Информация о GDPR на русском языке

Перевод GDPR здесь GDPR Русская версия

 

GDPR  (General Data Protection Regulation)

GDPR переводится как Общий/Генеральный регламент по защите персональных данных.
25 мая 2018 года во всех государствах-членах Европейского Союза был введен новый закон о защите персональных данных. То, что часто называют Общим регламентом о защите данных ЕС, на самом деле является серией директив ЕС:

История принятия GDPR

 

Основные цели GDPR

  • защита персональных данных
  • защита прав и свобод людей в защите их данных
  • ограничение перемещения персональных данных в рамках Евросоюза
  • далее

 

Основные термины

  • Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
  • Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
  • Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
  • DPO (Data Protection Officer) — сотрудник по защите персональных данных.

Полный список.

Права граждан

GDPR усиливает существующие и вводит новые права гражданам ЕС, а также  дает гражданам больше контроля над своими личными данными:

  • более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
  • право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
  • право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
  • право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.
Кроме того GDPR предоставляет простые и рабочие инструменты гражданам ЕС для реализации своих прав, упрощая механизмы обращения в надзорные органы, например, жалобы в электронном виде.

Персональные данные

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.

То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

Примеры персональных данных:

  • имя, фамилия
  • номер паспорта или ИД удостоверения
  • дата и место рождения
  • место проживания, регистрация, прописка
  • е-мейл, телефон, или другая контактная информация
  • ИП-адрес и патаметры соединения
  • дата и время посещения ресурса, история и параметры посещений, включая название браузера.

А также особо охраняемые данные:

  • раса и национальность
  • политические взгляды
  • вероисповедание
  • сексуальная ориентация
  • биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
  • данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
  • генетические данные  – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

 

 

Принципы обработки данных по GDPR

Сфера действия GDPR

Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или  юридическими лицами,  государственными органами и  другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

 

Соответствие требованиям GDPR

Чтобы проверить соответствие вашего проекта требованиям GDPR следует:

  • Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
  • Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
  • Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома.  Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
  • Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
  • Ведение необходимой отчетности, согласно положениям GDPR.

Подробнее о соответствии GDPR.

 

Несоблюдение норм GDPR

 

 

 

Утечка персональных данных

Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.