Contents
Новый регламент по защите персональных данных (GDPR) вводит новые требования соответствия (GDPR compliance).
Если проект собирает персональные данные, то у вас должно быть четкое представление, как и зачем это делается, кто отвечает за сбор данных, где хранятся персональные данные и т.д. Главный принцип — не собирать лишнего, надо собирайте только то, что действительно нужно.
соответствие которым можно проверить по следующему алгоритму:
Анализ собираемых данных
Цель первого этапа это определить применим ли GDPR к вашему проекту или организации. Если применим, то в какой степени. Прежде всего надо проанализировать собираемые данные, где и как они собираются. Собираются ли они с применением норм GDPR. Проводится ли соответствующее уведомление пользователя.
В GDPR понятие персональных данных определяет достаточно широко, под этот термин могут попадать любые данные, относящиеся к к идентифицированному или идентифицируемому физическому лицу. Это означает, что данные будут считаться персональными данными, если по их совокупности можно определить конкретного человека. Возможно, вы Ваш проект не собирает персональные данные и требования GDPR будут неприменимы.
Где следует искать данные:
- в базе данных клиентов или заказов
- в формах обратной связи, отзывах, заполненных клиентами
- программы лояльности, розыгрыши
- данные из электронной почты
- фотографии или видео, включая например данные видеонаблюдения отдела работы с клиентами или выдачи товара покупателям.
- данных о людских ресурсах
Чтобы понять, относится ли GDPR к Вашему проекту, важно провести учет всех данных.Если данных достаточно для определения хотя бы одного конкретного гражданина ЕС, то тогда вам необходимо соблюдать GDPR.
Если данные собираются с коммерческими целями, у предприятия должно быть четкое представление, что и зачем оно делает, кто отвечает за сбор данных, где они хранятся и т.д. Основной принцип — ничего лишнего, собирайте только то, что вам на самом деле нужно. Если предприятие предоставляет клиенту скидку, ему вряд ли нужно имя покупателя. Но если клиент получает карточку, на которой копятся баллы, то имя, фамилия и какой-то идентификатор все же нужны.
Использование персональных данных
Итак, персональные данные определены.
Данные необходимо классифицировать. Вам нужно понять, какие типы персональных данных обрабатываются вашей организацией, как ваша организация обрабатывает такие данные и для каких целей. Классификация персональных данных особенно нужна в больших и сложных проектах или в организациях с большим количеством подразделенй.
Далее следует определить кейсы и сценарии использования и обработки этих данных. Опредлите, как, когда, кем и зачем они обрабатываются. Стоит подумать над системами сбора и хранения этих данных, понять, почему они были собраны, как они обрабатываются и совместно используются, как долго они хранятся, и нет ли потенциальной утечки или уязвимости.
Возможно стоит передать часть данных на обслуживание партнерам или в облачные сервисы. Либо наоборот, надежность партнеров внушает сомнения и стоит перенести обработку данных к себе.
Проверьте, чсто сроки хранения данных по закрытым контактам, заказам или контрактам соответствуют требованиям GDPR.
Защита персональных данных
Разработайте механизмы защиты персональных данных. Возможно стоит внедрить план управления данными. План управления данными может помочь вам определить политики, роли и обязанности для доступа, управления и использования персональных данных. Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
Необходимо принятие соответствующих технических и организационных мер для защиты персональных данных :
- От потери. Например из-за отказа оборудования.
- От несанкционированного доступа. Например из-за недостаточного соблюдения требований безопасности в ИТ.
- От непреднамеренного раскрытия. Например из-за случайного произвольного доступа к персональным данным из сети Интернет. Например на старом и неподерживаемом, но работающем ресурсе. Такие случаи уже были.
Подумайте о физической защите данных. Нарпимер защищенность от кражи или изъятия оборудования.
Назначьте сотрудника по защите данных
Сотрудник по защите данных (DPO — Data Protection Officer) должен:
- отвечать за безопасность персональных данных
- разбираться с законодательной базой
- работать с обращениями пользователей
- работать с надзорными органами ЕС.
Отчетность
GDPR определяет не только права физических лиц на защиту персональных данных, правила и ограничения обрботки персональных данных, но и вводит стандарты отчетности. От вашего проекта может потребоваться прозрачность и готовность обосновывать предпринятые действия на основе ваших отчетов, логов, записей.
Согласно GDPR необходимо поддерживаете актуальной документацию, определяющую процессы и использование персональных данных.
Необходимо вести учет о:
- целях обработки;
- категориях собранных персональных данных;
- информация о третьих сторонах, которым передаются персональные данные, а также правовую основу таких переводов
- организационные и технические меры безопасности
- время хранения данных
- отчеты о создании, удалении, изменении персональных данных
- обращения физических лиц
Согласование с надзорными органами
Возможно требуется согласовать ваше решение с надзорными органами.
Передача персональных данных за пределы ЕС
Проверить законность передачи персональных данных за пределы ЕС.
Практические советы по оформлению сайта
- Проверьте публичные страницы вашего проекта. Необходимо наличие деклараций (политика конфиденциальности, политика возрастного ограничения, политика обработки платежей, политика применения куков. Также не помешает наличие декларации соответствия GDPR и политики безопасности.
- Страница регистрации. Количество зарпашиваемых данных должно быть минимальным и необходимо явное и простое согласие пользователя на обработку его данных.
- Профиль пользователя. Пользователь должен иметь возможность: изменить любые данные о себе, удалить или заблокировать аккаунт и все свои данные, либо выгрузить всю информацию о себе. Возможность дать или отозвать свое согласие на действия системы по обработке его данных