Как и в большинстве нормативных актов, GDPR не является четким списком правил о том, что делать, а что нет. Поэтому вопросы относительно этого часто слишком широки, чтобы их можно было решать на сайте вопросов и ответов. Есть много мифов и неправильных упрощений вокруг регулирования, и вся отрасль основана на страхе перед санкциями, введенными регулированием.
Этот ответ пытается дать практический обзор предмета. Я не юрист, но я работал над этой темой почти с момента ее появления, сначала с помощью подхода сбора информации и ожидания , а в настоящее время с другим практическим, своего рода приоритезирующим и итеративным подходом.
Мы (пока) не знаем, как правила будут интерпретироваться судами, и многие компании все еще ждут, чтобы увидеть, какие действия предпринимают другие. Поскольку Server Fault предназначен для ИТ-специалистов, мы не являемся юристами, которые могли бы интерпретировать данное положение и его связь с другими законами. Даже если бы мы могли, вопросы стиля Q / A были бы очень длинными, чтобы иметь всю подробную информацию, необходимую для ответа: соблюдение GDPR - это не вопрос отдельных действий, а целая стратегия внутри вашей компании. Если вам нужно задать такие вопросы, вам может потребоваться нанять консультанта или даже адвоката. Многие, однако, выживут без них.
Вы должны создать (возможно, с некоторыми юридическими советами) свою собственную стратегию и, исходя из этого, решить, какие действия вы выполняете в соответствии с GDPR. Когда вы пытаетесь реализовать эти изменения в реальной информационной системе, вы можете столкнуться с техническими проблемами, связанными с тем, как чего-то достичь. Вот тогда вопрос был сужен до уровня отказа сервера!
Чтобы начать, вы должны знать, для чего предназначены правила. По сути, это правовая основа, обеспечивающая бережное обращение с личными данными в течение всего срока их существования, от сбора до удаления. В статье 5 GDPR описаны принципы обработки персональных данных, вкратце:
- законность, справедливость и прозрачность
- ограничение цели
- минимизация данных
- точность
- ограничение хранения
- целостность и конфиденциальность.
GDPR предоставляет субъектам данных, то есть гражданам, контроль над своими личными данными, и инструменты для обеспечения соблюдения этих принципов. К ним относятся права на доступ к своим данным, их исправление и перемещение, а также удаление, т. Е. Право быть забытым (если никакой другой закон не требует их сохранения). Это также дает возможность санкций, и вашей компании может потребоваться назначить сотрудника по защите данных .
Большинство принципов уже реализовано в национальном законодательстве (в соответствии с Директивой о защите данных 95/46 / EC), что делает изменение довольно ограниченным для компаний внутри ЕС. Компаниям за пределами ЕС может быть немного больше, если они обрабатывают личные данные граждан ЕС.
Главное, что меняется, - это подотчетность , которая лучше всего достигается на практике при тщательном документировании ваших процедур:
- как и почему собираются личные данные
- что делает обработку законной ( согласие является лишь одним условием из ст. 6 )
- как данные хранятся и обрабатываются
- кто имеет доступ к данным и как вы контролируете и проверяете это
- удаляется ли это (автоматически / стандартная практика), когда истекает причина хранения
- как вы справляетесь с вовлеченными рисками, т.е.
По моему мнению, если вы тщательно обдумывали эти вещи, исправляли проблемы и снижали риски, которые вы обнаружили, а затем документировали все это, вы должны быть далеко от санкций - даже если вы действительно подвергаетесь вторжению. Между вашей ситуацией и типом поведения будет море возможного небрежного поведения, за которое вы несете ответственность за 20 миллионов евро / 4% от оборота в виде штрафов.