Это канонический вопрос о толковании GDPR, как обсуждалось на мета.
Хотя ошибка сервера может помочь вам, когда у вас есть конкретная проблема с реализацией чего-либо, связанного с регулированием, общие вопросы о соблюдении GDPR слишком широки, мы не юристы, которые могли бы интерпретировать юридические вопросы, и стиль Q / A не позволяет углубленное обсуждение должно было знать все детали в вашей организации, чтобы быть уверенным, что вы действительно соблюдаете требования.
У меня есть вопрос, касающийся Общего регламента защиты данных (GDPR), Регламента ЕС 2016/679.
- Как соблюдать GDPR?
- Готова ли моя организация к ВВПР?
- Должен ли я сделать X, чтобы соответствовать GDPR?
- ВВПР запрещает мне делать Y?
- Разрешено ли Z еще под GDPR?
Ответы:
Как и в большинстве нормативных актов, GDPR не является четким списком правил о том, что делать, а что нет. Поэтому вопросы относительно этого часто слишком широки, чтобы их можно было решать на сайте вопросов и ответов. Есть много мифов и неправильных упрощений вокруг регулирования, и вся отрасль основана на страхе перед санкциями, введенными регулированием.
Этот ответ пытается дать практический обзор предмета. Я не юрист, но я работал над этой темой почти с момента ее появления, сначала с помощью подхода сбора информации и ожидания , а в настоящее время с другим практическим, своего рода приоритезирующим и итеративным подходом.
Мы (пока) не знаем, как правила будут интерпретироваться судами, и многие компании все еще ждут, чтобы увидеть, какие действия предпринимают другие. Поскольку Server Fault предназначен для ИТ-специалистов, мы не являемся юристами, которые могли бы интерпретировать данное положение и его связь с другими законами. Даже если бы мы могли, вопросы стиля Q / A были бы очень длинными, чтобы иметь всю подробную информацию, необходимую для ответа: соблюдение GDPR - это не вопрос отдельных действий, а целая стратегия внутри вашей компании. Если вам нужно задать такие вопросы, вам может потребоваться нанять консультанта или даже адвоката. Многие, однако, выживут без них.
Вы должны создать (возможно, с некоторыми юридическими советами) свою собственную стратегию и, исходя из этого, решить, какие действия вы выполняете в соответствии с GDPR. Когда вы пытаетесь реализовать эти изменения в реальной информационной системе, вы можете столкнуться с техническими проблемами, связанными с тем, как чего-то достичь. Вот тогда вопрос был сужен до уровня отказа сервера!
Чтобы начать, вы должны знать, для чего предназначены правила. По сути, это правовая основа, обеспечивающая бережное обращение с личными данными в течение всего срока их существования, от сбора до удаления. В статье 5 GDPR описаны принципы обработки персональных данных, вкратце:
GDPR предоставляет субъектам данных, то есть гражданам, контроль над своими личными данными, и инструменты для обеспечения соблюдения этих принципов. К ним относятся права на доступ к своим данным, их исправление и перемещение, а также удаление, т. Е. Право быть забытым (если никакой другой закон не требует их сохранения). Это также дает возможность санкций, и вашей компании может потребоваться назначить сотрудника по защите данных .
Большинство принципов уже реализовано в национальном законодательстве (в соответствии с Директивой о защите данных 95/46 / EC), что делает изменение довольно ограниченным для компаний внутри ЕС. Компаниям за пределами ЕС может быть немного больше, если они обрабатывают личные данные граждан ЕС.
Главное, что меняется, - это подотчетность , которая лучше всего достигается на практике при тщательном документировании ваших процедур:
По моему мнению, если вы тщательно обдумывали эти вещи, исправляли проблемы и снижали риски, которые вы обнаружили, а затем документировали все это, вы должны быть далеко от санкций - даже если вы действительно подвергаетесь вторжению. Между вашей ситуацией и типом поведения будет море возможного небрежного поведения, за которое вы несете ответственность за 20 миллионов евро / 4% от оборота в виде штрафов.
источник