles): управление рисками, регуляторный комплаенс, разработка внутренних политик, проведение аудитов, все то, что ведёт компанию к исполнению задач по приватности; аутсорс (External roles): ресурсы, поддерживающие команду по приватности, но не являющиеся работниками компании
🟢Самая большая команда по приватности, о которой стало известно в рамках исследования, состояла более, чем из 400 человек (прим. мое: вот нам всем туда, ага)
🟢Самая большая внешняя команда по приватности состояла из более 150 человек (прим. мое: а здесь консультанты солидный бизнес сделали)
🟢В секторах: гос, юридическом, образовательном, некоммерческом - меньше всего спецов по приватности в сравнении с остальными секторами
🟢В компаниях с выручкой более 60млрд$ самая большая текучка кадров
🟢За 12 месяцев размер команд по приватности увеличился в среднем на 12% - тысячи новых экспертов пришли в профессию. Причём в Европе штат увеличился только на 7%
🟢55% респондентов отметили недостаток у себя экспертизы по рискам приватности и комплаенсу
🟢Роли, из которых состоит большая часть команд по приватности: чемпионы по приватности / гуру, юристы по приватности, специалисты по приватности и комплаенсу - пользуются спросом
🟢20-30% опрошенных отметили, что нужны навыки инженера по приватности (privacy engineering): н-ер, разработчик, аналитик, проектировщик
🟢62% компаний согласны с тем, что ограниченная доступность ресурсов по приватности влияет на достижение целей компаний
🟢На 30% увеличилось количество вакансий в области приватности за предыдущий год (2020 - 2021)
Продолжение👇
Обзор отчета IAPP 2022. Часть 2/3
🟢Выделяют следующие роли в области приватности: лидер (Privacy leadership roles) - руководитель, отвечающий за линию приватности: подотчетные члены правления, CPO, региональные офицеры по приватности; технолоджи (Technology-based roles): инженеры, отвечающие за разработку, ревью и изменения в цифровые инструменты, используемые для построения функции приватности, в том числе и эксперты по ИБ; операционка (Operational roles): исполнители, поддерживающие функцию приватности, а также исполняющие обязанности по приватности, в частности исполнение запросов субъектов; риски и комплаенс (Privacy risk and compliance roles): управление рисками, регуляторный комплаенс, разработка внутренних политик, проведение аудитов, все то, что ведёт компанию к исполнению задач по приватности; аутсорс (External roles): ресурсы, поддерживающие команду по приватности, но не являющиеся работниками компании
🟢Самая большая команда по приватности, о которой стало известно в рамках исследования, состояла более, чем из 400 человек (прим. мое: вот нам всем туда, ага)
🟢Самая большая внешняя команда по приватности состояла из более 150 человек (прим. мое: а здесь консультанты солидный бизнес сделали)
🟢В секторах: гос, юридическом, образовательном, некоммерческом - меньше всего спецов по приватности в сравнении с остальными секторами
🟢В компаниях с выручкой более 60млрд$ самая большая текучка кадров
🟢За 12 месяцев размер команд по приватности увеличился в среднем на 12% - тысячи новых экспертов пришли в профессию. Причём в Европе штат увеличился только на 7%
🟢55% респондентов отметили недостаток у себя экспертизы по рискам приватности и комплаенсу
🟢Роли, из которых состоит большая часть команд по приватности: чемпионы по приватности / гуру, юристы по приватности, специалисты по приватности и комплаенсу - пользуются спросом
🟢20-30% опрошенных отметили, что нужны навыки инженера по приватности (privacy engineering): н-ер, разработчик, аналитик, проектировщик
🟢62% компаний согласны с тем, что ограниченная доступность ресурсов по приватности влияет на достижение целей компаний
🟢На 30% увеличилось количество вакансий в области приватности за предыдущий год (2020 - 2021)
Продолжение👇
#materials #iapp
Обзор отчета IAPP 2022. Часть 3/3
🟢Компании с высокой выручкой отметили, что стало сложнее найти специалиста по приватности из-за высоких зп
🟢Самые высокие среднегодовые бюджеты на приватность зафиксированы в Азии и Сев. Америке и превышают 2млн$. А средний бюджет по рынку составил - 1,800,530$. 1% респондентов отметили, что имеют бюджет 50млн$
🟢Почти половина компаний с выручкой около 20млрд$ готовы потратить на приватность около 2млн$
🟢Более половины расходов среднестатистической компании уходит на выплату зп и бонусов работникам. Азия - единственный континент, где компании в среднем выделяют менее 50% своего бюджета на зп и бонусы. Остальные категории трат: технологии и инструменты - 10%, внешний юрист - 9%, проф развитие - 6%, консультанты - 6%, внутренние тренинги - 6%, ассоциации - 3%
🟢31% опрошенных обращают внимание на трансграничку (как сфера фокуса), также выделяют: PIA и PbD - 31%, удаление данных - 30%, управление и операционная модель - 28%, управление инцидентами и утечками - 24%
🟢71% компаний используют KPI для предоставления руководству информации о результат работы. Метрики также используются для: понимания трендов и проблем, предоставления видимости работы, поддержки стратегии приватности. При этом 1/5 опрошенных не используют метрики
🟢Метрики составляют по следующим темам (в порядке убывания): управление инцидентами и утечками, права субъектов, PIA и PbD, программа по приватности, управление взаимоотношениями с третьими лицами, инвентаризация, удаление данных, управление рисками и контролями по приватности, идентификация и количественная оценка рисков, управление и операционная модель, уведомление и согласие, трансграничка, ИБ, обмен данными
🟢89% респондентов собирают метрики вручную
Про опрос: члены IAPP, более 700 респондентов из 44 стран, за 10 недель
Обзор отчета IAPP 2022. Часть 3/3
🟢Компании с высокой выручкой отметили, что стало сложнее найти специалиста по приватности из-за высоких зп
🟢Самые высокие среднегодовые бюджеты на приватность зафиксированы в Азии и Сев. Америке и превышают 2млн$. А средний бюджет по рынку составил - 1,800,530$. 1% респондентов отметили, что имеют бюджет 50млн$
🟢Почти половина компаний с выручкой около 20млрд$ готовы потратить на приватность около 2млн$
🟢Более половины расходов среднестатистической компании уходит на выплату зп и бонусов работникам. Азия - единственный континент, где компании в среднем выделяют менее 50% своего бюджета на зп и бонусы. Остальные категории трат: технологии и инструменты - 10%, внешний юрист - 9%, проф развитие - 6%, консультанты - 6%, внутренние тренинги - 6%, ассоциации - 3%
🟢31% опрошенных обращают внимание на трансграничку (как сфера фокуса), также выделяют: PIA и PbD - 31%, удаление данных - 30%, управление и операционная модель - 28%, управление инцидентами и утечками - 24%
🟢71% компаний используют KPI для предоставления руководству информации о результат работы. Метрики также используются для: понимания трендов и проблем, предоставления видимости работы, поддержки стратегии приватности. При этом 1/5 опрошенных не используют метрики
🟢Метрики составляют по следующим темам (в порядке убывания): управление инцидентами и утечками, права субъектов, PIA и PbD, программа по приватности, управление взаимоотношениями с третьими лицами, инвентаризация, удаление данных, управление рисками и контролями по приватности, идентификация и количественная оценка рисков, управление и операционная модель, уведомление и согласие, трансграничка, ИБ, обмен данными
🟢89% респондентов собирают метрики вручную
Про опрос: члены IAPP, более 700 респондентов из 44 стран, за 10 недель
#research
Коллеги, приглашаем вас принять участие в исследовании рынка безопасности персональных данных📈
Исследование проводится Б-152 и RPPA при участии Актион Право с целью показать срез рынка, дать специалистам и бизнесу полезную информацию и ценные инсайты.
Отдельно мы посмотрим, как за год изменилась ситуация в области защиты персональных данных на фоне новой экономической ситуации.
▪️Исследование анонимное.
▪️Для участия вам необходимо будет ответить на несколько вопросов анкеты. Это займет не более 7 минут.
▪️Результаты будут опубликованы в начале года и будут доступны вам бесплатно. Пример исследования за прошлые годы можно увидеть здесь.
В знак нашей благодарности каждый участник исследования получит 🎁 чек-лист соответствия изменениям Закона 152-ФЗ «О персональных данных», вступивших в силу с 1 сентября 2022 г. В нем вы найдете понятные практические рекомендациями от экспертов Б-152.
📈Принять участие в исследовании
Коллеги, приглашаем вас принять участие в исследовании рынка безопасности персональных данных📈
Исследование проводится Б-152 и RPPA при участии Актион Право с целью показать срез рынка, дать специалистам и бизнесу полезную информацию и ценные инсайты.
Отдельно мы посмотрим, как за год изменилась ситуация в области защиты персональных данных на фоне новой экономической ситуации.
▪️Исследование анонимное.
▪️Для участия вам необходимо будет ответить на несколько вопросов анкеты. Это займет не более 7 минут.
▪️Результаты будут опубликованы в начале года и будут доступны вам бесплатно. Пример исследования за прошлые годы можно увидеть здесь.
В знак нашей благодарности каждый участник исследования получит 🎁 чек-лист соответствия изменениям Закона 152-ФЗ «О персональных данных», вступивших в силу с 1 сентября 2022 г. В нем вы найдете понятные практические рекомендациями от экспертов Б-152.
📈Принять участие в исследовании
#ЯрмаркаВакансий
Помощник адвоката в Цифровую коллегию адвокатов г.Москвы "ДБА и партнёры", только на RPPA.ru
Помощник адвоката в Цифровую коллегию адвокатов г.Москвы "ДБА и партнёры", только на RPPA.ru
#PrivacyNews
💬Автор: Олег Блинов
Batch of privacy news:
🔷 Fidelity card: the Italian DPA sanctions Douglas Italia for 1 million and 400 thousand euros (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9825667): following a merger, Douglas retained and used customer contact details for direct marketing, yet it was not able to produce records of consent provided. It also failed to delete inactive users. Interesting addition to acquisition due diligence checks.
🔷 DSK releases assessment of Microsoft 365 (https://techcrunch.com/2022/11/28/microsoft-365-faces-darkening-gdpr-compliance-clouds-after-german-report/): the German DPAs expressed frustration with lack of MS’s substantial improvements after 2 years of discussion. While the DPAs did not call MS365 outright illegal, they are concerned with collection of telemetry, lack of transparency and with transfers to the US.
🔷 Meta hit with ~$275M GDPR penalty for Facebook data-scraping breach (https://techcrunch.com/2022/11/28/facebook-gdpr-penalty/): another Privacy by Design case. In 2018-19, FB did not have protection against a user uploading a contract book with any number of (or all possible) phone numbers and asking FB to find “friends” based on these. Essentially, you could map all resulting users to phone numbers you brute forced. FB claimed this is fine since the users themselves left the setting to be searchable by anyone on. The DPA disagreed since privacy by design is meant to protect users from such abuses by setting the default option to being not searchable. Additionally, no technical measures were implemented to protect against such malicious behaviour.
🔷 CNIL penalty of 600,000 euros against EDF (https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-dedf): EDF relied on a data broker to collect data for marketing purposes, and could only show the consent forms, but not evidence of actual consents. Furthermore, passwords were hashed, but not salted, which made them vulnerable to use of rainbow tables.
🔷 Hamburg DPA on data transfers to the US: impact of the new US Executive Order (https://datenschutz-hamburg.de/pages/executiveorder/): the German DPA is happy about US’s willingness to adapt to EU’s concerns, but pointed out some flaws, such as lack of transparency from the data subjects’ perspective regarding the procedure of effective recourse.
🔷 Apple SKAdNetwork explained (https://www.appsflyer.com/glossary/skadnetwork/): Nicely done videos from AppsFlyer explaining how Apple’s privacy-friendly SKAdNetwork works.
💬Автор: Олег Блинов
Batch of privacy news:
🔷 Fidelity card: the Italian DPA sanctions Douglas Italia for 1 million and 400 thousand euros (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9825667): following a merger, Douglas retained and used customer contact details for direct marketing, yet it was not able to produce records of consent provided. It also failed to delete inactive users. Interesting addition to acquisition due diligence checks.
🔷 DSK releases assessment of Microsoft 365 (https://techcrunch.com/2022/11/28/microsoft-365-faces-darkening-gdpr-compliance-clouds-after-german-report/): the German DPAs expressed frustration with lack of MS’s substantial improvements after 2 years of discussion. While the DPAs did not call MS365 outright illegal, they are concerned with collection of telemetry, lack of transparency and with transfers to the US.
🔷 Meta hit with ~$275M GDPR penalty for Facebook data-scraping breach (https://techcrunch.com/2022/11/28/facebook-gdpr-penalty/): another Privacy by Design case. In 2018-19, FB did not have protection against a user uploading a contract book with any number of (or all possible) phone numbers and asking FB to find “friends” based on these. Essentially, you could map all resulting users to phone numbers you brute forced. FB claimed this is fine since the users themselves left the setting to be searchable by anyone on. The DPA disagreed since privacy by design is meant to protect users from such abuses by setting the default option to being not searchable. Additionally, no technical measures were implemented to protect against such malicious behaviour.
🔷 CNIL penalty of 600,000 euros against EDF (https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-dedf): EDF relied on a data broker to collect data for marketing purposes, and could only show the consent forms, but not evidence of actual consents. Furthermore, passwords were hashed, but not salted, which made them vulnerable to use of rainbow tables.
🔷 Hamburg DPA on data transfers to the US: impact of the new US Executive Order (https://datenschutz-hamburg.de/pages/executiveorder/): the German DPA is happy about US’s willingness to adapt to EU’s concerns, but pointed out some flaws, such as lack of transparency from the data subjects’ perspective regarding the procedure of effective recourse.
🔷 Apple SKAdNetwork explained (https://www.appsflyer.com/glossary/skadnetwork/): Nicely done videos from AppsFlyer explaining how Apple’s privacy-friendly SKAdNetwork works.
GPDP
Ordinanza ingiunzione nei confronti di Douglas Italia S.p.A. - 20 ottobre 2022 [9825667]
VEDI ANCHE Newsletter del 28 novembre 2022
#PrivacyNews
💬Автор: Олег Блинов
Time for another batch of privacy news!
🔷 EU set to bar Meta from ads based on personal data (https://www.reuters.com/technology/eu-raises-concerns-over-metas-targeted-ad-model-wsj-2022-12-06/, https://noyb.eu/en/noyb-win-personalized-ads-facebook-instagram-and-whatsapp-declared-illegal): according to insiders, EDPB has asked the Irish DPA to issue of decision blocking Meta from relying on contract to provide personalized ads and to seek user consent instead. A binding decision from the Irish authorities is expected in Jan 23 and could come with a hefty fine. The fundamental disagreement is that Meta considers personalization an intrinsic part of their service, while the regulators consider it an intrusion into private space. This will likely further diminish the efficiency of ads on fb & Instagram and drive up ad costs for these platforms.
🔷 Italy fines US company behind Clubhouse €2M for GDPR violations (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9828901): the famous Clubhouse app owner was fined for failure to abide by a wide range of GDPR obligations, including privacy policy clarity, retention periods, DPIA etc. The most interesting part is that the DPA required Clubhouse to switch to consent for profiling, which was used to improve and personalize the experience, select interests, recommend rooms and users to follow and clubs of interest. Initially, the company relied on contract, which the DPA disagreed with. In one of the final paragraphs the DPA seems to state that profiling cannot be based on LI and consent is therefore the only option.
🔷 DSK updates TTDSG guidance (https://www.datenschutzkonferenz-online.de/media/oh/20221130_OH_Telemedien_2021_Version_1_1.pdf): some developments on the German cookies compliance rulings. From what I can see, nothing extraordinary, though I should read it in more detail some time.
💬Автор: Олег Блинов
Time for another batch of privacy news!
🔷 EU set to bar Meta from ads based on personal data (https://www.reuters.com/technology/eu-raises-concerns-over-metas-targeted-ad-model-wsj-2022-12-06/, https://noyb.eu/en/noyb-win-personalized-ads-facebook-instagram-and-whatsapp-declared-illegal): according to insiders, EDPB has asked the Irish DPA to issue of decision blocking Meta from relying on contract to provide personalized ads and to seek user consent instead. A binding decision from the Irish authorities is expected in Jan 23 and could come with a hefty fine. The fundamental disagreement is that Meta considers personalization an intrinsic part of their service, while the regulators consider it an intrusion into private space. This will likely further diminish the efficiency of ads on fb & Instagram and drive up ad costs for these platforms.
🔷 Italy fines US company behind Clubhouse €2M for GDPR violations (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9828901): the famous Clubhouse app owner was fined for failure to abide by a wide range of GDPR obligations, including privacy policy clarity, retention periods, DPIA etc. The most interesting part is that the DPA required Clubhouse to switch to consent for profiling, which was used to improve and personalize the experience, select interests, recommend rooms and users to follow and clubs of interest. Initially, the company relied on contract, which the DPA disagreed with. In one of the final paragraphs the DPA seems to state that profiling cannot be based on LI and consent is therefore the only option.
🔷 DSK updates TTDSG guidance (https://www.datenschutzkonferenz-online.de/media/oh/20221130_OH_Telemedien_2021_Version_1_1.pdf): some developments on the German cookies compliance rulings. From what I can see, nothing extraordinary, though I should read it in more detail some time.
Reuters
EU set to bar Meta from ads based on personal data
Meta will only be able to run advertising based on personal data with users' consent, according to a confidential EU privacy watchdog decision, a person familiar with the matter said on Tuesday, in a blow to the U.S. social network.
#materials #privacy
💬Источник: Андрей Прозоров
The best Information Security and Data Protection glossaries:
▫️ISACA (cybersecurity)
▫️NIST (cybersecurity)
▫️ISO
▫️IEC
▫️SANS (cybersecurity)
▫️PCI (cybersecurity)
▫️ACSC (Australian cybersecurity)
▫️NCSC (UK cybersecurity)
▫️BSI (GE, in German)
▫️IAPP (privacy)
▫️EDPS (privacy)
▫️Gartner (IT and other)
▫️Forrester (IT)
▫️AXELOS (ITIL v4)
▫️IAEA (Nuclear Safety and Security, 2022)
💬Источник: Андрей Прозоров
The best Information Security and Data Protection glossaries:
▫️ISACA (cybersecurity)
▫️NIST (cybersecurity)
▫️ISO
▫️IEC
▫️SANS (cybersecurity)
▫️PCI (cybersecurity)
▫️ACSC (Australian cybersecurity)
▫️NCSC (UK cybersecurity)
▫️BSI (GE, in German)
▫️IAPP (privacy)
▫️EDPS (privacy)
▫️Gartner (IT and other)
▫️Forrester (IT)
▫️AXELOS (ITIL v4)
▫️IAEA (Nuclear Safety and Security, 2022)
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
#justforfun
💬Источник: Tim Clements
Да, вышел драфт, но - слово за EDPB , а ещё за представителями стран ЕС, а также Парламент может все это притормозить.
Поэтому я не публикую в канале новости про проекты, драфты и фантазии о приватности - мир меняется стремительно за секунды🤪
💬Источник: Tim Clements
Да, вышел драфт, но - слово за EDPB , а ещё за представителями стран ЕС, а также Парламент может все это притормозить.
Поэтому я не публикую в канале новости про проекты, драфты и фантазии о приватности - мир меняется стремительно за секунды🤪
RPPA PRO: Privacy • AI • Cybersecurity • IP
#justforfun 💬Источник: Tim Clements Да, вышел драфт, но - слово за EDPB , а ещё за представителями стран ЕС, а также Парламент может все это притормозить. Поэтому я не публикую в канале новости про проекты, драфты и фантазии о приватности - мир меняется…
s_1671189167.pdf
42.3 KB
Forwarded from Privacy Advocates (Alexey Muntyan)
Обновлен базовый перечень целей обработки персональных данных. Перечень состоит из 101 микроцели, которые объединены в 12 макроцелей (для эффективного структурирования согласий на обработку персональных данных и направления уведомлений в Роскомнадзор), и применим к большинству организаций. Приведённый перечень целей не является исчерпывающим и требует дополнения в соответствии спецификой деятельности и её регулирования в отношении отдельно взятой организации.
🔸Оригинал схемы в хорошем качестве доступен на сайте RPPA.
🇷🇺💡👨🏫 #пд #цели #ropa #аналитика
🔸Оригинал схемы в хорошем качестве доступен на сайте RPPA.
🇷🇺💡👨🏫 #пд #цели #ropa #аналитика
#inspiration
Исследование Microsoft подтвердило, что встречи без перерывов пагубно влияют на уровень стресса, а также снижают концентрацию
Исследование Microsoft подтвердило, что встречи без перерывов пагубно влияют на уровень стресса, а также снижают концентрацию
#materials #152ФЗ
Утверждённые формы уведомлений от РКН, здесь
▫️Об обработке ПД
▫️Об изменений сведений в форме об обработке ПД
▫️О прекращении обработки ПД
Утверждённые формы уведомлений от РКН, здесь
▫️Об обработке ПД
▫️Об изменений сведений в форме об обработке ПД
▫️О прекращении обработки ПД
base.garant.ru
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 N 180 "Об утверждении…
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся…
#materials #privacy
Презентация Максима Лагутина - Итоги неспокойного 2022 и тренды на 2023 в части, здесь
Запись секции Privacy&Legal Tech с недели российского интернета, здесь
Презентация Максима Лагутина - Итоги неспокойного 2022 и тренды на 2023 в части, здесь
Запись секции Privacy&Legal Tech с недели российского интернета, здесь
#materials #cookies
По мнению испанского ркн, использование Google Analytics в общем даже ок, что не бьется с позициями других регуляторов (из Франции, Дании, Австрии, Нидерландов), а также NOYB.
Решение на испанском, обзор решения на английском
По мнению испанского ркн, использование Google Analytics в общем даже ок, что не бьется с позициями других регуляторов (из Франции, Дании, Австрии, Нидерландов), а также NOYB.
Решение на испанском, обзор решения на английском