Privacy HUB

#Хроніки_приватності

🗞️ ХРОНІКИ ПРИВАТНОСТІ
[11.03 – 20.03]

① Європейський Парламент схвалив 13 березня перший в світі Закон про штучний інтелект. З повним текстом можна ознайомитися за посиланням. В особливостях та вимогах закону також можна розібратися за допомогою інфографіки "EU AI Act: 101" від IAPP.

➁ Комітет Ради Європи зі ШІ завершив роботу над Рамковою конвенцією про штучний інтелект, права людини, демократію та верховенство права. Планується, що документ стане глобальним інструментом, відкритим для всього світу.

➂ Члени Європарламенту прийняли Закон про кіберстійкість 12 березня. Закон охоплює такі продукти, як менеджери паролів, розумні домашні помічники та інші пристрої Інтернету речей, які будуть розділені на рівні на основі ризиків інформаційної безпеки. Для того, щоб закон набув чинності, його ще має ухвалити Рада ЄC.

➃ Суд ЄC постановив, що орган захисту даних держави-члена має законне право видавати наказ про видалення персональних даних особи без офіційної скарги до регулятора від суб'єкта даних відповідно до GDPR. Рішення було прийнято після запиту про тлумачення Високого суду Будапешта після того, як муніципальна влада звернулася до Державного казначейства Угорщини з проханням надати персональні дані мешканців з метою видачі коштів для надання допомоги у зв'язку з COVID-19.

➄ Європейська комісія направила Facebook, Instagram, Snapchat, TikTok, YouTube і X (ex-Twitter), а також Bing і Google запити про надання інформації щодо ризиків, пов'язаних з використанням генеративного ШІ, відповідно до Закону про цифрові послуги. Комісія також надіслала запит на інформацію до Linkedin щодо ймовірного використання ним таргетованої реклами та подала офіційний запит до AliExpress щодо ймовірних порушень.

➅ Європейський інспектор із захисту даних (EDPS) виявив, що використання Єврокомісією Microsoft 365 порушує кілька положень Регламенту ЄС 2018/1725 про захист даних для інституцій, органів, офісів та агентств ЄС. Так, Комісія не вжила належних заходів для забезпечення того, щоб персональні дані, передані за межі ЄЕП отримували такий самий рівень захисту після перенесення в іншу юрисдикцію. EDPS зобов'язав Комісію призупинити всі потоки даних через Microsoft 365 до 09.12.24.

➆ Рада ЄC та Європарламент уклали попередню угоду про створення Європейського простору медичних даних. Закон намагається надати громадянам ЄС більший доступ до їхніх електронних медичних даних та контроль над ними, а також дозволяє повторно використовувати певні дані для покращення громадського здоров'я та наукових досліджень.

➇ Італійський регулятор Garante оголосив про акредитацію органу з моніторингу телемаркетингу, який має намір забезпечити дотримання раніше прийнятого кодексу поведінки. Орган забезпечить прийняття телемаркетологами цього кодексу, включаючи конкретні заходи, що гарантують правильність і законність обробки даних.

➈ Дослідницька група IAPP створила інфографіку, що містить неповний перелік ключових інструментів, які використовують правоохоронні органи та уряди країн ЄС для отримання доступу до приватних даних.

➉ Французький регулятор CNIL спільно з кількома асоціаціями зі зв'язків з громадськістю створили посібник із дотримання GDPR для роботи в сфері зв'язків з громадськістю. Також CNIL опублікував інфографіку, в якій детально описані деякі поширені сценарії витоку даних та способи їх запобігання.

⑪ Airbnb заборонив використання пристроїв для внутрішнього спостереження, включаючи камери та аудіореєстратори, в місцях, де очікується приватність, у своїх об'єктах оренди в рамках оновлення політики безпеки. Регулятори привітали зміни.

⑫ Іспанський регулятор AEPD зобов'язав компанію Tools for Humanity, засновника криптовалютного проекту Worldcoin, припинити збір та обробку персональних даних на території Іспанії. AEPD повідомив, що отримав скарги щодо ймовірного збору даних неповнолітніх без можливості відкликання згоди.


🇺🇦 Все буде Україна!

#Хроніки_приватності

🗞️ ХРОНІКИ ПРИВАТНОСТІ
[01.03 – 10.03]

① ЄСПЛ виніс рішення на користь Telegram у справі проти намагання російської влади послабити наскрізне шифрування повідомлень. Суд заявив, що надійне шифрування має важливе значення для приватного життя, і це рішення повинне послабити тиск на соціальні мережі, які змушені надавати правоохоронним органам доступ до даних користувачів.

➁ Європейська комісія надіслала офіційний запит компанії Meta відповідно до Закону про цифрові послуги. Комісія цікавиться інформацією про безрекламний сервіс Meta, що надається за підпискою, зокрема, про рекламні практики Facebook та Instagram, їхні системи рекомендацій та оцінки ризиків для моделі підписки.

Тим часом, група з цифрових прав European Digital Rights написала відкритого листа, в якому закликала Європейську раду із захисту даних засудити модель підписки "плати або погоджуйся" компанії Meta. Група стверджує, що споживач в такому разі не може вільно дати згоду відповідно до GDPR, якщо він буде змушений платити.

➂ Суд ЄС постановив, що усне інформування про судимість особи підпадає під дію законодавства ЄС про захист персональних даних і не повинно відбуватися без демонстрації особливого інтересу з боку запитувача. Це рішення було винесено в результаті розгляду справи в Апеляційному суді Східної Фінляндії, де суд відмовився надати розважальній компанії Endemol Shine Finland Oy дані про судимість особи.

➃ Британський регулятор закликав бізнес та зацікавлених сторін у сфері цифрової реклами висловитися щодо того, як моделі підписки за принципом "плати або погоджуйся" можуть забезпечити дотримання вимог щодо використання файлів cookie третіми сторонами.

➄ ICO також виніс припис Міністерству внутрішніх справ щодо використання GPS-браслетів на ногах мігрантів. Регулятор встановил, що Міністерство недостатньо враховує інвазивний характер постійного відстеження місцезнаходження мігрантів у спробі легше зв'язатися з ними для розгляду справи про надання притулку.

➅ Італійський регулятор після проведення розслідування визнав, що ChatGPT компанії OpenAI порушив кілька положень GDPR. У OpenAI є 30 днів, щоб подати контраргументи.

➆ Каталонський регулятор оприлюднив інструкцію щодо використання біометричних даних, зокрема сканування райдужної оболонки ока. Регулятор заявив, що перед збором біометричних даних необхідно отримати інформовану згоду.

➇ Каліфорнійське агентство із захисту персональних даних запустило реєстр брокерів даних. Реєстр є частиною Каліфорнійського закону про видалення даних, який уповноважує Агентство розробити механізм єдиного вікна, щоб жителі штату могли вимагати видалення їхніх персональних даних, які зберігаються у брокерів даних, зареєстрованих у штаті.

➈ У новій статті на Tech Policy Press йдеться про спільні та відмінні риси щодо того, що вважається чутливими даними в різних штатах США.

➉ Комісія із захисту персональних даних Сінгапуру опублікувала рекомендації щодо використання персональних даних в автоматизованих системах прийняття рішень на основі ШІ. Керівництво містить роз'яснення щодо використання персональних даних для навчання та розробки систем ШІ, інформацію, яку слід надавати споживачам для отримання законної згоди, інформацію для сторонніх розробників, які використовують моделі ШІ, та найкращі практики.

⑪ Нью-Гемпшир став 14-м штатом США, який прийняв комплексний закон про приватність. Положення закону набувають чинності 01.01.2025


🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [15.01 – 21.01]

① Європейська рада з питань захисту даних (EDPB) опублікувала дайджест з розгляду справ за механізмом “one-stop-shop”, пов'язаних із безпекою обробки даних та повідомленням про витік даних відповідно до GDPR. Дайджест охоплює правозастосовні дії відповідно до статей 32, 33 і 34 GDPR та показує, як регулятори інтерпретували та застосовували положення GDPR у різних сценаріях (хакерські атаки, програми-вимагачі, випадкове розголошення даних і т.п.).

➁ Європейський супервайзер із захисту даних (EDPS) оприлюднив звіт свого офісу про внутрішню політику інституцій ЄС щодо DPO в рамках скоординованих правозастосовних дій EDPB.

➂ Іспанський регулятор оприлюднив нові гайдлайни щодо поводження з аналітикою та файлами cookie. Гайдлайни дозволяють використовувати деякі файли cookie в обхід згоди користувача, але рекомендують повідомляти про винятки, а також обмежувати термін дії файлів cookie та тривалість зберігання даних. Дані також не можуть бути співставлені з даними інших процесорів.

➃ Британський регулятор ICO розпочав публічні консультації щодо генеративного ШІ. Перша консультація буде присвячена вивченню законності навчання генеративних моделей ШІ на персональних даних, витягнутих з Інтернету. До 01.03 ICO запитує думки розробників, користувачів і груп громадянського суспільства.

➄ ICO також опублікував оновлені рекомендації для онлайн-сервісів для відповідності Закону про безпеку в Інтернеті. Рекомендації стосуються останніх технологічних досягнень, пояснюють законодавчі зміни, а також те, як онлайн-сервіси можуть проводити перевірку віку користувачів, використовуючи при цьому засоби захисту даних.

➅ Французький регулятор CNIL оштрафував Yahoo EMEA на €10 млн за порушення компанією Директиви про захист електронної приватності. Відвідувачам сайту Yahoo розміщували файли cookie на комп'ютерах без їхньої згоди, а користувачам було складно відмовитися від файлів cookie.

➆ DLA Piper опублікувала результати щорічного дослідження штрафів за порушення GDPR. Опитування показало, що в 2023 р. органи ЄС виписали штрафів на суму €1,78 млрд, що на 14% більше, ніж у 2022 р. Недотримання основних принципів GDPR залишається найпоширенішою причиною для накладення штрафів

➇ Центр інформації про електронну приватність закликав Федеральну торгову комісію США розслідувати діяльність Google щодо збору чутливої інформації про місцезнаходження користувачів, включаючи відвідування клінік для проведення абортів.

➈ Агентство кібербезпеки Сінгапуру оприлюднило Стандарт безпечних застосунків. Стандарт має допомогти розробникам мобільних застосунків забезпечити належний контроль безпеки та надати оцінку ризиків для фінансових застосунків.

➉ Національний інститут стандартів і технологій США опублікував проєкт керівництва для програм кібербезпеки бізнесу, які мають відповідати потребам організації, а також враховувати ризики.

⑪ Дослідження Consumer Reports та The Markup показало, що в середньому 2230 компаній ділилися споживчими даними про кожного учасника з Facebook. Дослідники вивчили обмін даними між серверами і виявили, що така інформація, як адреси емейлів та ідентифікатори мобільної реклами, передавалися компанії Meta.

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [08.01 – 14.01]

① Європейська комісія закликала надати коментарі щодо GDPR з моменту набуття ним чинності 6 років тому. Отримана інфа буде використана для офіційного звіту. Зацікавлені сторони мають час до 08.02.

➁ Італійський регулятор Garante випустив рекомендації щодо захисту персональних даних, пов'язаних із фітнес-трекерами. Вказівки пропонують користувачам вимкнути непотрібні опції відстеження, регулярно видаляти дані та увімкнути багатофакторну автентифікацію.

➂ Французький регулятор CNIL опублікував проект керівництва з проведення оцінки впливу передачі даних (TIA) за межі ЄЕП. При проведенні TIA CNIL рекомендує контролерам даних знати, які саме дані передаються, документувати використовуваний інструмент передачі, розуміти закони країни-одержувача, визначати та впроваджувати будь-які додаткові заходи та переоцінювати відповідний рівень захисту даних, який є необхідним. Період консультацій щодо проєкту завершується 12.02.

➃ Данський регулятор Datatilsynet опублікував поради, як діяти в 10 найпоширеніших сценаріях витоку даних. Проблеми варіюються від невдалого видалення даних з цифрових інструментів, втрати пристроїв з незашифрованими даними до надсилання електронних листів не тим людям через довіру до форм, що автоматично заповнюються.

➄ Австрійський регулятор опублікував список поширених запитань, пов'язаних із законами про файли cookie та захист даних. Від того, що таке файли cookie до юрисдикції регуляторов щодо порушень, пов'язаних з файлами cookie, до того, як інформація про файли cookie та захист даних повинна бути відображена на сайтах.

➅ IAPP опублікував Звіт про комплексне законодавство про приватність у штатах США за 2023 рік. Звіт містить інформацію про нове законодавство про приватність у семи штатах – Делавері, Індіані, Айові, Монтані, Орегоні, Теннессі та Техасі.

➆ Група захисту приватності noyb звернулася до австрійського регулятора з проханням розслідувати безкоштовну версію продукту Meta, стверджуючи, що відкликати згоду занадто складно, якщо ви не бажаєте користуватися платною підпискою. Нова скарга ґрунтується на попередній скарзі групи проти того, щоб користувачі Meta платили за забезпечення приватності під час використання продукту.

➇ Федеральна торгова комісія (ФТК) США опублікувала рекомендації щодо безпечного зберігання даних ДНК фізичних осіб. ФТК рекомендувала компаніям, що пропонують набори для тестування ДНК, впровадити надійні системи захисту даних. ФТК також окреслила сфери, в яких вона може розслідувати діяльність фірм, що проводять ДНК-тестування, включаючи завищення точності тестів і спроби обману для отримання згоди на продаж даних клієнтів.

➈ ФТК США заборонила брокеру даних X-Mode Social та його компанії-правонаступниці Outlogic продавати чутливі дані про місцезнаходження в рамках першого у своєму роді врегулювання. ФТК стверджувала, що компанія продавала точні дані про місцезнаходження, за якими можна було відстежити візити людей до клінік медичного та репродуктивного здоров'я, притулків для жертв домашнього насильства та інших місць. Згідно з угодою, компанія повинна видалити всі зібрані раніше чутливі дані про місцезнаходження та розробити просту систему відмови, щоб споживачі могли відкликати свою згоду на відстеження геолокації.

➉ Meta запропонувала 51 млн канадських доларів для врегулювання претензій щодо захисту приватності, пов'язаних з використанням персональної інформації канадців без їхньої згоди в рекламних цілях. У позові стверджується, що компанія Meta збирала і використовувала імена та адреси емейлів для своєї рекламної кампанії "Спонсоровані історії" (2011-2014).

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [01.01 – 07.01]

① Європейський центральний банк цього року проведе перші тести на кіберстійкість 109 банків, щоб визначити, чи мають вони ефективний план дій на випадок кібератаки. Шляхом імітації кібератаки, яка перешкоджає щоденним операціям, створюючи "стрес-тест" для перевірки протоколу кібербезпеки.

➁ Британський регулятор ICO оприлюднив відповідь на лист Комітету з питань правосуддя та внутрішніх справ парламенту Великої Британії, який стосувався запитів щодо розпізнавання облич у реальному часі. Комітет розпочав розслідування щодо використання таких технологій у грудні 2023 р. ICO заявив, що визнає переваги, які допомагають запобігати та виявляти злочини, але додав, що повністю усвідомлює потенційну шкоду.

➂ Фінський регулятор опублікував повідомлення про зміни до Закону про захист даних та Закону про захист даних у кримінальних справах. Оновлення враховують зміни в законодавстві ЄС про приватність і тепер вимагають, щоб фінський регулятор або вирішував скарги громадян на захист даних, або інформував сторону про приблизний час, необхідний для вирішення в межах трьох місяців.

➃ Ісландський регулятор Persónuvernd оштрафував п'ять муніципалітетів на загальну суму 12,8 млн ісландських крон за ймовірні порушення обробки даних у початкових школах. Регулятор стверджував, що школи неналежним чином обробляли дані учнів, використовуючи освітні сервіси Google Cloud.

➄ Французький регулятор випустив інструкцію щодо стандартів обробки та зберігання медичних даних. У настановах підкреслюється важливість дотримання GDPR, а також акцентується увага на додаткових заходах для забезпечення захисту даних про стан здоров'я.

➅ Група із захисту прав на приватність noyb подала скаргу до австрійського регулятора, стверджуючи, що асоціація захисту кредитів KSV 1870 вимагає від міжнародних користувачів копії їхніх даних. GDPR вимагає, щоб користувачі отримували безкоштовну копію даних, зібраних асоціацією, за запитом.

➆ Компанія Google погодилася на мирову угоду за позовом у США, в якому стверджувалося, що вона збирала персональну інформацію користувачів, які переглядали вебсторінки в режимі "інкогніто" в браузері Chrome. Колективний позов був поданий у 2020 році і вимагав відшкодування збитків у розмірі 5 млрд доларів США.

➇ TikTok продовжує відстежувати користувачів через сторонні вебсайти без згоди споживачів. У своїх відповідях на скаргу про порушення приватності, подану до Окружного суду Центрального округу Каліфорнії, TikTok стверджує, що люди дають згоду на відстеження реклами, відвідуючи вебсайти, на яких встановлено піксельний інструмент TikTok, зокрема Hulu та Etsy.

➈ Національний інститут стандартів і технологій США (NIST) у своїй новій публікації дослідив, як машинне навчання може бути використане в кібератаках. У звіті висвітлено різні способи атак на системи ШІ та існуючі стратегії пом'якшення наслідків.

➉ Співробітників відділів кібербезпеки компаній заохочують надавати пріоритет захисту ШІ і хмарних обчислень, незважаючи на повсюдне скорочення бюджетів на кібербезпеку. Компанії, які обмежують свій бюджет на кібербезпеку, можуть зіткнутися з підвищеною ймовірністю і ризиком витоку даних.

⑪ Компанія OpenAI змінила місцезнаходження свого європейського контролера даних на Ірландію і з 15.02 буде обробляти свої дані відповідно до GDPR. Ця зміна означає, що інші країни ЄС, які мають проблеми з політикою приватності ChatGPT, не зможуть проводити власні розслідування, а повинні будуть звернутися до ірландського регулятора.

⑫ NIST також опублікував звіт, присвячений практикам кібербезпеки та пропозиціям щодо захисту геномних даних. Мета – допомогти організаціям оцінити, адаптувати та визначити пріоритети своїх стратегій зменшення ризиків та кіберінвестицій для геномних даних.

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [18.12 – 24.12]

① Європейська рада з питань захисту даних (EDPB) схвалила свій розділ звіту Європейської комісії, в якому розглядається застосування GDPR за останні п'ять років. У звіті визначено кілька ключових проблем і міститься заклик до законодавчих органів ЄС прийняти правила щодо спрощеного транскордонного правозастосування. У звіті не міститься заклику до перегляду GDPR.

➁ Європейська комісія розпочала розслідування щодо компанії X (екс-Twitter) на предмет можливих порушень Закону ЄС про цифрові послуги. Офіційне розслідування буде зосереджене на управлінні ризиками, модерації контенту та дарк паттерни. На етапі попереднього розслідування Єврокомісія вивчила вже оцінку ризиків X, подану у вересні, звіт про прозорість, поданий у листопаді, та офіційні відповіді на запити Єврокомісії.

➂ EDPB надала лист-відповідь на ініціативу Єврокомісії щодо добровільного зобов'язання стосовно файлів cookie. Раніше Єврокомісія звернулася до EDPB з проханням розглянути, чи не суперечать якісь елементи проєкту зобов'язання GDPR та Директиві про електронну приватність. Хоча EDPB в цілому схвалив проєкт зобов'язання в його нинішньому вигляді, орган рекомендував компаніям не запитувати згоду на збір персональних даних користувачів протягом цілого року, якщо в ній було відмовлено, щоб зменшити cookie fatigue (втому від файлів cookie).

➃ Британський регулятор ICO оприлюднив лист, надісланий у листопаді 100 найвідвідуванішим вебсайтам країни, в якому повідомлялося, що деякі з них можуть не відповідати вимогам GDPR UK та Регламенту про приватність та електронні комунікації. У листі детально описано, як компанії можуть виправити помилки; ICO заявила, що випустила ці листи, щоб допомогти іншим сайтам досягти відповідності.

➄ Група захисту приватності noyb подала скаргу на компанію X до нідерландського регулятора, стверджуючи, що платформа надсилала користувачам таргетовану рекламу на основі їхніх політичних поглядів та релігійних переконань.

➅ Нідерландський регулятор закликав продумати повний план щодо ШІ до 2030 року, щоб запровадити більший контроль з боку людини і підвищити повсякденні знання про те, як ШІ може впливати на життя людей.

➆ Країни-члени ЄС хочуть продовжити до 2027 року тимчасові правила щодо матеріалів про сексуальне насильство над дітьми, які дозволяють компаніям виявляти та повідомляти про шкідливий контент. Чинні правила втратять чинність у серпні 2026 року, хоча країни-члени запропонували постійний закон, який може дозволити компаніям сканувати внутрішні повідомлення на наявність ознак сексуального насильства над дітьми.

➇ Французький регулятор CNIL наклав шість нових санкцій за спрощеною процедурою. Санкції стосувалися таких порушень, як невиправданий збір даних про претендента на роботу, порушення права заперечувати проти політичної агітації електронною поштою, порушення права доступу до медичної документації, відсутність захисту даних та недостатньо надійні паролі.

➈ Центр лідерства в інформаційній політиці (CIPL) оприлюднив річне дослідження щодо використання технологій, які посилюють та убезпечують приватність. Дослідники виявили, що багатьом компаніям і органам влади бракує знань про ці продукти, а їхнє дороговартісне впровадження може стати бар'єром для їхнього використання. CIPL закликав організації визнати переваги PETs, а також запровадити більше стандартів для галузі.

➉ Федеральна торгова комісія США опублікувала повідомлення про запропоновані зміни до Закону про захист приватності дітей в Інтернеті. Запропоновані зміни є першими з 2013 року і включають обов'язкову згоду на отримання цільової реклами, збільшення лімітів зберігання даних, посилення вимог до безпеки даних тощо.

🎄Команда Privacy HUB вітає вас з Різдвом та зимовими святами!

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [11.12 – 17.12]

① Європейська комісія опублікувала Q&A щодо використання та розвитку ШІ відповідно до Закону про ШІ. Описано, як нова правова база застосовуватиметься до державних і приватних організацій, які використовують системи ШІ в ЄС або за його межами, що впливають на громадян. Також інформують користувачів про те, як розподіляються категорії ризиків і які зобов'язання несуть розробники систем з високим рівнем ризику.

➁ Суд ЄС постановив, що неправомірне використання персональних даних після кібератаки становить нематеріальну шкоду відповідно до GDPR. Справа виникла у зв'язку з кібератакою на Болгарське національне агентство з доходів у 2019 р., після якої кіберзлочинці опублікували персональні дані, що стосуються мільйонів людей. Вищий адміністративний суд Болгарії звернувся до Суду ЄС з проханням визначити умови для присудження моральної шкоди і те, в якій мірі контролер даних повинен продемонструвати, що були вжиті адекватні заходи безпеки.

➂ Країни-члени ЄС впроваджують оновлену Директиву NIS2 про мережеву та інформаційну безпеку на різних етапах і використовують додаткові стандарти приватності. Держави-члени мають час до жовтня 2024 року, щоб модернізувати існуючі рамки кібербезпеки.

➃ Польський регулятор оголосив, що компанії зможуть отримати сертифікати відповідності GDPR. Сертифікація буде необов'язковою і має на меті підвищити прозорість та покращити дотримання стандартів захисту персональних даних.

➄ Національний інститут стандартів і технологій США випустив драфт рекомендацій щодо використання диференційованої приватності як засобу захисту приватності. Диференційована приватність передбачає додавання математичного алгоритму до набору даних, щоб уникнути розкриття ідентичності суб'єктів даних.

➅ Британський регулятор ICO оштрафував Міноборони на £350K за витік даних евакуйованих з Афганістану у 2021 р. ICO стверджує, що емейли 265 осіб були скомпрометовані після того, як Міноборони надіслали груповий електронний лист громадянам Афганістану, які мають право на евакуацію. В ICO заявили, що розкриті дані, якби вони потрапили до рук талібів, могли б призвести до загрози життю.

➆ Іспанський регулятор запропонував систему перевірки віку для запобігання доступу неповнолітніх до контенту для дорослих в Інтернеті. Система використовує застосунок для перевірки віку для фільтрації контенту і визначення, чи відповідає він віку. Система має на меті запобігти знаходженню неповнолітніх в Інтернеті, гарантувати анонімність повнолітніх та звести до мінімуму дані, які обробляються або розкриваються третім особам.

➇ Британський регулятор ICO випустив інструкцію для організацій, які хочуть передати персональну інформацію до США, використовуючи статтю 46 GDPR UK, в якій йдеться про те, як безпечно здійснювати транзакції, як проводити оцінку ризиків передачі даних та в яких випадках застосовується стаття 46.

➈ Британський регулятор ICO опублікував два драфти інструкцій, що стосуються того, як компанії повинні вести облік інформації про працівників та даних, пов'язаних з наймом та відбором персоналу.

➉ Польський регулятор затвердив кодекс поведінки Польської федерації лікарень для сектору охорони здоров'я. Кодекс дозволяє державним лікарням підтвердити відповідність обробки даних вимогам GDPR.

⑪ Future of Privacy Forum випустив фрейморк ризиків для даних, пов'язаних з тілом та поведінкою людей, в імерсивних технологіях.

⑫ Міністерство охорони здоров'я та соціальних служб США ухвалило остаточні правила щодо прозорості алгоритмів та інтероперабельності інформаційних технологій серед постачальників медичних послуг.

⑬ Федеральна комісія США з питань зв'язку проголосувала за затвердження нових правил повідомлення про витік даних у сфері телекомунікацій, IVoIP та телекомунікаційних ретрансляційних послуг. Вимоги включають розширення сфери дії правил повідомлення для певних типів персональних даних, які збирають провайдери, а також розширення визначення "порушення" до "ненавмисного доступу, використання або розкриття інформації про клієнта".

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [04.12 – 10.12]

① Європейська рада із захисту даних опублікувала текст свого обов'язкового до виконання рішення, яке зобов'язує ірландського регулятора запровадити заборону на обробку персональних даних компанії Meta для поведінкової реклами на всій території ЄЕП.

➁ Суд ЄС підтвердив умови, за яких органи захисту даних можуть накладати штрафи на контролерів даних відповідно до GDPR. Суд ЄС постановив, що контролер даних не повинен отримувати штраф, якщо порушення GDPR не було скоєно навмисно або з необережності. Рішення було прийнято на основі справ з Литви та Німеччини, які стосувалися обробки даних громадян Литовським національним центром громадського здоров'я у застосунку для моніторингу COVID-19 та німецької компанії з нерухомості, яка зберігала дані клієнтів довше, ніж це було необхідно.

➂ Суд ЄС виніс рішення, яке забороняє певні практики автоматизованого кредитного скорингу та тривалого зберігання даних відповідно до GDPR. Скорингові практики німецького кредитного бюро SCHUFA в цілому суперечать положенням GDPR щодо використання автоматизованих технологій прийняття рішень. Суд також постановив, що зберігання даних SCHUFA щодо звільнення від залишкової заборгованості не відповідає шестимісячному терміну зберігання, передбаченому GDPR та німецьким законодавством.

➃ Уряд Бельгії випустив свою программу під час головування в Раді ЄC. Серед іншого зазначається, що ЄС повинен змагатися за лідерство у розвитку ШІ та створювати більш конкурентоспроможні ринки даних.

➄ Британський регулятор опублікував блог про достатній захист даних у житловому секторі. У дописі розглядаються загальні проблеми захисту даних у цьому секторі, зокрема неналежне розкриття даних, неточне ведення обліку та невідповідна діяльність з обміну даними. ICO також включав практичні кроки для покращення та дотримання вимог щодо захисту даних.

➅ Нідерландський регулятор опублікував звіт, у якому закликав компанії бути прозорими у питаннях захисту даних.

➆ Компанія Meta зіткнулася з судовим процесом в Іспанії за позовом асоціації з понад 80 газет, яка звинувачує її в систематичному і масовому недотриманні GDPR. Асоціація вимагає €550 млн відшкодування збитків, оскільки Meta нібито не мала правової основи для обробки даних користувачів протягом декількох років.

➇ Каліфорнійське агентство із захисту приватності опублікувало запропоновані зміни до існуючих положень Каліфорнійського закону про захист приватності споживачів (CCPA). Запропоновані зміни можуть збільшити пороги застосовності та потенційні штрафи, а також оновити положення про темні патерни та зобов'язання щодо прав суб'єктів даних. Також опубліковані проєкт правил для реєстру брокерів даних відповідно до Закону про видалення даних. І плануються зміни в частині автоматизованих технологій прийняття рішень, оцінки ризиків та аудиту кібербезпеки в рамках Каліфорнійського закону про права на приватність (CPRA).

➈ Офіс уповноваженого з питань приватності Канади оприлюднив принципи розробки генеративного ШІ.

➉ Студенти коледжу в Каліфорнії стурбовані тим, як їхні дані відстежують за допомогою навчальних програм та програмного забезпечення для дистанційного тестування.

⑪ Міністерство охорони здоров'я Сінгапуру та Агентство кібербезпеки Сінгапуру видали рекомендації з кібербезпеки для медичних працівників. Вони підкреслюють важливість належного захисту даних, оновлення програмного забезпечення та створення планового реагування на випадок витоку чутливих даних.

⑫ Екс-керівник відділу інфобезпеки компанії X (екс-Twitter) подав позов, стверджуючи, що його звільнили за відмову скоротити його відділ на 50% та тим самим порушити наказ Федеральної торгової комісії США, за яким компанія повинна підтримувати комплексну програму захисту приватності та інформаційної безпеки.


🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [27.11 – 03.12]

① Рада ЄC ухвалила Закон про дані 27.11. Серед цілей закону – сприяння справедливому розподілу вартості від використання даних суб'єктами цифрової економіки та полегшення переходу від одного постачальника до іншого. Також закон запроваджує сильніші гарантії проти незаконної обробки даних і спрямований на підвищення стандартів інтероперабельності для використання даних між секторами економіки.

➁ Під час тристороннього процесу було фіналізовано Закон ЄС про кіберстійкість. Компанії, які створюють пристрої з підключенням до мережі, повинні будуть виправляти кібервразливості, як тільки їм стане про них відомо, а також включати певні заходи безпеки у свої продукти. Сторони також домовилися, що некомерційні групи, які продають програмне забезпечення з відкритим кодом і реінвестують ці кошти в некомерційну діяльність, будуть звільнені від певних стандартів документування.

➂ Європейська організація споживачів подала скарги до органів захисту прав споживачів країн-членів ЄС, стверджуючи, що компанія Meta використовує нечесні комерційні практики в різних формах. Однією з таких недобросовісних практик є часткове блокування функцій Facebook та Instagram для користувачів з ЄС доти, доки вони не оберуть модель підписки без реклами або не дадуть згоду на отримання персоналізованої реклами. Згідно зі скаргою, на підписці все ще збираються персональні дані, але вони використовуються для цілей, відмінних від реклами.

➃ Французький регулятор CNIL опублікував рекомендації щодо обміну даними через API. У рекомендаціях зазначається, що власники даних повинні забезпечити безпеку будь-яких даних, що передаються за допомогою API, усуваючи при цьому ризики, пов'язані з передачею чутливих даних.

➄ Французький регулятор CNIL розробив фреймворк для визначення строків зберігання даних у загальній та пов'язаній зі здоров'ям сферах соціальної роботи. CNIL запропонував репозиторій для ідентифікації та визначення, а також практичні рекомендації щодо щоденного управління періодами зберігання.

➅ Данський орган із захисту даних Datatilsynet опублікував каталог засобів безпеки даних. Каталог містить приклади з досвіду перевірок Datatilsynet, повідомлень про порушення безпеки персональних даних, а також попередні рекомендації EDPB. Поки заходи зосереджені на управлінні правами, але будуть доповнюватися.

➆ Норвезький регулятор Datatilsynet оголосив про штраф у розмірі 20 млн норвезьких крон, накладений на Норвезьку адміністрацію праці та соціального забезпечення. Розслідування виявило, що системні заходи відомства не є задовільними для забезпечення дотримання законодавства про приватність, і що захист конфіденційності в ІТ-системах також не є задовільним.

➇ Група із захисту прав на приватність noyb подала скаргу на Meta до австрійського регулятора через те, що її модель підписки без реклами Facebook та Instagram змушує людей платити за приватність. Мета захищає свою модель, зазначаючи, що вона відповідає правилам ЄС і коштує так само, як і підписка на інші платформи.

➈ Іспанський регулятор AEPD опублікував рекомендації щодо використання біометричних даних у робочих та особистих цілях, зазначивши, що роботодавці повинні дотримуватися GDPR. AEPD зазначає, що згода не є правовою основою через дисбаланс між особою, яка піддається обробці, і особою, яка її здійснює.

➉ Окружний суд округу Колумбія відхилив запит компанії Meta на розгляд її суперечки з Федеральною торговою комісією США щодо захисту приватності. Суд постановив, що FTC може обмежити кількість грошей, які Meta заробляє на рекламі для користувачів молодше 18 років, в рамках вирішення питання про приватність дітей в Інтернеті.

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [20.11 — 26.11]

① Члени Європейського парламенту 21.11 обговорили, як ШІ повинен регулюватися відповідно до Закону ЄС про ШІ. Компромісний законопроєкт передбачає створення AI Office для нагляду за правозастосуванням закону, але його завдання будуть виконуватися країнами ЄС. Призначена AI Board буде стежити за тим, щоб закон застосовувався послідовно.

➁ Європарламент оголосив про ухвалення своєї позиції щодо пропозиції про боротьбу з матеріалами сексуального насильства над дітьми.

➂ Генерального директора OpenAI Сема Альтмана відсторонила рада директорів компанії. Після звільнення Альтмана сотні співробітників OpenAI погрожували звільнитися, в той час як Альтману запропонували посаду головного виконавчого директора, щоб очолити дослідницький підрозділ Microsoft у сфері ШІ.
Альтмана на посаді все ж таки поновили, а також із ним президента Грега Брокмана, OpenAI також заявили, що рада директорів OpenAI буде переформатована.

➃ Британський регулятор ІСО надіслав письмові попередження найпопулярнішим сайтам країни, щоб вони покращили практику використання файлів cookie третіми сторонами або ж зіткнуться з санкціями. ICO очікує, що вони змінять свою практику протягом 30 днів з моменту вручення попереджень.

➄ Італійський регулятор Garante оголосив про початок розслідування практики збору даних для навчання алгоритмів. Розслідування охоплює державні та приватні організації і має на меті перевірити вжиття належних заходів безпеки для запобігання масовому збору (веб-скрепінгу) персональних даних. Регулятор також розпочав 60-денні публічні консультації щодо потенційних заходів безпеки для боротьби зі скрейпінгом даних.

➅ Міжнародна експертна рада з питань передачі даних представила незалежний звіт Міністерству науки, інновацій та технологій Великої Британії з рекомендаціями щодо цілей сталої міжнародної передачі даних. У звіті детально описується важливість співпраці з ЄС у сфері захисту персональних даних.

➆ Окружний суд Північного округу Каліфорнії постановив, що не має повноважень скасовувати припис Федеральної торгової комісії США, який зобов'язує компанію X Corp.(ex-Twitter) мати програму приватності та безпеки, а також надати оцінку ефективності цієї програми. ФТК стверджує, що у 2022 році Twitter використовував персональну інформацію користувачів для таргетування реклами, а не в цілях безпеки.

➇ Федеральна комісія зі зв'язку США вимагатиме від провайдерів бездротового зв'язку запровадити більш безпечні методи автентифікації особи клієнта перед тим, як створювати його обліковий запис на новому пристрої. Правила покликані захистити користувачів від шахраїв, які намагаються отримати доступ до персональних даних їхніх облікових записів.

➈ Генеральна прокурорка штату Нью-Йорк оголосила про укладення угоди з міжнародною фінансовою компанією Morgan Stanley на суму $6,5 млн після судового позову, поданого кількома штатами. Повідомляється, що Morgan Stanley не вивела з експлуатації свої комп'ютери і не видалила незашифровані дані споживачів з пристроїв, які пізніше були продані на аукціоні.

➉ The Wall Street Journal протестили новий сервіс підписки Meta без реклами, яким компанія намагається виконати постанову Європейської ради із захисту даних, що обмежує збір даних для таргетованої реклами. Репортер виявив, що Instagram дійсно показує менше реклами, але збір даних про взаємодію з акаунтом і переглянуті пости, як повідомляється, залишається інструментом таргетування.

🇺🇦 Все буде Україна!

#Академія_приватності

🎓 АКАДЕМІЯ ПРИВАТНОСТІ: РЕТРОСПЕКТИВА

Рік тому ми провели Освітній табір “Академія приватності”, спрямований на формування в Україні стандартів і системи викладання у закладах вищої освіти курсу із захисту персональних даних. Зараз ми оцінюємо довгострокові результати Академії і плануємо свою подальшу діяльність для формування культури приватності в Україні, тому вирішили поділитися з вами, як же це було

❓Як готувалась Академія приватності-2022?

Ми отримали майже 300 заявок, і були приємно здивовані високим рівнем мотивації учасників. Після ретельного розгляду ми відібрали 30 викладачів і 6 студентів та аспірантів з 25 університетів для участі в Академії.

За кілька днів до початку росія завдала масованого ракетного удару по Україні, в результаті якого було випущено 84 ракети. В кількох регіонах сталося відключення електроенергії, що ускладнило процес.

Незважаючи на ці виклики, команда невтомно працювала над тим, щоб забезпечити проведення Академії без жодних втрат якості уже в онлайн-форматі. А для проведення лекцій до Києва навіть приїхали експерти з Берліну.

❓Як проходила Академія приватності-2022?

Учасники були поділені на шість груп (право, міжнародне право, кібербезпека, медицина та охорона здоров'я, журналістика, маркетинг), кожна з яких складалася з викладачів різних спеціальностей та студентів/аспірантів, що допомогло врахувати інтереси студенства та адаптувати новітні методики.

❓Які були лекції та семінари?

В рамках Академії ми провели серію лекцій та семінарів загальним обсягом 30 академічних годин із залученням експертів як національних, так і іноземних (з Великої Британії та Німеччини) на такі теми:

▪️Важливість захисту даних. Основні поняття приватності та захисту даних
▪️Законність обробки даних, правові підстави для обробки та інші принципи. Права суб'єктів даних
▪️Обов'язки контролера та процесора, реєстр діяльності з обробки даних, технічні та організаційні заходи безпеки, витік даних
▪️Оцінка впливу на захист даних, відповідальний за захист даних, міжнародна передача даних
▪️Privacy Office: Операційна та юридична сторони
▪️Проєктована приватність (воркшоп)
▪️Захист інформаційної приватності дітей

Окрім загальних лекцій, Академія приватності також включала спеціалізовані лекції, які висвітлюють питання захисту персональних даних у конкретних галузях – право, міжнародне право, кібербезпека, охорона здоров'я, журналістика та маркетинг. Ці лекції були покликані надати учасникам практичні знання та навички, які вони зможуть застосувати у відповідних сферах діяльності.

❓Як створювалися силабуси?

Далі команди працювали за підтримки менторів над розробкою навчальних курсів із захисту персональних даних для різних спеціальностей, які потім були представлені журі.

Після Академії приватності розпочався процес інтеграції навчальних курсів у програму закладів вищої освіти. І ми з нетерпінням чекаємо на продовження наших зусиль, спрямованих на підвищення рівня обізнаності та поваги до приватності в українському суспільстві.

Чекайте на оновлення в нашій рубриці найближчим часом

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [13.11 — 19.11]

① Європейська рада із захисту даних (EDPB) випустила гайдлайни щодо того, як стаття 5 (3) Директиви про електронну приватність регулює методи відстеження. Гайдлайни наразі відкриті для обговорення.

➁ Європейська комісія дала компаніям Meta і Snap термін до 01.12 для надання інформації про те, як вони захищають дітей від шкідливого контенту (раніше така ж вимога була висунута до YouTube і TikTok). Ці дії відбулися після прийняття Закону про цифрові послуги, який вимагає від великих технологічних компаній докладати більше зусиль для боротьби з незаконним і шкідливим контентом.

➂ Франція, Німеччина та Італія наполягають на включенні в запропонований закон про ШІ кодексу поведінки, який дозволить компаніям здійснювати саморегулювання, а не дотримуватися раніше запропонованої багаторівневої моделі регулювання.

➃ Сенатор США Кетрін Кортес Масто (штат Невада) повторно внесла на розгляд три законопроєкти, спрямовані на посилення захисту персональних даних споживачів. Запропонований Закон про приватність даних надасть споживачам право вимагати від організацій видалити їхні дані та дозволить їм відмовитися від збору даних. Закон про сприяння розвитку цифрових технологій приватності стимулюватиме дослідження в галузі технологій, що підвищують рівень приватності. Закон про ідентифікацію інтернет-додатків вимагатиме від розробників додатків розкривати інформацію про те, чи були вони розроблені в Китаї або чи зберігають вони зібрані дані в Китаї.

➄ Комісар Баден-Вюртемберга (Німеччина) з питань захисту даних і свободи інформації опублікував документ, в якому виклав свої погляди на те, які правові засоби захисту персональних даних вже застосовуються до систем ШІ.

➅ Уряд Бельгії оскаржує рішення регулятора, яке визнало масову передачу урядом податкових даних американських громадян незаконною відповідно до GDPR. Початкова скарга була подана до регулятора Association of Accidental Americans після того, як бельгійська податкова служба передала податкові дані фізичних осіб до Податкової служби США відповідно до двосторонньої угоди, що вимагає від Бельгії повідомляти податкову інформацію про громадян США, які проживають у країні.

➆ Група захисту приватності noyb подала скаргу на Генеральний директорат Європейської комісії з питань міграції та внутрішніх справ за таргетовану рекламу, пов'язану з пропозицією ЄС щодо запобігання сексуальному насильству над дітьми. noyb стверджує, що ЄС використовував таргетовану рекламу в соціальній мережі X (ex-Twitter) всупереч Закону про цифрові послуги, який забороняє використання чутливих персональних даних для цілей таргетування реклами.

➇ Британський регулятор ICO оголосив про перевірку стандартів захисту даних для агентів з розшуку після того, як сім організацій були причетні до витоку даних, що вплинуло на жертв домашнього насильства. Під час перевірки ICO заявив, що не виявив порушень законодавства, однак запропонував агентам з розшуку кілька рекомендацій, зокрема щодо забезпечення обґрунтованості впливу на осіб, яких розшукують.

➈ Суд ЄC постановив, що бельгійський суд повинен розглянути питання про те, чи має чоловік право ознайомитися з інформацією, яку зібрала про нього Національна служба безпеки. Позивачеві було відмовлено в допуску до інформації на підставі його минулої політичної діяльності, але йому було сказано, що він матиме лише непрямий доступ до даних.

➉ Китай оприлюднив проєкт пропозиції, який рекомендує аудиторам вживати додаткових заходів кібербезпеки при вирішенні питань національної безпеки. Міністерство фінансів та Адміністрація кіберпростору Китаю розробили спільну пропозицію щодо посилення стандартів кібербезпеки у фінансовій галузі.

⑪ Ізраїльське управління із захисту приватності оприлюднило рекомендації щодо найкращих практик у розробці продуктів для розумного дому на основі Інтернету речей.

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [06.10 — 12.10]

① Інституції ЄС готують пропозиції, щоб спробувати доопрацювати запропонований Закон про ШІ під час потенційного фінального трилогу переговорів 06.12. Члени Європейського парламенту розповсюдили компромісний текст, який замінює раніше запропоновану повну заборону на технології біометричної ідентифікації на заборонені практики та обмежені дозволи.

➁ Рада ЄС та Європейський Парламент попередньо досягли домовленості щодо того, як може працювати таргетована політична реклама. Положення дозволятиме таргетовану рекламу лише за умови чіткої згоди споживача та заборонятиме профілювання на основі персональних даних. Обидві сторони мають ухвалити угоду, перш ніж вона набуде чинності.

➂ Організація економічного співробітництва та розвитку прийняла нове визначення "штучного інтелекту", яке ляже в основу визначення в рамках запропонованого закону ЄС про ШІ.

➃ Європейський парламент оголосив про попередню угоду з Радою ЄС про створення цифрового ідентифікаційного гаманця ЄС, який забезпечує онлайн-перевірку ідентичності. За допомогою інформаційної панелі гаманця громадяни зможуть отримувати доступ до своїх даних і видаляти їх.

➄ Європейський парламент схвалив положення щодо обміну даними в Законі ЄС про дані. Метою закону є заохочення інновацій шляхом усунення бар'єрів для доступу до даних у контексті пристроїв Інтернету речей та для навчання алгоритмів систем ШІ. Перед набуттям чинності Закон про дані має бути схвалений Радою ЄС.

➅ Французький регулятор CNIL протягом останніх місяців наклав 10 санкцій на приватні та державні організації на загальну суму €97 k. Скарги стосувалися, зокрема, обробки геолокаційних даних співробітників, які керували службовими автомобілями під час перерв, а також використання відеоспостереження за працівниками на їхніх робочих місцях. CNIL підкреслив, що штрафи були накладені за новою спрощеною процедурою санкцій.

➆ Іспанський регулятор опублікував пост у блозі про те, як синтетичні дані можуть замінити персональні дані в навчанні моделей ШІ. Синтетичні дані можуть стати запасним варіантом, коли потрібні великі обсяги персональних даних, але вони недоступні або їх важко зібрати.

➇ Данський регулятор видав компаніям Meta і Google розпорядження про дотримання вимог щодо використання файлів cookie третіми сторонами, які мають бути виконані протягом чотирьох тижнів.

➈ Рада Каліфорнійського агентства із захисту приватного життя оприлюднила переглянутий проєкт правил проведення аудитів кібербезпеки відповідно до CPRA.

➉ Правозахисна група SPARC опублікувала дослідження, в якому проаналізувала ризики для приватності, пов'язані з видавничою індустрією. У звіті розглядається, як практика захисту приватності книговидавців узгоджується з традиційними бібліотечними стандартами, зокрема, звертається увага на нові проблеми з відстеженням користувачів.

⑪ Специфікації запитів на видалення даних від IAB Tech Lab мають на меті допомогти рекламній індустрії виконати запити споживачів на видалення даних. Інструмент видалятиме дані та припинятиме відстеження і зупинятиме ланцюжок відстеження даних.

⑫ Network Advertising Initiative рекомендує рекламодавцям, які працюють у сфері охорони здоров'я, використовувати більш широкі демографічні дані і створити надійні стандарти управління даними в рамках рекомендацій щодо найкращих практик. NAI зазначає, що дані можна використовувати відповідально, щоб захистити приватність пацієнтів, а також забезпечити їм доступ до ресурсів.

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [30.10 — 05.10]

① ООН створила Консультативний орган високого рівня з питань ШІ, до складу якого увійшли експерти з уряду, приватного сектору та громадянського суспільства. Основна мета – сприяти глобальному інклюзивному підходу для проведення аналізу та розробки рекомендацій щодо міжнародного управління ШІ.

➁ Члени G7 підписали кодекс поведінки для компаній, які прагнуть розвивати технології ШІ. Кодекс містить 11 керівних принципів, які забезпечують керівництво для організацій, що розробляють, впроваджують і використовують передові системи ШІ.

➂ ЄС та 28 країн, включаючи Китай, Великобританію та США, погодили Блетчліську декларацію про безпеку штучного інтелекту в рамках Саміту з безпеки ШІ, що відбувся у Великій Британії, для забезпечення безпечної та відповідальної розробки та впровадження ШІ на благо світової спільноти.

➃ Депутат французького парламенту Філіп Латомбе подав апеляцію на рішення Суду загальної юрисдикції ЄС про відхилення його петиції про скасування Рамкової угоди між ЄС та США про захист даних. В апеляції Латомбе, зокрема, стверджується, що Суд з питань захисту даних США не є незалежним, оскільки він був створений указом президента, а не актом Конгресу, а американське законодавство не передбачає жодних загальних гарантій проти автоматизованого прийняття рішень.

➄ ЄС і Японія домовилися про нову Угоду про економічне партнерство, яка включає положення про безперешкодну транскордонну передачу даних.

➅ Регулятор Ліхтенштейну опублікував інструкцію щодо практики захисту даних стосовно чат-ботів на основі ШІ. Описуються чат-боти та їх використання, обговорюються правові підстави для обробки даних, зобов'язання щодо прозорості та існуючі правові невизначеності щодо чат-ботів відповідно до GDPR.

➆ Комісія з цінних паперів і бірж США висунула звинувачення в шахрайстві проти компанії SolarWinds і CISO Тімоті Брауна у зв'язку з кібератакою на компанію. Як повідомляється, SolarWinds обманювала інвесторів, роздуваючи заходи безпеки компанії, зазначаючи, що публічні заяви про стан кібербезпеки розходилися з її внутрішніми оцінками. У скарзі стверджується, що Браун знав про ризики безпеки, але не вжив заходів для їх вирішення.

➇ Британське управління з питань конкуренції та ринків опублікувало звіт за третій квартал 2023 року про дотримання зобов'язань компанії Google щодо Privacy Sandbox.

➈ IAB Europe опублікували документ з рекомендаціями щодо застосування GDPR у транскордонних справах. Рекомендації закликають до якнайшвидшого врегулювання, зокрема укладення мирових угод для вирішення справ, а також до підвищення прозорості рішень наглядових органів.

➉ Виконавчий офіс Білого дому опублікував проєкт меморандуму для керівників виконавчих агентств щодо використання ШІ в їхніх відомствах. Проєкт меморандуму відкрито для громадського обговорення. Згідно з указом президента США від 30.10, кожне відомство має призначити головного спеціаліста з питань ШІ протягом 60 днів. Призначеному буде доручено просувати відповідальні інновації в галузі ШІ та управляти ризиками, пов'язаними з використанням ШІ. В указі також викладено вісім керівних принципів і пріоритетів щодо того, як слід розробляти та впроваджувати системи ШІ.

⑪ Канада заборонила китайський додаток для обміну повідомленнями WeChat і російську антивірусну програму "Касперський" на всіх державних пристроях з міркувань безпеки.

⑫ Ізраїль нібито використовує кіберхакерів і компанії-виробники шпигунського програмного забезпечення для злому і моніторингу електроніки викрадених людей у своїй війні проти ХАМАСу.

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [23.10 — 29.10]

① Політики ЄС обговорювали новий текст Закону про ШІ та погодили положення щодо класифікації високоризикованих програм ШІ, а також розробили загальні рекомендації щодо використання вдосконалених базових моделей. Юридичний офіс Європарламенту виступив проти винятків і вважає, що компромісні положення суперечать самій меті закону про ШІ і ведуть до правової невизначеності. Тим часом, Європейський комісар із захисту даних опублікував свої остаточні рекомендації щодо закону про ШІ, які включають заклик заборонити системи, що становлять неприйнятні ризики для людей.

➁ Європейська комісія створила правову базу для публікації аудиторських звітів і звітів про виконання аудиту для дуже великих онлайн-платформ і дуже великих онлайн-пошукових систем відповідно до Закону про цифрові послуги. Положення встановлюють правові вимоги до вибору незалежного аудитора та методології аудиту.

➂ Європарламент погодив проєкт пропозиції щодо боротьби з матеріалами сексуального насильства над дітьми (CSAM). Пропозиція вимагатиме від цифрових платформ виявляти та повідомляти про CSAM. Регламент пропонує надати Центру ЄС найширшу правоздатність, що надається юридичним особам відповідно до законодавства держав-членів, і використовувати бота, схожого на вебсканер, для пошуку загальнодоступного контенту CSAM.

➃ Суд ЄС вирішив, що пацієнт має право на безкоштовну першу копію своєї медичної картки відповідно до GDPR. Питання постало перед судом після того, як житель Німеччини звернувся до свого стоматолога з проханням надати копію своєї медичної картки, на що йому було сказано, що він повинен заплатити за неї. Справа ще має бути розглянута Федеральним судом Німеччини.

➄ Бельгійський регулятор опублікував чек-лист щодо належного застосування та використання сторонніх файлів cookie та механізмів відстеження користувачів. Чек-лист містить нагадування про те, що можна і чого не можна робити при використанні файлів cookie, а також нагадує компаніям, що для будь-якого відстеження, яке не є суворо необхідним, потрібна "вільна, конкретна, (і) інформована" згода.

➅ Законопроєкт про онлайн безпеку у Великій Британії отримав королівське схвалення 26.10. і відтепер є законом. Закон встановлює нові зобов'язання щодо того, як технологічні компанії повинні розробляти, експлуатувати та модерувати свої платформи. Міністерство зв'язку Великої Британії відповідатиме за дотримання вимог закону на платформах і випустить свої кодекси практики в три етапи, починаючи з 09.11.

➆ Торговець адресами Acxiom звернувся за тимчасовою судовою забороною, щоб зупинити доступ групи захисників приватності noyb до файлів, пов'язаних зі скаргою на порушення GDPR. Скарга стосується таємного використання персональних даних для кредитного скорингу, що є потенційним порушенням європейського законодавства про захист даних. Незважаючи на переконливі докази, розгляд справи затягується, а дії Acxiom виглядають як спроба перешкодити дотриманню прав на захист даних.

➇ 41 штат США та округ Колумбія подали позови проти Meta, звинувачуючи компанію в тому, що вона вбудувала в Instagram та Facebook функції, які викликають залежність, маніпулюють неповнолітніми та завдають їм шкоди. У скарзі, що стосується Закону США про захист приватності дітей в Інтернеті (COPPA), робиться спроба довести, зокрема, що технологічні компанії зобов'язані отримувати інформовану згоду батьків перед тим, як збирати персональну інформацію про дітей в Інтернеті.

➈ Центр демократії та технологій запустив Лабораторію управління ШІ, щоб відстоювати ідеї управління ризиками, пов'язаними з системами ШІ.

➉ Дослідження, проведене серед 500 фахівців з IT у Великобританії, показало, що 1/3 професіоналів не пройшли жодного навчання з питань ШІ, а майже 1/2 компаній не має політики щодо цієї технології на робочому місці. Майже всі фахівці заявили, що вони стурбовані амбіціями своєї організації щодо ШІ через недостатню підготовку.

🇺🇦 Все буде Україна!

#Новини_тижня

🆕 НОВИНИ ТИЖНЯ [16.10 — 22.10]

① EDPB оголосила, що її координовані правозастосовні дії до 2024 року будуть спрямовані на забезпечення реалізації контролерами права доступу до даних відповідно до GDPR.

➁ Рада ЄС буде обговорювати три документи щодо запропонованого Закону ЄС про ШІ, які стосуються фундаментальних прав, зобов'язань щодо сталого розвитку та прийняття рішень на робочому місці. Також планується створення загальноєвропейського регулятора ШІ, який відповідатиме за дотримання ключових положень закону.

➂ EDPB та EDPS оприлюднили спільний висновок щодо пропозиції створення цифрового євро. Обидва відомства закликають запровадити поріг приватності для онлайн-транзакцій, роз'яснити вимоги Європейського центрального банку та постачальників платіжних послуг щодо захисту даних, а також розробити чіткі вказівки щодо того, як ідентифікатори будуть використовуватися для визначення кількості цифрових євро у користувача.

➃ Компанія Clearview AI виграла апеляцію на штраф у розмірі £7,5 млн, накладений у 2021 р. британським регулятором ICO. Члени Трибуналу першого рівня, які розглядали апеляцію, постановили, що компанія дійсно займалася обробкою даних, пов'язаних з моніторингом поведінки людей у Великобританії, однак ICO не мав юрисдикції накладати штраф на Clearview AI, оскільки її користувачами були в основному правоохоронні органи за межами Британії.

➄ Французький регулятор CNIL опублікував FAQ щодо рішення Європейської комісії про адекватність Рамкової угоди між ЄС та США про приватність даних.

➅ CNIL також розпочав консультації щодо процесів створення датасетів для розвитку ШІ. CNIL розробляє інструкції з конкретними і практичними відповідями щодо дотримання законодавства про захист персональних даних.

➆ Центр демократії та технологій запустив Лабораторію управління ШІ, щоб відстоювати ідеї управління ризиками, пов'язаними з системами ШІ.

➇ Агентство з доступу до публічної інформації Аргентини створило набір ресурсів, призначених для сприяння дотриманню вимог щодо захисту даних у приватному та державному секторах. А також оновило стандартні договірні положення щодо міжнародної передачі персональних даних.

➈ Адміністрація кіберпростору Китаю представила свою Глобальну ініціативу з управління ШІ, рамкову концепцію розвитку ШІ. Вона закликає до рівних прав при розробці ШІ, незалежно від розміру, сили або соціальної системи країни.

➉ 13-річна судова тяганина з приводу того, що Google передавав персональну інформацію користувачів третім сторонам, наближається до завершення після того, як суддя затвердив мирову угоду на суму $23 млн.

⑪ Австралійський комісар з питань електронної безпеки оштрафував компанію X (екс-Twitter) на 610.5k авст. доларів за невиконання припису про розкриття деталей щодо тактики запобігання матеріалам, які містять сексуальне насильство над дітьми.

⑫ Google випустив законодавчу базу, що пропонує політикам принципи для розробки кращих законів для захисту дітей в Інтернеті. Багато з цих принципів ґрунтуються на впровадженні вікових особливостей дизайну, які розроблені з думкою про безпеку, щоб забезпечити кращий досвід роботи в Інтернеті для неповнолітніх. Також Google планує запустити інструмент для оцінки використання файлів cookie третіми сторонами в листопаді.

⑬ Офіс комісара з питань інформації Австралії оприлюднив щорічний звіт про приватність та доступ до інформації за 2022-2023 роки.

🇺🇦 Все буде Україна!