6 ключевых принципов GDPR, которые должен знать каждый сотрудник

Если Вы задаетесь вопросом, откуда берутся все эти уведомления "мы собираем куки", эта статья для Вас. GDPR дает ответ на этот вопрос, а также объясняет, почему сайты просят Вас принять их.Итак, что такое GDPR?

 

Вступив в полную силу в мае 2018 года, Общий регламент по защите данных (GDPR) представляет собой законодательную базу, устанавливающую правила сбора и обработки персональных данных европейских граждан. Оно распространяется на все веб-сайты, привлекающие европейских посетителей, независимо от того, где они расположены и продают ли они товары или услуги жителям ЕС.

 

Защита данных и подотчетность

 

Организации, которые собирают, управляют и хранят личную информацию, должны строго придерживаться шести принципов GDPR. Руководящие принципы GDPR способствуют этической защите данных и подотчетности, чтобы расширить возможности клиентов и предприятий в наш цифровой век.

 

Новая нормативная база пересматривает Директиву о защите данных (DPD) 1995 года, поэтому большинство компаний уже имеют соответствующие политики. Однако понимание новых правил очень важно для обеспечения полного соответствия изменениям. Для этого давайте рассмотрим каждый принцип GDPR.

 

Вот наши пять принципов GDPR, которых должны придерживаться компании для обеспечения соответствия и лучшей практики.

 

1. Быть законным, справедливым и прозрачным

 

Законность означает, что у организации должны быть законные основания для сбора данных о человеке. Справедливость означает, что процесс не должен причинять вред или оказывать неприятное воздействие на человека.

 

Прозрачность сочетает в себе первые два элемента, но при этом строго оговаривает, что человек должен быть проинформирован о сборе данных и иметь возможность выбора, соглашаться ли ему на это.

 

Компания должна объяснить, зачем ей нужно обрабатывать личную информацию человека, как она будет обрабатывать эти данные, кто отвечает за их защиту и с кем она будет ими делиться. Кроме того, любая коммуникация с заинтересованным лицом должна быть легкодоступной и понятной и написана ясным и понятным языком.

 

2. Только законные цели

 

Второй принцип технически является расширением первого. Он гласит, что сборщики данных могут использовать информацию только тем способом, который они раскрыли субъекту, или по конкретной причине, которую они описали. Человек должен знать и понимать цель компании по сбору информации.

 

Если компания хочет использовать данные для другой цели, она должна получить согласие от заинтересованного лица. Например, компании, собирающие адреса электронной почты клиентов для рассылки обновлений или маркетинговых сообщений, могут использовать адреса электронной почты только для этих целей. Ни при каких обстоятельствах они не могут продавать электронные адреса своих клиентов третьим лицам или использовать их для создания учетных записей пользователей без разрешения владельца.

 

3. Минимизация собираемых данных

 

Третий принцип - это способ GDPR сказать организациям прекратить сбор ненужных им данных.

 

Компании должны получать только ту информацию, которая необходима для ведения их бизнеса. Это ограничение служит защитой от чрезмерного сбора информации.

 

Третий принцип лаконично гласит, что собираемые данные должны быть адекватными, релевантными и ограниченными необходимой информацией. Проще говоря, компании не нужно знать этническое происхождение клиента, его религиозные убеждения или дату рождения, чтобы оформить покупку обуви через Интернет.

 

В DPD персональные данные охватывают только идентифицируемую информацию, такую как имя, адрес, номер телефона, номер счета и идентификационный номер.

 

GDPR расширил эту сферу, включив в нее различные онлайновые идентификационные маркеры, такие как адреса электронной почты и IP-адреса, биометрическую информацию и изображения лиц. Еще одно значительное улучшение заключается в том, что в DPD предприятия не были обязаны сообщать о нарушении данных. Однако GDRP требует, чтобы контролеры как можно скорее сообщали о любом инциденте в соответствующие органы.

 

4. Актуальные и точные

 

Компания должна хранить только правильные и актуальные данные. Если информация устарела или неточна, компания должна немедленно удалить или исправить ее. Например, недействительному адресу электронной почты не место в системе. Кроме того, кому нужна база данных, заполненная недоставленными письмами?

 

Если у компании есть альтернативный способ связаться с человеком, ей следует обратиться к нему за обновленной информацией. Однако это применимо только в том случае, если компания поддерживает с клиентом долгосрочные отношения и регулярно использует его адрес электронной почты, например, для рассылки маркетинговых предложений.

 

Хотя компании несут полную ответственность за точность хранящихся у них данных, они не отвечают за неточную информацию, которую человек мог намеренно предоставить. Тем не менее, компании должны иметь систему, которая позволит им быстро и эффективно вносить исправления.

 

Компании должны тщательно просеивать собранную информацию и вводить только проверенные данные. Чтобы удержать людей от предоставления неточных данных, компании могут включить в свои правила и условия пункт, объясняющий важность предоставления правильной информации. Также крайне важно вести учет источников данных.

 

Четвертый принцип также охватывает право на исправление, согласно которому люди могут свободно требовать от организаций удалить или изменить любую неполную, неактуальную или вводящую в заблуждение информацию о них.

 

5. Продолжительность хранения

 

Компании не должны хранить данные, которые им больше не нужны. Личная информация должна быть удалена или уничтожена после того, как она отслужила свой срок. Другой способ избавиться от данных - анонимизировать их или изменить так, чтобы они больше ни к кому не относились.

 

Сложность заключается в том, что GDPR не указывает, как долго данные должны оставаться в системе; они должны быть ограничены строгим минимумом, что является одним из отличий защиты данных , которые необходимо учитывать.

 

Если компании решают хранить данные, они должны быть в состоянии обосновать, как долго они намерены их хранить и почему. Хранение данных необходимо для компаний, которые предлагают защиту прав потребителей или гарантии. Например, компании, предоставляющие 10-летнюю гарантию, должны хранить информацию о клиентах до тех пор, пока не возникнет претензия или не истечет срок. Суть в том, что организации не должны хранить личные данные дольше, чем это необходимо.

 

6. Конфиденциальность и целостность

 

Организации должны иметь надежные меры безопасности для защиты персональных данных от незаконной обработки, повреждения или потери. GDPR не содержит прямых указаний на то, какие именно методы должны использовать организации.

 

Тем не менее, псевдонимизация и шифрование персональных данных обязательны, когда это возможно. Отчет также рекомендует организациям иметь возможность восстанавливать доступ к информации, случайно утерянной из-за технических проблем.

 

Кроме того, компаниям следует внедрить систему регулярного тестирования и оценки эффективности мер по защите данных.

 

В случае утечки данных , согласно Статье 33 GDPR, организации должны сообщить об инциденте в соответствующий надзорный орган не позднее, чем через 72 часа после его обнаружения.