#materials #onestopshop #edpb

Инфографика по one stop shop механизму от EDPB

#materials #privacy #gdpr #edpb

Финальная версия руководства EDPB on the concepts of controller and processor in the GDPR: https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf

#materials #transfers #privacy #gdpr #edpb

Руководство от EDPB on codes of conduct as tools for transfers

​​#materials #edpb #privacy

Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities от EDPB

#materials #eprivacy #edpb

Разъяснения EDPB по территориальной применимости ePrivacy Directive, здесь.

Ниже выдержка без перевода, ибо каким он ни был бы хорошим, мб искажён смысл.

Consequently, when the processing is regulated exclusively by the national law provisions transposing Article 5(3) of the ePrivacy Directive, the EDPB considers that SAs competent for the enforcement of Article 5(3) of the ePrivacy Directive are entitled to exercise the powers conferred on them by their national law, whenever:

◾️the controller/service provider is established in their territorial jurisdiction
◾️the processing is carried out in the context of the activities of an establishment located in their territorial jurisdiction, even when exclusive responsibility for collecting and processing belongs, for the entire territory of the European Union, to an establishment situated in another Member State;
◾️in the absence of controller/service provider or establishment in their territorial jurisdiction, the national law provides another criterion for its enforcement.

In any event, the measures taken:
◾️should not concern users located in a territorial jurisdiction for which the SA is not
competent;
◾️should not prevent another competent SA to enforce the ePrivacy Directive in
respect of its territorial jurisdiction

#materials #edpb

⚙️Утвердили: Guidelines 10/2020 on restrictions under Article 23 GDPR

📎Ссылка: https://edpb.europa.eu/system/files/2021-10/edpb_guidelines202010_on_art23_adopted_after_consultation_en.pdf?fbclid=IwAR2TbI1CPebPTyXUnQkXp_1egxhsBtIwthY1gnS9PQkR-Tw-L5dFRc5fSSo

#materials #edpb

Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

⚙️Полезности: немного разъяснений о применимости, а также критерии для трангранички найдёшь

НавигацииПоКаналуДля

#ЯрмаркаВакансий - вакансии в сфере приватности, также здесь

#НеДляГалочки - наш подкаст о приватности из первых уст, также Apple и Яндекс

#qna - ответы ведущих экспертов по приватности на твои вопросы, также здесь

#materials - полезные материалы по приватности и ИБ, а документы RPPA здесь

​​#rppa - активности, связанные с Russian Privacy Professionals Association, нас уже более 1 300 участников, вступай

#events - известные нам мероприятия в сфере приватности и ИБ, бесплатные и платные

#education - курсы по приватности, а наш бесплатный базовый курс здесь

#PrivacyNews - авторский обзор новостей по приватности

#RadioGroot - записи интервью о жизни с ведущими экспертами в области приватности

#свахаКрис - помощь в поиске работы в области приватности

#PrivacyКоучинг - coming soon

#DPOTalks - ежемесячные онлайн посиделки с экспертами по приватности

#сегоднячитаюканалы - самые вкусные инфо-выжимки из соседних каналов по приватности

И много других тематических хэштегов: #152ФЗ, #gdpr, #transfers, #dpia, #tool, #cybersecurity, #ENISA, #EDPB, #caselaw, #risks, #DPbDD, #fines, #databreach, #news, #anonymisation, #localization, #applicability, #legislation, #cookies,
плюс рекомендую поиск по каналу.

С любовью и солнышком,
Крис

RPPA.ru | FB | YouTube | Instagram

#materials #EDPB

Руководство EDPB on data subject rights - Right of access.

💡Использование: реализация права субъекта на доступ к ПД в рамках гдпр / лучшие практики для 152-ФЗ

#materials #EDPB #rights

Основные тезисы Руководства EDPB по доступу к данным и реализации прав субъектов.

💬Автор: Олег Блинов

Ст. 12: Как реализовывать права субъектов

▫️Запрос нельзя направлять на совершенно непригодные для этого каналы (к примеру, на адрес клининг-леди). А вот если это обычный способ общения с контролером (читай, адрес суппорта), то обращение эффективно, даже если вы обозначили, что запросы по перс данным нужно слать только на конкретный адрес.

▫️ Если данные собираются через псевдономизированные данные (к примеру, айди в куках), то нужно предусматривать способы реализации прав, завязанные с такими айди;
запрос паспорта как правило является непропорциональной мерой для идентификации субъекта;

▫️В случае запроса паспорта контролер должен предупредить субъекта, что он может повесить черные прямоугольники на все, кроме имени, выдавшего органа, срока действительности, т.е. в том числе удалить номер паспорта.

▫️ При реализации прав субъекта через посреднические сервисы нужно проверять полномочия типа доверок.

▫️ Срок ответа начинается в момент получения запроса. Срок ставится на паузу на время уточнения запроса / идентификации субъекта.

Ст. 15: Право на доступ

▫️ Ответ состоит из 3 частей: (1) подтверждение обработки; (2) информация об обработке; (3) копия.

▫️ Не имеет значения, зачем субъект запрашивает данные. Даже если хочет навредить контроллеру / подать на него в суд / вотэвер.

▫️ Право на доступ не зависит от источника данных (структурированные <> неструктурированные данные).

▫️ Деньги за запрос можно брать только за повторный запрос. Если запрос касается других данных или в другой момент времени, то это новый запрос, денег за него просить нельзя.

▫️Стоимость копии включает только стоимость самой копии, но не административные расходы на ее подготовку.

▫️Если инфы очень очень много, то субъекту можно предложить уточнить свой запрос. Если субъект отвечает, что хочет все, то нужно предоставить все.

▫️Если контроллер обнаруживает незаконную обработку данных, то нужно предоставить эти незаконно обрабатываемые данные и снабдить пояснением, что закон нарушен

▫️ст. 32 применяется к экспорту данных. Стоит использовать шифрование, пароли и тд.

▫️Чтобы запрос считался относящимся к ст. 15, достаточно, чтобы субъект выразил желание узнать, какие ПДн обрабатываются контролером. Примеры вордингов запросов: (1) wish to obtain access to the personal data; (2) exercising their right of access; (3) wish to know the information concerning them that the controller processes.

▫️Если предоставленная копия включает данные третьих лиц, то нужно предупредить субъекта, что в случае выхода за пределы household exemption from GDPR applicability он станет сам оператором.

▫️Если данные удалены из production systems, но сохраняются в бекапах, то нужно сообщить об этом субъекту и в случае технической возможности предоставить доступ к ним.

▫️Хотя у контролера есть право выбора, раскрывать ли recipients or categories of recipients, нужно быть настолько точными, насколько возможно (вау, спасибо).

▫️Если не можем назвать конкретный срок хранения, то нужно назвать триггер для начала срока и срок после него.

▫️📢(!!!) При предоставлении данных нет никакого теста пропорциональности запроса / целей запроса и необходимых усилий контролера. Это прямой ответ на практику, которую кидал выше, что Право на access по ст. 15 не безусловно согласно немецким судам.

▫️Если предоставляются “сырые” данные, то нужно обязательно сопровождать их пояснениями, чтобы обычный человек их мог понять
предоставлять ответ можно в пдф и других немашиночитаемых форматах.

▫️В предоставлении доступа можно отказать, если это нарушает коммерческую тайну / иной айпи, но нужно обосновать такое решение.

Ссылка с практикой немецких судов🔽

#materials #privacy #EDPB

Ежегодный отчёт EDPB за 2021 год, здесь

💬Источник: Денис Садовников

💡Использование: чекнуть активности борда на случай, если что-то важное было упущено

#materials #EDPB

Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority

💡Использование: для компаний с несколькими учреждениями в ЕС для выбора ведущего регулятора

#materials #EDPB

🔆Facebook and Instagram decisions: “Important impact on use of personal data for behavioural advertising”.

🔆А здесь от ирландского ркн разборчик.

🔆Вот реакция NOYB

🔆А в закрытом чате RPPA уже второй день идёт наинтереснейшая дискуссия по этому кейсу, присоединяйся!

#materials #GDPR #EDPB

One-Stop-Shop case digest
on right to object and right to erasure

#materials #edpb #transfers

Опубликованы Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

#materials #edpb

А также Guidelines on Deceptive design patterns in social media platform interfaces: how to recognise and avoid them

#privacy #edpb #gdpr

Ой, ну в честь дня приватности контента будет много. А вот и чек-лист по GDPR от EDPB