Общий регламент по защите данных предоставляет определенные права физическим лицам, известным как субъекты данных, в отношении их персональных данных. Вот эти права:
1. Право доступа. Субъекты данных имеют право запрашивать доступ к своим личным данным и получать информацию о том, как они обрабатываются.
2. Право на исправление. Субъекты данных имеют право потребовать исправления своих персональных данных, если они неточные или неполные.
3. Право на стирание. Субъекты данных имеют право потребовать удаления своих персональных данных (известно также как право на забвение). Оно применяется в определенных обстоятельствах, например когда данные больше не нужны для целей, для которых они были собраны.
4. Право на ограничение обработки. Субъекты данных имеют право требовать ограничения дальнейшей обработки своих персональных данных, например когда они оспаривают их точность.
5. Право на переносимость данных. Субъекты данных имеют право на получение своих персональных данных в структурированном, общепринятом и машиночитаемом формате, а также на их передачу другому ответственному за обработку данных (контролеру).
6. Право на возражение. Субъекты данных имеют право возражать против обработки их персональных данных, в том числе в целях прямого маркетинга.
7. Право не быть объектом автоматизированного принятия решений. Субъекты данных имеют право не исполнять решение, основанное исключительно на автоматизированной обработке, включая профилирование, которое влечет за собой юридические последствия для них или аналогичным образом существенно влияет на них.
Будучи обработчиком данных, важно понимать и соблюдать эти права, чтобы соответствовать требованиям GDPR.
Общий регламент по защите данных — это всеобъемлющее положение о конфиденциальности, которое применяется к организациям, действующим на территории Евросоюза, и к тем, кто обрабатывает персональные данные граждан ЕС. Один из ключевых элементов GDPR — требование к организациям применять технические и организационные меры для обеспечения безопасности персональных данных. Эти меры предназначены для защиты персональных данных от несанкционированных доступа, изменения, уничтожения и других форм обработки.
Для того чтобы соответствовать требованиям GDPR, организации должны оценить риски с целью выявления потенциальных угроз безопасности и уязвимостей. На основании результатов оценки они должны внедрить меры безопасности, призванные снизить эти риски. Ими могут быть шифрование, контроль доступа и планы реагирования на инциденты. Организации должны регулярно проверять и тестировать свои меры безопасности, чтобы убедиться в их эффективности.
В дополнение к техническим мерам организации должны применять организационные меры для обеспечения безопасности персональных данных. К ним могут относиться политики и процедуры обработки персональных данных, обучение сотрудников и подрядчиков, а также регулярный аудит и обзор деятельности по обработке данных.
Общий регламент по защите данных устанавливает строгие стандарты конфиденциальности и административные меры по защите персональных данных физических лиц в ЕС. Перечислим их.
• Прозрачность. Ответственные за обработку данных должны предоставлять субъектам данных четкую и ясную информацию о том, как собираются, используются и распространяются их персональные данные.
• Согласие. Контролеры должны получить явное и информированное согласие субъектов данных на обработку их персональных данных.
• Минимизация данных. Ответственные за обработку данных должны собирать и обрабатывать только те персональные данные, которые необходимы для конкретной цели.
• Точность данных. Контролеры должны принимать меры для обеспечения точности и актуальности персональных данных.
• Сохранение данных. Ответственные за обработку данных должны хранить персональные данные лишь столько, сколько необходимо для выполнения цели, для которой они были собраны.
• Безопасность данных. Контролеры должны применять технические и организационные меры для защиты персональных данных от несанкционированного доступа, изменения или уничтожения.
• Уведомление об утечке данных. Ответственные за обработку данных должны уведомлять соответствующие органы и затронутых субъектов данных в случае утечки данных.
• Наличие сотрудника по защите данных. Контролеры должны назначить ответственного за защиту данных для надзора за соблюдением GDPR.
Эти стандарты конфиденциальности и административные меры призваны обеспечить гражданам ЕС больший контроль над их личными данными и возложить на организации ответственность за то, как они их обрабатывают. Соблюдение GDPR обязательно для организаций, которые работают в ЕС или обрабатывают персональные данные граждан ЕС.
Это важный аспект обеспечения того, чтобы организации и отдельные лица понимали и соблюдали правила, установленные Общим регламентом по защите данных. Он предусматривает проведение тренингов и обучение всех сотрудников, подрядчиков и других лиц, работающих с персональными данными. Сюда входит их обучение правилам и стандартам GDPR, а также тому, как в соответствии с ними обрабатывать и защищать персональные данные. Кроме того, организации должны постоянно проводить обучение и тренинги, чтобы информировать людей о любых изменениях или обновлениях правил GDPR. Это гарантирует, что все сотрудники, подрядчики и другие лица осведомлены о своих обязанностях и обязательствах в соответствии с GDPR и способны эффективно защищать персональные данные.
Аудит и обеспечение соблюдения требований GDPR — это процесс обеспечения соблюдения организациями правил, установленных этим документом, и принятия необходимых мер в случае их несоблюдения. Сюда входят регулярный аудит для оценки соответствия организации требованиям регламента и принятие необходимых мер в случае обнаружения каких-либо несоответствий.
GDPR требует, чтобы организации назначали сотрудника по защите данных (DPO), если они являются государственными органами, осуществляют крупномасштабный систематический мониторинг или обрабатывают особо секретные персональные данные в больших масштабах. DPO отвечает за мониторинг внутреннего соответствия, предоставление консультаций и рекомендаций по соблюдению GDPR, а также консультаций по оценке воздействия на защиту данных. Соблюдение GDPR обеспечивается надзорными органами, которые являются независимыми государственными органами, отвечающими за мониторинг и обеспечение соблюдения GDPR в пределах своей юрисдикции. Они имеют право проводить расследования, аудит и инспекции, а также налагать административные штрафы и санкции на организации, которые признаны не соответствующими нормативным требованиям.
Организации должны сообщать о любых нарушениях данных в надзорный орган в течение 72 часов, после того как им стало известно о нарушении, а при определенных обстоятельствах — и пострадавшим лицам. Если организация не сообщила об утечке данных, ее могут оштрафовать на значительную сумму.
Это важный аспект соблюдения Общего регламента по защите данных. GDPR требует от организаций принимать меры для обнаружения нарушений безопасности персональных данных, сообщать об инциденте и расследовать его.
Реагирование на инцидент — это процесс выявления и локализации утечки данных, а также смягчения ее последствий. Сюда входят шаги, предпринятые для восстановления нормальной работы и предотвращения утечек в будущем. Организации должны иметь письменный план реагирования на инциденты, где описаны процедуры, которым необходимо следовать в случае утечки данных. При нарушении данных организация должна уведомить об этом соответствующий надзорный орган в течение 72 часов после произошедшего. В некоторых случаях она должна оповестить также пострадавших лиц. Организация должна вести учет всех случаев нарушения данных независимо от того, было о них сообщено в надзорный орган или нет.
Кроме того, организации должны регулярно оценивать риски для выявления уязвимостей и реализации мер по их ограничению. Это предусматривает регулярное тестирование мер реагирования на инциденты и защиты данных, например тестирование на проникновение и имитация фишинга.
В целом соответствие GDPR требует от организаций наличия надежных возможностей реагирования на инциденты, а также постоянной оценки и совершенствования мер по защите данных. Сюда входит регулярное тестирование мер реагирования на инциденты и защиты данных, например тестирование на проникновение и имитация фишинга.
Общий регламент по защите данных (GDPR) распространяется на все организации, обрабатывающие персональные данные, независимо от их местонахождения. Это касается и организаций, которые задействуют облачные сервисы для хранения или обработки персональных данных. Поэтому организации должны убедиться, что их поставщики облачных услуг (CSP) соблюдают требования GDPR.
При использовании облачных сервисов организации несут ответственность за обеспечение защиты своих данных и соблюдение CSP стандартов GDPR. Это предусматривает внедрение технических и организационных мер обеспечения конфиденциальности, целостности и доступности персональных данных. Организации также должны иметь договор со своим CSP, в котором изложены обязанности последнего по соблюдению GDPR.