Поширені запитання щодо GDPR

Законодавство про захист даних не є чимось новим, але GDPR справді вдосконалює правила, вводить жорсткіші зобов'язання та спирається на попередні визначення захисту даних або їх змінює. Ось декілька зручних відповідей на поширені запитання.

щодо

З: Який взаємозв’язок між GDPR та Законом про захист даних Великобританії (DPA)?

A: Як Регламент ЄС, GDPR став автоматично застосовуватися у всіх державах-членах ЄС з 25 травня 2018 року.

GDPR надає державам-членам ЄС обмежені можливості вносити зміни до того, як вони застосовуватимуться в їхній країні, відомі як "відступ". Закон про захист даних Великобританії від 2018 року набуває чинності, щоб надати чіткіші пояснення організації, як застосовується GDPR до Великобританії, включаючи позицію Великобританії щодо цих відступів.

Наприклад, Великобританія встановила вік згоди дитини щодо послуг інформаційного суспільства на 13 років. Цей вік буде відрізнятися в інших державах-членах.

DPA 2018 також охоплює обробку даних, яка не підпадає під законодавство ЄС, наприклад, імміграція та національна безпека. Тому важливо, щоб GDPR та DPA 2018 читалися поряд.

З: Як змінилося визначення поняття "особисті дані" згідно з GDPR?

A: Особисті дані - це будь-яка інформація, яка стосується живої особи, яку можна ідентифікувати або можна ідентифікувати за цією інформацією. Наприклад, ім'я, адреса, номер паспорта, дані про місцезнаходження, ідентифікатор в Інтернеті та список можна продовжувати. Окрім чіткого включення контактних даних фізичних осіб, це також поширюється на наші ділові контакти, за якими нас можна ідентифікувати.

Поняття ідентифікується вимагає ретельного розгляду; чи може одна інформація та інша інформація зробити особу ідентифікуваною?

Варто зазначити, що GDPR застосовується до персональних даних, які обробляються повністю або частково автоматизованими засобами. Якби не були автоматизовані, на Положення охоплюватимуться особисті дані, які є частиною системи подання заявок (або мають бути призначені частиною системи подання).

З: Що таке дані спеціальної категорії?

A: Певні типи персональних даних вимагають вищого рівня захисту. Відповідно до попереднього ДПА 1998 року використовувався термін "конфіденційні дані". Визначення того, що зараз називають "особливими категоріями" персональних даних, було вдосконалено згідно з GDPR і охоплює виявлення персональних даних:

  • расового чи етнічного походження
  • політичні думки
  • релігійні чи філософські переконання
  • членство в профспілках
  • дані щодо здоров’я чи статевого життя
  • сексуальна орієнтація
  • генетичні дані
  • біометричні дані

Обробка такої інформації обмежена згідно з GDPR. Детальніше див. У статті 9 GDPR.

Іноді це потребує ретельного розгляду, оскільки спочатку ви можете не думати, що обробляєте дані спеціальної категорії. Варто врахувати, що деякі дієтичні вимоги можуть свідчити про релігійні вірування та різні, здавалося б, нешкідливі відомості, якщо їх поєднання може виявити сексуальну орієнтацію.

Багато людей задається питанням, чому вищезазначену інформацію отримують особливий захист, корінь цього полягає у принципах захисту прав людини та даних, що склалися в Європі після Другої світової війни. Війна, в якій людей переслідували за етнічне походження, релігійні переконання чи справді сексуальну орієнтацію.

З: Які 7 принципів захисту даних GDPR?

A: Закони про захист даних у всьому світі завжди лежали в основі основних принципів захисту даних. GDPR спеціально наголошує на вимозі до відповідальності організацій. Сім принципів:

1. Законність, справедливість та прозорість

2. Обмеження цілей - чітко повідомте про цілі, для яких ви будете використовувати персональні дані

3. Мінімізація даних - збирайте лише ті особисті дані, які вам потрібні для ваших чітких цілей

4. Точність - особисті дані не повинні бути неточними або оманливими

5. Обмеження зберігання - не зберігайте особисті дані довше, ніж це потрібно для ваших чітких цілей

6. Безпека - забезпечте відповідні заходи безпеки для захисту персональних даних

7. Підзвітність - ви повинні вміти продемонструвати свою прихильність до всього вищезазначеного.

Питання: Яка різниця між контролером даних та процесором?

A: Навколо різниці між контролером і процесором може виникнути певна плутанина, і справді ці ролі можуть бути складними для встановлення. Крім того, деякі організації можуть виступати як контролером, так і процесором для різних процесів обробки.

По суті, відмінність, яку потрібно провести, полягає в тому, що контролер визначає засоби і цілі обробки персональних даних («чому» та «як» використовувати дані) », а процесору доручається контролером обробляти персональні дані від імені контролера. Процесор не може змінити призначення або використання даних.

GDPR забезпечує баланс відповідальності, покладеної як на контролера, так і на процесора, що робить їх як солідарними, так і солідарними.

Стаття 28 GDPR передбачає, що письмові контракти між контролерами та процесорами є суворою вимогою.

З: Які права мають особи?

A: Відповідно до GDPR передбачено 8 основних прав фізичних осіб, і це:

З: Що таке запит на доступ до суб’єкта даних?

A: Право доступу, також відоме як DSAR, надає особам право отримати копію своїх персональних даних, що обробляються Контролером, а також іншу додаткову інформацію. (Див. Статтю 15). Це „Право доступу” допомагає людям зрозуміти, чому і як ви використовуєте їхні персональні дані.

Організація, яка отримала DSAR, має один календарний місяць з дати її отримання для надання інформації особі. Якщо контролер вимагає ідентифікації від особи, то дата починається після надання ідентифікації. З практичних цілей, якщо потрібна послідовна кількість днів (наприклад, для оперативних або системних цілей), може бути корисним прийняти 28-денний період, щоб забезпечити відповідність завжди протягом календарного місяця.

Запит може бути зроблений у письмовій або усній формі та може бути надісланий до будь-якої частини організації (у тому числі через соціальні мережі), і його не потрібно адресувати конкретній особі чи контактній особі. Запит не повинен містити фразу "запит на доступ до суб'єкта", якщо очевидно, що особа просить власні персональні дані.

З: Що таке "законні підстави"?

A: Відповідно до GDPR існує шість законних підстав для обробки персональних даних. Яку основу використовувати буде залежати від мети та стосунків із особою, дані якої ви хочете обробити. Важливо зазначити, що жодна основа не є „кращою” чи важливішою за іншу, і ви повинні визначити свою законну основу для кожної діяльності з обробки. Шість законних підстав для обробки:

З: Що таке порушення персональних даних?

A: Порушення персональних даних означає порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних. Сюди входять порушення, які є наслідком як випадкових, так і навмисних причин.
Важливо розрізняти інцидент даних, який може включати або не включати особисті дані, та фактичне порушення даних (що включає особисті дані).

Прикладом порушення даних може бути надсилання особистих даних неправильному одержувачу, втрата чи викрадення USB-накопичувача, мобільного телефону або ноутбука або зловмисне програмне забезпечення чи фішинг. Багато порушень даних спричинені людськими помилками, тому навчання персоналу є важливим для зменшення ризиків, не менш важливим є наявність надійних організаційних та технічних заходів безпеки.

З: Що робити, якщо трапляється порушення даних?

A: Коли стається підозра на порушення персональних даних, критично важливо встановити ймовірність та серйозність ризику для прав і свобод людей. Слід негайно вжити заходів, щоб не порушувати подальші персональні дані. Ви повинні повідомити свій наглядовий орган (у Великобританії, який є ICO) протягом 72 годин, якщо вважаєте, що порушення становить "ризик" для тих, кого це стосується.

Існує додаткова вимога повідомляти постраждалих осіб без зайвої затримки, якщо порушення представляє для них "високий ризик". Якщо ви вирішите не повідомляти про це ICO, ви повинні задокументувати це рішення, щоб ви могли обґрунтувати свою позицію пізніше, якщо це необхідно.

Детальніше про те, як повідомити про порушення даних, ви можете прочитати на веб-сайті ICO.

З: Що таке повідомлення про конфіденційність згідно з GDPR?

A: Повідомлення про конфіденційність - це публічна заява, яка описує, як ваша організація застосовує ключові принципи захисту даних при обробці персональних даних. Такі повідомлення повинні бути прозорими та написаними чітким та зрозумілим способом, доступним для людей. Також див. Керівництво ICO щодо права на інформування.

З: Якими будуть фінансові штрафи за невиконання GDPR?

A: Існують різні рівні штрафу в залежності від типу порушення, але недотримання GDPR може призвести до штрафу до максимум 20 мільйонів євро або 4% річного глобального обороту. Ці потенційні штрафи набагато вищі, ніж за попереднім законодавством.

ICO та інші європейські регуляторні органи також мають ряд коригувальних повноважень та санкцій. Вони можуть вимагати від організації припинення обробки персональних даних і можуть проводити розслідування різними способами, такими як проведення аудиту, попередження або вимагання доступу до приміщень. На додаток до цих наслідків, ви також повинні розглянути можливість пошкодження репутації організації та ціни акцій через порушення даних, яке стає загальнодоступним.

Надана інформація та думки, висловлені в цьому документі, відображають думки Мережі захисту даних. Вони не є юридичною порадою і не можуть розглядатися як такі, що пропонують вичерпні вказівки щодо Загального регламенту ЄС про захист даних (GDPR) чи інших законодавчих заходів, на які посилаються.