Можете ли вы помочь мне с моей проблемой GDPR?

Как и в большинстве нормативных актов, GDPR не является четким списком правил о том, что делать, а что нет. Поэтому вопросы относительно этого часто слишком широки, чтобы их можно было решать на сайте вопросов и ответов. Есть много мифов и неправильных упрощений вокруг регулирования, и вся отрасль основана на страхе перед санкциями, введенными регулированием.

Этот ответ пытается дать практический обзор предмета. Я не юрист, но я работал над этой темой почти с момента ее появления, сначала с помощью подхода сбора информации и ожидания, а в настоящее время с другим практическим, своего рода расстановкой приоритетов и итеративным подходом.

Мы (пока) не знаем, как правила будут интерпретироваться судами, и многие компании все еще ждут, чтобы увидеть, какие действия предпринимают другие. Поскольку Server Fault предназначен для ИТ-специалистов, мы не являемся юристами, которые могли бы интерпретировать данное регулирование и его связь с другими законами. Даже если бы мы могли, вопросы стиля Q/A были бы очень длинными, чтобы иметь всю подробную информацию, необходимую для ответа: соблюдение GDPR - это не вопрос отдельных действий, а целая стратегия внутри вашей компании. Если вам нужно задать такие вопросы, вам может потребоваться нанять консультанта или даже адвоката. Многие, однако, выживут без них.

Вы должны создать (возможно, с некоторыми юридическими советами) свою собственную стратегию и, исходя из этого, решить, какие действия вы выполняете для соблюдения GDPR. Когда вы пытаетесь реализовать эти изменения в реальной информационной системе, вы можете столкнуться с техническими проблемами, связанными с тем, как что-то должно быть достигнуто. Вот тогда вопрос был сужен до области сбоя сервера!

Чтобы начать, вы должны знать, для чего предназначены правила. По сути, это правовая основа, обеспечивающая бережное обращение с личными данными в течение всего срока их существования, от сбора до удаления. В статье 5 GDPR описаны принципы обработки персональных данных, вкратце:

• законность, справедливость и прозрачность
• ограничение цели
• минимизация данных
• точность
• ограничение хранения
• целостность и конфиденциальность.

GDPR предоставляет субъектам данных, то есть гражданам, контроль над своими личными данными и инструменты для обеспечения соблюдения этих принципов. К ним относятся права на доступ к своим данным, их исправление и перемещение, а также удаление, т. Е. Право быть забытым (если никакой другой закон не требует их сохранения). Это также дает возможность санкций, и вашей компании может потребоваться назначить сотрудника по защите данных.

Большинство принципов уже реализовано в национальном законодательстве (благодаря Директиве о защите данных 95/46 / EC), что делает изменение довольно ограниченным для компаний внутри ЕС. Компаниям за пределами ЕС может быть немного больше, если они обрабатывают личные данные граждан ЕС.

Одной из основных изменений является подотчетность, которая лучше всего достигается на практике при тщательном документировании ваших процедур:

• как и почему собираются личные данные
• что делает обработку законной (согласие является лишь одним условием из ст. 6)
• как данные хранятся и обрабатываются
• кто имеет доступ к данным и как вы контролируете и проверяете это
• удаляется ли это (автоматически / стандартная практика), когда истекает причина хранения
• как вы справляетесь с рисками, то есть анализом рисков.

По моему мнению, если вы тщательно обдумывали эти вещи, исправляли проблемы и снижали риски, которые вы обнаружили, а затем документировали все это, вы должны быть вдали от санкций - даже если вы подвергаетесь вторжению. Между вашей ситуацией и типом поведения будет море возможного небрежного поведения, за которое вы несете ответственность за 20 миллионов евро / 4% от оборота в виде штрафов.