Як і у більшості нормативних актів, GDPR не є чітким переліком правил, що робити, а що ні. Тому питання щодо цього часто занадто широкі, щоб вирішувати на Q / A сайті. Навколо регламенту існує багато міфів і неправильних спрощень, і ціла галузь базується на страху перед санкціями, накладеними регламентом.
Ця відповідь намагається дати практичний огляд теми. Я не юрист, але я працював навколо цієї теми майже так як він був введений, першим з збором інформації вичікувального підходом, і в даний час з ще одним практичними, на кшталт визначення пріоритетів і ітеративного підходу.
Ми не знаємо (поки що) не знаємо, як регулюватимуться положення судами, і багато компаній ще чекають, щоб дізнатися, які дії вживають інші. Оскільки помилка сервера призначена для ІТ-фахівців, ми не є юристами, які могли б тлумачити положення та його зв'язок з іншими законами. Навіть якби ми могли, питання Q / A стилів дуже довго, щоб мати всю детальну інформацію, необхідну для відповіді: відповідність GDPR - це не питання окремих дій, а ціла стратегія всередині вашої компанії. Якщо вам потрібно задати такі питання, можливо, вам доведеться найняти консультанта або навіть юриста. Однак багато хто виживе без одного.
Ви повинні створити (можливо, за допомогою юридичних порад) власну стратегію і, виходячи з цього, вирішити, які дії ви виконуєте, щоб відповідати GDPR. Коли ви намагаєтесь внести ці зміни до фактичної інформаційної системи, у вас можуть виникнути технічні проблеми щодо того, як чогось досягти. Ось тоді питання звузилося до сфери Server Server!
Для початку ви повинні знати, що таке регламент. Це в основному правова база для забезпечення ретельного оброблення персональних даних протягом усього їхнього життя - від збирання до видалення. Стаття 5 GDPR описує принципи обробки персональних даних, коротко:
- законність, справедливість та прозорість
- обмеження мети
- мінімізація даних
- точність
- обмеження зберігання
- цілісність та конфіденційність.
GDPR надає суб'єктам даних, тобто громадянам контроль за своїми персональними даними, та інструменти для забезпечення дотримання цих принципів. До них належать права на доступ до власних даних, на їх виправлення та переміщення та на видалення, тобто право на забуття (якщо жоден інший закон не вимагає його збереження). Це також дає можливість санкцій, і вашій компанії може знадобитися призначити службовця із захисту даних .
Більшість принципів уже впроваджені в національне законодавство (завдяки Директиві про захист даних 95/46 / EC), що робить зміни досить обмеженими для компаній, що знаходяться в ЄС. Компаніям, що знаходяться за межами ЄС, може бути ще трохи зробити, якщо вони обробляють персональні дані громадян ЄС.
Одне головне, що змінюється, - це підзвітність , що найкраще досягається на практиці шляхом ретельного документування ваших процедур:
- як і чому збираються персональні дані
- що робить обробку законною ( згода є лише однією умовою зі статті 6 )
- як зберігаються та обробляються дані
- хто має доступ до даних і як ви це контролюєте та ревізуєте
- чи його видаляють (автоматично / стандартна практика), коли закінчується причина зберігання
- як ви впораєтеся з пов'язаними ризиками, тобто аналіз ризику.
На мою думку, якщо ви ретельно думали над цими речами, виправляли проблеми і пом'якшували виявлені вами ризики, а потім документували все це, ви повинні бути далеко від санкцій - навіть якщо ви зазнаєте вторгнення. Існує океан можливої недбалої поведінки між вашою ситуацією та тими поведінками, які притягують до відповідальності за 20 мільйонів євро / 4% штрафів за оборот .