data_privacy_office

Еврокомиссия срывает собственные дедлайны а Великобритания выступает против Grok AI Рассказываем о новостях в мире privacy и AI Compliance за прошедшую неделю ICO выносит выговор клинике Staines Health Group за передачу избыточных данных пациента Британский регулятор наказал медицинскую организацию за отправку лишних сведений страховой компании Вместо истории болезни за пять лет клиника переслала записи пациента за 23 года Пациент с неизлечимым заболеванием считает что этот инцидент привел к уменьшению страховой выплаты Причиной нарушения стали отсутствие четких инструкций для персонала и недостаток регулярного обучения сотрудников правилам защиты данных Подробнее Британский регулятор ICO начинает официальное расследование в отношении ИИ системы Grok Ведомство проверяет компании X Internet Unlimited и X AI LLC из за обработки данных для создания вредоносного контента Поводом стали сообщения о генерации интимных изображений и видео без согласия людей включая детей Инспекторы оценят соблюдали ли разработчики принципы законности и прозрачности при создании ИИ Подробнее Владелец платформы Imgur выплатит штраф за нарушение конфиденциальности детей Регулятор оштрафовал компанию MediaLab на 247 590 фунтов стерлингов Расследование показало что сервис годами обрабатывал данные детей младше 13 лет без согласия родителей Платформа не проверяла возраст пользователей и не проводила оценку рисков для приватности несовершеннолетних Это подвергало детей опасности просмотра вредоносного контента включая сцены насилия и призывы к расстройствам пищевого поведения Подробнее Великобритания вводит в действие основные положения Data Use and Access Act 5 февраля 2026 года стартовала реализация следующей фазы акта DUAA Закон наделяет ICO правом принудительно вызывать свидетелей на интервью и запрашивать технические отчеты Новые правила позволяют штрафовать компании на сумму до 17 5 млн фунтов или 4 мирового оборота за нарушение правил электронной связи Регулятор уже обновил руководства по доступу к данным и кодексы поведения для правоохранительных органов Подробнее Утечка данных в Новой Зеландии показала недостатки местного законодательства о приватности Хакеры похитили чувствительные медицинские документы тысяч пользователей портала Manage My Health Этот инцидент стал одним из самых серьезных в истории страны Эксперты отмечают что текущий закон предусматривает лишь мизерные штрафы до 10 000 новозеландских долларов около 6 000 долларов США Общественность требует введения режима крупных финансовых санкций как в Австралии где штрафы могут превышать 50 млн долларов за повторные нарушения Подробнее Тайвань принимает AI Basic Act Документ вступил в силу 14 января и устанавливает семь фундаментальных принципов включая подотчетность и приватность Закон обязывает компании маркировать высокорисковые ИИ системы и внедрять механизмы компенсации ущерба Правительство Тайваня планирует в течение двух лет пересмотреть все текущее законодательство для соответствия новым нормам Регуляторы также создадут открытую инфраструктуру данных для обучения качественных языковых моделей Подробнее Еврокомиссия пропускает срок публикации руководства по высокорисковым ИИ системам Регулятор не успел к 2 февраля подготовить инструкции по применению статьи 6 Закона об ИИ Эта задержка создает неопределенность для бизнеса перед вступлением основных правил в силу в августе Комиссия планирует представить черновик документа в конце месяца интегрируя отзывы участников рынка Параллельно обсуждается возможность отсрочки применения требований к системам высокого риска на 16 месяцев в рамках Digital Omnibus Подробнее Австралия отчитывается об удалении миллионов детских аккаунтов из социальных сетей В декабре платформы удалили 4 7 млн учетных записей детей младше 16 лет Однако подростки продолжают обходить запрет используя чужие документы или технологии искажения возраста Регулятор eSafety критикует IT гигантов за неспособность остановить распространение материалов с сексуальной эксплуатацией детей Подробнее news

Новости из мира privacy за прошедшую неделю Китай усиливает регулирование ИИ в рамках нового закона о кибербезопасности Китай утвердил поправки к Закону о кибербезопасности с положениями по управлению искусственным интеллектом Новые нормы вступают в силу 1 января 2026 года Они усиливают регуляцию этичности ИИ оценивают риски и требуют обязательной сертификации оборудования Особое внимание уделяется безопасности цепочки поставок систем Нарушителям могут быть начислены штрафы до 10 млн юаней более 1 2 млн евро Регуляторы также обновляют политику в секторе здравоохранения и проводят проверки мобильных приложений в Пекине Шанхае и Гонконге Подробнее Недавние приобретения поставщиков технологий для обеспечения приватности говорят о возобновлении интереса инвесторов Состоялись значимые сделки в сфере технологий защиты персональных данных Securiti AI продана компании Veeam за 1 73 млрд долларов а TrustArc перешла к Main Capital Partners Эти приобретения свидетельствуют о восстановлении интереса инвесторов к сектору технологий приватности Подробнее Новые требования CCPA накладывают персональную ответственность Калифорнийский регламент вводит новые требования которые обязывают назначенных руководителей лично отвечать за соблюдение стандартов в области кибербезопасности ИИ и защиты персональных данных Предприятия должны проводить детальные оценки рисков и аудиты кибербезопасности с личными гарантиями от членов исполнительного руководства Подробнее Европейская комиссия презентует реформы цифрового законодательства В ноябре 2025 года Европейская Комиссия готовится опубликовать пакет цифровых реформ который направлен на упрощение и уточнение законодательства ЕС включая GDPR ePrivacy Data Ac и EU AI Act Предлагается создание единого портала для отчетности о нарушениях пересмотр норм согласия при использовании cookies и стандартизация проведения DPIA по всей Европе Эти изменения предполагают совершенствование регулирования и снижение административной нагрузки на бизнес Подробнее Казахстан принял первый закон о регулировании ИИ Президент Казахстана подписал закон устанавливающий правовую основу для искусственного интеллекта Закон вводит принципы безопасности прозрачности и подотчетности Владельцы и операторы ИИ систем должны управлять рисками и обеспечивать безопасность Законодательство запрещает ИИ системы с манипулятивными техниками или обрабатывающие персональные данные незаконно Товары и услуги созданные с помощью ИИ должны иметь обязательную маркировку Также создается национальная платформа для разработки и тестирования ИИ продуктов Подробнее news

Купил часы а теперь все знают сколько ты на это потратил денег В последнее время в fashion индустрии возникли серьезные проблемы с защитой персональных данных Один из таких случаев связан с Dior в Шанхае Шанхайское подразделение модного дома было оштрафовано Управлением по кибербезопасности КНР Причиной стала масштабная утечка которая включала персональные данные покупателей контакты адреса историю покупок и потребительские предпочтения Кроме того власти зафиксировали незаконную передачу этих данных во Францию без обязательной проверки безопасности и без получения согласия пользователей А это прямо противоречит положениям закона о защите персональной информации Китая PIPL Размер штрафа не раскрывается но руководство Dior принесло официальные извинения и пообещало устранить все выявленные недостатки Подробнее про Китайское законодательство в сфере защиты персональных данных в Китае можно прочитать в наших статьях Защита персональных данных в странах Азии Назначение представителя на территории Китая Про регулирование искусственного интеллекта в Китае Другой значительный инцидент произошел с Kering материнской компанией люксовых брендов Balenciaga Gucci и Alexander McQueen Киберпреступники похитили личные данные потенциально миллионов клиентов Украденные данные включали имена адреса электронной почты номера телефонов адреса и общую сумму потраченную в магазинах по всему миру Именно она вызывает особую обеспокоенность Эта информация может привести к тому что крупные покупатели станут мишенью для вторичных взломов и мошенничества если хакер решит передать информацию другим преступникам При этом другая финансовая информация такая как данные карт не была похищена Kering подтвердила факт взлома и уведомила соответствующие органы по защите данных Компания также отправила электронные письма пострадавшим клиентам но не указала их количество За атакой стоит киберпреступник называющий себя Shiny Hunters который утверждает что получил данные связанные с 7 4 миллионами уникальных адресов электронной почты Небольшой образец предоставленный BBC в качестве доказательства содержал тысячи подлинных данных клиентов Shiny Hunters заявили что взломали люксовые бренды через Kering в апреле и с начала июня вели переговоры с компанией о выкупе в биткоинах Kering это отрицает и заявляет что они отказались платить в соответствии с рекомендациями правоохранительных органов Kering заявила что несанкционированная третья сторона получила временный доступ к нашим системам и получила доступ к ограниченным данным клиентов некоторых из наших Домов в июне добавив что с тех пор они обезопасили свои IT системы Этот взлом в апреле произошел на фоне волны атак на люксовые бренды включая Cartier и Louis Vuitton которые также сообщали об утечках хотя неизвестно связаны ли эти атаки с Shiny Hunters Shiny Hunters также известные как UNC6040 известны тем что крадут данные обманывая сотрудников чтобы те предоставили свои данные для входа во внутреннее программное обеспечение Salesforce компании Группа использует методы социальной инженерии На них ведутся сотрудники которые не знают или игнорируют базовые принципы безопасности данных Про то что такое социальная инженерия и как минимизировать ее влияние на компанию рассказывали здесь Методы социальной инженерии Как организовать обучение чтобы коллегам было интересно Как измерить эффективность корпоративного обучения Может дьявол и носит Prada но видимо даже он не застрахован от утечки своих данных