Пожалуй, словосочетание “персональные данные” стало неразрывным с Общим регламентом по защите данных, коротко именуемым GDPR. Что это такое? Ответить на этот вопрос одним простым предложением не получится: необходимо разобраться во всех тонкостях документа, состоящего более чем из ста статей. Попробуем разобраться, есть ли среди этих статей детали, которые могут быть применимы к нашей повседневной жизни.
Общий регламент по защите данных (GDPR ) является одним из самых жёстких законов о конфиденциальности и безопасности персональных данных в мире. Хотя он был разработан и принят Европейским союзом (ЕС), GDPR налагает обязательства на организации в любом месте, если они нацелены на людей в странах ЕС или собирают данные о гражданах стран Европейского Союза. Регламент был введен в действие 25 мая 2018 года. GDPR предусматривает суровые штрафы для тех, кто нарушает его стандарты конфиденциальности и безопасности, которые могут достигать десятков миллионов евро.
Немного истории
Право на неприкосновенность частной жизни является частью Европейской конвенции о правах человека 1950 года, которая гласит: "Каждый человек имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции". Исходя из этого, Европейский союз стремится обеспечить защиту этого права с помощью законодательства.
По мере развития технологий и изобретения Интернета ЕС признал необходимость в современных средствах защиты персональных данных пользователей. Поэтому в 1995 году была принята Европейская директива о защите данных, устанавливающая минимальные стандарты конфиденциальности и безопасности данных, на основе которых каждое государство основывало свой собственный закон о применении. Но уже тогда Интернет превращался в "гувернер данных", каким он является сегодня. В 1994 году в Интернете появилась первая баннерная реклама. В 2000 году большинство финансовых учреждений предложили онлайн-банкинг. В 2006 году Facebook открылся для публики. В 2011 году пользовательница Google подала в суд на компанию за хранение её электронной почты. Через два месяца после этого европейский орган по защите данных заявил, что ЕС необходим "комплексный подход к защите персональных данных", и началась работа по обновлению директивы 1995 года.
GDPR вступил в силу в 2016 году после одобрения Европейского парламента, а с 25 мая 2018 года все организации должны были соответствовать данному регламенту.
Основные детали
Попробуем разобраться в ключевых аспектах GDPR:
Если вы обрабатываете данные, вы должны делать это в соответствии с семью принципами защиты и подотчетности, изложенными в статье 5.1-2:
Законность, справедливость и прозрачность - обработка должна быть законной, справедливой и прозрачной для субъекта данных.
Ограничение цели - Вы должны обрабатывать данные для законных целей, прямо указанных субъекту данных при их сборе.
Минимизация данных - Вы должны собирать и обрабатывать только тот объем данных, который необходим для указанных целей.
Точность - Вы должны сохранять личные данные точными и актуальными.
Ограничение хранения - Вы можете хранить персональные данные только столько, сколько необходимо для указанной цели.
Целостность и конфиденциальность - обработка должна осуществляться таким образом, чтобы обеспечить надлежащую безопасность, целостность и конфиденциальность (например, защита данных с помощью шифрования).
Подотчетность - оператор данных несет ответственность за способность продемонстрировать соблюдение всех этих принципов GDPR.
Как соответствовать принципам Регламента?
Согласно GDPR, операторы данных (оператор осуществляет сбор информации) должны быть в состоянии продемонстрировать, что они соответствуют требованиям GDPR. И это не то, что можно сделать постфактум: если вы думаете, что соответствуете GDPR, но не можете показать, как это сделать, значит, вы не соответствуете регламенту. Вот как это можно сделать:
Назначьте ответственных за защиту данных в вашей команде.
Ведите подробную документацию о том, какие данные вы собираете, как они используются, где хранятся, кто из сотрудников несет за них ответственность и т.д.
Обучите свой персонал и внедрите технические и организационные меры безопасности.
Заключите соглашения об обработке данных с третьими сторонами, с которыми вы заключаете договор на обработку данных для вас.
Назначьте сотрудника по защите данных.
Права субъектов
GDPR признает целый ряд новых прав субъектов данных на конфиденциальность, которые направлены на то, чтобы дать людям больше контроля над данными, которые они предоставляют организациям. Как организации, важно понимать эти права, чтобы обеспечить соответствие требованиям GDPR.
Ниже приводится краткий обзор прав субъектов данных на конфиденциальность:
Право на получение информации
Право на доступ
Право на исправление
Право на удаление
Право на ограничение обработки
Право на переносимость данных
Право на возражение
Права в отношении автоматизированного принятия решений и профилирования.
Более подробную информацию вы можете получить на официальном сайте GDPR
Comments