GDPR
General Data Protection Regulation
Введение
Основные идеи GDPR,
исполнение и возможные штрафы.
Требования а также советы о том, что Вам необходимо сделать, чтобы соответствовать
существующей политике конфиденциальности
Основные идеи
1. Защита физических лиц в отношении обработки персональных данных является
основополагающим правом.
2. Любая обработка персональных данных должна быть законной и справедливой.
Физических лиц должно быть ясно, что личные данные о них собирались,
использовались или обрабатывались иным образом, и в какой
именно степени личные данные обрабатываются или будут обрабатываться.
3. Если обработка основана на согласии субъекта данных, тот, кто их обрабатывал должен
документально подтвердить , что субъект данных дал согласие на операцию обработки
4. Личные данные должны обрабатываться только в том случае, если цель обработки
не может быть разумно выполнена другими способами. Чтобы гарантировать, что
личные данные не будут храниться дольше, чем необходимо, ограничения времени
должны быть установлены контроллером для стирания или для периодического обзора.
«Личные данные» означают любую информацию, относящуюся к идентифицированному или
идентифицируемому физическому лицу («субъект данных»); идентифицируемое физическое лицо
- это лицо, которое может быть идентифицировано прямо или косвенно, в частности,
посредством ссылки на идентификатор, такой как имя, идентификационный номер,
данные о местоположении, онлайновый идентификатор или один или несколько факторов,
специфичных для физического, физиологического, генетической, умственной,
экономической, культурной или социальной идентичности этого физического лица;
Принципы защиты данных должны применяться к любой информации, касающейся
идентифицированного или идентифицируемого физического лица. Чтобы определить,
является ли физическое лицо идентифицируемым, следует учитывать все средства,
разумно вероятные для использования, такие как выделение либо контроллером,
либо другим лицом для прямого или косвенного определения физического лица.
например «Все финские люди в швейцарском офисе великолепны»
Файлы или наборы файлов, а также их титульные страницы, которые не
структурированы в соответствии с конкретными критериями, не должны подпадать
под действие настоящих Правил
Исполнение и штрафы
Могут быть введены следующие санкции:
- Предупреждение в письменной форме в случаях первого и непреднамеренного несоответствия
- Регулярные периодические проверки защиты данных
- Штраф до € 20 млн или 4% от годового оборота компании (в зависимости от того, что больше)
Фактическая практика будет проходить через судебные дела через много лет
Требования
Что нужно делать
Найти данные (Найти все персональные данные) → Определить нужны ли они, если не нужны то удалить. Если нужны, то выяснить кому и с какой целью. → Политика (создать или обновить политику конфиденциальности, которая описывает информацию) → Согласие (Получить согласие всех вовлеченных лиц) → Повторить при необходимости.
Первым делом нужно привести в порядок документацию. Найти все списки содержащие личную информацию.
-
Ни в коем случае не создавать неорганизованные списки, содержащие персональную информацию.
- Для каждого нового клиента нужно создавать новую политику безопасности
- Не посылать документы с персональной информацие по email а хранить их в облаке и посылать сслыки на скачивания.
- Если какой-то документ, который можно принять за список, содержащий персональную информацию не хранить его у себя на столе. Его нужно хранить в сейфе либо уничтожить.
Ссылки
gdprchecklist.io eur-lex.europa.eu