Bazaprogram.ru

Новости из мира ПК
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Генеральный регламент о защите данных

Информация о GDPR на русском языке

GDPR (General Data Protection Regulation)

  • Регламент (EU) 2016/679 (Русская версия, English version)
  • Директива (EU) 2016/680 (Русская версия, English version)

Основные цели GDPR

  • защита персональных данных
  • защита прав и свобод людей в защите их данных
  • ограничение перемещения персональных данных в рамках Евросоюза
  • далее

Основные термины

  • Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
  • Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
  • Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
  • DPO (Data Protection Officer) — сотрудник по защите персональных данных.

Права граждан

GDPR усиливает существующие и вводит новые права гражданам ЕС, а также дает гражданам больше контроля над своими личными данными:

  • более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
  • право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
  • право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
  • право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.

Персональные данные

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.

То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

Примеры персональных данных:

  • имя, фамилия
  • номер паспорта или ИД удостоверения
  • дата и место рождения
  • место проживания, регистрация, прописка
  • е-мейл, телефон, или другая контактная информация
  • ИП-адрес и патаметры соединения
  • дата и время посещения ресурса, история и параметры посещений, включая название браузера.

А также особо охраняемые данные:

  • раса и национальность
  • политические взгляды
  • вероисповедание
  • сексуальная ориентация
  • биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
  • данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
  • генетические данные – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

Принципы обработки данных по GDPR

Сфера действия GDPR

Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или юридическими лицами, государственными органами и другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

Соответствие требованиям GDPR

  • Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
  • Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
  • Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома. Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
  • Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
  • Ведение необходимой отчетности, согласно положениям GDPR.

Несоблюдение норм GDPR

Утечка персональных данных

Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.

Читать еще:  Как снять защиту в эксель

«Игнорировать GDPR будет сложно всем»: что нужно знать о новом регламенте

Исполнительный директор Digital Contact

25 мая вступает в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными в Европейском союзе.

Ольга Кутейникова, исполнительный директор Digital Contact, отвечает на шесть самых распространенных вопросов о GDPR.

1. Что такое GDPR

Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.

Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.

Принципы GDPR:

  • Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.
  • Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.
  • Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.
  • Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.
  • Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.
  • Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.

2. Кого коснется

GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.

3. Почему мне это нужно знать

Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.

4. Что грозит тем, кто не выполняет требования

За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.

Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

5. Что нужно сделать прямо сейчас

Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.

Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.

6. Где почитать больше по теме

Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.

  • С официальным текстом регламента по защите персональных данных можно ознакомиться здесь. На сайте Еврокомиссии также можно найти интересную информацию о том, почему так важно было разработать новый регламент: чем это хорошо для резидентов ЕС, какие выгоды получит бизнес, и как новые правила помогут компаниям сэкономить деньги, используя единый закон во всех странах ЕС.
  • Коротко на русском языке основная информация по GDPR показана в презентации PwC «GDPR: что нужно знать российскому бизнесу». В ней также есть детальное сравнение GDPR и российского 152-ФЗ.
  • Институт Исследований Интернета подготовил «Анализ возможных последствий и влияния GDPR на бизнес российских операторов персональных данных» и бонусом добавил перевод текста регламента на русский язык.

Материалы по теме:

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

«Игнорировать GDPR будет сложно всем»: что нужно знать о новом регламенте

Исполнительный директор Digital Contact

25 мая вступает в силу GDPR — регламент, где зафиксированы новые правила работы с персональными данными в Европейском союзе.

Ольга Кутейникова, исполнительный директор Digital Contact, отвечает на шесть самых распространенных вопросов о GDPR.

1. Что такое GDPR

Общий регламент по защите данных (General Data Protection Regulation). Документ предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными: спрашивать про цели обработки, место их хранения, а в случае необходимости удалить. Он вступает в силу с 25 мая 2018 года.

Какие данные защищает GDPR? Персональные данные — любая информация о человеке, по которой он идентифицируется: пол, возраст, место жительства, умственная, культурная, экономическая, социальная идентичность.

Читать еще:  Защита от несанкционированного использования

Принципы GDPR:

  • Прозрачность и законность. Компании должны понятно объяснить, для чего они собирают данные и как планируют использовать их в дальнейшем.
  • Ограничение цели. Если цели сбора данных изменились, но они и дальше продолжают использоваться — это нарушение.
  • Минимум информации. Данные нужны только в объеме, необходимом для достижения конкретных целей, нельзя запрашивать лишнее.
  • Управление данными. Пользователь может запросить копию всей личной информации, которая у вас есть по нему — будьте готовы предоставить ее в течение 30 дней. Также пользователь может потребовать удалить данные о нем без права восстановления.
  • Ограничение хранения. Срок хранения данных должен пересекаться со сроком достижения целей. Как только цель достигнута — данные удаляются.
  • Безопасность хранения. Нельзя передавать данные третьим лицам. В случае утечки сообщать об этом в течение трех дней.

2. Кого коснется

GDPR имеет экстерриториальное действие. Новые правила распространятся на всех, кто работает с данными резидентов ЕС. Неважно, есть ли у вас филиалы в Европе, где зарегистрирована компания и где она обрабатывает данные. Главное условие — работа с данными европейцев, полученными на территории Евросоюза (в том числе через интернет). География покрытия документа — 28 стран.

3. Почему мне это нужно знать

Игнорировать GDPR будет сложно всем. Даже самая маленькая российская компания не может быть на 100% уверена в том, что у одного из подписчиков не может быть 2 гражданства. И одно из них может оказаться европейским. Поэтому будет разумно еще раз проверить свои клиентские базы.

4. Что грозит тем, кто не выполняет требования

За несоблюдение принципов накладывается штраф в размере от 10 до 20 миллионов евро или от 2 до 4% от годового оборота компании.

Практика исполнения решений ЕС в РФ развита не очень хорошо, поэтому даже если Комиссия ЕС наложит штраф на российскую компанию, существует очень маленькая вероятность реального исполнения такого решения. Но на территории ЕС работа будет затруднена. Подобное решение может стать основанием для проведения в отношении компании проверки уже российскими органами.

5. Что нужно сделать прямо сейчас

Компании, работающие с персональными данными, должны максимально подробно описать у себя на сайте, какую именно информацию они собирают о посетителях, для чего они это делают и как используют в дальнейшем. Нужно сделать более явной форму дачи согласия. В поле для галочки «я даю согласие на обработку своих персональных данных» уточнить, на обработку каких персональных данных пользователь дает свое согласие, сделать разные формы его дачи. Например, в регистрационной форме оставить согласие на обработку почты, номера телефона и т.д., а согласие на обработку местоположения сделать отдельным всплывающим сообщением.

Для уже имеющихся у вас клиентских баз лучшим вариантом будет рассылка писем с просьбой заново дать свое согласие на обработку оставленных ими ранее персональных данных.

6. Где почитать больше по теме

Если у вас остались вопросы или вы хотите самостоятельно разобраться в теме — мы подготовили несколько ссылок с полезным материалом.

  • С официальным текстом регламента по защите персональных данных можно ознакомиться здесь. На сайте Еврокомиссии также можно найти интересную информацию о том, почему так важно было разработать новый регламент: чем это хорошо для резидентов ЕС, какие выгоды получит бизнес, и как новые правила помогут компаниям сэкономить деньги, используя единый закон во всех странах ЕС.
  • Коротко на русском языке основная информация по GDPR показана в презентации PwC «GDPR: что нужно знать российскому бизнесу». В ней также есть детальное сравнение GDPR и российского 152-ФЗ.
  • Институт Исследований Интернета подготовил «Анализ возможных последствий и влияния GDPR на бизнес российских операторов персональных данных» и бонусом добавил перевод текста регламента на русский язык.

Материалы по теме:

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Нормы общей защиты данных ЕС (EU General Data Protection Regulation, EU GDPR)

Один небольшой, но важный элемент GDPR: Соблюдайте совместимость с USB-накопителями с шифрованием компании Kingston

Ликвидирует угрозы и снижает риски

Компания предлагает продукты для персональных, корпоративных и государственных пользователей.

  • 100% соответствующий требованиям USB-накопитель с шифрованием
  • Простой, удобный в использовании, не требует программного обеспечения или драйверов
  • Может быть быстро и эффективно введен в эксплуатацию

EU GDPR: 5 главных областей, о которых следует знать

  1. Шифрование — Обеспечение соблюдения стандартов на обработку данных (Статья 32, Безопасность обработки)
  2. Назначение ответственных за защиту данных (DPO)
  3. Создание и введение в действие программы обеспечения киберзащиты
  4. Документированный учет
  5. Сознательное согласие

Предусмотрены ли какие-либо санкции за несоблюдение норм?

  • Согласно GDPR, на организации, нарушающие положения GDPR, могут налагаться штрафы в размере до 4% от годового валового оборота или примерно 21 952 миллиона долларов США (20 миллионов евро — в зависимости от того, какая из этих сумм больше).
  • Компанию могут оштрафовать на 2% за отсутствие должного учета (статья 28), неуведомление контролирующего органа и субъекта данных о нарушении или непроведении оценки воздействия./li>
  • Важно отметить, что эти правила распространяются как на «управленцев», так и на «обработчиков», что означает, что облачные сервисы не будут исключением для применения положений GDPR.
Читать еще:  Защита от вредоносного по

Что мне нужно знать?

Как это повлияет на мой бизнес?

  • Любая компания, работающая с информацией, связанной с гражданами ЕС, должна будет соблюдать нормы
  • Важно отметить, что эти правила распространяются как на «управленцев», так и на «обработчиков», что означает, что облачные сервисы не будут исключением для применения положений GDPR.
  • Распространяется на все организации (в пределах и за пределами ЕС), которые обрабатывают данные граждан ЕС
  • От организаций, которые обрабатывают персонально идентифицируемую информацию или располагают такой информацией, требуется применение адекватных мер обеспечения безопасности для защиты от утери персональных данных.

Что должно сделать мое предприятие, чтобы соответствовать нормам?

  • Выполнить самооценку — В тех компаниях, где работает 250 сотрудников и более, требуется Ответственный за защиту данных. Организациям нужно провести внутреннюю проверку обращения с персонально идентифицируемыми данными своих сотрудников и клиентов
  • Установить и зафиксировать все внутренние и внешние программные продукты/устройства, которые хранят данные — Зарегистрировать используемое оборудование компании и потребовать, чтобы на него распространялась ваша политика защиты данных, и обеспечить применение шифрования данных. В частности, такие устройства, как: серверы, жесткие диски, SSD-накопители, USB-накопители, компьютеры и мобильные устройства
  • Анализ хранящихся материалов — Оцените общий объем персональных данных
  • Очистка — Ликвидируйте архивы ненужной персонально идентифицируемой информации (ПИИ)
  • Контролеры информации — Проверьте оценки риска нарушения конфиденциальности и последствий этого нарушения
  • Контракты — Заранее обезопасьте свой бизнес, немедленно введя в действие политики, которые станут обязательными после фактической даты вступления в силу новых норм в мае 2018 г.
  • Случаи несанкционированного доступа к данным — Нормы требуют уведомления в течение 72 часов

Решение — Применять соответствующие меры защиты, технические стандарты и политики, такие как шифрование персональных данных / персонально идентифицируемой информации (ПИИ), для снижения риска несоблюдения норм (Подробнее – Стандарты USB-накопителей с шифрованием. Передовые методы)

Шифрование данных

  • USB-накопитель с шифрованием IronKey компании Kingston — это одно из решений по стандартизации соблюдения шифрования данных
  • Реализуйте “соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая . шифрование персональных данных» (Статья 32, Безопасность обработки)
  • Законопроект требует от организаций шифрования данных как при пересылке, так и при хранении.
  • От организаций, которые обрабатывают персональную идентифицируемую информацию резидентов ЕС или располагают такой информацией, требуется применение адекватных мер обеспечения безопасности для защиты от утери персональных данных.
  • Организациям потребуется включить эти расширенные стандарты обработки данных в свои контракты со сторонними провайдерами услуг.

Расширенная территориальная сфера действия (экстерриториальная применимость)

Вероятно, крупнейшее изменение регулятивного ландшафта в области конфиденциальности данных.

  • Расширенная юрисдикция GDPR относится ко всем компаниям, обрабатывающим персональные данные субъектов данных, проживающих в ЕС, независимо от местонахождения компании.

Уведомление о несанкционированном доступе

Уведомления о несанкционированном доступе к данным должны выдаваться в течение 72 часов после установления факта несанкционированного доступа, когда это выполнимо, хотя уведомлять DPA не нужно, если маловероятно, что несанкционированный доступ повлечет за собой риск нарушения прав и свобод отдельных лиц.

Новые права потребителей

Выгоды для потребителя

  • Повышение уровня защиты соблюдением GDPR и больше возможностей сохранения анонимности
  • Дает полномочия потребителю, предоставляя ему права в случае его нежелания делиться данными
  • Новые расширенные права для потребителя — право быть забытым» — право на переносимость данных», позволяющее требовать от компаний прекращения использования их данных
  • Компании, не соблюдающие эти права потребителей, подлежат более серьезным преследованиям со стороны потребителей и юридических лиц

Согласие

Условия получения согласия сделаны более строгими, и компании больше не смогут использовать длинные неудобочитаемые положения и условия, полные специальных юридических терминов, поскольку запрос согласия должен подаваться в понятной и легкодоступной форме, вместе с прилагаемым к этому согласию разъяснением цели обработки данных.

  • Согласие должно быть четко изложенным и отличимым от других вопросов и подаваться в понятной и легкодоступной форме с использованием ясного и простого языка. Отменить согласие должно быть так же легко, как и дать его.

Право на забвение

Также называемое удалением данных, право на забвение дает субъекту данных право на то, чтобы контролер данных удалил его/ее персональные данные, прекратил распространение этих данных и возможную их обработку третьими сторонами. Условия удаления, как изложено в (статье 17), включают в себя тот факт, что данные больше не имеют отношения к первоначальным целям.

Следует также отметить, что это право требует от контролеров при рассмотрении таких запросов сопоставления прав субъектов с «заинтересованностью общества в доступности этих данных».

Что такое персонально идентифицируемая информация (ПИИ)?

Персонально идентифицируемая информация (ПИИ) относится к сведениям, которыми имеются в отношении граждан ЕС и раскрытие которых может нанести ущерб тем, чья информация была несанкционированно разглашена. ПИИ может включать в себя медицинские документы, биометрические данные, номера паспортов и персонально идентифицируемую финансовую информацию (ПИФИ), такую как реквизиты карточек социального страхования и кредитных карт. Информация, которая может не считаться ПИИ, такая как имя и фамилия, может стать ПИИ, если будет связана с другими данными.

  • Ресурсы данных организации должны идентифицироваться как часть оценки рисков, включая способ хранения данных и получения к ним доступа, определение уровня риска, которому они подвергаются, и содержат ли они ПИИ. Ресурсы данных могут храниться в базах данных приложений, серверных файловых системах и в устройствах конечных пользователей.
Ссылка на основную публикацию
Adblock
detector