Privacy Advocates
12.9K subscribers
491 photos
25 videos
146 files
3.59K links
Новости, инсайты и секреты по защите персональных данных, лайвхаки на проверках, трансграничная передача и локализация, предотвращение утечек, регулирование биометрии.
👨🏻‍💻 @actuaris
Download Telegram
🇪🇺🇺🇸🏛️ #шремс2 #cnil #трансграничка #сша #gdpr
Французский орган по защите данных («CNIL») 07.06.2022 опубликовал Q&A в отношении использования Google Analytics, а также руководство по правомерному использованию систем анализа поведения посетителей интернет-ресурсов в контексте решения CJEU 'Schrems II'.

1️⃣ Неэффективные практики
✴️ Попытка сконфигурировать настройки Google Analytics таким образом, чтобы пользовательские данные не передавались из ЕС в США или чтобы в США передавались только анонимные данные.
✴️ Шифрование является достаточной защитой только в той мере, в какой экспортер данных имеет исключительный контроль над ним, в то же время Google сам шифрует собираемые Google Analytics пользовательские данные и может получить к ним доступ или предоставить его по запросу спецслужб США.

2️⃣ Потенциально эффективной практикой может являться использование прокси-сервера для передачи данных в системы аналитики вне ЕС/ЕЭЗ при условии, что такой сервер должен соответствовать следующим условиям:
отсутствие передачи IP-адреса на серверы вне ЕС/ЕЭЗ;
подмена идентификатора пользователя прокси-сервером;
удаление внешней по отношению к интернет-ресурсу информации о ссылающемся на него сайте;
удаление любого параметра, содержащегося в собранных URL-адресах (например, UTM и параметры URL-адресов, обеспечивающие внутреннюю маршрутизацию интернет-ресурса);
переработка сведений, могущих быть использованными в создании цифрового отпечатка (например, «пользовательские агенты» - user agents), для удаления самых редких конфигураций, которые могут привести к реидентификации пользователя;
отсутствие какого-либо набора межсайтовых идентификаторов;
удаление любых других данных, которые могут привести к реидентификации пользователя.
✳️ Также необходимо убедиться, что сам хостинг прокси-сервера гарантирует отсутствие передачи входящих «сырых» данных за пределы ЕС (до момента их обработки – как указано выше).
🇪🇺🏛️ #шремс2 #scc #трансuраничка #gdpr
Разъяснения датского Datatilsynet о концепции «экспортеров данных».
🔹Датский орган по защите данных ("Datatilsynet") опубликовал 08.06.2022 разъяснения о концепции "экспортеров данных", которые адресованы контроллерам, использующим европейских процессоров, но при этом один или несколько их субпроцессоров находятся за пределами ЕС/ЕЭЗ, а также процессорам в ЕС/ЕЭЗ, которые предоставляют услуги, используя субпроцессоров за пределами ЕС/ЕЭЗ. В отношении передачи данных ст.44 GDPR налагает обязательство как на контролеров, так и на процессоров, где обе стороны обязаны обеспечить эффективное основание для передачи данных.
🔹Возникает много вопросов, когда европейский контроллер использует одного или нескольких процессоров в пределах ЕС/ЕЭЗ, а один или несколько его субпроцессоров находятся за пределами ЕС/ЕЭЗ. Благодаря новым SCC, процессор может заключить договор напрямую с любым субпроцессором в третьих странах, чтобы обеспечить необходимое основание для передачи в соответствии со ст.46(2)(c) GDPR. В таких случаях именно обработчик называется "экспортером данных" и непосредственно связан положениями стандартного договора и его содержанием.
🔹Кроме того, на практике за контроллером остается обязанность обеспечить и быть в состоянии продемонстрировать органу власти, что процессор установил необходимую основу для передачи и что эта основа для передачи является эффективной в свете всех обстоятельств передачи, включая реализацию дополнительных защитных мер.
🇪🇺🏛️ #google #analytics #ес #трансграничка #шремс2
🔹Итальянский надзорный орган в сфере защиты персональных данных, Garante per la protezione dei dati personali, признал незаконным использование местным сайтом статистического сервиса Google Analytics.
🔹Итальянское ведомство посчитало, что работа сервиса связана с нарушением европейского закона о защите персональных данных (ПД) GDPR — Google Analytics отправляет ПД итальянцев в США, где к информации могут получить доступ американские спецслужбы.
🔹Расследование надзорного органа показало, что прибегнувший к услугам Google Analytics сайт собирал различные пользовательские данные, включая IP-адрес устройства, с которого осуществлялся вход на сайт, информацию о браузере, операционной системе, разрешении экрана, используемом языке, времени визита.
🔹Ведомство предписало владельцу ресурса устранить нарушение в течение 90 дней, а также предупредило владельцев других местных сайтов, использующих Google Analytics, о необходимости выяснить, не нарушает ли данная практика законы ЕС.