25 мая 2018 в силу вступило новое постановление ЕС о защите персональных данных (ЕС-DSGVO). Постановление, которое также называется «Общий регламент по защите персональных данных» (GDPR), было принято Евросоюзом еще в 2016 году и предназначено для обеспечения единой политики в области защиты личных и персональных данных. Это касается компаний и государственных учреждений, которые хранят или обрабатывают персональные данные. Исключений для компаний различных размеров или отраслей нет. Правда, затрагиваются не только фирмы, которые находятся в Европейском Союзе, но и все другие компании до тех пор, пока они хранят и обрабатывают данные граждан ЕС.
Постановление также можно рассматривать как шанс для компаний. Лучшая защита данных также радует клиентов, становится гораздо легче производить обмен данными, и единый стандарт тоже создает доверие.
Краткий обзор предоставил
сайт, а также основные моменты, которые необходимо принять во внимание.
10 важных пунктов Общего регламента по защите персональных данных (GDPR)
1. И дальше имеют силу принципы обработки данных, такие как прозрачность, целевое использование и пропорциональность.
2. Должно существовать действительное согласие, и в любое время должна иметься возможность отозвать свое согласие.
3. Для обработки данных требуется основание, исключающее ответственность, или согласие.
4. Затронутые лица должны быть проинформированы непосредственно или, если это невозможно, посредством публикации, например, веб-страницы (постановление ЕС о защите персональных данных определяет минимальное содержание).
5. Затронутые лица имеют большие права на получение информации, возврат, исправление, дополнение или удаление своих данных. Кроме того, возможно заявить возражение против определенной обработки (например, маркетинг).
6. Технические и организационные меры должны обеспечивать сохранность персональных данных; обработка данных должна происходить таким образом, чтобы обеспечить соблюдение закона о защите данных (Privacy by Design), и предполагается, что стандарт всех настроек уже защищает данные (Privacy by Default).
7. О нарушениях конфиденциальности необходимо сообщить компетентным органам в течение 72 часов, и если есть серьезные последствия, то об этих нарушениях также необходимо сообщить затронутым лицам. Здесь также возможно осуществлять протоколирование ошибок.
8. Для проектов с высоким риском необходима оценка последствий защиты данных и сообщение в орган надзора, если все же существуют высокие риски предпринятых мер.
9. Передача данных в другие страны, не имеющие признанного законодательства о защите данных, допускается только при определенных условиях.
10. Контракты с внешними обработчиками данных (например, IT-аутсортинг, внешний анализ данных) должны соответствовать требованиям Общего регламента по защите персональных данных. Для доверенных лиц требуется разрешение или право вето с предварительной информацией.
Кроме того, возможно, что в т.н. «компаниях группы риска» должны назначить отдельных уполномоченных по защите данных. Тем не менее, поскольку многие компании имеют более или менее высокий риск, это в целом целесообразно сделать. Особенно в компаниях группы риска, а также во всех остальных, должна быть возможность подтвердить защиту данных, кроме того, предприятие обязано вести документацию.
Подготовительная работа к введению постановления ЕС о защите персональных данных для предприятий
В случае штрафов до 4% от годового оборота и до 20 млн евро, нужно, как компании, лучше заниматься защитой данных. Даже если вы не затронуты непосредственно в первую очередь, вы должны подумать о том, как реализовать предписания о защите данных в компании и как их использовать.
Некоторые пункты, чтобы подготовиться к введению Общего регламента по защите персональных данных (GDPR)
• Назначение уполномоченного по защите данных, который занимается анализом, получает информацию и контролирует выполнение Общего регламента по защите данных.
• Систематический анализ существующих систем, процессов и программного обеспечения, чтобы устанавливать риски, а также выявлять потенциальные пробелы. Здесь рекомендуется анализ пробелов и рисков.
• Согласовать с собственной директивой о защите данных, ограничить доступ к конфиденциальным данным и использовать только принцип «Необходимо знать». (Использовать данные и разрешить к ним доступ, только если это действительно необходимо).
• Проверить требования, а также проверить, будет ли система работать должным образом. Что произойдет, если кто-то отзовет свое согласие, хочет получить данные, хочет удалить данные и т.д.? Здесь важно контролировать, работают ли процессы.
• Необходимо проверить использование систем управления данными, а также шифрования данных.
• Организовать текущий мониторинг, включая журнал транзакций и т.д., а также регулярно проверять на наличие отклонений от нормы.
Общее к постановлению ЕС о защите персональных данных
Если активно заниматься различными пунктами, то для компании не должно означать большие расходы или представлять большой риск, что с 25 мая вводится Общий регламент по защите данных (GDPR). Рекомендуется также связаться со своими поставщиками программного обеспечения, облака и т.д. и получить краткие консультации, если еще остались вопросы.
В общем и целом, рекомендуется применять принцип «Необходимо знать» и ограничивать использование данных только до самого необходимого. В случае возникновения более серьезных вопросов или неуверенности рекомендуется обратиться к специалистам.