Подборка privacy новостей (EC) за период с 19.05.2023 по 04.06.2023

1.  В рамках сотрудничества между ЕС и Ассоциацией государств Юго-Восточной Азии (АСЕАН) разработано руководство, определяющее сходства и основные различия между стандартными контрактными условиями (SCC) и типовыми контрактными положениями АСЕАН для трансграничных потоков данных (MCCs). Данное руководство предназначено прежде всего для компаний, осуществляющих свою деятельность в обоих регионах, выступающих как передающей, так и принимающей данные стороной.

2.  На сайте британского надзорного органа (ICO) опубликовано руководство по реагированию работодателями на запросы субъектов на доступ к персональным данным (Subject Access Requests).

С положениями вышеуказанного сообщения можно ознакомиться по ссылке (en): 

3.  Испанским надзорным органом (Agencia Española de Protección de Datos) опубликовано руководство по проверке криптографических систем (исходное название: Orientaciones para la validación de sistemas criptográficos).

Документ содержит рекомендации по проведению оценки элементов систем шифрования, используемых в том числе при обработке персональных данных.

4.  На сайте испанского надзорного органа (Agencia Española de Protección de Datos) опубликована информация о реализации одного из принципов, касающихся обработки персональных данных (персональные данные должны быть точными и при необходимости поддерживаться в актуальном состоянии, ст. 5(1)(d) GDPR) с использованием технологии ИИ.

5.  Итальянский надзорный орган (Garante per la protezione dei dati personali) наложил штраф в размере €50,000 на компанию Hennes & Mauritz (H&M) за нарушение статей 5(1)(а) и 88 GDPR.

Поводом для наложения штрафа послужило осуществление компанией видеонаблюдения в зонах, где работают её сотрудники, в отсутствие их согласия / полученного разрешения трудовой инспекции.

Компания пыталась обосновать установку камер видеонаблюдения необходимостью обеспечения безопасности сотрудников, а также предупреждением возможных случаев кражи товара.

6.  Французский надзорный орган (CNIL) оштрафовал компанию Doctissiomo (www.doctissimo.fr) за нарушение требований, установленных статьями 5(1)(е), 9, 26, 32 GDPR, на сумму €280,000.

На веб-сайте doctissimo.fr размещены в том числе статьи, тесты, викторины и форум, доступные для широкой публики, с помощью которых собираются сведения о состоянии здоровья посетителей упомянутого сайта.

Выявленные нарушения связаны с несоблюдением требования к хранению персональных данных в форме, которая позволяет идентифицировать субъектов не дольше, чем это необходимо для целей, в рамках которых обрабатываются данные, осуществлением сбора сведений о состоянии здоровья с помощью онлайн-тестирований в отсутствие согласия субъекта, отсутствием четкого распределения обязанностей при обработке персональных данных совместно с со-контролером, неспособностью обеспечить безопасность обрабатываемых данных.

7.  Бельгийский надзорный орган (Autorité de protection des données) постановил запретить налоговым органам осуществлять передачу персональных граждан, имеющих двойное гражданство (США и Бельгии), а также проживающих в Бельгии, на территорию США, основанную на требованиях FATCA.

8.  Надзорный орган Финляндии (Tietosuojavaltuutetun toimisto) вынес предупреждение Финскому метеорологическому институту (Ilmatieteen laitos), использовавшему сервисы Google Analytics и reCAPTCHA за незаконную передачу персональных данных посетителей веб-сайта института на территорию США.

 Материал подготовлен Юрием (TG: @indian_miracle)