Общий регламент ЕС по защите данных (GDPR) вступит в силу 25 мая этого года. На всякий случай, если вы не большой читатель (я тоже), мы решили создать эту версию «CliffsNotes», чтобы помочь вам подготовиться к предстоящему регулированию. Для тех из вас, кто все еще хочет прочитать полный текст GDPR, будет справедливо предупредить вас, что он содержит много юридического жаргона и сбивающего с толку жаргона. Чтобы помочь вам разобраться в этом, мы включили краткий глоссарий в конце этого поста, чтобы лучше понять термины и концепции, содержащиеся в нем.

GDPR - версия «CliffsNotes»

GDPR - это правовая база, которая устанавливает правила сбора и обработки личной информации физических лиц в Европейском союзе (ЕС). Он стандартизирует закон о защите данных во всех 28 странах ЕС (и странах, которые собирают данные от своих членов) и устанавливает новые строгие правила контроля и обработки информации, позволяющей установить личность. Согласно Европейской комиссии, «персональные данные - это любая информация, относящаяся к физическому лицу, независимо от того, относится ли она к его частной, профессиональной или общественной жизни. Это может быть что угодно: имя, домашний адрес, фотография, адрес электронной почты, банковские реквизиты, сообщения в социальных сетях, медицинская информация или IP-адрес компьютера ». GDPR состоит из ряда ключевых принципов, некоторые из которых описаны ниже:

Законное основание для обработки

Данные не могут быть обработаны, если для этого нет хотя бы одного законного основания:

• Субъект данных дал согласие на обработку персональных данных для одной или нескольких конкретных целей.
• Обработка необходима для выполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора.
• Обработка необходима для соблюдения юридического обязательства, которому подчиняется контролер.
• Обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица.
• Обработка необходима для выполнения задачи, выполняемой в общественных интересах или при исполнении официальных полномочий, возложенных на контролера.
• Обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, если только такие интересы не перекрываются интересами или основными правами и свободами субъекта данных, которые требуют защиты персональных данных, в частности, если данные предмет - ребенок.

Согласие

«Согласие должно быть четким и отличаться от других вопросов и должно быть предоставлено в понятной и легко доступной форме, с использованием ясного и простого языка». Это означает, что ваших клиентов нельзя заставить дать согласие или не знать, что они соглашаются на обработку своих персональных данных. Им также необходимо заранее сообщить об их праве отозвать согласие и точно знать, на что они соглашаются, давая его.

Право на доступ, переносимость данных и право на удаление

После сбора сохраните запись и убедитесь, что согласие было дано и для чего оно было дано. Вам необходимо знать (и записать), какие данные собираются, как они используются, где хранятся, у кого есть доступ к ним и как долго они нужны. Не используйте эти данные по какой-либо другой причине, кроме той, которая была указана в момент сбора.

• Право на доступ - предоставить возможность субъектам данных обновлять свою информацию или иметь процедуру для обработки запросов на обновление информации.
• Переносимость данных - возможность предоставить субъекту данных копию всех данных в едином формате
• Право на забвение - будьте готовы обрабатывать запросы субъектов данных на удаление всех данных и иметь процесс для этого в течение 30 дней.

Сообщение об утечках данных

GDPR также содержит новое требование о том, что контролер данных несет юридическое обязательство уведомлять надзорный орган (DPC) о нарушении личных данных в течение 72 часов с момента получения информации об этом, если данные не были анонимизированы или зашифрованы. Кроме того, если нарушение может причинить вред субъекту данных, о нем также необходимо сообщить затронутым лицам в течение того же периода.

Конфиденциальность по дизайну и DPIA

Компании, разрабатывающие новые системы, должны будут учитывать защиту данных при разработке бизнес-процессов для продуктов и услуг. По умолчанию настройки конфиденциальности должны быть установлены на высоком уровне, и контроллеру следует принять меры, чтобы гарантировать, что обработка данных соответствует нормативным требованиям на протяжении всего жизненного цикла продукта или услуги.

Не уверены, что ваш веб-сайт или маркетинговые инициативы будут на высоте? Мы рады обсудить вашу текущую ситуацию в чате и высказать свое мнение о том, что вам нужно соблюдать.

Глоссарий Quick GPR

Субъект данных: человек, проживающий в ЕС.

Персональные данные: любая информация, относящаяся к идентифицированному / идентифицируемому субъекту данных (имя, национальный идентификационный номер, адрес, IP-адрес и т. Д.)

Контроллер: компания или организация, которая собирает личные данные людей и принимает решения о том, что с ними делать. Пример - компания, в которой вы как маркетолог работаете

Обработчик: компания или организация, которая помогает контролеру, «обрабатывая» данные в соответствии с его инструкциями, но не решает, что с ними делать. Пример - Google через Google Analytics

Обработка данных: любая операция или набор операций, которые выполняются с персональными данными или с наборами персональных данных с помощью автоматических средств или иным образом, например, сбор, запись, организация, структурирование, хранение, адаптация или изменение, поиск, консультация, использование, раскрытие путем передачи, распространения или иного предоставления, согласования или комбинации, ограничения, стирания или уничтожения.

Сотрудник по защите данных (DPO): представитель контролера / процессора, который наблюдает за соблюдением GDPR и является экспертом по конфиденциальности данных.

Оценка воздействия на конфиденциальность данных (DPIA): документированная оценка полезности, рисков и вариантов снижения рисков для определенного типа обработки.

Надзорный орган: ранее назывался «органы по защите данных»; одно или несколько государственных органов в государстве-члене, которые контролируют соблюдение конфиденциальности данных в этой стране (например, Управление Уполномоченного по защите данных Ирландии, 18 национальных / региональных органов Германии).