- Сравнение
- Учебники
- 10 вещей, которые следует учитывать, чтобы обеспечить соблюдение GDPR
GDPR (Общий регламент по защите данных) был утвержден Европейским Союзом и закреплен в законодательстве Великобритании 25 мая 2018 года. Он выходит далеко за рамки первоначальных положений Великобритании о защите данных (физических лиц), действовавших до этой даты, и предусматривает строгие санкции для директоров. (директора, владельцы и иногда менеджеры) компаний, которые не соблюдают требования. Штрафы могут достигать 4% от оборота. Широко распространенные утечки данных привели к тому, что British Airways и Marriott Hotels наложили штрафы на общую сумму 300 миллионов евро. GDPR существует для ограничения объема информации, которую лицо или компания (включая индивидуальных предпринимателей) имеет о физических лицах, поскольку она полностью и в первую очередь необходима для ведения коммерческой деятельности. Эти владельцы этих данных называются контролерами данных. Комиссар по информации Великобритании также определяет отдельные роли совместных контролеров и обработчиков данных. Для получения более подробной информации о положениях GDPR посетите веб-сайт Управления комиссара по информации. GDPR затрагивает членов BASDA (Ассоциации разработчиков программного обеспечения для бизнеса) как компаний, хранящих данные, например, о своих сотрудниках и клиентах, так и поставщиков программного обеспечения для бизнеса, которое позволяет организациям сохранять и обрабатывать данные о физических лицах. Исторически сложилось так, что почти вся информация могла быть сохранена и сохранена до тех пор, пока она не будет опубликована. Теперь любая информация, хранящаяся о человеке, должна соответствовать назначению (например, для выполнения обязательств, связанных с оказанием услуги) и, что более важно, должна предоставляться по запросу человека. Ниже приведены 10 элементов BASDA, которые компания должна учитывать в соответствии с GDPR.
1. Я являюсь контролером данных. Должен ли я регистрировать свою деятельность у регистратора GDPR?
Ага. Контролеры, которые хранят, сохраняют и обрабатывают персональные данные, должны платить сбор за защиту данных Управлению комиссара по информации (ICO), если не освобождены от этого. В настоящее время ставки варьируются от 40.00 до 2,500 евро.
![]()
(Изображение предоставлено: Wright Studio/Shutterstock)
2. На кого конкретно распространяются положения GDPR?
Любой, кто считает, что у контролера данных есть личные данные о нем. Сюда входят сотрудники; персонал клиента; персонал поставщика; штат потенциальных клиентов и поставщиков; люди, которые получают маркетинговую информацию о своих и сторонних продуктах и услугах и т. д.
3. Каковы мои обязательства в отношении доступа к имеющимся у меня данным?
Физические лица имеют законное право на доступ к любой личной информации, которую может иметь о них контролер. Это широко известно как «субъектный доступ». Запрос на доступ к субъектам для полного раскрытия всей информации, которую имеет о них контролер, может быть сделан в устной или письменной форме, и у компании есть один месяц на ответ. Непредоставление полной информации в ответ приводит к суровым санкциям для руководителей компании. Расходы обычно не несет лицо, подающее запрос в соответствии с положениями GDPR.
![]()
(Изображение предоставлено: Alexskopje/Shutterstock)
Любая информация, связанная с доступом к теме, будь то в «электронном» виде (на бумажном носителе), аудиозаписях, видеозаписях (затем прямые копии двух последних) или на бумажном носителе. «Электронная форма» включает данные, хранящиеся в базах данных, файлах (текстовых редакторах, электронных таблицах и т. д.) и электронных письмах (как деловых, так и частных).
5. Как я могу обеспечить внутреннее соответствие?
Первым шагом является обеспечение того, чтобы все внутренние политики и процедуры ясно давали понять всему персоналу (и, при необходимости, подрядчикам), что о людях, с которыми они могут вступать в контакт, следует фиксировать только информацию, имеющую отношение к деловым потребностям. Кроме того, если серверы компании используются для доступа (сотрудников компании) к личной электронной почте или сайтам социальных сетей (Facebook, Twitter и т. д.), следует отметить, что компания обязана предоставлять им любые соответствующие материалы. источники после получения запроса на доступ к теме. Безопасное решение — заблокировать доступ к личной электронной почте и сайтам социальных сетей с помощью корпоративных серверов. Однако одним из решений безопасности является обеспечение того, чтобы все сотрудники и подрядчики знали, что у них есть беспрепятственный доступ к этим данным, чтобы гарантировать их соответствие положениям GDPR.
6. Я получил устный запрос на доступ, что мне делать?
Хотя предпочтительно, чтобы все запросы поступали в письменной форме, для работника разумно запросить информацию, имеющуюся о нем у работодателя. Поэтому важно четко задокументировать в политиках и процедурах контролера данных, как фиксировать такой устный запрос и гарантировать, что информация предоставляется надлежащим образом.
![Sobrecarga de correo electrónico]()
(Изображение предоставлено Shutterstock)
7. Почему электронная почта подпадает под действие закона?
Слишком часто электронные письма (или аналогичные сообщения) используются как средство выражения мнений (хороших и плохих) о ком-то, кто имеет мало или вообще не имеет отношения к бизнесу. Эти мнения, помимо хранения личных данных, могут носить клеветнический характер (вопрос политик и процедур) и может ли коллега (который может запросить доступ в соответствии с положениями GDPR) оставить компанию открытой для трудовых споров. При получении запроса на доступ к субъекту необходимо удалить упоминание любых других персональных данных, не специфичных для запроса, то есть принадлежащих другому лицу. Предоставление персональных данных другому лицу при ответе на доступ субъекта является правонарушением по смыслу положений GDPR.
8. Я доставляю программное обеспечение для установки клиентам. Делает ли это меня контролером любых данных, которые у них могут быть?
Если вы предоставляете программные решения (обычно лицензированные), которые вы впоследствии поддерживаете и для которых вы предлагаете услуги удаленной диагностики, где такие удаленные услуги могут включать доступ к информации, содержащейся в базе данных, содержащей личную информацию, вы можете действовать в качестве контролера данных. Поэтому важно просмотреть существующие соглашения о поддержке/обслуживании и включить в них такие формулировки, как: «Если нас попросят в письменной форме получить доступ и, возможно, изменить содержимое базы данных или файлов партнеров, содержащих персональные данные, мы задокументируем любые внесенные изменения. отправьте эту заполненную документацию клиенту/лицензиату. Как только эта информация будет передана клиенту/лицензиату, мы удалим все ссылки и временные копии из наших собственных систем. Это сохранит нашу роль как обработчика данных, а не как контролера данных. . данные. "
9. Я предлагаю решения «программное обеспечение как услуга» (SaaS), в которых я размещаю данные, управляемые клиентом. Делает ли это меня контролером данных?
Как правило, предложения SaaS подразумевают, что базовые базы данных и связанные с ними файлы, которые могут содержать личную информацию, находятся под вашим прямым контролем. В этом случае было бы полезно обеспечить, чтобы в контрактах с пользователями услуг была включена такая формулировка: «Мы действуем в качестве субподрядчика по предоставлению описанных здесь услуг. Если нам дано письменное указание получить доступ и, возможно, изменить содержимое базы данных или связанных с ней файлов, содержащих персональные данные, мы задокументируем любые внесенные изменения и отправим эту полную документацию клиенту/лицензиату. Как только эта информация будет передана клиенту/лицензиату, мы удалим все ссылки и временные копии из наших собственных систем. Это сохранит нашу роль обработчика данных, а не контролера данных. "
![]()
(Изображение предоставлено Pixabay)
10. Что произойдет, если наши серверы будут взломаны и данные скопированы (украдены)?
Комиссар по информации разъясняет, что контролер данных несет ответственность за безопасность всех личных данных, которыми он владеет. Тот факт, что сервер был взломан или сотрудник забрал копию личных данных, не является оправданием и всегда возлагает на Контролера данных (в частности, на его агентов) ответственность в соответствии с положениями GDPR. Необходимо позаботиться о том, чтобы даже копирование личных данных не разрешалось, за исключением единственной законной цели Контролера данных. Копирование не ограничивается доставкой данных через службы связи: оно включает копирование на портативные носители, такие как USB-накопители или SIM-карты. Это руководство подготовлено британской бизнес-организацией BASDA (Ассоциация разработчиков программного обеспечения для бизнеса), которая дала TechRadar Pro разрешение на его переиздание. BASDA действует посредством представительства и сотрудничества, чтобы гарантировать, что голос британской индустрии корпоративного программного обеспечения будет услышан на самых высоких уровнях правительства Великобритании, политиками и отраслевыми СМИ. Подробнее о BASDA можно прочитать здесь.