Posted:
Фев 9, 2023
Comments:
0 Comments

Регламент gdpr что это: Что такое GDPR (General Data Protection Regulation)

Содержание

О GDPR простыми словами: руководство для малых предприятий — Microsoft 365 admin


  • Статья


  • Чтение занимает 15 мин


Использование Microsoft 365 для бизнеса для обеспечения соответствия требованиям GDPR

Общий регламент по защите данных (GDPR) — это регламент Европейского союза (ЕС), определяющий порядок обработки персональных данных организациями. Если ваша организация продает товары или предоставляет услуги гражданам ЕС, или нанимает их на работу, вам необходимо соблюдать требования GDPR.

Как администратор малого предприятия вы, вероятно, задаетесь вопросом: «С чего начать?». Наиболее часто это происходит в тех случаях, когда обработка персональных данных не является основным направлением деятельности вашей организации и вы не знакомы с GDPR.

Вы можете начать с просмотра этой статьи, в которой рассматриваются основные сведения о регламенте GDPR, причины его появления и возможности использования Microsoft 365 для бизнеса для обеспечения соответствия требованиям GDPR.

В ней также приводятся ответы на часто задаваемые вопросы о GDPR, которые могут возникнуть у малых предприятий, и описываются действия, которые малые предприятия могут предпринять для подготовки к GDPR.

Важно!

Решения Microsoft 365 и рекомендации в этой статье являются средствами и ресурсами, которые могут помочь вам защитить данные и управлять ими, но они не гарантируют соответствия требованиям GDPR. Вы сами принимаете решение о проведении оценки состояния соответствия требованиям. В случае необходимости проконсультируйтесь со специалистом по правовым вопросам и (или) профессиональным консультантом.

GDPR — это регламент ЕС, который обновляет и расширяет более раннюю Директиву о защите данных (DPD), впервые принятую в 1995 году. Регламент GDPR посвящен обеспечению конфиденциальности данных физического лица, будь то клиент, сотрудник или деловой партнер. Цель GDPR заключается в обеспечении защиты персональных данных граждан ЕС, независимо от того, проживают они в ЕС или в другом месте. В регламенте изложены цели и рекомендации по их достижению. Организации должны принимать меры для обеспечения соответствия требованиям GDPR.

Регламент GDPR посвящен вопросам использования данных. Представьте, что данные имеют жизненный цикл. Цикл начинается со сбора данных, продолжается их хранением и использованием (обработкой) и заканчивается полным удалением данных из систем.

GDPR охватывает следующие типы данных.

  • Персональные данные. В соответствии с GDPR персональные данные — это данные, которые могут быть связаны с физическим лицом и которые позволяют идентифицировать это лицо. Примеры персональных данных включают имя, адрес, дату рождения и IP-адрес. Согласно GDPR к персональным данным относится даже закодированная информация (также известная как «анонимная» информация), если она может быть связана с физическим лицом, независимо от того, насколько неясной или технической она является.

  • Конфиденциальные персональные данные. Это данные, которые содержат дополнительные сведения о персональных данных. Например, сведения о религиозной принадлежности, участии в профсоюзах, этническом происхождении и т. д. К конфиденциальным персональным данным также относятся биометрические данные и данные ДНК. В соответствии с GDPR для конфиденциальных данных предусмотрены более строгие правила защиты, чем для персональных данных.

Далее приводятся определения терминов, часто используемых в GDPR. Важно понять значение этих терминов.

Согласие

В GDPR говорится: «Обработка персональных данных должна быть разработана для обслуживания в урезаемом состоянии». GDPR позволяет достичь этой цели, используя согласие при обработке персональных данных. Это может быть простое обращение к клиентам с вопросом о том, хотят ли они получать сообщения электронной почты от вашей организации. Это также означает, что на сайте вашей организации больше не будет флажков отказа, если потребуется использовать данные для маркетинга. Явно выраженное согласие должно быть получено с помощью «четкого утвердительного действия». Кроме того, вы должны обеспечить сохранность записей о получении согласия или отказе.

Права субъекта данных

В GDPR закреплены права субъекта данных. В отношении своих персональных данных клиенты, сотрудники, деловые партнеры, подрядчики, учащиеся, поставщики и т. д. имеют следующие права.

  • Получать сведения об использовании своих данных. Необходимо информировать физических лиц об использовании их данных.

  • Получать доступ к своим данным. Необходимо предоставить физическим лицам доступ к хранящимся у вас данным (например, предоставив доступ к учетной записи или другим ручным способом).

  • Запрашивать исправление своих данных. Физические лица могут попросить вас исправить неточные данные.

  • Запрашивать удаление своих данных. Также известное как «право на удаление данных», это право позволяет физическому лицу запрашивать удаление своих персональных данных, собранных организацией, из всех систем, которые их используют или предоставляют к ним общий доступ.

  • Запрашивать ограничение обработки своих данных. Физическое лицо может попросить вас скрыть свои данные или ограничить к ним доступ. Однако это право применяется только при определенных обстоятельствах.

  • Запрашивать перенос своих данных. Физическое лицо может попросить вас передать свои данные в другую организацию.

  • Заявлять о возражении. Физическое лицо может высказать возражение против использования своих данных для различных целей, включая адресный маркетинг.

  • Требовать не подвергать свои данные автоматизированной обработке, включая определение профиля. В GDPR предусмотрены строгие правила использования данных для определения профилей людей и автоматизации решений на основе этих профилей.

В этом разделе описываются действия, которые может предпринять малое предприятие, чтобы подготовиться к GDPR. Большая часть сведений об этих действиях взята из публикации, подготовленной Бюро публикаций Европейского союза, — Семь шагов, которые может предпринять организация, чтобы подготовиться к Общему регламенту по защите данных.

Лучший способ для малого предприятия начать работу с GDPR — это обеспечить применение указанных ниже ключевых принципов при сборе персональных данных.

  • Определите четкие цели сбора персональных данных и не используйте персональные данные для других целей. Например, если вы просите клиентов предоставить вам свои адреса электронной почты, чтобы они могли получать уведомления о новых предложениях и рекламных акциях, используйте адреса электронной почты только для этой конкретной цели.
  • Не собирайте больше данных, чем требуется. Например, если вашей организации требуется почтовый адрес для доставки товаров, вам нужно узнать адрес и имя клиента, но вам не нужно знать семейное положение этого человека.

Действие 1. Узнайте, какие персональные данные собирает и использует ваша организация, а также цели их использования

Для малого бизнеса одним из первых шагов является инвентаризация персональных данных, собираемых и использующихся в организации, и их назначение. Это относится к данным сотрудников и клиентов.

Например, вам могут понадобиться персональные данные ваших сотрудников на основании трудового договора или по юридическим причинам (например, для предоставления налоговой отчетности в налоговую службу).

В качестве другого примера можно привести необходимость управлять списками клиентов, чтобы отправлять уведомления о специальных предложениях, если они дали на это согласие.

Функции Microsoft 365, которые могут помочь

Microsoft Purview Information Protectionможет помочь вам обнаруживать, классифицировать и защищать конфиденциальную информацию в вашей компании. С помощью обучаемых классификаторов можно выявлять и маркировать документы, содержащие персональные данные.

Действие 2. Сообщите своим клиентам, сотрудникам и другим физическим лицам о необходимости сбора их персональных данных

Физические лица должны знать о факте обработки своих персональных данных и о целях этой обработки. Например, если клиенту необходимо создать профиль для доступа к веб-сайту вашей организации, укажите, как вы собираетесь использовать его данные.

Однако нет необходимости информировать физических лиц, если они уже знают, как вы будете использовать их данные. Например, когда они предоставляют домашний адрес для доставки заказанного товара.

Вы также должны информировать физических лиц по запросу о хранящихся у вас персональных данных и предоставлять им доступ к этим данным. Систематизация данных облегчает их предоставление в случае необходимости.

Действие 3. Храните персональные данные только до тех пор, пока в этом есть необходимость

Данные сотрудников необходимо хранить до тех пор, пока сохраняются трудовые отношения и связанные с ними юридические обязательства.
Данные клиентов необходимо хранить до тех пор, пока существуют отношения с клиентами и связанные с ними юридические обязательства (например, необходимость уплаты налогов).
Удалите данные, если цели их сбора и использования утратят свою актуальность.

Функции Microsoft 365, которые могут помочь

Используйте политики и метки хранения, чтобы обеспечить хранение персональных данных в течение определенного периода времени и удалять их, если в них больше не будет необходимости.

Действие 4. Защитите персональные данные, которые вы обрабатываете

При хранении персональных данных в ИТ-системе ограничьте доступ к файлам, содержащим эти данные, с помощью надежного пароля. Регулярно обновляйте параметры безопасности вашей системы.

Примечание.

GDPR не предписывает использование определенных ИТ-систем, но требует, чтобы система имела соответствующий уровень безопасности. Дополнительные сведения см. в ст. 32 GDRP. Безопасность обработки.

При хранении бумажных документов, содержащих персональные данные, убедитесь, что они недоступны для посторонних лиц.

При хранении персональных данных в облаке, например в Microsoft 365, вы можете воспользоваться функциями безопасности, такими как управление разрешениями на доступ к файлам или папкам, защищенные централизованные расположения для хранения файлов (например, библиотеки документов OneDrive или SharePoint) и шифрование данных при отправке и получении файлов.

Функции Microsoft 365, которые могут помочь

Вы можете использовать настройку функций соответствия требованиям, чтобы защитить конфиденциальные данные вашей организации. Диспетчер соответствия требованиям поможет вам сразу начать работу! Например, вы можете настроить политику защиты от потери данных, которая использует шаблон GDPR.

Действие 5. Обеспечьте сохранность документации по обработке данных

Подготовьте краткий документ, описывающий типы сохраняемых персональных данных и цели их использования. При необходимости предоставьте документацию в государственный орган по надзору за соблюдением законодательства о защите персональных данных.

Такие документы должны включать указанные ниже сведения.

ИнформацияПримеры
Цель обработки данныхУведомление клиентов о специальных предложениях, например о возможности доставки товара на дом, оплата услуг поставщиков, начисление заработной платы и социальное обеспечение сотрудников
Типы персональных данныхКонтактные данные клиентов, контактные данные поставщиков и данные сотрудников
Затрагиваемые категории субъектов данныхСотрудники, клиенты и поставщики
Категории получателейМинистерство труда и социальный защиты, налоговые органы
Сроки храненияПерсональные данные сотрудников до окончания трудового договора (и связанных с ним юридических обязательств), персональные данные клиентов до окончания клиентских или договорных отношений
Технические и организационные меры по защите персональных данныхРегулярное обновление ИТ-систем, защищенное расположение, управление доступом, шифрование данных и резервное копирование данных
Передача персональных данных получателям за пределами ЕСИспользование обработчика данных за пределами ЕС (например, хранение в облаке), расположение обработчика данных, договорные обязательства

Договорные обязательства корпорации Майкрософт в отношении GDPR можно найти в Приложении по защите данных при использовании веб-служб Майкрософт. В этом приложении описаны обязательства корпорации Майкрософт по обеспечению конфиденциальности и безопасности, условия обработки данных и условия GDPR для служб, размещаемых на серверах Майкрософт, на которые подписываются клиенты в соответствии с соглашением о корпоративном лицензировании.

Действие 6. Убедитесь, что ваши субподрядчики соблюдают правила

Если вы передаете обработку персональных данных другой компании, используйте только поставщика услуг, который гарантирует обработку данных в соответствии с требованиями GDPR (например, меры безопасности).

Действие 7. Назначьте специалиста, ответственного за обеспечение защиты данных

Для обеспечения надежной защиты персональных данных организациям может потребоваться назначить специалиста по защите данных. Если обработка персональных данных не является основной частью вашей деятельности или если вы владеете малым предприятием, назначение специалиста по защите данных может не потребоваться. Например, если ваша организация собирает данные о ваших клиентах только для доставки товаров на дом, назначать специалиста по защите данных не нужно. Даже если возникнет необходимость в специалисте по защите данных, можно назначить его обязанности имеющемуся сотруднику в дополнение к его задачам. В случае необходимости можно нанять внешнего консультанта для выполнения этих обязанностей.

Как правило, выполнять оценку влияния на защиту данных не требуется. Такая оценка необходима организациям, деятельность которых представляет большой риск для персональных данных (например, если они проводят комплексный мониторинг общедоступной области — видеонаблюдение).

Если вы владеете малым предприятием, начисляющим зарплату сотрудникам и управляющим списком клиентов, вам, как правило, не нужно проводить оценку влияния на защиту данных.

Регламент GDPR устанавливает правила обработки данных, а не количество нанимаемых сотрудников. Он затрагивает компании всех размеров, даже индивидуальных предпринимателей. Однако для компаний, количество сотрудников которых составляет менее 250 человек, предусмотрены некоторые исключения, например упрощенное ведение записей, но только в том случае, если вы уверены, что обработка данных не нарушает права физических лиц и носит случайный характер.

Например, обработка неличных данных является исключением и требует принятия упрощенных мер. Однако при обработке данных, являющихся «конфиденциальными данными особой категории», даже если обработка носит случайный характер, необходимо регистрировать факт обработки таких данных. Определение «случайной обработки» является расплывчатым, но оно применяется к данным, используемым один раз или редко.

Вы также должны обеспечить защиту собираемых персональных данных. Для этого необходимо зашифровать собираемые персональные данные и ограничить к ним доступ хотя бы с помощью пароля. Хранение данных клиентов в электронной таблице на рабочем столе без защиты не соответствует требованиям GDPR.

Первый вопрос, который нужно себе задать: «Собираются ли персональные данные на веб-сайте моей организации?» Например, на сайте вашей организации может присутствовать контактная форма, в которой запрашивается имя и адрес электронной почты. Если вы хотите отправлять электронные сообщения с рекламой, добавьте поле для флажка «подписаться» и сведения о целях использования данных. Только если получатель установит этот флажок, вы сможете использовать его персональные данные в целях маркетинга.

Также необходимо обеспечить защиту базы данных, в которой хранятся данные. Компания, предоставляющая услуги по размещению данных, или поставщик облачных хранилищ смогут проконсультировать вас по этому вопросу. Использование Microsoft 365 для бизнеса гарантирует хранение данных в соответствии с требованиями GDPR.

GDPR — это регламент, который защищает граждан ЕС. Если ваша организация сотрудничает с гражданами ЕС или вы надеетесь на это в будущем, вам необходимо соблюдать этот регламент. Этот регламент распространяется как на граждан ЕС, проживающих в Европейском союзе, так и на граждан ЕС, проживающих в другом месте.

Рассмотрим следующие примеры.

  • Американская компания, которая сдает автомобили в прокат гражданам ЕС, должна соответствовать требованиям GDPR при сборе и обработке данных клиентов. Компания должна получить согласие на сбор данных клиентов и обеспечить их безопасное хранение. Компании также необходимо обеспечить соблюдение всех прав субъекта данных.

  • Австралийская компания продает товары в Интернете, и ее пользователи создают учетные записи для совершения покупок через Интернет. Права субъекта данных GDPR и согласие должны применяться к гражданам ЕС, создающим учетные записи. Компании также необходимо обеспечить соблюдение всех прав субъекта данных.

  • Международная благотворительная организация собирает данные о донорах и использует их для рассылки сообщений и запросов на пожертвования. GdpR states: ‘… Обработка персональных данных в целях прямого маркетинга может рассматриваться как выполненная в законных целях». Однако организация несет ответственность за подтверждение того, что их интересы переопределяют интересы субъекта данных. Компания (или, в данном случае, благотворительная организация) всегда должна получать явное и информированное согласие на обработку персональных данных.

GDPR также применяется при перемещении данных клиентов через границы. Если вы используете облачные вычисления для хранения данных, вам необходимо обеспечить полное соответствие службы требованиям GDPR. Это может оказаться сложным, если хранилище данных находится в месте с плохой защитой данных. При использовании Microsoft 365 для бизнеса вы получите доступ к соответствующей юридической документации для обеспечения соответствия требованиям GDPR.

Я собираю данные, но их хранит другая организация. Освобождает ли это меня от необходимости соблюдать требования GDPR?

Согласно GDPR, если вы собираете данные, вы подпадаете под действие некоторых его требований. GDPR вводит понятия обработчика данных и управляющего данными.

  • Управляющий данными — это физическое лицо или организация (у вас могут быть совместные управляющие), которые определяют способы и цели сбора данных, а также типы собираемых данных. Они могут хранить собираемые данные на облачных серверах другой организации. Например, веб-сайт, собирающий данные о клиентах, является управляющим данными.

  • Обработчик данных — это физическое лицо или организация, которые хранят и обрабатывают данные по запросу управляющего данными. Например, хранилище данных в Приложениях Microsoft 365 для бизнеса является обработчиком данных и полностью соответствует требованиям GDPR.

    Организация или система могут одновременно выступать в качестве управляющего данными и обработчика данных. Microsoft 365 для бизнеса можно использовать в качестве управляющего данными и обработчика данных при полном соблюдении требований GDPR.

Можно ли по-прежнему рассылать сообщения с рекламой старым клиентам?

Вы должны убедиться, что ваши клиенты, даже те, которые у вас были в течение многих лет, дали согласие на использование своих данных в целях маркетинга. Возможно, вы ранее получили согласие и у вас есть подтверждающие записи. Если это так, вы можете продолжать рассылать сообщения с рекламой. Если нет, вам нужно получить согласие клиентов, чтобы продолжить присылать им сообщения с рекламой. Обычно это предполагает отправку сообщения вашим клиентам с просьбой перейти на ваш сайт и выбрать вариант согласия на получение сообщений в будущем.

Требования GDPR распространяются не только на данные клиентов, но и на данные сотрудников. Новых сотрудников часто находят с помощью социальных сетей, например LinkedIn. Убедитесь, что вы не храните данные о потенциальных новых сотрудниках без их явного согласия.

Что касается имеющихся сотрудников и договоров с новыми сотрудниками, подпись в конце договора необязательно предполагает согласие, особенно если в договоре используется условие в неутвердительной форме. В этом случае необходимо получить явное согласие в отношении этого условия. Что это означает на практике, зависит от вашего договора с сотрудником, но в некоторых случаях вы можете использовать «законный интерес» и добавить уведомление об обработке данных, чтобы проинформировать сотрудников о целях обработки их данных.

Обеспечение конфиденциальности данных с помощью Microsoft 365 для бизнеса

Соблюдение требований GDPR подразумевает обеспечение защиты персональных данных. В GDPR есть понятие, известное как конфиденциальность по умолчанию. Оно означает, что защита данных должна быть «встроена» в систему и продукт, чтобы обеспечение конфиденциальности стало обычным делом.

Крупные и малые предприятия нуждается в удобстве, не жертвуя безопасностью. Microsoft 365 для бизнеса предназначен для организаций, имеющих не более 300 сотрудников. Небольшие организации могут использовать облачные средства Майкрософт для повышения производительности своего бизнеса. С помощью Microsoft 365 для бизнеса небольшие организации могут управлять электронной почтой, документацией, собраниями, мероприятиями и не только! В Microsoft 365 для бизнеса также предусмотрены встроенные меры безопасности и возможность управления устройствами, что имеет очень важное значение для обеспечения соответствия требованиям GDPR.

Microsoft 365 для бизнеса может помочь вам обеспечить соответствие требованиям GDPR следующим образом.

  • Обнаружение. Важным шагом к обеспечению соответствия требованиям GDPR является знание того, какие данные имеются в вашей организации.

  • Управление. Управление доступом к данным и контроль их использования являются неотъемлемой частью GDPR. Microsoft 365 для бизнеса защищает бизнес-данные на основе политик, применяемых к устройствам. В эпоху, когда сотрудники работают удаленно, возможность управления устройствами становится жизненно важной. Microsoft 365 для бизнеса включает функции управления устройствами, которые обеспечивают защиту данных на всех устройствах. Например, вы можете указать, чтобы все устройства с Windows 10 в вашей организации были защищены с помощью Защитника Windows.

  • Защита. Решение Microsoft 365 для бизнеса создано для обеспечения безопасности. Элементы управления устройствами и защиты данных Microsoft 365 для бизнеса работают в вашей корпоративной сети, включая удаленные устройства, для обеспечения безопасности ваших данных. Microsoft 365 для бизнеса предлагает такие функции, как настройка конфиденциальности в приложениях Office и шифрование документов. Microsoft 365 для бизнеса позволяет отслеживать соответствие требованиям GDPR, обеспечивая необходимый уровень защиты.

  • Создание отчетов. В GDPR большое внимание уделяется отчетности. Даже предприятие с одним сотрудником, если оно обрабатывает большие объемы данных, должно документировать свои процедуры обработки данных и отчитываться о них. Microsoft 365 для бизнеса берет на себя выполнение требований по предоставлению отчетности.

    Такие инструменты, как журналы аудита, позволяют отслеживать данные и сообщать об их перемещении. Отчеты включают сведения о классификации собираемых и сохраняемых данных, сведения о действиях с данными и сведения об их передаче.

Клиенты и сотрудники все больше осознают важность конфиденциальности данных и теперь ожидают, что компания или организация будет обеспечивать эту конфиденциальность. Microsoft 365 для бизнеса предоставляет инструменты для достижения и поддержания соответствия требованиям GDPR без серьезных потрясений для вашего бизнеса.

Дальнейшие действия

Чтобы подготовиться к GDPR, рекомендуется выполнить следующие действия.

  • Оцените свою программу GDPR с помощью контрольных списков готовности к подотчетности.

  • Исследуйте Microsoft 365 для бизнеса как решение для достижения и поддержания соответствия требованиям GDPR.

Важно!

Получите юридическую консультацию, соответствующую вашей компании или организации.

Дополнительные ресурсы

Центр управления безопасностью Майкрософт: обзор GDPR

Официальный блог Майкрософт: Обязательства Майкрософт по GDPR

Веб-сайты Европейской комиссии:

  • Защита данных

  • Реформа правил защиты данных ЕС от 2018 г.

как подготовиться и кого коснется новый генеральный регламент о защите персональных данных

Колонки

24 мая 2018

Колонки

24 мая 2018

Ольга Кутейникова

Исполнительный директор Digital Contact

Полина Константинова

25 мая вступает в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными в Европейском союзе.


Ольга Кутейникова, исполнительный директор Digital Contact, отвечает на шесть самых распространенных вопросов о GDPR.

Полина Константинова

1. Что такое GDPR

Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.

Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.

Принципы GDPR:

  • Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.
  • Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.
  • Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.
  • Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.
  • Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.
  • Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.

2. Кого коснется

GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.

Читайте также:
Чек-лист для стартапов: 12 шагов к соблюдению GDPR
Регламент GDPR в цифрах и фактах

3. Почему мне это нужно знать

Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.

4.

Что грозит тем, кто не выполняет требования

За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.

Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

 

5. Что нужно сделать прямо сейчас

Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением. 

Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.

6. Где почитать больше по теме

Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.

  • С официальным текстом регламента по защите персональных данных можно ознакомиться здесь. На сайте Еврокомиссии также можно найти интересную информацию о том, почему так важно было разработать новый регламент: чем это хорошо для резидентов ЕС, какие выгоды получит бизнес, и как новые правила помогут компаниям сэкономить деньги, используя единый закон во всех странах ЕС.
  • Коротко на русском языке основная информация по GDPR показана в презентации PwC «GDPR: что нужно знать российскому бизнесу». В ней также есть детальное сравнение GDPR и российского 152-ФЗ.
  • Институт Исследований Интернета подготовил «Анализ возможных последствий и влияния GDPR на бизнес российских операторов персональных данных» и бонусом добавил перевод текста регламента на русский язык.

Материалы по теме:

Как сделать работающую email-рассылку – советы и кейсы

Письмо клиенту: как сделать email-рассылку персональной

Три полезные ссылки. Email-рассылки

«Жить в мире digital-продвижения станет сложнее»: тренды performance-маркетинга в этом году

Чего ждать при выходе бизнеса в Европу и страны СНГ. Мнение гендиректора российской ИТ-компании

  • Бизнес
  • Колонки

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1

    «Пустились по морю в грозу» — стоит ли начинать свое дело в кризис

  2. 2

    Как стать гуру онлайн-мероприятий? 4 главных навыка event-менеджера

  3. 3

    В поисках инвестора: как продать долю в стартапе крупному игроку

  4. 4

    «Заплыв на неизвестную территорию»: как перевести яхтенную школу в онлайн

  5. 5

    Игры, бонусные баллы и open source проекты: как закон о запрете криптовалют может «запретить» и другие отрасли

ВОЗМОЖНОСТИ

21 ноября 2022

Всероссийский конкурс «Start-up СПбГУ — 2023»

22 ноября 2022

HACK-the-ICE 4. 0

25 ноября 2022

Funded, not Fired

Все ВОЗМОЖНОСТИ

Новости

Логистический оператор СДЭК решил продавать восстановленную технику

Новости

Slush аннулировал победу сервиса Immigram в международном конкурсе «питчей»

Новости

Олег Тиньков принял решение отказаться от российского гражданства

Архив rb.ru

Как получить больничный, если вы не больны

Колонки

Как фаундеру строить отношения с командой: топ-5 правил

Что такое GDPR, новый закон ЕС о защите данных?

Что такое GDPR? Новый европейский закон о конфиденциальности и безопасности данных включает сотни страниц новых требований для организаций по всему миру. Этот обзор GDPR поможет вам понять закон и определить, какие его части применимы к вам.

Общий регламент по защите данных (GDPR) — это самый строгий закон о конфиденциальности и безопасности в мире. Несмотря на то, что он был разработан и принят Европейским союзом (ЕС), он налагает обязательства на организации в любом месте, если они нацелены или собирают данные, связанные с людьми в ЕС. Постановление вступило в силу 25 мая 2018 года. GDPR будет налагать суровые штрафы на тех, кто нарушает его стандарты конфиденциальности и безопасности, причем штрафы достигают десятков миллионов евро.

Регламентом GDPR Европа демонстрирует свою твердую позицию в отношении конфиденциальности и безопасности данных в то время, когда все больше людей доверяют свои личные данные облачным службам, а нарушения безопасности становятся повседневным явлением. Регулирование само по себе является масштабным, далеко идущим и довольно легким по специфике, что делает соблюдение GDPR сложной задачей, особенно для малых и средних предприятий (МСП).

Мы создали этот веб-сайт, чтобы предоставить владельцам и менеджерам МСП ресурс для решения конкретных проблем, с которыми они могут столкнуться. Хотя это не заменяет юридическую консультацию, это может помочь вам понять, на чем сосредоточить свои усилия по соблюдению GDPR. Мы также предлагаем советы по инструментам обеспечения конфиденциальности и способам снижения рисков. Поскольку GDPR продолжает интерпретироваться, мы будем держать вас в курсе меняющихся передовых практик.

Если вы нашли эту страницу — «что такое GDPR?» — скорее всего, вы ищете ускоренный курс. Возможно, вы еще даже не нашли сам документ (совет: вот полный регламент). Может быть, у вас нет времени, чтобы прочитать все это. Эта страница для вас. В этой статье мы пытаемся демистифицировать GDPR и, как мы надеемся, сделать его менее обременительным для МСП, обеспокоенных соблюдением GDPR.

История GDPR

Право на неприкосновенность частной жизни является частью Европейской конвенции о правах человека 1950 года, которая гласит: «Каждый человек имеет право на уважение его частной и семейной жизни, его жилища и его корреспонденции». Исходя из этого, Европейский Союз стремился обеспечить защиту этого права посредством законодательства.

По мере развития технологий и изобретения Интернета ЕС осознал необходимость современных средств защиты. Поэтому в 1995 году она приняла Европейскую директиву о защите данных, устанавливающую минимальные стандарты конфиденциальности и безопасности данных, на которых каждое государство-член основывало свой собственный закон об осуществлении. Но Интернет уже трансформировался в данные Hoover, которыми он является сегодня. В 1994 году в Интернете появился первый рекламный баннер. В 2000 году большинство финансовых учреждений предлагали онлайн-банкинг. В 2006 году Facebook открылся для публики. В 2011 году пользователь Google подал в суд на компанию за сканирование ее электронной почты. Через два месяца после этого европейский орган по защите данных заявил, что ЕС необходим «комплексный подход к защите персональных данных», и началась работа по обновлению 1995 директива.

GDPR вступил в силу в 2016 году после принятия Европейским парламентом, и по состоянию на 25 мая 2018 года все организации должны были соответствовать требованиям.

Сфера применения, штрафы и ключевые определения

Во-первых, если вы обрабатываете персональные данные граждан или резидентов ЕС или предлагаете товары или услуги таким людям, то GDPR применяется к вам, даже если вы не находитесь в ЕС . Подробнее об этом мы поговорим в другой статье.

Во-вторых, штрафы за нарушение GDPR очень высоки . Существует два уровня штрафов, максимальный размер которых составляет 20 миллионов евро или 4% от мирового дохода (в зависимости от того, что больше), плюс субъекты данных имеют право требовать компенсации за ущерб. Мы также больше говорим о штрафах GDPR.

GDPR подробно определяет набор юридических терминов. Ниже приведены некоторые из наиболее важных из них, на которые мы ссылаемся в этой статье:

Персональные данные — Персональные данные — это любая информация, относящаяся к физическому лицу, которое может быть прямо или косвенно идентифицировано. Имена и адреса электронной почты, очевидно, являются личными данными. Информация о местонахождении, этническая принадлежность, пол, биометрические данные, религиозные убеждения, веб-куки и политические взгляды также могут быть персональными данными. Псевдонимные данные также могут подпадать под это определение, если по ним относительно легко кого-то идентифицировать.

Обработка данных — Любое действие, выполняемое с данными, будь то автоматизированное или ручное. Примеры, приведенные в тексте, включают сбор, запись, организацию, структурирование, хранение, использование, стирание… в общем, что угодно.

Субъект данных — Лицо, чьи данные обрабатываются. Это ваши клиенты или посетители сайта.

Контроллер данных  – лицо, которое решает, почему и как будут обрабатываться персональные данные. Если вы владелец или сотрудник вашей организации, который обрабатывает данные, это вы.

Обработчик данных — третья сторона, которая обрабатывает персональные данные от имени контроллера данных. GDPR имеет специальные правила для этих лиц и организаций. Это могут быть облачные серверы, такие как Tresorit, или поставщики услуг электронной почты, такие как Proton Mail.

Что говорит GDPR о…

В оставшейся части этой статьи мы кратко объясним все ключевые нормативные положения GDPR.

Принципы защиты данных

Если вы обрабатываете данные, вы должны делать это в соответствии с семью принципами защиты и подотчетности, изложенными в статье 5.1-2:

  1. Законность, справедливость и прозрачность — Обработка должна быть законной, справедливой и прозрачной для субъекта данных.
  2. Ограничение цели — Вы должны обрабатывать данные в законных целях, прямо указанных субъекту данных при их сборе.
  3. Минимизация данных — Вы должны собирать и обрабатывать ровно столько данных, сколько абсолютно необходимо для указанных целей.
  4. Точность — Вы должны обеспечивать точность и актуальность личных данных.
  5. Ограничение хранения — Вы можете хранить данные, идентифицирующие личность, только до тех пор, пока это необходимо для указанной цели.
  6. Целостность и конфиденциальность — Обработка должна осуществляться таким образом, чтобы обеспечить надлежащую безопасность, целостность и конфиденциальность (например, с использованием шифрования).
  7. Подотчетность — Контролер данных несет ответственность за демонстрацию соответствия GDPR всем этим принципам.
Подотчетность

Согласно GDPR, контролеры данных должны быть в состоянии продемонстрировать, что они соответствуют требованиям GDPR. И это не то, что вы можете сделать постфактум: если вы думаете, что соблюдаете GDPR, но не можете показать, как, значит, вы не соответствуете GDPR. Это можно сделать одним из следующих способов:

  • Назначьте ответственность за защиту данных своей команде.
  • Ведите подробную документацию о собираемых вами данных, о том, как они используются, где хранятся, кто за них отвечает и т. д.
  • Обучите персонал и примите технические и организационные меры безопасности.
  • Наличие договоров об обработке данных с третьими сторонами, с которыми вы заключили договор на обработку данных для вас.
  • Назначьте сотрудника по защите данных (хотя он нужен не всем организациям — подробнее об этом в этой статье).
Безопасность данных

Вы должны безопасно обрабатывать данные, применяя «соответствующие технические и организационные меры».

Под техническими мерами понимается что угодно, от требования от ваших сотрудников использовать двухфакторная аутентификация на учетных записях, где хранятся персональные данные для заключения договоров с облачными провайдерами, использующими сквозное шифрование .

К организационным мерам относятся такие вещи, как обучение персонала , добавление политики конфиденциальности данных в справочник сотрудников или ограничение доступа к персональным данным только тем сотрудникам вашей организации, которым они нужны.

Если у вас есть утечка данных, у вас есть 72 часа, чтобы сообщить об этом субъектам данных, иначе вам грозит наказание. (Это требование уведомления может быть отменено, если вы используете технологические средства защиты, такие как шифрование, чтобы сделать данные бесполезными для злоумышленника. )

Защита данных по замыслу и по умолчанию

Отныне все, что вы делаете в своей организации, должно «по замыслу и по умолчанию» предусматривать защиту данных. На практике это означает, что вы должны учитывать принципы защиты данных при разработке любого нового продукта или деятельности. GDPR описывает этот принцип в статье 25.

Предположим, например, что вы запускаете новое приложение для своей компании. Вы должны подумать о том, какие личные данные приложение может собирать от пользователей, а затем рассмотреть способы минимизации объема данных и способы их защиты с помощью новейших технологий.

Когда вам разрешено обрабатывать данные

В статье 6 перечислены случаи, когда обработка персональных данных является законной. Даже не думайте касаться чьих-либо личных данных — не собирайте их, не храните, не продавайте рекламодателям — если вы не можете обосновать это одним из следующих:

  1. Субъект данных предоставил вам конкретное, однозначное согласие на обработку данных. (например, они подписались на ваш маркетинговый список адресов электронной почты.)
  2. Обработка необходима для выполнения или подготовки для заключения договора , стороной которого является субъект данных. (Например, перед сдачей имущества в аренду потенциальному арендатору вам необходимо проверить биографические данные.)
  3. Вам необходимо обработать его , чтобы выполнить ваше юридическое обязательство . (например, вы получили постановление суда в вашей юрисдикции.)
  4. Вам необходимо обработать данные , чтобы спасти чью-то жизнь . (например, Ну, вы, вероятно, знаете, когда это применимо.)
  5. Требуется обработка для выполнения задачи в общественных интересах или для выполнения какой-либо официальной функции. (например, вы — частная компания по вывозу мусора.)
  6. У вас есть законный интерес в обработке чьих-либо личных данных. Это самая гибкая законная основа, хотя «основные права и свободы субъекта данных» всегда преобладают над вашими интересами, особенно если это данные ребенка. (Здесь трудно привести пример, потому что в вашем случае вам необходимо учитывать множество факторов. Управление Комиссара по информации Великобритании дает здесь полезные рекомендации.)

После того, как вы определили законное основание для обработки ваших данных, вам необходимо задокументировать это основание и уведомить субъект данных (прозрачность!). И если вы решите позже изменить свое обоснование, вам необходимо иметь уважительную причину, задокументировать эту причину и уведомить субъекта данных.

Согласие

Существуют новые строгие правила в отношении того, что представляет собой согласие субъекта данных на обработку его информации.

  • Согласие должно быть «свободным, конкретным, информированным и недвусмысленным».
  • Запросы на согласие должны быть «четко отличимы от других вопросов» и представлены «четким и простым языком».
  • Субъекты данных могут отозвать ранее данное согласие в любое время, и вы должны выполнить их решение. Вы не можете просто изменить правовую основу обработки на одно из других оснований.
  • Дети до 13 лет могут давать согласие только с разрешения своего родителя.
  • Вам необходимо сохранить документальное подтверждение согласия.
Ответственные за защиту данных

Вопреки распространенному мнению, не каждый контролер или обработчик данных должен назначать ответственного за защиту данных (DPO). Есть три условия, при которых вы должны назначить DPO:

  1. Вы являетесь государственным органом, не являющимся судом, действующим в качестве судебного органа.
  2. Ваша основная деятельность требует систематического и регулярного наблюдения за людьми в больших масштабах. (например, Вы — Google.)
  3. Ваша основная деятельность — крупномасштабная обработка особых категорий данных, перечисленных в статье 9.Общего регламента по защите данных или данных, касающихся уголовных судимостей и правонарушений, упомянутых в статье 10. (например, вы работаете в медицинском учреждении). Есть преимущества в том, чтобы иметь кого-то в этой роли. Их основные задачи включают понимание GDPR и того, как он применяется к организации, консультирование людей в организации об их обязанностях, проведение тренингов по защите данных, проведение аудитов и мониторинг соблюдения GDPR, а также взаимодействие с регулирующими органами.

    Мы подробно расскажем о роли DPO в другой статье.

    Права людей на неприкосновенность частной жизни

    Вы являетесь контролером данных и/или обработчиком данных. Но как человек, пользующийся Интернетом, вы также являетесь субъектом данных. GDPR признает целый ряд новых прав на неприкосновенность частной жизни для субъектов данных, которые направлены на предоставление людям большего контроля над данными, которые они предоставляют организациям. Как организации важно понимать эти права, чтобы обеспечить соответствие требованиям GDPR.

    Ниже приводится краткое изложение прав субъектов данных на конфиденциальность:

    1. Право на получение информации
    2. Право на доступ
    3. Право на исправление
    4. Право на удаление
    5. Право на ограничение обработки
    6. Право на переносимость данных
    7. Право на возражение
    8. Право на возражение

      9. отношение к автоматизированному принятию решений и профилированию.

    Заключение

    Мы только что рассмотрели все основные положения GDPR в объеме чуть более 2000 слов. Сам регламент (не включая сопутствующие директивы) составляет 88 страниц. Если на вас распространяется действие GDPR, мы настоятельно рекомендуем, чтобы кто-нибудь в вашей организации прочитал его и проконсультировался с юристом, чтобы убедиться, что вы соблюдаете GDPR.

    Распространяется ли GDPR на компании за пределами ЕС?

    При определенных условиях GDPR применяется к компаниям, которые не находятся в Европе. В этой статье мы объясним, когда и как GDPR применяется за пределами ЕС.

    Общий регламент Европейского Союза по защите данных отличается тем, что он применяется к организациям, которые могут иметь мало общего с ЕС. Например, вы можете быть американской компанией по веб-разработке, базирующейся в Денвере, штат Колорадо, и продавать веб-сайты в основном компаниям из Колорадо. Но если вы отслеживаете и анализируете посетителей из ЕС на веб-сайте вашей компании, на вас могут распространяться положения GDPR.

    Здесь мы подробно рассмотрим географический охват GDPR, в том числе то, что на самом деле говорится в регламенте, и то, как вы можете быть затронуты. Конечно, вы не должны воспринимать это как личную юридическую консультацию. Мы рекомендуем поговорить с юристом, чтобы определить, применим ли GDPR к конкретному делу вашей организации.

    Кратко о GDPR

    GDPR — это закон ЕС о конфиденциальности данных, вступивший в силу 25 мая 2018 года. Он разработан, чтобы дать людям больше контроля над тем, как их данные собираются, используются и защищаются в Интернете. Он также обязывает организации соблюдать новые строгие правила использования и защиты персональных данных, которые они собирают у людей, включая обязательное использование технических средств защиты, таких как шифрование, и более высокие юридические пороги для оправдания сбора данных. Организации, которые не соблюдают требования, столкнутся с суровыми штрафами в размере до 4 процентов от их глобального годового дохода или до 20 миллионов евро, в зависимости от того, что больше.

    Чтобы ознакомиться с GDPR, ознакомьтесь с нашей статьей «Что такое GDPR?» А полный текст можно прочитать здесь.

    GDPR применяется за пределами Европы

    Весь смысл GDPR заключается в защите данных, принадлежащих гражданам и резидентам ЕС. Таким образом, закон применяется к организациям, которые обрабатывают такие данные, независимо от того, являются ли они организациями в ЕС или нет, что известно как «экстерриториальное действие».

    GDPR определяет в статье 3 территориальную сферу действия закона:

    1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности учреждения контролера или обработчика в Союзе, независимо от того, происходит ли обработка в Союзе или нет.

    2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролером или обработчиком, не зарегистрированным в Союзе, если деятельность по обработке связана с:

    (a) предложение товаров или услуг, независимо от того, требуется ли оплата субъекта данных, таким субъектам данных в Союзе; или

    (b) отслеживание их поведения, поскольку их поведение имеет место в Союзе.

    3. Настоящий Регламент применяется к обработке персональных данных контролером, учрежденным не в Союзе, а в месте, где право государства-члена применяется в силу международного публичного права.

    Статья 3.1 гласит, что GDPR применяется к организациям, базирующимся в ЕС, даже если данные хранятся или используются за пределами ЕС. Статья 3.2 идет еще дальше и применяет закон к организациям, не входящим в ЕС, при соблюдении двух условий: организация предлагает товары или услуги людям в ЕС или организация отслеживает их поведение в Интернете. (Статья 3.3 относится к более необычным сценариям, например, в посольствах ЕС.)

    Когда GDPR применяется за пределами Европы?

    Как мы только что упомянули, существует два сценария, в которых организации, не входящей в ЕС, может потребоваться соблюдать GDPR. Давайте подробнее рассмотрим каждый из них.

    Предложение товаров или услуг

    Интернет делает товары и услуги в отдаленных местах доступными в любой точке мира. Подросток на Кипре может легко заказать пиццу онлайн в местной пиццерии в Майами и заказать доставку в дом друга. Но GDPR не распространяется на случайные случаи. Скорее, регулирующие органы ищут другие подсказки, чтобы определить, намеревалась ли организация предлагать товары и услуги людям в ЕС. Для этого они будут искать такие вещи, как, например, создала ли канадская компания рекламу на немецком языке или указала цены в евро на своем веб-сайте. Другими словами, если ваша компания не находится в ЕС, но вы обслуживаете клиентов из ЕС, вам следует стремиться соответствовать GDPR.

    Мониторинг их поведения

    Если ваша организация использует веб-инструменты, которые позволяют вам отслеживать файлы cookie или IP-адреса людей, которые посещают ваш сайт из стран ЕС, то вы подпадаете под действие GDPR. С практической точки зрения неясно, насколько строго будет трактоваться это положение или насколько нагло оно будет применяться. Предположим, вы управляете полем для гольфа в Манитобе, ориентированным исключительно на ваш регион, но иногда люди во Франции натыкаются на ваш сайт. Окажетесь ли вы под прицелом европейских регуляторов? Это маловероятно. Но технически вы можете быть привлечены к ответственности за отслеживание этих данных.

    Исключения из правила

    Здесь следует отметить два важных исключения. Во-первых, GDPR не распространяется на «исключительно личную или домашнюю деятельность». Так что, если вы собрали адреса электронной почты, чтобы организовать пикник с друзьями с работы, будьте уверены, вам не придется шифровать их контактную информацию, чтобы соответствовать GDPR (хотя вы все равно можете это захотеть!). GDPR применяется только к организациям, занимающимся «профессиональной или коммерческой деятельностью». Итак, если вы собираете адреса электронной почты друзей для сбора средств на побочный бизнес-проект, то GDPR может применяться к вам.

    Второе исключение для организаций, в которых работает менее 250 человек. Малые и средние предприятия (МСП) не полностью освобождены от GDPR, но в большинстве случаев регламент освобождает их от обязательств по ведению учета (см.

    This entry was posted in Семантическое ядро