Соответствие Общему регламенту о защите данных (GDPR)

Общее постановление Европейского союза о защите данных 2016/679 (GDPR) вступит в силу 25 мая 2018 года. Оно повлияет на все виды бизнеса, осуществляющие деятельность в ЕС или работающие с клиентами из ЕС. Новый регламент заменяет устаревшую Европейскую директиву о защите данных, принятую в 1995 году, и призван гармонизировать законы о конфиденциальности данных в государствах-членах ЕС, защищая личные данные граждан ЕС.

GDPR - это действительно стандартизация методов работы с личными данными людей и уверенность потребителей в том, что они под надёжной защитой. Каждый раз, когда вы производите какие-либо действия онлайн - например, открываете счет в банке, присоединяетесь к веб-сайту социальной сети или бронируете рейс, вы передаете важную личную информацию, такую как ваше имя, адрес и номер кредитной карты. Такая информация является личной и / или конфиденциальной. В условиях растущей утечки информации и взлома данных, GDPR обеспечивает безопасность и защищает данные.

Ключевые термины и определения

Контролер - «физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных». Это вы, компания, которая работает в ЕС или сотрудничает с клиентами из ЕС.

Обработчик - «физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера». Это ваш провайдер облачного хранилища и / или поставщик услуг по защите данных, такой как NetShop ISP.

Персональные данные - «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу». Это главное звено и причина всего GDPR.

Субъект персональных данных - лицо, идентифицируемое по персональным данным. Это люди, которые могут попросить вас раскрыть, отредактировать или удалить личную информацию, которую вы храните о них на своих серверах. Вам необходимо своевременно реагировать на каждый такой запрос или может возникнут риск больших штрафов.

Право на забвение - субъекты данных имеют «право на удаление своих личных данных и запрет на их дальнейшую обработку». Люди могут потребовать, чтобы вы удалили все их личные данные, хранящиеся на ваших серверах. На данном этапе неясно, означает ли право на забвение также удаление данных из резервных копий, поскольку определенные типы носителей, например, ленточный накопитель, не позволяют удалять биты данных без уничтожения всей резервной копии. Кроме того, на ваш бизнес могут распространяться определенные политики хранения резервных копий для архивирования и юридических целей.

Нарушение персональных данных - «нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к передаваемым, хранимым или другим обрабатываемым персональным данным». Вы должны будете сообщить об инцидентах, связанных с нарушением персональных данных, в «контролирующий орган» в течение 72 часов после того, как станет об этом известно.

Сервисный договор - сервисное соглашение между контролером и процессором.

Сотрудник по защите данных (DPO) - это новая должность для сотрудника вашей компании, который будет отвечать за все вопросы, связанные с защитой личных данных.

Основные требования GDPR

GDPR требует, чтобы любая компания, работающая в ЕС, или иностранный бизнес, имеющий дело с клиентами из ЕС, хранили и обрабатывали все личные данные в пределах европейских границ (если только у субъекта данных нет явного разрешения хранить свои данные за пределами ЕС).

Персональные данные могут храниться только до тех пор, пока они необходимы для первоначальной цели и должны быть защищены в соответствии с новыми правилами. И контролер, и процессор обязаны «реализовывать соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску», включая шифрование данных и псевдонимизацию («обработка персональных данных таким образом, что данные больше не могут относиться к конкретному субъекту данных без использования дополнительной информации. ')

GDPR также подразумевает создание комплексного механизма отчетности, помогающей контроллеру идентифицировать личные данные, хранящиеся на их серверах, а также подтвердить свое местоположение хранения, шифрование или удаление по запросу. Для внешнего аудитора также должен быть простой способ проверки ваших отчетов.T

А как насчет компаний, не входящих в ЕС? Как GDPR повлияет на них и их деятельность?

Многие компании в евросоюзе имеют офисы за пределами ЕС или торгуют с компаниями, не входящими в ЕС. По сути, GDPR распространяет действие своего закона о защите данных ЕС на все иностранные компании, обрабатывающие данные резидентов ЕС. Таким образом, для компаний, не входящих в ЕС, все становится проще. Они будут придерживаться одного набора стандартных правил о защите данных. В связи с этим, у таких компаний не возникнет проблем с бизнесом, вне зависимости от того, с какой страной они работают.

Работа с поставщиком облачного хранилища и защиты данных

GDPR предъявляет новые требования к безопасности и контрактам для компаний (контроллеров), работающих с поставщиками облачных услуг и поставщиками защиты данных, такими как NetShop ISP (процессоры).

Отношения между контроллерами и процессорами можно обозначить по следующим пунктам:

– Провайдеры облачных услуг должны гарантировать, что предоставляемые услуги соответствуют техническим и организационным требованиям нового регламента.

– Сервисные договора между контроллером и процессором запрещают использование субподрядчиков без согласия контроллера.

– При расторжении сервисного договора все данные должны быть удалены из облака, и процессор должен предоставить достаточные доказательства того, что это было сделано.

– Контролеры обязаны сообщать об инцидентах, связанных с нарушения данных регулирующему органу.