🇪🇺🇺🇸🏛️ #шремс2 #cnil #трансграничка #сша #gdpr
Французский орган по защите данных («CNIL») 07.06.2022 опубликовал Q&A в отношении использования Google Analytics, а также руководство по правомерному использованию систем анализа поведения посетителей интернет-ресурсов в контексте решения CJEU 'Schrems II'.
1️⃣ Неэффективные практики
✴️ Попытка сконфигурировать настройки Google Analytics таким образом, чтобы пользовательские данные не передавались из ЕС в США или чтобы в США передавались только анонимные данные.
✴️ Шифрование является достаточной защитой только в той мере, в какой экспортер данных имеет исключительный контроль над ним, в то же время Google сам шифрует собираемые Google Analytics пользовательские данные и может получить к ним доступ или предоставить его по запросу спецслужб США.
2️⃣ Потенциально эффективной практикой может являться использование прокси-сервера для передачи данных в системы аналитики вне ЕС/ЕЭЗ при условии, что такой сервер должен соответствовать следующим условиям:
✅ отсутствие передачи IP-адреса на серверы вне ЕС/ЕЭЗ;
подмена идентификатора пользователя прокси-сервером;
✅ удаление внешней по отношению к интернет-ресурсу информации о ссылающемся на него сайте;
✅ удаление любого параметра, содержащегося в собранных URL-адресах (например, UTM и параметры URL-адресов, обеспечивающие внутреннюю маршрутизацию интернет-ресурса);
✅ переработка сведений, могущих быть использованными в создании цифрового отпечатка (например, «пользовательские агенты» - user agents), для удаления самых редких конфигураций, которые могут привести к реидентификации пользователя;
✅ отсутствие какого-либо набора межсайтовых идентификаторов;
удаление любых других данных, которые могут привести к реидентификации пользователя.
✳️ Также необходимо убедиться, что сам хостинг прокси-сервера гарантирует отсутствие передачи входящих «сырых» данных за пределы ЕС (до момента их обработки – как указано выше).
Французский орган по защите данных («CNIL») 07.06.2022 опубликовал Q&A в отношении использования Google Analytics, а также руководство по правомерному использованию систем анализа поведения посетителей интернет-ресурсов в контексте решения CJEU 'Schrems II'.
1️⃣ Неэффективные практики
✴️ Попытка сконфигурировать настройки Google Analytics таким образом, чтобы пользовательские данные не передавались из ЕС в США или чтобы в США передавались только анонимные данные.
✴️ Шифрование является достаточной защитой только в той мере, в какой экспортер данных имеет исключительный контроль над ним, в то же время Google сам шифрует собираемые Google Analytics пользовательские данные и может получить к ним доступ или предоставить его по запросу спецслужб США.
2️⃣ Потенциально эффективной практикой может являться использование прокси-сервера для передачи данных в системы аналитики вне ЕС/ЕЭЗ при условии, что такой сервер должен соответствовать следующим условиям:
✅ отсутствие передачи IP-адреса на серверы вне ЕС/ЕЭЗ;
подмена идентификатора пользователя прокси-сервером;
✅ удаление внешней по отношению к интернет-ресурсу информации о ссылающемся на него сайте;
✅ удаление любого параметра, содержащегося в собранных URL-адресах (например, UTM и параметры URL-адресов, обеспечивающие внутреннюю маршрутизацию интернет-ресурса);
✅ переработка сведений, могущих быть использованными в создании цифрового отпечатка (например, «пользовательские агенты» - user agents), для удаления самых редких конфигураций, которые могут привести к реидентификации пользователя;
✅ отсутствие какого-либо набора межсайтовых идентификаторов;
удаление любых других данных, которые могут привести к реидентификации пользователя.
✳️ Также необходимо убедиться, что сам хостинг прокси-сервера гарантирует отсутствие передачи входящих «сырых» данных за пределы ЕС (до момента их обработки – как указано выше).
www.cnil.fr
Transferts de données vers les États-Unis : la Commission européenne adopte une nouvelle décision d’adéquation
Le 10 juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation concernant les États-Unis.
🇪🇺💡🏛️ #ес #cctv #cnil #разъяснения
Французский надзорный орган CNIL опубликовал разъяснения о разнице между видеонаблюдением с использованием биометрии и "дополненным" видеонаблюдением, которое оснащено ПО с искусственным интеллектом. Например, видеофиксация общественного шоссе для подсчета в реальном времени различных видов участников движения (пешеходы, автомобили, велосипеды) или подсчет и классификация (пол, возраст и т.д.) людей, посещающих торговый центр, чтобы адаптировать содержание рекламы или расположение вывесок или товаров.
Французский надзорный орган CNIL опубликовал разъяснения о разнице между видеонаблюдением с использованием биометрии и "дополненным" видеонаблюдением, которое оснащено ПО с искусственным интеллектом. Например, видеофиксация общественного шоссе для подсчета в реальном времени различных видов участников движения (пешеходы, автомобили, велосипеды) или подсчет и классификация (пол, возраст и т.д.) людей, посещающих торговый центр, чтобы адаптировать содержание рекламы или расположение вывесок или товаров.
controle-age_sites-web_infographie.png
319.6 KB
🇪🇺💡🏛️ #ес #web #дети #cnil #рекомендации
Рекомендации от CNIL по разработке технических решений для проверки возраста пользователей, следование которым должно обеспечить тройную защиту приватности пользователя интернет-ресурса:
🔸провайдер сервиса по идентификации может установить личность пользователя, но не знает, к какому ресурсу он обращается;
🔸провайдер сервиса по подтверждению возраста пользователя для владельца ресурса, может знать ресурс или услугу, к которой обращается пользователь, но не может идентифицировать пользователя;
🔸владелец ресурса, которому необходимо проверить возраст, знает, что пользователь является совершеннолетним и что он обращается к ресурсу, но не может идентифицировать пользователя.
Спасибо, @DenisSADOVNIKOV!
Рекомендации от CNIL по разработке технических решений для проверки возраста пользователей, следование которым должно обеспечить тройную защиту приватности пользователя интернет-ресурса:
🔸провайдер сервиса по идентификации может установить личность пользователя, но не знает, к какому ресурсу он обращается;
🔸провайдер сервиса по подтверждению возраста пользователя для владельца ресурса, может знать ресурс или услугу, к которой обращается пользователь, но не может идентифицировать пользователя;
🔸владелец ресурса, которому необходимо проверить возраст, знает, что пользователь является совершеннолетним и что он обращается к ресурсу, но не может идентифицировать пользователя.
Спасибо, @DenisSADOVNIKOV!
🇨🇵❗🏛️ #cnil #штраф #gdpr
🔸Национальная комиссия по делам информационных технологий и правам человека (CNIL) Франции оштрафовала Discord на 800 000 евро за нарушение ст.5(1)e, 13, 25(2), 32, 35 GDPR.
🔸В базе данных Discord хранились аккаунты почти 2,5 миллионов французов, которые не использовались более трех лет. Теперь платформа обязуется удалять учетные записи пользователей после двух лет бездействия.
🔸Discord принимает слишком простые пароли (из шести символов). Теперь платформа требует более длинные и сложные пароли.
🔸CNIL также предупредила, что после закрытия окна Discord пользователь не выходит из голосового чата автоматически. Чтобы решить эту проблему, платформа установила всплывающее окно, которое предупреждает людей о том, что приложение может работать в фоновом режиме после закрытия окна.
🔸Национальная комиссия по делам информационных технологий и правам человека (CNIL) Франции оштрафовала Discord на 800 000 евро за нарушение ст.5(1)e, 13, 25(2), 32, 35 GDPR.
🔸В базе данных Discord хранились аккаунты почти 2,5 миллионов французов, которые не использовались более трех лет. Теперь платформа обязуется удалять учетные записи пользователей после двух лет бездействия.
🔸Discord принимает слишком простые пароли (из шести символов). Теперь платформа требует более длинные и сложные пароли.
🔸CNIL также предупредила, что после закрытия окна Discord пользователь не выходит из голосового чата автоматически. Чтобы решить эту проблему, платформа установила всплывающее окно, которое предупреждает людей о том, что приложение может работать в фоновом режиме после закрытия окна.
www.cnil.fr
Sanction de 800 000 euros à l’encontre de la société DISCORD INC.
Le contexte DISCORD est un service de voix sur IP (technologie qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam via Internet) et de messagerie instantanée, dans laquelle les utilisateurs peuvent créer des serveurs, des salons…
🔸Французский орган по защите данных ("CNIL") 19.12.2022 оштрафовал компанию Microsoft Ireland Operations Limited на €60,000,000 за то, что в нарушение ст.82 Закона №78-17 от 06.01.1978 "Об обработке данных, файлах данных и свободах личности" при посещении пользователями сайта bing.com на пользовательские устройства без их согласия помещались файлы cookie, которые использовались с несколькими целями, включая противодействие рекламному мошенничеству, а когда пользователи продолжали использовать поисковую систему Bing, на их устройство помещался файл cookie с рекламной целью, опять же без получения согласия пользователей. Кроме того, CNIL указала, что, хотя поисковая система предлагала веб-баннер с кнопкой для немедленного принятия файлов cookie, она не предложила эквивалентного решения (кнопку для отказа или другое), чтобы пользователь мог так же легко отказаться от них.
🔸В связи с вышеизложенным, CNIL приняла решение о наложении штрафа в вышеуказанном размере на компанию Microsoft, а также о вынесении судебного запрета, предписывающего Microsoft в течение трех месяцев изменить методы сбора согласия пользователей, находящихся во Франции, на использование файлов cookie, предложив им такое же простое средство отказа, как и механизм, предусмотренный для их принятия, а также предусматривающего наложение дополнительных штрафов в размере €60,000 за каждый день несоблюдения требований по истечении этого периода.
🇪🇺🇫🇷⚡🏛️ #cnil #cookies #microsoft #штраф
🔸В связи с вышеизложенным, CNIL приняла решение о наложении штрафа в вышеуказанном размере на компанию Microsoft, а также о вынесении судебного запрета, предписывающего Microsoft в течение трех месяцев изменить методы сбора согласия пользователей, находящихся во Франции, на использование файлов cookie, предложив им такое же простое средство отказа, как и механизм, предусмотренный для их принятия, а также предусматривающего наложение дополнительных штрафов в размере €60,000 за каждый день несоблюдения требований по истечении этого периода.
🇪🇺🇫🇷⚡🏛️ #cnil #cookies #microsoft #штраф
www.cnil.fr
Cookies : sanction de 60 millions d’euros à l’encontre de MICROSOFT IRELAND OPERATIONS LIMITED | CNIL
Le contexte À la suite d’une plainte portant sur les conditions du dépôt de cookies sur « bing.com », la CNIL a effectué plusieurs contrôles sur le site web en septembre 2020 et mai 2021. Elle a constaté que lorsqu’un utilisateur se rendait sur ce site, des…