GDPR

General Data Protection Regulation

GDPR

Введение

Основные идеи GDPR, исполнение и возможные штрафы.

Требования а также советы о том, что Вам необходимо сделать, чтобы соответствовать существующей политике конфиденциальности

Основные идеи

1. Защита физических лиц в отношении обработки персональных данных является основополагающим правом.

2. Любая обработка персональных данных должна быть законной и справедливой.

Физических лиц должно быть ясно, что личные данные о них собирались, использовались или обрабатывались иным образом, и в какой именно степени личные данные обрабатываются или будут обрабатываться.

3. Если обработка основана на согласии субъекта данных, тот, кто их обрабатывал должен документально подтвердить , что субъект данных дал согласие на операцию обработки

4. Личные данные должны обрабатываться только в том случае, если цель обработки не может быть разумно выполнена другими способами. Чтобы гарантировать, что личные данные не будут храниться дольше, чем необходимо, ограничения времени должны быть установлены контроллером для стирания или для периодического обзора.

«Личные данные» означают любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор или один или несколько факторов, специфичных для физического, физиологического, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица;

Принципы защиты данных должны применяться к любой информации, касающейся идентифицированного или идентифицируемого физического лица. Чтобы определить, является ли физическое лицо идентифицируемым, следует учитывать все средства, разумно вероятные для использования, такие как выделение либо контроллером, либо другим лицом для прямого или косвенного определения физического лица.

например «Все финские люди в швейцарском офисе великолепны»

Файлы или наборы файлов, а также их титульные страницы, которые не структурированы в соответствии с конкретными критериями, не должны подпадать под действие настоящих Правил

Исполнение и штрафы

Могут быть введены следующие санкции:

Фактическая практика будет проходить через судебные дела через много лет

Требования

Пользователь должен быть проинформирован
Прозрачность это ключевой принцип. Расскажите вашим пользователям, что, почему, где, как, когда собирается.
Доступность и переносимость данных
Нужно чётко прояснить, что именно Вы знаете о каждом пользователе.

Экспорт этих данных нужно провести в популярный машиночитаемый формат.
Корректировка данных
Должна быть предусмотрена возможность исправления данных (по запросу или автоматически, если это возможно)
Удаление
Согласие на обработку данных может быть отозвано в любое время Ненужные данные должны быть удалены.
Предусмотреть ситуацию с ограниченным правом на обработку данных.
В особых случаях (по решению суда, например) данные должны сохраняться, но не использоваться.

Объект прямого маркетинга
Продемонстрировать согласие
Вы должны быть в состоянии сказать, как и когда человек принял политику конфиденциальности
Ограничить доступ
Какие задачи требуют доступа к этой информации. Кто их выполняет?

Убедиться, что круг лиц известен и адекватен → провести аудит → проверить технические ограничения

Обеспечить шифрование данных, настроить управление учетной записью пользователя и т. Д.
Документация
Вы должны задокументировать все процедуры связанные с защитой персональных данных.

Обновить документооборот, обработку данных, обучить персонал и т. Д.
Контракты
Нужно прописать условия обработки данных с партнёрами. Возможно кто-то другой обрабатывает Ваши данные (например, бухгалтерская компания) Вы, возможно, обрабатываете данные клиента (например, размещенные на Ваших серверах)
Мониторинг
Нарушения данных должны быть зарегистрированы в течение 72 часов.

Юридически Вы обязаны уведомить надзорный орган без неоправданной задержки.

Ваши клиенты должны быть уведомлены, если обнаружится утечка их персональных данных.

Что нужно делать

Найти данные (Найти все персональные данные) → Определить нужны ли они, если не нужны то удалить. Если нужны, то выяснить кому и с какой целью. → Политика (создать или обновить политику конфиденциальности, которая описывает информацию) → Согласие (Получить согласие всех вовлеченных лиц) → Повторить при необходимости.

Первым делом нужно привести в порядок документацию. Найти все списки содержащие личную информацию.

Изображение баннера

Ссылки

gdprchecklist.io eur-lex.europa.eu

Похожие статьи
Кибербезопасность
Словарь терминов и список аббревиатур кибербезопасности
Авторизация / аутентификация
OAuth
PKI
Новости ИБ
Компании
Подключение SSL к сайту
Выпуск и установка SSL-сертификатов от Let's Encrypt на VPS
Автоматическая SSH-авторизация по ключу
Настройка DKIM
Защита сайта от DDoS-атак
Система защиты от DDOS атак - Syncookied

Поиск по сайту

Подпишитесь на Telegram канал @aofeed чтобы следить за выходом новых статей и обновлением старых

Перейти на канал

@aofeed

Задать вопрос в Телеграм-группе

@aofeedchat

Контакты и сотрудничество:
Рекомендую наш хостинг beget.ru
Пишите на info@urn.su если Вы:
1. Хотите написать статью для нашего сайта или перевести статью на свой родной язык.
2. Хотите разместить на сайте рекламу, подходящую по тематике.
3. Реклама на моём сайте имеет максимальный уровень цензуры. Если Вы увидели рекламный блок недопустимый для просмотра детьми школьного возраста, вызывающий шок или вводящий в заблуждение - пожалуйста свяжитесь с нами по электронной почте
4. Нашли на сайте ошибку, неточности, баг и т.д. ... .......
5. Статьи можно расшарить в соцсетях, нажав на иконку сети: