Контрольний список відповідності GDPR – блог IBM

Загальний регламент захисту даних (GDPR) – це закон Європейського Союзу (ЄС), який регулює, як організації збирають і використовують дані особисті дані. Будь-яка компанія, яка працює в ЄС або обробляє дані резидентів ЄС, повинна дотримуватися вимог GDPR.

Однак відповідність вимогам GDPR не обов’язково є простою справою. Закон окреслює набір конфіденційність даних права користувачів і ряд принципів обробки персональних даних. Організації повинні підтримувати ці права та принципи, але GDPR залишає певний простір для кожної компанії вирішувати, як це зробити.

Ставки високі, і GDPR накладає значні штрафи за недотримання. Найсерйозніші порушення можуть призвести до штрафів у розмірі до 20,000,000 4 XNUMX євро або XNUMX% світового обороту організації за попередній рік. Регулятори GDPR також можуть припинити незаконну діяльність з обробки даних і змусити організації внести зміни.

Контрольний список нижче охоплює основні норми GDPR. Те, як організація дотримується цих правил, залежатиме від її унікальних обставин, зокрема від типів даних, які вона збирає, і того, як вона використовує ці дані.

Основи GDPR

GDPR поширюється на будь-яку організацію, розташовану в Європейській економічній зоні (ЄЕЗ). ЄЕЗ включає всі 27 держав-членів ЄС, а також Ісландію, Ліхтенштейн і Норвегію.

GDPR також застосовується до організацій за межами ЄЕЗ, якщо:

• Компанія регулярно пропонує товари чи послуги резидентам ЄЕЗ, навіть якщо гроші не обмінюються.
• Компанія регулярно відстежує діяльність резидентів ЄЕЗ, наприклад, використовуючи файли cookie для відстеження.
• Компанія обробляє дані від імені компанії, розташованої в ЄЕЗ.

GDPR поширюється не лише на компанії, які використовують дані клієнтів у комерційних цілях. Це стосується майже будь-якої організації, яка обробляє дані резидентів ЄЕЗ для будь-яких цілей. Школи, лікарні та державні установи підпадають під дію GDPR.

Єдиною діяльністю з обробки даних, звільненою від GDPR, є діяльність у сфері національної безпеки чи правоохоронних органів і суто особисте використання даних.

Корисні визначення

GDPR використовує певну специфічну термінологію. Щоб зрозуміти вимоги відповідності, організації повинні розуміти значення цих термінів у цьому контексті.

GDPR визначає особисті дані як будь-яка інформація, що стосується ідентифікованої людини. Все, від адрес електронної пошти до політичних поглядів, вважається особистими даними.

A суб'єкт даних це людина, яка володіє даними. Іншими словами, це особа, якої стосуються дані. Скажімо, компанія збирає номери телефонів для надсилання маркетингових повідомлень через SMS. Власники цих телефонних номерів будуть суб’єктами даних.

Коли GDPR стосується суб’єктів даних, це означає суб’єктів даних, які проживають у ЄЕЗ. Суб’єкти не повинні бути громадянами ЄС, щоб мати права на конфіденційність даних відповідно до GDPR. Вони просто повинні бути резидентами ЄЕЗ.

A контролер даних це будь-яка організація, група чи особа, яка отримує персональні дані та визначає, як вони використовуються. Повертаючись до попереднього прикладу, компанія, яка збирає телефонні номери для маркетингових цілей, буде контролером. 

Обробка даних це будь-яка дія, виконана з даними, включаючи їх збір, зберігання або аналіз. А процесор даних це будь-яка організація або актор, який виконує такі дії.

Компанія може бути як контролером, так і процесором, як компанія, яка одночасно збирає номери телефонів і використовує їх для надсилання маркетингових повідомлень. Обробники також включають треті сторони, які обробляють дані від імені контролерів, як-от служба хмарного зберігання даних, яка розміщує базу даних телефонних номерів іншої компанії.

Органи контролю є регуляторними органами, які забезпечують виконання вимог GDPR. Кожна країна ЄЕЗ має власний наглядовий орган.

Ознайомтеся з рішеннями безпеки та захисту даних

Контрольний список відповідності GDPR

На високому рівні організація відповідає GDPR, якщо:

• Дотримується принципів обробки даних
• Захищає права суб’єктів даних
• Застосовує відповідні заходи безпеки даних
• Дотримується правил передачі та обміну даними

У наведеному нижче контрольному списку ці вимоги детальніше розбиваються. Практичні кроки, які організація вживає для задоволення цих вимог, залежатимуть від її місцезнаходження, ресурсів і діяльності з обробки даних, серед інших факторів.

Принципи обробки даних

GDPR створює низку принципів, яких організації повинні дотримуватися під час обробки персональних даних. Принципи такі.

Організація має законні підстави для обробки даних.

GDPR визначає обставини, за яких компанії можуть законно обробляти персональні дані. Організація повинна створити та задокументувати свою правову основу перед тим, як збирати будь-які дані. Організація повинна повідомити цю основу користувачам у точці збору даних. Він не може змінити основу після факту, якщо не має на це згоди користувача.

Можливі законні підстави включають:

• Організація має згоду суб’єкта на обробку своїх даних. Зауважте, що згода користувача є дійсною, лише якщо вона інформована, ствердна та вільно надана.
  • Інформовану згоду означає, що компанія чітко пояснює, які дані вона збирає та як вона використовуватиме ці дані.
  • Ствердна згода означає, що користувач повинен виконати певну навмисну ​​дію, щоб показати згоду, наприклад, підписати заяву або поставити прапорець. Згода не може бути параметром за умовчанням.
  • Добровільно надана згода означає, що компанія не намагається вплинути або примусити суб’єкта даних. Суб’єкт повинен мати можливість відкликати свою згоду в будь-який час.

• Організація має юридичне зобов’язання щодо обробки даних.

• Організація повинна обробляти дані, щоб захистити життя суб’єкта даних або іншої особи.

• Організація обробляє дані з міркувань суспільного інтересу, наприклад, для журналістики чи охорони здоров’я.

• Організація є державним органом, що обробляє дані для виконання офіційних функцій.

• Організація обробляє дані, щоб переслідувати законний інтерес.
  • A законний інтерес це вигода, яку контролер або інша сторона може отримати в результаті обробки даних. Приклади включають проведення перевірок співробітників або відстеження IP-адрес у корпоративній мережі для кібербезпека цілей. Щоб претендувати на підставу законного інтересу, організація повинна довести, що обробка є необхідною та не порушує права суб’єктів. 

Організація збирає дані з певною метою та використовує їх лише для цієї мети.

Відповідно до принципу обмеження мети GDPR контролери повинні мати визначену та задокументовану мету збору даних. Контролер повинен повідомити цю мету користувачам у точці збору, і він може використовувати дані лише для зазначеної мети.

Організація збирає лише мінімальну кількість необхідних даних.

Контролери можуть збирати лише мінімальний обсяг даних, необхідний для виконання заявленої мети.

Організація підтримує точність і актуальність даних.

Контролери повинні вживати розумних заходів для забезпечення точності та актуальності персональних даних, які вони зберігають. 

Організація видаляє дані, коли вони більше не потрібні.

GDPR вимагає суворої політики збереження та видалення даних. Компанії можуть зберігати дані лише до тих пір, поки не буде досягнуто визначену мету збору цих даних, і вони повинні видалити дані, коли вони їм більше не потрібні.

Організація вживає додаткових заходів обережності під час обробки даних дітей або даних спеціальної категорії.

Контролери та обробники повинні застосовувати додатковий захист певних типів персональних даних.

Спеціальна категорія дані включають дуже конфіденційні дані, такі як расова приналежність людини та біометрія. Організації можуть обробляти дані спеціальної категорії лише за дуже обмежених обставин, наприклад, щоб запобігти серйозним загрозам здоров’ю. Компанії також можуть обробляти дані спеціальної категорії за явною згодою суб’єкта.

Дані про судимість можуть контролюватися лише державними органами. Обробники можуть обробляти цю інформацію лише за вказівкою державного органу.

Контролери повинні отримати згоду батьків перед обробкою дані дітей. Вони повинні вжити розумних заходів для перевірки віку піддослідних та ідентифікації батьків. Збираючи дані від дітей, контролери повинні надавати повідомлення про конфіденційність доступною для дітей мовою.

Кожна держава ЄЕЗ встановлює власне визначення «дитини» відповідно до GDPR. Вони варіюються від «будь-кого віком до 13 років» до «будь-кого віком до 16 років». 

Організація документує всю діяльність з обробки даних.

Організації з кількістю співробітників понад 250 осіб повинні вести облік обробки даних. Організації з менш ніж 250 співробітниками повинні вести облік, якщо вони обробляють дуже конфіденційні дані, обробляють дані регулярно або обробляють дані у спосіб, який становить значний ризик для суб’єктів даних.

Контролери повинні документувати такі речі, як дані, які вони збирають, те, що вони роблять з цими даними, карти потоку даних і засоби захисту даних. Обробники повинні документувати контролери, для яких вони працюють, типи обробки, які вони виконують для кожного контролера, і засоби контролю безпеки, які вони використовують.

Контролер несе остаточну відповідальність за забезпечення відповідності. 

Відповідно до GDPR остаточна відповідальність за відповідність покладається на контролера даних. Це означає, що контролер повинен переконатися — і мати можливість довести — що його сторонні процесори відповідають усім відповідним вимогам GDPR. 

Права суб'єктів даних

GDPR надає суб’єктам даних певні права щодо їхніх даних. Контролери та обробники повинні поважати ці права.

Організація пропонує суб’єктам даних прості способи реалізації своїх прав.

Організації повинні надати суб’єктам даних прості засоби відстоювання своїх прав на свої дані. Ці права включають:

• Право доступу: Суб’єкти повинні мати можливість запитувати та отримувати копії своїх даних, а також відповідну інформацію про те, як компанія використовує дані.

• Право на виправлення: Суб'єкти повинні мати можливість виправити або оновити свої дані.

• Право на видалення: Суб’єкти повинні мати можливість вимагати видалення своїх даних. 

• Право на обмеження обробки: Суб’єкти повинні мати можливість обмежити використання своїх даних, якщо вони підозрюють, що дані є неточними, непотрібними або використовуються не за призначенням. 

• Право на заперечення: Суб’єкти повинні мати можливість заперечити проти обробки. Суб’єкти, які раніше надали свою згоду, повинні мати можливість легко відкликати її в будь-який час.

• Право на перенесення даних: Суб’єкти мають право передавати свої дані, а контролери та обробники повинні сприяти цій передачі.

Загалом організації повинні відповідати на всі запити суб’єктів даних на доступ протягом 30 днів. Компанії, як правило, повинні виконувати запит суб’єкта, якщо компанія не може довести, що у неї є законна, головна причина цього не робити.

Якщо організація відхиляє запит, вона повинна пояснити причину. Організація також повинна повідомити суб’єкту, як оскаржити рішення до уповноваженого із захисту даних компанії або відповідного наглядового органу.

Організація пропонує суб’єктам даних спосіб оскаржити автоматизовані рішення.

Відповідно до GDPR суб’єкти даних мають право не бути зв’язаними автоматизованими процесами прийняття рішень, які можуть мати на них значний вплив. Це включає в себе профілювання, яке GDPR визначає як використання автоматизації для оцінки деяких аспектів особи, наприклад прогнозування її продуктивності.

Якщо організація використовує автоматизовані рішення, вона повинна надати суб’єктам даних можливість оскаржити ці рішення. Суб’єкти також можуть попросити, щоб працівник перевірив будь-які автоматизовані рішення, які впливають на них.

Організація прозоро використовує особисті дані.

Контролери та обробники повинні проактивно та чітко інформувати суб’єктів даних про дії з обробки даних, включаючи дані, які вони збирають, що вони з ними роблять і як суб’єкти можуть використовувати свої права на дані.

Цю інформацію, як правило, потрібно передати через повідомлення про конфіденційність, надане суб’єкту під час збору даних. Якщо компанія не збирає персональні дані безпосередньо від суб’єктів, повідомлення про конфіденційність повинні бути надіслані суб’єктам протягом місяця. Компанії також можуть включати ці відомості в політику конфіденційності, яка є загальнодоступною на їхніх веб-сайтах. 

Заходи конфіденційності та захисту даних

GDPR вимагає від контролерів і обробників вживати заходів для запобігання неправомірному використанню персональних даних і захисту суб’єктів даних від шкоди.

Організація запровадила відповідні засоби контролю кібербезпеки.

Контролери та процесори повинні бути розгорнуті заходи безпеки для захисту конфіденційності та цілісності персональних даних. GDPR не вимагає жодних особливих засобів контролю, але стверджує, що компанії повинні вживати як технічні, так і організаційні заходи.

Технічні заходи включають технологічні рішення, такі як управління ідентифікацією та доступом (IAM), автоматичне резервне копіювання та засоби захисту даних. Хоча GDPR прямо не вимагає шифрування даних, він рекомендує організаціям використовувати псевдонімізацію та анонімізацію, де це можливо.

Організаційні заходи включають навчання працівників, постійне оцінки ризиків та інші політики та процеси безпеки. Компанії також повинні дотримуватися принципу захисту даних за проектом і за замовчуванням під час створення або впровадження нових систем і продуктів.

За потреби організація проводить оцінку впливу на захист даних (DPIA).

Якщо компанія планує обробляти дані у спосіб, який створює високий ризик для прав суб’єктів, вона повинна спочатку провести оцінку впливу на захист даних (DPIA). Типи обробки, які можуть ініціювати DPIA, включають, серед іншого, автоматизоване профілювання та широкомасштабну обробку спеціальних категорій персональних даних.

DPIA має описувати дані, що використовуються, заплановану обробку та мету обробки. Він повинен визначити ризики обробки та способи пом’якшення цих ризиків. Якщо існує значний незнижений ризик, організація повинна проконсультуватися з наглядовим органом, перш ніж рухатися вперед.

За потреби організація призначила спеціаліста із захисту даних (DPO).

Організація повинна призначити спеціаліста із захисту даних (DPO), якщо вона здійснює моніторинг суб’єктів у великому масштабі або обробляє дані спеціальної категорії як основну діяльність. Усі органи державної влади також повинні призначати DPO.

DPO несе відповідальність за забезпечення відповідності організації вимогам GDPR. Основні обов’язки включають координацію з органами захисту даних, консультування організації щодо вимог GDPR та нагляд за DPIA.

DPO має бути незалежною посадовою особою, яка підпорядковується безпосередньо вищому керівництву. Організація не може помститися DPO за виконання своїх обов’язків.

Організація сповіщає наглядові органи та суб’єктів даних про випадки витоку даних.

Організації повинні звітувати більшість порушення персональних даних до відповідного контролюючого органу протягом 72 годин. Якщо порушення створює ризик для суб’єктів даних, організація також повинна повідомити суб’єктів. Організації повинні сповіщати суб’єктів безпосередньо, за винятком випадків, коли пряма комунікація буде нерозумною, у цьому випадку публічне повідомлення є прийнятним.

Процесори, які зазнають порушення, повинні повідомити відповідних контролерів без зайвої затримки.

Якщо організація розташована за межами ЄЕЗ, вона призначила представника в ЄЕЗ.

Будь-яка компанія за межами ЄЕЗ, яка регулярно обробляє дані резидентів ЄЕЗ або особливо конфіденційні дані, повинна призначити представника в ЄЕЗ. Представник координує роботу з державними органами від імені компанії та діє як контактна особа з питань дотримання GDPR.

Передача та обмін даними

GDPR встановлює правила щодо того, як організації обмінюються персональними даними з іншими компаніями в межах і за межами ЄЕЗ.

Організація використовує офіційні угоди про обробку даних для регулювання відносин із обробниками.

Контролер може ділитися персональними даними з процесорами та іншими третіми сторонами, але ці відносини повинні регулюватися офіційними угодами про обробку даних. Ці угоди повинні окреслювати права та обов’язки всіх сторін щодо GDPR.

Сторонні процесори можуть обробляти дані лише відповідно до вказівок контролера. Вони не можуть використовувати дані контролера для власних цілей. Обробник повинен отримати схвалення від контролера, перш ніж надавати спільний доступ до даних субпроцесору.

Організація здійснює лише дозволені передачі даних за межі ЄЕЗ.

Контролер може ділитися даними з третьою стороною, яка знаходиться за межами ЄЕЗ, лише якщо передача даних відповідає принаймні одному з наступних критеріїв:

• Європейська комісія визнала закони про конфіденційність даних країни, де знаходиться третя сторона, адекватними.
• Європейська комісія визнала, що третя сторона має належну політику захисту даних і засоби контролю.
• Контролер вжив усіх необхідних заходів для забезпечення безпеки та конфіденційності даних, що передаються.

Ознайомтеся з рішеннями щодо відповідності GDPR

Відповідність GDPR — це безперервний процес, і вимоги організації можуть змінюватися, коли вона збирає нові дані та бере участь у нових видах обробки.

Рішення щодо безпеки даних і відповідності, як-от IBM Security® Guardium®, можуть допомогти оптимізувати процес досягнення та підтримки відповідності GDPR. Guardium може автоматично виявляти дані, регульовані GDPR, застосовувати правила дотримання цих даних, контролювати використання даних і надавати організаціям можливість реагувати на загрози безпеці даних.

Дізнайтеся більше про набір продуктів IBM для захисту даних і відповідності.