37 безкоштовних інтерактивних вправ у 3 структурованих курсах, що охоплюють GDPR, Закон ЄС про штучний інтелект та OWASP-ризики конфіденційності.
Кожна вправа безкоштовна, працює у вашому браузері та не потребує реєстрації. Підготуйте свою команду до вимог конфіденційності та керування ШІ, які аудитори дійсно перевіряють.
11 вправ
Збирайте та керуйте маркетинговою згодою відповідно до GDPR.
Дійте в рамках 72-годинного вікна повідомлення GDPR.
Інтегруйте захист даних у дизайн продуктів та процесів.
Обробляйте запити субʼєктів даних відповідно до GDPR.
Видаляйте персональні дані з документів перед поширенням.
Відрізняйте легітимні запити від спроб шахрайства.
Оцінюйте обробників даних перед передачею персональних даних.
Реагуйте на інциденти безпеки з урахуванням вимог GDPR.
Передавайте персональні дані за межі ЄЕП відповідно до GDPR.
Проведіть DPIA для обробки з високим ризиком.
Знайте, де зберігаються персональні дані та як вони обробляються.
16 вправ
Здобудьте грамотність ШІ за статтею 4 ще до того, як торкнетесь робочих AI-інструментів.
Сортуйте реальні впровадження ШІ за чотирма рівнями ризику Закону ЄС про ШІ.
Зупиняйте заборонені впровадження ШІ ще до запуску.
Заблокуйте запуск ШІ високого ризику з прогалинами в будь-якій із семи сфер.
Сумісний продукт постачальника не робить ваше впровадження сумісним.
Маркуйте AI-чатботи та синтетичний медіа-контент правильно за статтею 50.
Перевизначте рекомендацію ШІ щодо кредиту, коли докази не сходяться.
Заблокуйте навчання ШІ на витоковому, упередженому або надмірному датасеті.
Проведіть медичний ШІ одночасно через Закон ЄС про ШІ та GDPR.
Дослідіть проксі-змінні, заховані в моделі перевірки резюме.
Проведіть FRIA, перш ніж AI-система соцжитла винесе перше рішення про допомогу.
Повідомте про дискримінаційний патерн відмов ШІ за статтею 62.
Збудуйте реєстр ШІ й зупиніть тіньовий ШІ у своїй компанії.
Картографуйте обов’язки постачальника та впроваджувача для систем системного ризику.
Робіть сумісний AI-вибір протягом звичайного робочого дня.
Зіставте трирівневу структуру штрафів із реальними сценаріями правозастосування.
10 вправ
Зрозумійте, як вразливості ПЗ розкривають персональні дані.
Запобігайте несанкціонованому доступу до персональних даних.
Реагуйте на витік PII за принципом мінімізації шкоди.
Розпізнайте темні патерни, що маніпулюють згодою користувачів.
Зрозумійте, як непрозорі політики порушують права користувачів.
Забезпечте повне видалення PII при запитах та закінченні терміну.
Підтримуйте точність та актуальність персональних даних.
Захистіть сеанси користувачів від викрадення.
Забезпечте реалізацію прав субʼєктів на доступ до даних.
Збирайте лише ті персональні дані, які дійсно необхідні.
Тренінги з конфіденційності та відповідності навчають співробітників обробляти персональні дані та системи ШІ відповідно до регуляцій, як-от GDPR і Закон ЄС про штучний інтелект, та галузевих фреймворків, як-от OWASP Top 10 Privacy Risks. GDPR поширюється на будь-яку організацію, що обробляє персональні дані резидентів ЄС, зі штрафами до 20 мільйонів євро або 4% річного глобального обороту за невідповідність. Закон ЄС про штучний інтелект додає окремий режим штрафів — до 35 мільйонів євро або 7% обороту за заборонені практики ШІ.
Цей каталог охоплює 37 вправ у 3 курсах. Курс з відповідності GDPR охоплює повідомлення про витоки, запити на доступ до даних, конфіденційність за проєктуванням, транскордонні передачі та перевірку процесорів. Курс EU AI Act Compliance охоплює грамотність ШІ (стаття 4), класифікацію ризиків, заборонені практики, обов’язки впроваджувача високого ризику, прозорість (стаття 50), значущий людський нагляд, керування даними для ШІ, тестування упередженості та дискримінації, Оцінку впливу на основні права, звітування про інциденти (стаття 62), обов’язки GPAI, організаційне управління та трирівневу структуру штрафів. Курс OWASP Top 10 Privacy Risks охоплює вразливості додатків, що витікають персональні дані, витоки з боку оператора, невдалі реагування на витоки, темні патерни згоди, непрозорі політики, недостатнє видалення даних, проблеми якості даних, прогалини закінчення сесій, заблоковані запити на доступ та надмірний збір даних.
Кожна вправа симулює реальні сценарії відповідності, з якими співробітники стикаються в повсякденній роботі — від обробки DSAR до подання звіту про інцидент ШІ та аудиту форм згоди.
Поширені запитання про GDPR, Закон ЄС про штучний інтелект, OWASP-ризики конфіденційності та наші вправи із захисту даних.
Стаття 7 GDPR вимагає, щоб згода була добровільною, конкретною, інформованою та однозначною. Організації повинні використовувати чіткі активні дії, як-от незаповнені чекбокси, зберігати записи, що підтверджують коли і як було отримано згоду, та забезпечити відкликання так само легко, як і надання згоди.
Попередньо заповнені чекбокси, пакетна згода та розпливчасті політики конфіденційності не відповідають стандарту. Регулятори наклали понад 400 мільйонів євро штрафів за порушення згоди.
Відповідно до статті 33 GDPR, організації повинні повідомити свій наглядовий орган протягом 72 годин після виявлення витоку персональних даних, якщо тільки витік навряд чи призведе до ризику для осіб.
Повідомлення повинно включати характер витоку, приблизну кількість постраждалих осіб, ймовірні наслідки та вжиті заходи. British Airways була оштрафована на 20 мільйонів фунтів стерлінгів частково через затримане та неадекватне реагування на витік.
Конфіденційність за проєктуванням, закріплена в статті 25 GDPR, вимагає від організацій інтегрувати захист даних у проєктування систем і процесів з самого початку, а не додавати його пізніше. Це включає мінімізацію даних, обмеження цілей та захисні налаштування за замовчуванням.
Концепція виникла з семи основоположних принципів Енн Кавукян у 1990-х роках і стала юридичним обов’язком, коли GDPR набув чинності у 2018 році.
Запит на доступ до даних (DSAR) є правом відповідно до статті 15 GDPR, що дозволяє будь-якій особі запросити копію персональних даних, які організація зберігає про неї.
Організації повинні відповісти протягом 30 днів, надати дані у доступному форматі та включити інформацію про цілі обробки, терміни зберігання та сторонніх одержувачів. Запити можуть надходити через будь-який канал, включаючи електронну пошту, веб-форми або усне спілкування.
Стаття 28 вимагає письмового договору, який називається Угодою про обробку даних (DPA), між контролером та кожним обробником, що обробляє персональні дані. DPA повинна визначати мету обробки, типи даних, тривалість та заходи безпеки.
Обробники можуть залучати субобробників лише з попереднього письмового дозволу контролера. Обробник повинен допомагати з DSAR, повідомленням про витоки та видаленням даних, а також підлягати аудитам з боку контролера.
OWASP Top 10 Privacy Risks є галузевим фреймворком, що визначає десять найпоширеніших способів неправильного поводження організацій з персональними даними.
Він охоплює вразливості веб-додатків, що витікають PII, витоки даних з боку оператора, недостатнє реагування на витоки, пакетну згоду, непрозорі політики, невдале видалення даних, погану якість даних, відсутнє закінчення сесій, заблокований доступ суб’єктів даних та надмірний збір даних. Фреймворк допомагає організаціям оцінювати та зменшувати ризики конфіденційності поза межами регуляторної відповідності.
OWASP Top 10 Privacy Risks значно перетинається з вимогами GDPR. Наприклад, OWASP P3 (Недостатнє реагування на витік даних) відповідає повідомленню про витік за статтею 33 GDPR, P4 (Згода на все) відповідає вимогам згоди за статтею 7, P6 (Недостатнє видалення) відповідає праву на видалення за статтею 17, а P9 (Неможливість доступу до даних) відповідає правам доступу суб’єктів даних за статтею 15.
Навчання за обома фреймворками дає командам повну картину зобов’язань щодо конфіденційності.
Стаття 4 Закону ЄС про штучний інтелект вимагає, щоб кожен працівник, який взаємодіє з системами ШІ, мав достатню грамотність у сфері ШІ. Вимога стала обов’язковою з 2 лютого 2025 року й застосовується незалежно від ролі чи відділу. Організації повинні забезпечити, щоб персонал розумів, як ШІ генерує результати, його обмеження включно з галюцинаціями, та наслідки для приватності даних від використання AI-інструментів.
Статті 14 і 26 додають вимоги компетентності для людського нагляду за системами ШІ високого ризику, а стаття 50 вимагає прозорого розкриття для AI-чатботів та контенту, створеного ШІ. Невиконання цих вимог щодо навчання створює пряму загрозу правозастосування.
Дві рамки незалежні, але перетинаються. Коли система ШІ обробляє персональні дані, обидві застосовуються одночасно. Стаття 22 GDPR дає особам право не бути об’єктом автоматизованих рішень із юридичними наслідками, і це право діє незалежно від того, як Закон про ШІ класифікує систему.
Для систем ШІ високого ризику, що обробляють персональні дані, організаціям можуть знадобитися і Оцінка впливу на захист даних (DPIA) за статтею 35 GDPR, і Оцінка впливу на основні права (FRIA) за статтею 27 Закону ЄС про штучний інтелект. Одне не замінює іншого.
Рівень 1 покриває заборонені практики ШІ за статтею 5 і досягає 35 мільйонів євро або 7% світового річного обороту — залежно від того, що більше. Рівень 2 покриває обов’язки щодо ШІ високого ризику та обов’язки постачальників GPAI і досягає 15 мільйонів євро або 3%. Рівень 3 покриває надання неправильної, неповної або оманливої інформації органам влади і досягає 7,5 мільйонів євро або 1,5%.
Поза штрафами національні органи ринкового нагляду можуть призупиняти невідповідні системи, вимагати виведення з ринку, публічно оприлюднювати порушення та вимагати коригувальних заходів. Окремі працівники можуть нести особисту відповідальність за свідоме сприяння невідповідності або обструкцію розслідувань.
Впроваджуйте інтерактивні тренінги з конфіденційності та відповідності для всієї робочої сили. SCORM-сумісні, готові до аналітики та розроблені для корпоративного розгортання.
Замовити демоБільшість програм навчання GDPR зазнають невдачі, бо навчають тексту регуляції замість практичних сценаріїв. Ось що працівникам справді потрібно знати та як зробити навчання ефективним.
Читати матеріал compliance trainingПобудуйте навчання з кібербезпеки, що відповідає вимогам HIPAA, PCI DSS, SOC 2, GDPR, ISO 27001 та NIST. Посібник для регульованих галузей.
Читати матеріал iso 27001 awareness trainingЯк аудитори ISO 27001 перевіряють обізнаність за Клаузою 7.3 у польових умовах. Приклади запитань, трибандна модель аудиторії та докази СМІБ, які витримують перевірку.
Читати матеріал