Контрольный список соответствия GDPR – блог IBM

Общий регламент по защите данных (GDPR) — это закон Европейского Союза (ЕС), который регулирует порядок сбора и использования организациями личные данные. Любая компания, работающая в ЕС или обрабатывающая данные резидентов ЕС, должна соблюдать требования GDPR.

Однако соблюдение GDPR не всегда является простым вопросом. Закон определяет набор конфиденциальность данных права пользователей и ряд принципов обработки персональных данных. Организации должны соблюдать эти права и принципы, но GDPR оставляет каждой компании право решать, как это сделать.

Ставки высоки, и GDPR предусматривает значительные штрафы за несоблюдение требований. Наиболее серьезные нарушения могут повлечь за собой штрафы в размере до 20,000,000 4 XNUMX евро или XNUMX% от мирового глобального оборота организации за предыдущий год. Регуляторы GDPR также могут прекратить незаконную деятельность по обработке данных и заставить организации внести изменения.

Контрольный список ниже охватывает основные правила GDPR. То, как организация соблюдает эти правила, будет зависеть от ее уникальных обстоятельств, включая виды данных, которые она собирает, и то, как она использует эти данные.

Основы GDPR

GDPR применяется к любой организации, расположенной в Европейской экономической зоне (ЕЭЗ). В ЕЭЗ входят все 27 стран-членов ЕС, а также Исландия, Лихтенштейн и Норвегия.

GDPR также применяется к организациям за пределами ЕЭЗ, если:

• Компания регулярно предлагает товары или услуги резидентам ЕЭЗ, даже если деньги не обмениваются.
• Компания регулярно отслеживает активность резидентов ЕЭЗ, например, с помощью файлов cookie для отслеживания.
• Компания обрабатывает данные от имени компании, расположенной в ЕЭЗ.

GDPR распространяется не только на предприятия, использующие данные клиентов в коммерческих целях. Это применимо практически к любой организации, которая обрабатывает данные резидентов ЕЭЗ для любых целей. Школы, больницы и государственные учреждения подпадают под действие GDPR.

Единственные виды деятельности по обработке данных, на которые не распространяется действие GDPR, — это деятельность по обеспечению национальной безопасности или правоохранительной деятельности, а также чисто личное использование данных.

Полезные определения

GDPR использует некоторую специфическую терминологию. Чтобы понять требования соответствия, организации должны понимать, что означают эти термины в данном контексте.

GDPR определяет личные данные как любая информация, относящаяся к идентифицируемому человеку. Все, от адресов электронной почты до политических взглядов, считается персональными данными.

A субъект данных это человек, которому принадлежат данные. Другими словами, это человек, к которому относятся данные. Предположим, компания собирает номера телефонов для отправки маркетинговых сообщений по SMS. Владельцы этих телефонных номеров будут субъектами данных.

Когда GDPR относится к субъектам данных, это означает субъектов данных, которые проживают в ЕЭЗ. Субъекты не обязательно должны быть гражданами ЕС, чтобы иметь права на конфиденциальность данных в соответствии с GDPR. Им просто нужно быть резидентами ЕЭЗ.

A контроллер данных это любая организация, группа или лицо, которое получает персональные данные и определяет, как они используются. Возвращаясь к предыдущему примеру, компания, собирающая телефонные номера в маркетинговых целях, будет контролером. 

Обработка данных любое действие, совершаемое с данными, включая их сбор, хранение или анализ. А процессор данных любая организация или действующее лицо, совершающее такие действия.

Компания может быть как контролером, так и обработчиком, например, компания, которая одновременно собирает телефонные номера и использует их для отправки маркетинговых сообщений. К процессорам также относятся третьи лица, которые обрабатывают данные от имени контролеров, например служба облачного хранения, в которой размещается база данных номеров телефонов другой компании.

Контролирующие органы — регулирующие органы, обеспечивающие соблюдение требований GDPR. Каждая страна ЕЭЗ имеет свой собственный надзорный орган.

Изучите решения по безопасности и защите данных

Контрольный список соответствия GDPR

На высоком уровне организация соответствует требованиям GDPR, если она:

• Соблюдает принципы обработки данных
• Соблюдает права субъектов данных
• Применяет соответствующие меры безопасности данных
• Соблюдает правила передачи и обмена данными.

Следующий контрольный список еще больше разбивает эти требования. Практические шаги, которые организация предпринимает для удовлетворения этих требований, будут зависеть, среди прочего, от ее местоположения, ресурсов и деятельности по обработке данных.

Принципы обработки данных

GDPR устанавливает набор принципов, которым организации должны следовать при обработке персональных данных. Принципы заключаются в следующем.

Организация имеет законные основания для обработки данных.

GDPR определяет обстоятельства, при которых компании могут законно обрабатывать персональные данные. Прежде чем собирать какие-либо данные, организация должна установить и задокументировать свою правовую основу. Организация должна сообщить эту основу пользователям в момент сбора данных. Он не может изменить основу постфактум, если у него нет на это согласия пользователя.

К возможным законным основаниям относятся:

• Организация имеет согласие субъекта на обработку его данных. Обратите внимание, что согласие пользователя действительно только в том случае, если оно информировано, утвердительно и предоставлено добровольно.
  • Информированное согласие означает, что компания четко объясняет, какие данные она собирает и как она будет использовать эти данные.
  • Утвердительное согласие означает, что пользователь должен предпринять какое-то намеренное действие, чтобы выразить свое согласие, например, подписав заявление или установив флажок. Согласие не может быть опцией по умолчанию.
  • Добровольно данное согласие означает, что компания не пытается влиять или принуждать субъекта данных. Субъект должен иметь возможность отозвать свое согласие в любое время.

• У организации есть юридическое обязательство обрабатывать данные.

• Организация должна обрабатывать данные, чтобы защитить жизнь субъекта данных или другого человека.

• Организация обрабатывает данные по соображениям общественного интереса, например, для журналистики или общественного здравоохранения.

• Организация является государственным органом, обрабатывающим данные для выполнения официальной функции.

• Организация обрабатывает данные для преследования законного интереса.
  • A законный интерес — это выгода, которую контролер или другая сторона может получить от обработки данных. Примеры включают проверку анкетных данных сотрудников или отслеживание IP-адресов в корпоративной сети для информационной безопасности целей. Чтобы заявить о наличии законного интереса, организация должна доказать, что обработка необходима и не нарушает права субъектов. 

Организация собирает данные для определенной цели и использует их только для этой цели.

В соответствии с принципом ограничения целей GDPR, контролеры должны иметь идентифицированную и документированную цель сбора данных. Контроллер должен сообщить об этой цели пользователям в точке сбора и может использовать данные только для этой названной цели.

Организация собирает только минимальный объем необходимых данных.

Контроллеры могут собирать только минимальный объем данных, необходимый для достижения заявленной цели.

Организация поддерживает точность и актуальность данных.

Контролеры должны принять разумные меры для обеспечения точности и актуальности хранящихся у них персональных данных. 

Организация удаляет данные, когда они больше не нужны.

GDPR требует строгой политики хранения и удаления данных. Компании могут хранить данные только до тех пор, пока не будет достигнута указанная цель сбора этих данных, и они должны удалить данные, как только они им больше не нужны.

Организация принимает дополнительные меры предосторожности при обработке данных детей или данных особых категорий.

Контролеры и обработчики должны применять дополнительные меры защиты к определенным типам персональных данных.

Специальная категория Данные включают в себя очень конфиденциальные данные, такие как раса человека и биометрические данные. Организации могут обрабатывать данные специальной категории только в очень ограниченных случаях, например, для предотвращения серьезных угроз общественному здоровью. Компании также могут обрабатывать данные специальной категории с явного согласия субъекта.

Данные о судимости могут контролироваться только органами государственной власти. Обработчики могут обрабатывать эту информацию только по указанию государственного органа.

Контролеры должны получить согласие родителей перед обработкой. данные детей. Они должны принять разумные меры для проверки возраста субъектов и личности родителей. При сборе данных от детей контролеры должны предоставлять уведомления о конфиденциальности на понятном для детей языке.

Каждое государство ЕЭЗ устанавливает собственное определение понятия «ребенок» в соответствии с GDPR. Они варьируются от «любого человека младше 13 лет» до «любого человека младше 16 лет». 

Организация документирует всю деятельность по обработке данных.

Организации с численностью сотрудников более 250 человек должны вести учет обработки данных. Организации со штатом менее 250 сотрудников должны вести учет, если они обрабатывают высококонфиденциальные данные, регулярно обрабатывают данные или обрабатывают данные способом, представляющим значительный риск для субъектов данных.

Контролеры должны документировать такие вещи, как данные, которые они собирают, то, что они делают с этими данными, карты потоков данных и меры защиты данных. Обработчики должны документировать контроллеры, на которых они работают, типы обработки, которую они выполняют для каждого контроллера, и используемые ими меры безопасности.

Контролер несет полную ответственность за обеспечение соблюдения требований. 

Согласно GDPR, конечная ответственность за соблюдение требований лежит на контролере данных. Это означает, что контролер должен гарантировать — и быть в состоянии доказать — что его сторонние процессоры соответствуют всем соответствующим требованиям GDPR. 

Права субъектов данных

GDPR предоставляет субъектам данных определенные права на их данные. Контроллеры и процессоры должны соблюдать эти права.

Организация предлагает субъектам данных простые способы реализовать свои права.

Организации должны предоставить субъектам данных простые средства отстаивания своих прав на свои данные. Эти права включают:

• Право доступа: Субъекты должны иметь возможность запрашивать и получать копии своих данных, а также соответствующую информацию о том, как компания использует данные.

• Право на исправление: Субъекты должны иметь возможность исправлять или обновлять свои данные.

• Право на удаление: Субъекты должны иметь возможность запросить удаление своих данных. 

• Право на ограничение обработки: Субъекты должны иметь возможность ограничить использование своих данных, если они подозревают, что данные являются неточными, больше не нужны или используются не по назначению. 

• Право на возражение: Субъекты должны иметь возможность возражать против обработки. Субъекты, ранее давшие свое согласие, должны иметь возможность легко отозвать его в любое время.

• Право на переносимость данных: Субъекты имеют право передавать свои данные, а контролеры и обработчики должны способствовать этой передаче.

Как правило, организации должны отвечать на все запросы на доступ субъектов данных в течение 30 дней. Компании, как правило, должны выполнить просьбу субъекта, если только компания не может доказать, что у нее есть законная и веская причина не делать этого.

Если организация отклоняет запрос, она должна объяснить причину. Организация также должна сообщить субъекту, как обжаловать решение уполномоченному по защите данных компании или соответствующему надзорному органу.

Организация предлагает субъектам данных возможность оспорить автоматические решения.

Согласно GDPR, субъекты данных имеют право не быть связанными автоматизированными процессами принятия решений, которые могут оказать на них существенное влияние. Сюда входит профилирование, которое GDPR определяет как использование автоматизации для оценки некоторых аспектов личности, например прогнозирования эффективности его работы.

Если организация действительно использует автоматизированные решения, она должна предоставить субъектам данных возможность оспорить эти решения. Субъекты также могут попросить сотрудника-человека просмотреть любые автоматические решения, которые на них влияют.

Организация прозрачна в отношении того, как она использует персональные данные.

Контролеры и обработчики должны заранее и четко информировать субъектов данных о деятельности по обработке данных, включая данные, которые они собирают, что они с ними делают и как субъекты могут осуществлять свои права на данные.

Эта информация обычно должна передаваться через уведомление о конфиденциальности, предоставляемое субъекту во время сбора данных. Если компания не собирает персональные данные непосредственно от субъектов, уведомления о конфиденциальности должны быть отправлены субъектам в течение месяца. Компании также могут включать эти сведения в политику конфиденциальности, которая находится в открытом доступе на их веб-сайтах. 

Меры конфиденциальности и защиты данных

GDPR требует, чтобы контролеры и обработчики принимали меры для предотвращения неправомерного использования персональных данных и защиты субъектов данных от вреда.

Организация внедрила соответствующие меры контроля кибербезопасности.

Контроллеры и процессоры должны быть развернуты Меры безопасности для защиты конфиденциальности и целостности персональных данных. GDPR не требует какого-либо особого контроля, но утверждает, что компании должны принимать как технические, так и организационные меры.

Технические меры включать в себя технологические решения, такие как управление идентификацией и доступом (IAM) платформы, автоматическое резервное копирование и инструменты защиты данных. Хотя GDPR прямо не требует шифрование данных, он рекомендует организациям использовать псевдонимизацию и анонимизацию везде, где это возможно.

Организационные меры включают обучение сотрудников, постоянное Рискованные оценки и другие политики и процессы безопасности. Компании также должны следовать принципу защиты данных по замыслу и по умолчанию при создании или внедрении новых систем и продуктов.

При необходимости организация проводит оценку воздействия на защиту данных (DPIA).

Если компания планирует обрабатывать данные способом, представляющим высокий риск для прав субъектов, она должна сначала провести оценку воздействия на защиту данных (DPIA). Типы обработки, которые могут вызвать DPIA, включают, среди прочего, автоматическое профилирование и крупномасштабную обработку особых категорий персональных данных.

DPIA должно описывать используемые данные, предполагаемую обработку и цель обработки. Он должен определить риски обработки и способы снижения этих рисков. Если существует значительный, несмягченный риск, организация должна проконсультироваться с надзорным органом, прежде чем двигаться дальше.

При необходимости организация назначила ответственного за защиту данных (DPO).

Организация должна назначить ответственного за защиту данных (DPO), если она отслеживает субъекты в больших масштабах или обрабатывает данные особой категории в качестве основной деятельности. Все государственные органы также должны назначать DPO.

DPO отвечает за обеспечение соответствия организации требованиям GDPR. Ключевые обязанности включают координацию с органами по защите данных, консультирование организации по требованиям GDPR и надзор за DPIA.

DPO должен быть независимым должностным лицом, подчиняющимся непосредственно высшему руководству. Организация не может принять ответные меры в отношении DPO за выполнение своих обязанностей.

Организация уведомляет надзорные органы и субъектов данных о случаях утечки данных.

Организации должны сообщать о большинстве утечка персональных данных в соответствующий надзорный орган в течение 72 часов. Если нарушение представляет риск для субъектов данных, организация также должна уведомить субъектов. Организации должны уведомлять субъектов напрямую, за исключением случаев, когда прямое общение было бы неразумным; в этом случае публичное уведомление приемлемо.

Обработчики, подвергшиеся нарушению, должны без неоправданной задержки уведомить соответствующих контролеров.

Если организация находится за пределами ЕЭЗ, она назначила представителя в ЕЭЗ.

Любая компания за пределами ЕЭЗ, которая регулярно обрабатывает данные резидентов ЕЭЗ или обрабатывает особо конфиденциальные данные, должна назначить представителя в ЕЭЗ. Представитель координирует свои действия с государственными органами от имени компании и выступает в качестве контактного лица по вопросам соблюдения GDPR.

Передача данных и обмен данными

GDPR устанавливает правила того, как организации делятся персональными данными с другими компаниями внутри и за пределами ЕЭЗ.

Организация использует формальные соглашения об обработке данных для регулирования отношений с обработчиками.

Контроллер может передавать персональные данные обработчикам и другим третьим лицам, но эти отношения должны регулироваться официальными соглашениями об обработке данных. Эти соглашения должны определять права и обязанности всех сторон в отношении GDPR.

Сторонние процессоры могут обрабатывать данные только в соответствии с указаниями контроллера. Они не могут использовать данные контролера в своих целях. Обработчик должен получить одобрение от контролера, прежде чем передавать данные субобработчику.

Организация осуществляет только утвержденную передачу данных за пределы ЕЭЗ.

Контроллер может передавать данные третьей стороне, находящейся за пределами ЕЭЗ, только если передача данных соответствует хотя бы одному из следующих критериев:

• Европейская комиссия сочла законы о конфиденциальности данных страны, где находится третья сторона, адекватными.
• Европейская комиссия сочла, что третья сторона имеет адекватную политику и средства контроля защиты данных.
• Контроллер предпринял все необходимые шаги для обеспечения безопасности и конфиденциальности передаваемых данных.

Ознакомьтесь с решениями по обеспечению соответствия GDPR

Соответствие GDPR — это непрерывный процесс, и требования организации могут меняться по мере того, как она собирает новые данные и участвует в новых видах обработки.

Решения по обеспечению безопасности данных и обеспечению соответствия требованиям, такие как IBM Security® Guardium®, могут помочь оптимизировать процесс достижения и поддержания соответствия GDPR. Guardium может автоматически обнаруживать данные, регулируемые GDPR, обеспечивать соблюдение правил соответствия для этих данных, отслеживать использование данных и предоставлять организациям возможность реагировать на угрозы безопасности данных.

Узнайте больше о пакете продуктов IBM для обеспечения безопасности данных и соответствия требованиям.