Top Advertising on Sys-Adm.in
2.66666666666671111111111Rating 2.67 (3 Votes)

gdpr logoИтак с 25 мая 2018 года вступает в силу регламент GDPR - General Data Protection, который распространяется на персональные данные граждан Евросоюза. Основная цель - усиление, унификация защиты, регулирование экспорта, удаления и хранения персональных данных граждан Евросоюза (ЕС). Офф сайт, который содержит все пункты регулятора, описание и т.п. - https://www.gdpr-info.eu/. Что характерно - несоответствие / нарушение GDPR участниками GDPR процессинга несет штраф в 20,000,000 евро или 4% от годового глобального дохода компании, что будет больше, то и придется платить :)

С точки зрения обывателя - это достаточно интересный регламент, так как по своему опыту знаю, что не каждый обыватель хочет, что бы к примеру после прекращения пользования услугами того или иного Web сервиса, его данные использовались для дальнейшей обработки, как например для СПАМинга рекламными акциями или просто хранились исторически для дальнейшей аналитики и т.п... По новому регламенту у обывателей (граждан, пользователей) будет намного больше контроля над использованием и хранением их персональных данных.

Меня часто спрашивают об этом регламенте, на самом деле в подробностях и деталях прям уж так глубоко не вникал в данный регламент, так как персонально с ним не работаю, но тем не менее ниже тезисно попробую разобраться и рассказать об основных его аспектах.

Кратко о правах обывателей в GDPR разрезе

Интересны два права - Право доступа (Art. 15) и Право забвения (Art. 17)
  • Право доступа - после вступления в регламента в силу, у пользователей будет возможность запросить полную копию личной информации с серверов используемого Web сервиса, причем абсолютно бесплатно. Также компания предоставляющая услуги Web сервиса обязана объяснить механизмы обработки информации, а также с какой целью она обрабатывается
  • Право забвения - пользователь может отозвать соглашение на обработку персональных данных, их дальнейшее использование, в связи с этим данные должны будут удалены компанией предоставляющей услуги. При заполнении заявления об отзыве соглашения на обработку личных данных, а также доказательстве того, что личные данные больше не нужны компании-обработчику для изначальных целей их обработки, они будут удалены. Существуют ситуации, когда обработчик сможет подать апелляцию, но она возможна только если данные обрабатываются в интересах публики, научных институтов или предназначены для исторических целей.

Что такое персональные данные?

Это все, что может хоть как то идентифицировать пользователя ресурса - имя, фамилия, адрес проживания, телефон, расовая принадлежность, политические взгляды, сексуальная ориентация, данные о месторасположении и даже IP адреса (про IP адреса в регламенте на сегодняшний день ничего конкретно не сказано, но исходя из практики полагаю, что выходной IP легко может быть причислен к персональным данным) с которых приходил пользователь ресурса и еще много чего другого... Более подробно про персональные данные все расписано на офф сайте в Art. 4 регламента GDPR

Обработка персональных данных

Про обработку расписано в разделе 5 регламента, из этого раздела можно сделать выжимку основных принципов:
  • Законность, справедливость, прозрачность - данные должны обрабатывается законно, справедливо и прозрачно по отношению к субъекту данных
  • Ограничение цели - данные должны собираться / использоваться исключительно в целях, которые заявлены компанией предоставляющей услуги Web / Онлайн сервиса
  • Минимизация данных - сбор только необходимых данных для дальнейшей обработки и не более того
  • Точность - персональные данные, которые являются неточными, должны быть удалены или исправлены
  • Ограничение хранения - персональные данные должны храниться в форме, позволяющей идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки
  • Целостность и конфиденциальность - при обработке персональных данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения
Что такое Обработка персональной информации? Это любая операция с персональными данными пользователя.

Специфичные роли / особенности регламента GDPR

Про это написано в Art. 4, но если быть кратким:
  • Data Controller - сборщик данных, который должен брать согласие от пользователя на сбор данных. Эта роль отвечает за документирование формата о том, как данные должны использоваться на протяжении всего жизненного цикла в рамках организации, поддерживать политики конфиденциальности, иметь возможность обрабатывать запросы для переноса данных, обрабатывать запросы на удаление и т.д. Обязанности, необходимые для выполнения этой роли, включают так же защиту прав субъекта данных. Примеры контроллеров - социальные организации, средства массовой информации, учебные заведений, медицинские организаций, банки, облачные сервисы, сайты где пользователи заполняют какие-либо анкетные данные и т.д.
  • Data Processor - лицо(а) (физическое, юридическое лица, любой орган ответственный за управление и хранение данными). Конкретные положения регламента требуют тех же технических и организационных мер, применяемых к процессору, как и к контроллеру. Обычно процессор, это одно лицо с контроллером, но иногда специализированная компания, работающая по контракту.

Контроллер / Процессор должны иметь официального представителя, который будет "рулить" процессами относящимися к этим ролям. Обязательно в компании должен быть CISO, Директор по защите информации, которые будут отвечать за соответствие политик компании GDPR. Обязательно этими лицами должна публиковаться информация об утечках (если таковые были) в течении 72 часов.

Очень интересен аспект в отношении несовершеннолетних лиц (лиц не достигших 16 лет) на использование ими интернет сервисов нужно обязательное соглашение родителей, уже эти аспекты стали применять WhatsApp, Instagram и т.д.

Выводы

GDPR затрагивает любой бизнес, который работает в странах Европы или с жителями ЕС, на самом деле это достаточно важный и достойный изучения регламент, так как права на обработку персональных данных, это аспект который затрагивает всех нас, даже если кто-то и не попадает под жителя ЕС, то считаю такого рода практики как минимум стоит иметь в виду :)

Добавить комментарий


Защитный код
Обновить

Сейчас 175 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз