#отзыв
❓Почему стоит пройти курс GDPR DPP?
❓Кому подойдет данный курс?
❓Какие достоинства и преимущества курса можно выделить?
Об этом и не только поговорили с выпускником курса GDPR DPP Павлом Лозовенко, специалистом по защите персональных данных (Senior Data Protection Specialist) в компании, которая занимается разработкой мобильных игр, в публикации "Что говорят выпускники о курсе GDPR DPP?"
Ссылка 👉🏻 https://data-privacy-office.com/about-gdpr-dpp/
Узнать подробнее о новом потоке курса GDPR Data Privacy Professional можно у нашего менеджера Антона.
❓Почему стоит пройти курс GDPR DPP?
❓Кому подойдет данный курс?
❓Какие достоинства и преимущества курса можно выделить?
Об этом и не только поговорили с выпускником курса GDPR DPP Павлом Лозовенко, специалистом по защите персональных данных (Senior Data Protection Specialist) в компании, которая занимается разработкой мобильных игр, в публикации "Что говорят выпускники о курсе GDPR DPP?"
Ссылка 👉🏻 https://data-privacy-office.com/about-gdpr-dpp/
Узнать подробнее о новом потоке курса GDPR Data Privacy Professional можно у нашего менеджера Антона.
🔥4❤🔥1❤1
Представитель в Европейской экономической зоне. А у вас он есть?
Если вы — контролер или процессор, находящийся за пределами ЕЭЗ, вам следует назначить представителя в ЕЭЗ по вопросам обработки персональных данных. Это правило действует для всех контролеров и процессоров, обработка данных которыми подпадает под действие GDPR в соответствии со ст. 3(2) GDPR.
Однако в редких случаях представителя действительно можно не назначать. Для этого должны сойтисьзвезды ✨одновременно несколько условий:
📉 обработка персональных данных носит нерегулярный характер;
🔒 обработка не предусматривает обработку в большом масштабе специальных категорий данных 👩⚕️🩺(статья 9(1) GDPR), или персональных данных, касающихся судимостей и правонарушений 👮♀️🔗(cтатья 10 GDPR);
💣 низка вероятность того, что обработка (с учетом своего характера, контекста, масштаба и целей) приведет к какому бы то ни было риску для прав и свобод физических лиц.
Пример: китайская компания разработала ПО для управления производственными процессами в химической промышленности. На своем сайте, доступном в том числе на английском языке, они заявляют о том, что готовы заключить лицензионное соглашение с компанией из любой точки мира. Помимо развертывания ПО на серверах клиента, китайская компания также оказывает услуги по технической доработке и обновлению ПО.
В подобной ситуации китайская компания обрабатывает персональные данные представителей своих европейских клиентов (или потенциальных клиентов) и ориентируется в том числе на рынок ЕЭЗ. Это позволяет говорить о применимости к такой обработке норм GDPR 🇪🇺 по статье 3(2) GDPR.
Поскольку ПО предназначено для управления производственными процессами (не для управления персоналом или доступом к базам данных), объем именно персональных данных в такой системе будет невелик (например, там могут быть указаны данные инженеров, ответственных за определенный процесс). Поэтому даже получив доступ к этим данным во время обновления и обслуживания системы, китайская компания будет обрабатывать персональные данные фактически на нерегулярной основе. Кроме того, в этой системе не будет специальных персональных данных или данных о судимости и правонарушениях. И, наконец, такая обработка вряд ли приведет к каким-либо рискам ⚡️ для прав и свобод физических лиц. То есть, китайской компании ✅ не нужно назначать представителя в ЕЭЗ по вопросам обработки персональных данных. Кроме того, если в этой компании работает менее 250 человек, она также не обязана вести реестр обработок персональных данных (ст. 30(5) GDPR) 👍
Если вы — контролер или процессор, находящийся за пределами ЕЭЗ, вам следует назначить представителя в ЕЭЗ по вопросам обработки персональных данных. Это правило действует для всех контролеров и процессоров, обработка данных которыми подпадает под действие GDPR в соответствии со ст. 3(2) GDPR.
Однако в редких случаях представителя действительно можно не назначать. Для этого должны сойтись
📉 обработка персональных данных носит нерегулярный характер;
🔒 обработка не предусматривает обработку в большом масштабе специальных категорий данных 👩⚕️🩺(статья 9(1) GDPR), или персональных данных, касающихся судимостей и правонарушений 👮♀️🔗(cтатья 10 GDPR);
💣 низка вероятность того, что обработка (с учетом своего характера, контекста, масштаба и целей) приведет к какому бы то ни было риску для прав и свобод физических лиц.
Пример: китайская компания разработала ПО для управления производственными процессами в химической промышленности. На своем сайте, доступном в том числе на английском языке, они заявляют о том, что готовы заключить лицензионное соглашение с компанией из любой точки мира. Помимо развертывания ПО на серверах клиента, китайская компания также оказывает услуги по технической доработке и обновлению ПО.
В подобной ситуации китайская компания обрабатывает персональные данные представителей своих европейских клиентов (или потенциальных клиентов) и ориентируется в том числе на рынок ЕЭЗ. Это позволяет говорить о применимости к такой обработке норм GDPR 🇪🇺 по статье 3(2) GDPR.
Поскольку ПО предназначено для управления производственными процессами (не для управления персоналом или доступом к базам данных), объем именно персональных данных в такой системе будет невелик (например, там могут быть указаны данные инженеров, ответственных за определенный процесс). Поэтому даже получив доступ к этим данным во время обновления и обслуживания системы, китайская компания будет обрабатывать персональные данные фактически на нерегулярной основе. Кроме того, в этой системе не будет специальных персональных данных или данных о судимости и правонарушениях. И, наконец, такая обработка вряд ли приведет к каким-либо рискам ⚡️ для прав и свобод физических лиц. То есть, китайской компании ✅ не нужно назначать представителя в ЕЭЗ по вопросам обработки персональных данных. Кроме того, если в этой компании работает менее 250 человек, она также не обязана вести реестр обработок персональных данных (ст. 30(5) GDPR) 👍
❤5🔥4👍3
«Коучинг по подготовке к CIPP/E - это самый 🪄волшебный пендель, который нужен всем», – делится впечатлениями о курсе Ксения, выпускница предыдущего потока.
«Трепетно люблю вашу школу и всем рекомендую! Это тот самый волшебный пендель, который нужен всем. Тренер коучинга Татьяна – замечательная и очень поддержала и помогла не забросить и быстро сдать экзаменационный тест.
Я бы будущим ученикам сказала так, волшебства ждать не надо – за вас никто не выучит и не сдаст. Но для того, кто готов учить, работать, это очень нужное подспорье».
😍 Поэтому, если вам нужна поддержка, команда и мотивация, то присоединяйтесь к августовскому потоку коучинга по подготовке к сертификации CIPP/E. С вас – желание работать, так как мы не школа магии, а приватности.
Все подробности узнавайте у нашего менеджера Антона или на сайте:) 💭Ждем ваших сообщений. Ближайший поток: 17 августа - 30 октября😊
«Трепетно люблю вашу школу и всем рекомендую! Это тот самый волшебный пендель, который нужен всем. Тренер коучинга Татьяна – замечательная и очень поддержала и помогла не забросить и быстро сдать экзаменационный тест.
Я бы будущим ученикам сказала так, волшебства ждать не надо – за вас никто не выучит и не сдаст. Но для того, кто готов учить, работать, это очень нужное подспорье».
😍 Поэтому, если вам нужна поддержка, команда и мотивация, то присоединяйтесь к августовскому потоку коучинга по подготовке к сертификации CIPP/E. С вас – желание работать, так как мы не школа магии, а приватности.
Все подробности узнавайте у нашего менеджера Антона или на сайте:) 💭Ждем ваших сообщений. Ближайший поток: 17 августа - 30 октября😊
🔥8❤2
Мы вновь готовимся к встрече с вами в эфире! Тема нашей следующей встречи - "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" 💫
Теория - это прекрасно, но практика делает её гораздо нагляднее. Во время эфира мы рассмотрим ошибки в составлении политики приватности на конкретных примерах. Мы прочитали десятки политик, составленных белорусскими организациями, подобрали наиболее часто встречающиеся ошибки и хотим показать их вам (чтобы вы знали, как точно не надо🫢).
Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Кроме того, мы собрали не только ошибки, но и примеры качественно написанных политик (честное слово, среди подобранных примеров нет наших клиентов 😊). Так что мы не только критикуем, мы ещё и показываем, как сделать лучше.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
Встречаемся в четверг (13 июля) в 16:00 (GMT+3), в нашем телеграм-канале "ПРО Приватность". Не забудьте внести эфир в календарь!
Теория - это прекрасно, но практика делает её гораздо нагляднее. Во время эфира мы рассмотрим ошибки в составлении политики приватности на конкретных примерах. Мы прочитали десятки политик, составленных белорусскими организациями, подобрали наиболее часто встречающиеся ошибки и хотим показать их вам (чтобы вы знали, как точно не надо🫢).
Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Кроме того, мы собрали не только ошибки, но и примеры качественно написанных политик (честное слово, среди подобранных примеров нет наших клиентов 😊). Так что мы не только критикуем, мы ещё и показываем, как сделать лучше.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
Встречаемся в четверг (13 июля) в 16:00 (GMT+3), в нашем телеграм-канале "ПРО Приватность". Не забудьте внести эфир в календарь!
👍6
Data Privacy Office открывает набор на стажировку в практику защиты персональных данных по европейскому праву 🚀
Коллеги, мы в поиске студентов-юристов старших курсов и недавних выпускников. Будем рады, если вы поделитесь контактами или перешлете это сообщение своим знакомым.
Немного о нас😁
Data Privacy Office — консалтинговая и тренинговая компания в области защиты персональных данных. Мы помогаем IT компаниям осваивать зарубежные рынки, приводя их работу с персональными данными в соответствие с местным регулированием. Мы растем и расширяемся, открыли офисы в Минске, Берлине и Дубае и ищем в команду умных и заряженных ребят, которым поможем вырасти в ценных и крутых специалистов.
Наш идеальный молодой специалист имеет:
▪️широкий правовой кругозор (знания в областях договорного права, IP, международного права и прав человека, конституционного, административного и даже уголовного - все это пригодится и будет крепкой основой);
▫️ базовые знания истории и права ЕС;
▪️ интерес к регулированию персданных в зарубежных странах (мы работаем не только с правом ЕС, но и многих других стран);
▫️ хорошую успеваемость;
▪️базовое понимание IT, интерес к сфере IT, AI, регулированию Интернета и связи и даже шпионским скандалам;
▫️ интерес к -tech бизнесу и к бизнесу вообще (консультант погружается и досконально разбирается в бизнесе своего клиента);
▪️умеет говорить и писать грамотно, понятно и по делу;
▫️ свободный английский (или не ниже B2), знание других иностранных языков очень приветствуется.
Soft skills:
🔺Ценностная установка: человек - это цель, а не средство;
🔺Разносторонние интересы и навыки;
🔺Умение работать как в команде, так и самостоятельно;
🔺Стремление к постоянной учебе и развитию.
Продолжительность стажировки — 3 месяца. Стажировка неоплачиваемая, но мы вкладываемся и обучаем наших стажеров:
➖ стажер проходит наш топовый курс DPP (Data Privacy Professional);
➖ изучает множество других тем, которые не вошли в курс;
➖ находится под наставничеством старшего консультанта;
➖ участвует в реальных консалтинговых проектах;
➖ участвует в других проектах (мы пишем, выступаем, делаем аналитику, а также поддерживаем самую удобную нормативно-правовую базу по европейскому data protection регулированию GDPR-text.com).
По результатам стажировки лучшим мы предложим присоединиться к команде в качестве помощника/младшего консультанта.
Стажировка предполагает удаленный формат, но если ваше местоположение совпадет с местоположением нашего консультанта, то формат может стать гибридным :)
Ждем CV с парой сопроводительных строк на daria.zagranichnova@data-privacy-office.eu
Будьте готовы выполнить тестовое задание. Отбор состоит из скрининга резюме, тестового задания и устного собеседования.
Коллеги, мы в поиске студентов-юристов старших курсов и недавних выпускников. Будем рады, если вы поделитесь контактами или перешлете это сообщение своим знакомым.
Немного о нас😁
Data Privacy Office — консалтинговая и тренинговая компания в области защиты персональных данных. Мы помогаем IT компаниям осваивать зарубежные рынки, приводя их работу с персональными данными в соответствие с местным регулированием. Мы растем и расширяемся, открыли офисы в Минске, Берлине и Дубае и ищем в команду умных и заряженных ребят, которым поможем вырасти в ценных и крутых специалистов.
Наш идеальный молодой специалист имеет:
▪️широкий правовой кругозор (знания в областях договорного права, IP, международного права и прав человека, конституционного, административного и даже уголовного - все это пригодится и будет крепкой основой);
▫️ базовые знания истории и права ЕС;
▪️ интерес к регулированию персданных в зарубежных странах (мы работаем не только с правом ЕС, но и многих других стран);
▫️ хорошую успеваемость;
▪️базовое понимание IT, интерес к сфере IT, AI, регулированию Интернета и связи и даже шпионским скандалам;
▫️ интерес к -tech бизнесу и к бизнесу вообще (консультант погружается и досконально разбирается в бизнесе своего клиента);
▪️умеет говорить и писать грамотно, понятно и по делу;
▫️ свободный английский (или не ниже B2), знание других иностранных языков очень приветствуется.
Soft skills:
🔺Ценностная установка: человек - это цель, а не средство;
🔺Разносторонние интересы и навыки;
🔺Умение работать как в команде, так и самостоятельно;
🔺Стремление к постоянной учебе и развитию.
Продолжительность стажировки — 3 месяца. Стажировка неоплачиваемая, но мы вкладываемся и обучаем наших стажеров:
➖ стажер проходит наш топовый курс DPP (Data Privacy Professional);
➖ изучает множество других тем, которые не вошли в курс;
➖ находится под наставничеством старшего консультанта;
➖ участвует в реальных консалтинговых проектах;
➖ участвует в других проектах (мы пишем, выступаем, делаем аналитику, а также поддерживаем самую удобную нормативно-правовую базу по европейскому data protection регулированию GDPR-text.com).
По результатам стажировки лучшим мы предложим присоединиться к команде в качестве помощника/младшего консультанта.
Стажировка предполагает удаленный формат, но если ваше местоположение совпадет с местоположением нашего консультанта, то формат может стать гибридным :)
Ждем CV с парой сопроводительных строк на daria.zagranichnova@data-privacy-office.eu
Будьте готовы выполнить тестовое задание. Отбор состоит из скрининга резюме, тестового задания и устного собеседования.
❤10🔥4
Встречаемся уже сегодня, 13 июля в 16:00 (GMT+3), на вебинаре "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" в нашем телеграм-канале "ПРО Приватность"💫
Анастасия Пархимович, CIPP/E, консультант по GDPR, расскажет о частых ошибках в составлении политики приватности, продемонстрирует примеры "плохих" и "хороших" политик, а, главное, ответит на все вопросы, которые могли возникнуть у вас в ходе собственной работы по созданию.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
До встречи на вебинаре в 16:00 🙌🏻
Анастасия Пархимович, CIPP/E, консультант по GDPR, расскажет о частых ошибках в составлении политики приватности, продемонстрирует примеры "плохих" и "хороших" политик, а, главное, ответит на все вопросы, которые могли возникнуть у вас в ходе собственной работы по созданию.
Рассмотрим следующие блоки политики:
✅Цели и порядок обработки персональных данных;
✅Права субъектов персональных данных;
✅Передача персональных данных третьим лицам.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
До встречи на вебинаре в 16:00 🙌🏻
👍7😍1
Мы в эфире 🔥
Присоединяйтесь на вебинар "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" 💫
В эфире: Анастасия Пархимович, CIPP/E, консультант по GDPR.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Оставить вопросы нашему спикеру можно в комментариях к этому посту👇🏻
Присоединяйтесь на вебинар "Политика приватности: что такое хорошо и что такое плохо по Закону РБ 99-3" 💫
В эфире: Анастасия Пархимович, CIPP/E, консультант по GDPR.
🔔Важный дисклеймер: Для конфиденциальности мы заменили некоторые слова на синонимы и переставили слова в предложениях. Нашей целью было сохранить 100% смысла, но не дать возможности идентифицировать оператора. Почему так? Чтобы компании, которые пока ещё не успели отполировать свои политики, сохранили инкогнито.
Оставить вопросы нашему спикеру можно в комментариях к этому посту👇🏻
❤🔥4
DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?🤔
Узнайте 25 июля в 19:00 (GMT+3) на вебинаре с Дмитрием Филатовым, экспертом по защите персональных данных, обладающим сертификатами CIPP/E, CIPT, GDPR DPP и GDPR DPM.
На мероприятии мы разберем различные аспекты работы DPO. Некоторые организации, такие как надзорные органы (EDPB, CNIL, DPC Ireland и другие), а также IAPP, указывают на необходимость, чтобы DPO имел понимание ИТ и ИБ.
В программе вебинара:
• DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
• Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
• Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
• Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
Считаете, что DPO нужны только legal навыки? Вот несколько ссылок на важные документы от надзорных органов:
🖇CNIL: Practical Guide GDPR - DPO
🖇Art29WP: Guidelines on Data Protection Officers (‘DPOs’)
🖇Art29WP DPO FAQs
🖇Data Protection Commission Ireland
🖇IAPP DPO Job Description
Присоединяйтесь 25 июля в 19:00! Место встречи: телеграм-канал «ПРО Приватность»😎
Узнайте 25 июля в 19:00 (GMT+3) на вебинаре с Дмитрием Филатовым, экспертом по защите персональных данных, обладающим сертификатами CIPP/E, CIPT, GDPR DPP и GDPR DPM.
На мероприятии мы разберем различные аспекты работы DPO. Некоторые организации, такие как надзорные органы (EDPB, CNIL, DPC Ireland и другие), а также IAPP, указывают на необходимость, чтобы DPO имел понимание ИТ и ИБ.
В программе вебинара:
• DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
• Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
• Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
• Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
Считаете, что DPO нужны только legal навыки? Вот несколько ссылок на важные документы от надзорных органов:
🖇CNIL: Practical Guide GDPR - DPO
🖇Art29WP: Guidelines on Data Protection Officers (‘DPOs’)
🖇Art29WP DPO FAQs
🖇Data Protection Commission Ireland
🖇IAPP DPO Job Description
Присоединяйтесь 25 июля в 19:00! Место встречи: телеграм-канал «ПРО Приватность»😎
❤🔥8👍5🔥4❤2
ПРО приватность | Data Privacy Office pinned «DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?🤔 Узнайте 25 июля в 19:00 (GMT+3) на вебинаре с Дмитрием Филатовым, экспертом по защите персональных данных, обладающим сертификатами CIPP/E, CIPT, GDPR DPP и GDPR DPM. На мероприятии…»
Добро пожаловать в США!
Итак, прошлая неделя ознаменовалась вступлением в силу (10 июля) механизма для передачи персональных данных из ЕС в США - Data Privacy Framework (DPF). На этой неделе (17 июля) вступили в силу дополнения этого механизма для передачи данных из Соединенного Королевства и Швейцарии. Пришла пора разобраться с тем, что собой представляет этот механизм. Начнем, как обычно, с начала.
❓Для чего понадобился DPF?
🎯 Цель DPF - облегчить передачу персональных данных между Евросоюзом 🇪🇺, Соединенным Королевством 🇬🇧 и Швейцарией 🇨🇭- с одной стороны - и США 🇺🇸 - с другой стороны.
Согласно GDPR, передача персональных данных в США - это "передача персональных данных в третью страну" (иначе говоря, "трансграничная передача"), регулируемая Главой V GDPR. В зависимости от того, какого уровня защиту обеспечивает законодательство и практика "принимающей страны" (а нашем случае - США), трансграничная передача основывается на решении об адекватности либо на одной из надлежащих гарантий, перечисленных в ст. 46 GDPR.
✅ Наличие решения об адекватности сильно упрощает передачу персональных данных, поскольку в этом случае никаких дополнительных действий, связанных с передачей данных вовне ЕС, принимать не нужно. То есть, такая передача аналогична передаче внутри ЕЭЗ: между контролером и процессором заключается договор (ст. 28 GDPR), однако он не будет содержать особых условий, связанных с передачей данных в страну, где не действует GDPR.
❌ Однако если решения об адекватности нет, передавать персональные данные сложнее. Для этого требуется обеспечить на стороне получателя высокий уровень защиты данных - те самые "надлежащие гарантии". То есть, принимающая сторона должна соблюдать правила обращения с персональными данными, сопоставимые с правилами, установленными в GDPR, даже если местное законодательство устанавливает куда более низкий стандарт защиты.
Обеспечение надлежащих гарантий в большинстве случаев дорогостоящий, длительный и трудозатратный процесс 💣. Поэтому, учитывая объем передачи персональных данных в США (особенно с учетом использования разработанного американскими компаниями программного обеспечения), упрощение передачи было насущной проблемой.
❓Почему такого механизма не было раньше?
Такой механизм был, причем даже не один. Ранее для передачи персональных данных в США существовали два механизма.
▪️Механизм "Безопасная гавань" (Safe Harbour Privacy Principles) действовал с 2000 по 2015 год, пока Суд Евросоюза не отменил решение о передаче данных по схеме "Безопасной гавани" в связи с широкими полномочиями американских правоохранительных органов в сфере доступа к персональным данным и их обработки.
▪️На замену "Безопасной гавани" пришел "Щит приватности" (EU - US Privacy Shield), функционировавший с 2016 по 2020 год. Его постигла та же судьба: решением Суда Евросоюза был отменен и он. После этого любая передача персональных данных из ЕС в США должна была основываться на одной из надлежащих гарантий из ст. 46 GDPR.
❓Работает ли механизм DPF автоматически для всех американских компаний?
Нет, наряду с "Безопасной гаванью" и "Щитом приватности" новый механизм предполагает самосертификацию американских компаний, желающих получать персональные данные из ЕС по упрощенной схеме. То есть, мы имеем дело с решением об адекватности (ст. 45 GDPR), однако это решение распространяется не на все компании в стране (подход, принятый в других действующих решениях об адекватности), а лишь на те компании, которые заявили о своем участии в DPF, предприняли дополнительные действия и подали документы на включение их в базу данных компаний, участвующих в DPF. База компаний, участвующих в DPF, открыта для всех интересующихся: https://www.dataprivacyframework.gov/s/participant-search
Кстати, в этом перечне уже больше 2600 компаний! 😎
В ближайшие две недели мы будем продолжать рассказывать о новом механизме передачи персональных данных в США. Следите за обновлениями!
Итак, прошлая неделя ознаменовалась вступлением в силу (10 июля) механизма для передачи персональных данных из ЕС в США - Data Privacy Framework (DPF). На этой неделе (17 июля) вступили в силу дополнения этого механизма для передачи данных из Соединенного Королевства и Швейцарии. Пришла пора разобраться с тем, что собой представляет этот механизм. Начнем, как обычно, с начала.
❓Для чего понадобился DPF?
🎯 Цель DPF - облегчить передачу персональных данных между Евросоюзом 🇪🇺, Соединенным Королевством 🇬🇧 и Швейцарией 🇨🇭- с одной стороны - и США 🇺🇸 - с другой стороны.
Согласно GDPR, передача персональных данных в США - это "передача персональных данных в третью страну" (иначе говоря, "трансграничная передача"), регулируемая Главой V GDPR. В зависимости от того, какого уровня защиту обеспечивает законодательство и практика "принимающей страны" (а нашем случае - США), трансграничная передача основывается на решении об адекватности либо на одной из надлежащих гарантий, перечисленных в ст. 46 GDPR.
✅ Наличие решения об адекватности сильно упрощает передачу персональных данных, поскольку в этом случае никаких дополнительных действий, связанных с передачей данных вовне ЕС, принимать не нужно. То есть, такая передача аналогична передаче внутри ЕЭЗ: между контролером и процессором заключается договор (ст. 28 GDPR), однако он не будет содержать особых условий, связанных с передачей данных в страну, где не действует GDPR.
❌ Однако если решения об адекватности нет, передавать персональные данные сложнее. Для этого требуется обеспечить на стороне получателя высокий уровень защиты данных - те самые "надлежащие гарантии". То есть, принимающая сторона должна соблюдать правила обращения с персональными данными, сопоставимые с правилами, установленными в GDPR, даже если местное законодательство устанавливает куда более низкий стандарт защиты.
Обеспечение надлежащих гарантий в большинстве случаев дорогостоящий, длительный и трудозатратный процесс 💣. Поэтому, учитывая объем передачи персональных данных в США (особенно с учетом использования разработанного американскими компаниями программного обеспечения), упрощение передачи было насущной проблемой.
❓Почему такого механизма не было раньше?
Такой механизм был, причем даже не один. Ранее для передачи персональных данных в США существовали два механизма.
▪️Механизм "Безопасная гавань" (Safe Harbour Privacy Principles) действовал с 2000 по 2015 год, пока Суд Евросоюза не отменил решение о передаче данных по схеме "Безопасной гавани" в связи с широкими полномочиями американских правоохранительных органов в сфере доступа к персональным данным и их обработки.
▪️На замену "Безопасной гавани" пришел "Щит приватности" (EU - US Privacy Shield), функционировавший с 2016 по 2020 год. Его постигла та же судьба: решением Суда Евросоюза был отменен и он. После этого любая передача персональных данных из ЕС в США должна была основываться на одной из надлежащих гарантий из ст. 46 GDPR.
❓Работает ли механизм DPF автоматически для всех американских компаний?
Нет, наряду с "Безопасной гаванью" и "Щитом приватности" новый механизм предполагает самосертификацию американских компаний, желающих получать персональные данные из ЕС по упрощенной схеме. То есть, мы имеем дело с решением об адекватности (ст. 45 GDPR), однако это решение распространяется не на все компании в стране (подход, принятый в других действующих решениях об адекватности), а лишь на те компании, которые заявили о своем участии в DPF, предприняли дополнительные действия и подали документы на включение их в базу данных компаний, участвующих в DPF. База компаний, участвующих в DPF, открыта для всех интересующихся: https://www.dataprivacyframework.gov/s/participant-search
Кстати, в этом перечне уже больше 2600 компаний! 😎
В ближайшие две недели мы будем продолжать рассказывать о новом механизме передачи персональных данных в США. Следите за обновлениями!
👍10🔥5❤3
Вы не забыли, что уже сегодня в 19:00 (GMT+3) пройдет #вебинар «DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?» ?😉
Дмитрий Филатов, эксперт по защите персональных данных, CIPP/E, CIPT, GDPR DPP и GDPR DPM, вместе с Татьяной Сивухо, юрист-консультант и специалист по приватности, CIPP/E, обсудят, влиет ли ИТ бэкграунд на работу DPO.
В программе вебинара:
🧩DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
🧩Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
🧩Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
🧩Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
До встречи в 19:00 (GMT+3). Добавляйте мероприятие в календарь, чтобы не пропустить 📅
Дмитрий Филатов, эксперт по защите персональных данных, CIPP/E, CIPT, GDPR DPP и GDPR DPM, вместе с Татьяной Сивухо, юрист-консультант и специалист по приватности, CIPP/E, обсудят, влиет ли ИТ бэкграунд на работу DPO.
В программе вебинара:
🧩DPO в IT-компаниях: необходимость или обязательность обладания техническими знаниями?
🧩Когда в игру вступают биометрия и искусственный интеллект: какую роль для DPO играет понимание новых технологий обработки персональных данных?
🧩Оценка рисков: как DPO видеть не только юридические, но и технические аспекты обработки ПД?
🧩Связующее звено: как DPO становится мостиком между юристами и IT-специалистами в компании?
До встречи в 19:00 (GMT+3). Добавляйте мероприятие в календарь, чтобы не пропустить 📅
🔥8👏1
Начали вебинар «DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?»🙂
Дмитрий Филатов, эксперт по защите персональных данных, и Татьяна Сивухо, юрист-консультант и специалист по приватности, ожидают ваших вопросов под этим постом 👇
Дмитрий Филатов, эксперт по защите персональных данных, и Татьяна Сивухо, юрист-консультант и специалист по приватности, ожидают ваших вопросов под этим постом 👇
🔥4❤1
Запись вебинара «DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?» уже доступна к просмотру ☺️👉 https://youtu.be/1a3sYWrgTbM
Благодарим спикеров Дмитрия Филатова, эксперта по защите персональных данных, и Татьяну Сивухо, прайваси-специалиста, за дискуссию.
Напомним, что вебинар состоялся в преддверии курса GDPR Data Privacy Technologist, который пройдет 7-23 августа.
Отвечаем на самый частый вопрос: GDPR Data Privacy Technologist - это курс не для технических специалистов.
Скорее, этот курс о технических аспектах приватности для не-технических специалистов.
Порой сложно быть на одном языке со всеми, кто шикарно жонглирует такими словами, как OOP, Solid, и вы думаете – последнее, это о чем-то твердом, да?
DPO или другие специалисты по приватности должны быть подкованы и в технических вопросах, чтобы давать советы и разбирать порой не самые простые прайваси сценарии и находить решения.
Если вы чувствуете, что вам не хватает данного навыка, то присоединяйтесь на курс GDPR Data Privacy Technologist.
Кратко о программе!
- Сравнение приватности и безопасности
- Законодательство о защите приватности
- Краткое введение в технические компоненты инфраструктуры
- Защита от технических рисков безопасности и приватности
- Жизненный цикл информации и ее защита на всех этапах
- Проектирование защищенных систем
- Фреймворки для защиты приватности и безопасности
- Актуальные вопросы приватности в современных технологиях
А кто же тренер? Курс будет вести Дмитрий Филатов CIPP/E, CIPT, GDPR DPP, GDPR DPM, опытный и сертифицированный специалист в области защиты персональных данных.
Пишите свои вопросы нашему менеджеру Антону, чтобы узнать о курсе подробнее! Или переходите по ссылке и задавайте свои вопросы в контактной форме!
Благодарим спикеров Дмитрия Филатова, эксперта по защите персональных данных, и Татьяну Сивухо, прайваси-специалиста, за дискуссию.
Напомним, что вебинар состоялся в преддверии курса GDPR Data Privacy Technologist, который пройдет 7-23 августа.
Отвечаем на самый частый вопрос: GDPR Data Privacy Technologist - это курс не для технических специалистов.
Скорее, этот курс о технических аспектах приватности для не-технических специалистов.
Порой сложно быть на одном языке со всеми, кто шикарно жонглирует такими словами, как OOP, Solid, и вы думаете – последнее, это о чем-то твердом, да?
DPO или другие специалисты по приватности должны быть подкованы и в технических вопросах, чтобы давать советы и разбирать порой не самые простые прайваси сценарии и находить решения.
Если вы чувствуете, что вам не хватает данного навыка, то присоединяйтесь на курс GDPR Data Privacy Technologist.
Кратко о программе!
- Сравнение приватности и безопасности
- Законодательство о защите приватности
- Краткое введение в технические компоненты инфраструктуры
- Защита от технических рисков безопасности и приватности
- Жизненный цикл информации и ее защита на всех этапах
- Проектирование защищенных систем
- Фреймворки для защиты приватности и безопасности
- Актуальные вопросы приватности в современных технологиях
А кто же тренер? Курс будет вести Дмитрий Филатов CIPP/E, CIPT, GDPR DPP, GDPR DPM, опытный и сертифицированный специалист в области защиты персональных данных.
Пишите свои вопросы нашему менеджеру Антону, чтобы узнать о курсе подробнее! Или переходите по ссылке и задавайте свои вопросы в контактной форме!
YouTube
DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?
В телеграм-канале "ПРО Приватность" прошел вебинар "DPO 2.0: зачем профессионалу в области приватности нужны технические навыки?"👉 https://xn--r1a.website/data_privacy_office
Вебинар состоялся в преддверии курса GDPR Data Privacy Technologist, который пройдет 7-23…
Вебинар состоялся в преддверии курса GDPR Data Privacy Technologist, который пройдет 7-23…
🔥5👍2
DPF: продолжаем разговор!
Как мы и обещали, продолжаем рассказывать о DPF - механизме передачи персональных данных из ЕС в США без регистрации, справок и поручителей SCC, BCR, присоединения к кодексу поведения и применения статьи 49 GDPR.
❓Что такое самосертификация?
В основе механизма DPF лежит процедура самосертификации ✅. Суть её такова: каждая компания, желающая участвовать в DPF, проводит работу по внедрению принципов приватности, готовит политику приватности 📃, обучает людей 👩🏫, назначает 👮♀️ внутреннего уполномоченного по вопросам персональных данных.
Следующий шаг - подача документов на включение компании в реестр участников DPF. Документы рассматривает Управление международной торговли (входит в состав Министерства торговли США) как организация, контролирующая механизм DPF. Если претензий к документам нет, Управление вносит сведения о компании в реестр участников DPF 👍
❗️Управление проверяет представленные сведения и документы, но не реальную деятельность компании по обработке персональных данных и не соответствие документов этой реальной деятельности. Именно поэтому механизм представляет собой "самосертификацию" в отличие от обычной сертификации, в ходе который проверяющий чаще всего знакомится не только с документами, но и с реальным их исполнением.
❓Самосертификация - это разовая или регулярная процедура?
Самосертификация проводится регулярно: впервые - при подаче документов на участие в программе DPF, а в последующем - ежегодно в течение всего периода участия 🏅
Если компания не прошла повторную сертификацию вовремя, Управление предложит такой компании пройти сертификацию или отказаться от участия в программе. Если компания не отвечает, или начинает, но не завершает повторную сертификацию, или желает прекратить участие в программе, Управление включает такую компанию в перечень компаний, более не участвующих в программе DPF. Этот список также открыт всем желающим.
❓Как узнать, участвует ли компания в программе DPF?
Во-первых, можно проверить, включена ли организация в список компаний, участвующих в DPF, по ссылке: https://www.dataprivacyframework.gov/s/participant-search
Во-вторых, все компании, участвующие в DPF, обязаны включить в свои политики приватности соответствующее указание 📄.
Важно: если компания прекращает участвовать в программе DPF, такое указание необходимо удалить (при исключении компании из списка участников DPF Управление это проверяет). Более того, Управление также рассматривает жалобы на компании, которые включили такое указание в свои политики, но самосертификацию не прошли. Хотя, конечно, особо предприимчивые компании наверняка воспользуются преимуществом во времени между опубликованием такого текста у себя на сайте и проверкой Управления, если такая будет. Поэтому на всякий случай советуем проверять 🔎 контрагентов по списку участников DPF.
Совсем скоро мы поделимся новым материалом по данной теме. Следите за обновлениями!
Как мы и обещали, продолжаем рассказывать о DPF - механизме передачи персональных данных из ЕС в США без регистрации, справок и поручителей SCC, BCR, присоединения к кодексу поведения и применения статьи 49 GDPR.
❓Что такое самосертификация?
В основе механизма DPF лежит процедура самосертификации ✅. Суть её такова: каждая компания, желающая участвовать в DPF, проводит работу по внедрению принципов приватности, готовит политику приватности 📃, обучает людей 👩🏫, назначает 👮♀️ внутреннего уполномоченного по вопросам персональных данных.
Следующий шаг - подача документов на включение компании в реестр участников DPF. Документы рассматривает Управление международной торговли (входит в состав Министерства торговли США) как организация, контролирующая механизм DPF. Если претензий к документам нет, Управление вносит сведения о компании в реестр участников DPF 👍
❗️Управление проверяет представленные сведения и документы, но не реальную деятельность компании по обработке персональных данных и не соответствие документов этой реальной деятельности. Именно поэтому механизм представляет собой "самосертификацию" в отличие от обычной сертификации, в ходе который проверяющий чаще всего знакомится не только с документами, но и с реальным их исполнением.
❓Самосертификация - это разовая или регулярная процедура?
Самосертификация проводится регулярно: впервые - при подаче документов на участие в программе DPF, а в последующем - ежегодно в течение всего периода участия 🏅
Если компания не прошла повторную сертификацию вовремя, Управление предложит такой компании пройти сертификацию или отказаться от участия в программе. Если компания не отвечает, или начинает, но не завершает повторную сертификацию, или желает прекратить участие в программе, Управление включает такую компанию в перечень компаний, более не участвующих в программе DPF. Этот список также открыт всем желающим.
❓Как узнать, участвует ли компания в программе DPF?
Во-первых, можно проверить, включена ли организация в список компаний, участвующих в DPF, по ссылке: https://www.dataprivacyframework.gov/s/participant-search
Во-вторых, все компании, участвующие в DPF, обязаны включить в свои политики приватности соответствующее указание 📄.
Важно: если компания прекращает участвовать в программе DPF, такое указание необходимо удалить (при исключении компании из списка участников DPF Управление это проверяет). Более того, Управление также рассматривает жалобы на компании, которые включили такое указание в свои политики, но самосертификацию не прошли. Хотя, конечно, особо предприимчивые компании наверняка воспользуются преимуществом во времени между опубликованием такого текста у себя на сайте и проверкой Управления, если такая будет. Поэтому на всякий случай советуем проверять 🔎 контрагентов по списку участников DPF.
Совсем скоро мы поделимся новым материалом по данной теме. Следите за обновлениями!
🔥5👍3