General Data Protection Regulation

Основные идеи GDPR, исполнение и возможные штрафы.

Требования а также советы о том, что Вам необходимо сделать, чтобы соответствовать существующей политике конфиденциальности

Основные идеи

1. Защита физических лиц в отношении обработки персональных данных является основополагающим правом.

2. Любая обработка персональных данных должна быть законной и справедливой.

Физических лиц должно быть ясно, что личные данные о них собирались, использовались или обрабатывались иным образом, и в какой именно степени личные данные обрабатываются или будут обрабатываться.

3. Если обработка основана на согласии субъекта данных, тот, кто их обрабатывал должен документально подтвердить , что субъект данных дал согласие на операцию обработки

4. Личные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно выполнена другими способами. Чтобы гарантировать, что личные данные не будут храниться дольше, чем необходимо, ограничения времени должны быть установлены контроллером для стирания или для периодического обзора.

«Личные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько факторов, специфичных для физического, физиологического, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица;

Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Чтобы определить, является ли физическое лицо идентифицируемым, следует учитывать все средства, разумно вероятные для использования, такие как выделение либо контроллером, либо другим лицом для прямого или косвенного определения физического лица.

например «Все финские люди в швейцарском офисе великолепны»

Файлы или наборы файлов, а также их титульные страницы, которые не структурированы в соответствии с конкретными критериями, не должны подпадать под действие настоящих Правил

Исполнение и штрафы

Могут быть введены следующие санкции:

предупреждение в письменной форме в случаях первого и непреднамеренного несоответствия
регулярные периодические проверки защиты данных
штраф до € 20 млн или 4% от годового оборота компании (в зависимости от того, что больше)

Фактическая практика будет проходить через судебные дела через много лет

Требования

Пользователь должен быть проинформирован

Прозрачность это ключевой принцип. Расскажите вашим пользователям, что, почему, где, как, когда собирается.

Доступность и переносимость данных

Нужно чётко прояснить, что именно Вы знаете о каждом пользователе.

Экспорт этих данных нужно провести в популярный машиночитаемый формат.

Корректировка данных

Должна быть предусмотрена возможность исправления данных (по запросу или автоматически, если это возможно)

Удаление

Согласие на обработку данных может быть отозвано в любое время Ненужные данные должны быть удалены.

Предусмотреть ситуацию с ограниченным правом на обработку данных.

В особых случаях (по решению суда, например) данные должны сохраняться, но не использоваться.

Объект прямого маркетинга

Продемонстрировать согласие

Вы должны быть в состоянии сказать, как и когда человек принял политику конфиденциальности

Ограничить доступ

Какие задачи требуют доступа к этой информации. Кто их выполняет?

Убедиться, что круг лиц известен и адекватен → провести аудит → проверить технические ограничения

Обеспечить шифрование данных, настроить управление учетной записью пользователя и т. Д.

Документация

Вы должны задокументировать все процедуры связанные с защитой персональных данных.

Обновить документооборот, обработку данных, обучить персонал и т. Д.

Контракты

Нужно прописать условия обработки данных с партнёрами. Возможно кто-то другой обрабатывает Ваши данные (например, бухгалтерская компания) Вы, возможно, обрабатываете данные клиента (например, размещенные на Ваших серверах)

Мониторинг

Нарушения данных должны быть зарегистрированы в течение 72 часов.

Юридически Вы обязаны уведомить надзорный орган без неоправданной задержки.

Ваши клиенты должны быть уведомлены, если обнаружится утечка их персональных данных.

Что нужно делать

Найти данные (Найти все персональные данные) → Определить нужны ли они, если не нужны то удалить. Если нужны, то выяснить кому и с какой целью. → Политика (создать или обновить политику конфиденциальности, которая описывает информацию) → Согласие (Получить согласие всех вовлеченных лиц) → Повторить при необходимости.

Первым делом нужно привести в порядок документацию. Найти все списки содержащие личную информацию.

Ни в коем случае не создавать неорганизованные списки, содержащие персональную информацию.
- Для каждого нового клиента нужно создавать новую политику безопасности
- Не посылать документы с персональной информацие по email а хранить их в облаке и посылать сслыки на скачивания.
- Если какой-то документ, который можно принять за список, содержащий персональную информацию не хранить его у себя на столе. Его нужно хранить в сейфе либо уничтожить.

Ссылки

gdprchecklist.io eur-lex.europa.eu