Содержание

Главная / ДОУ № 91 г. Липецк

 

Мы рады приветствовать Вас, дорогие родители и гости, на страницах нашего официального сайта!!!

 

 


Мы уверены, что здесь Вы найдете всю необходимую информацию о деятельности и работе нашего детского сада, сможете ознакомиться с основополагающими нормативно-правовыми документами, задать вопросы и поделиться впечатлениями, а также быть в курсе всех наших праздников и событий. 

Удобная интуитивная навигация по сайту, актуальные и полезные ссылки на образовательные (и не только) ресурсы, а также мобильная версия для смартфонов и планшетов позволят в полной мере насладиться путешествиями по страницам нашего сайта и найти всю интересующую Вас информацию.

Пускай не будет в мире войн,
Пусть не свистит над головой
Безжалостный, глухой снаряд,
Спокойным будет сон ребят.

Пусть матери не знают слез
За сыновей, что бой унес,
Родных чтоб не теряли вы.
С 9 Мая, с днем весны!

 

 

     

 

 

                                

  

 

 

 

 

 

Мы стараемся делать прямые трансляции со всех наших событий и мероприятий. Если вы не смогли посмотреть их в прямом эфире, то не переживайте, они доступны в разделе “Видеозаписи” нашей группы ВКонтакте. Присоединиться к прямым трансляциям очень легко, просто вступите в наше сообщество ВК и разрешите получать уведомления, для того что бы не пропустить самое интересное и важное.

 

   

 

 

В нашем детском саду реализуется инновационная дополнительная образовательная услуга «Познавательная робототехника. Для детей дошкольного возраста от 5 до 8 лет», направленная на знакомство с робототехникой для детей 5-8 лет. Робототехника – это увлекательная игра на базе LegoEducation WeDo 2.0, в процессе которой происходит обучение основам программирования и формируется техническое, конструкторское, исследовательское мышление, а также развиваются естественно-научные представления детей.

 

 

 

Мы уделяем большое внимание информационной открытости деятельности нашего детского сада как для родительской общественности, профессионального сообщества, так и гостей. На нашем официальном сайте работает on-line сервис “Детский сад 9.1”, в котором каждый может задать вопрос, просмотреть наши мероприятия, оставить официальное обращение, записаться на дополнительные образовательные услуги, подготовить перечень документов для зачисления и многое другое.
Сервис постоянно пополняется и совершенствуется.

 



Документы, определяющие политику в отношении обработки персональных данных

см. Приказ об утверждении локальных актов по обработке персональных данных в ДОУ

см. Правила доступа к персональным данным, обрабатываемым в информационных системах ДОУ

см. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований

см. Правила рассмотрения запросов субъектов персональных данных или их представителей

см. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом “О персональных данных”, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора

см. Правила работы с обезличенными данными в случае обезличивания персональных данных

см. Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных

см. Перечень информационных систем персональных данных

см. Перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций

см. Перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

см. Должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе

см. Типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

см. Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных

МДОУ №4 “Империя детства” – Документы, определяющие политику обработки персональных данных в ДОУ

Статистика


Онлайн всего: 1

Гостей: 1

Пользователей: 0

           Защита персональных данных – комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Федеральным законом от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации» установлены конкретные требования по обеспечению создания и ведения официального сайта образовательного учреждения в сети «Интернет», а так же требования к информационным системам в сфере образования. В соответствии с новыми установленными законом требованиями образовательное учреждение обязано разместить на своём сайте сведения: — о персональном составе педагогических работников с указанием уровня образования и квалификации; — о доступе к информационным системам и информационно-телекоммуникационным сетям. В этой связи обращаем Ваше внимание, что федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», установлены жёсткие требования к защите и обработке персональных данных. Обработка персональных данных сотрудников, воспитанников и их родителей (законных представителей) в большом объёме осуществляется в каждом дошкольном образовательном учреждении, которое, как предусмотрено федеральным законом от 27 июля 2006 г.

N 152-ФЗ «О персональных данных», обязаны принять меры по защите персональных данных. В свою очередь данные меры предусматривают, прежде всего, создание достаточно большого количества локальных нормативных актов дошкольного образовательного учреждения. Кроме того, статьёй 29 закона от 29.12.2012 г. № 273-ФЗ «Об образовании в Российской Федерации» ещё более усилены требования к информационной открытости образовательного учреждения. А статьёй 98 данного закона установлены требования к информационным системам в сфере образования, которые обязывают образовательные организации осуществлять обработку персональных данных указанных системах в строгом соответствии с законодательством.

Перечень документов:

  1. Федеральный закон “О персональных данных” /от 27 июля 2006 №152- ФЗ/
  2. Приказ об утверждении требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах./от 11 февраля 2013 № 17/
  3. Положение об организации работы с персональными данными воспитанников.
  4. Положение об организации работы с персональными данными работников.
  5. Положение о разграничении прав доступа к обрабатываемым персональным данным.
  6. Правила о порядке обработки персональных данных, осуществляющих без средств автоматизации.
  7. Правила работы с обезличенными персональными данными.
  8. Правила рассмотрения запросов субъектов персональных данных или их представителей.
  9. Правила осуществления внутреннего контроля соответствия персональных данных  требованиям к защите персональных данных.
  10. Инструкция пользователя при действиях в нештатных ситуациях.
  11. Инструкция администратора БИ при возникновении неисправностей СВТ.
  12. Инструкция администратора информационной системы персональных данных.
  13. Инструкция по уничтожению носителей персональных данных.
  14. Инструкция по организации парольной защиты .
  15. Инструкция пользователя информационных систем персональных данных.
  16. Инструкция по внесению изменений в списки пользователей и наделению их полномочий доступа к ресурсам ИСПДи.
  17. Разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
  18. Перечень сведений ограниченного доступа.
  19. Перечень подразделений и должностей, осуществляющих обработку персональных данных, уполномоченных на обработку персональных данных и несущих ответственность в соответствии с законодательством РФ.
  20. Форма дополнительного соглашения к трудовому договору.
  21. Форма согласия на обработку персональных данных.
  22. Форма согласия на обработку персональных данных родителей (законных представителей) воспитанника.
  23. Акт об уничтожении персональных данных.
  24. Порядок доступа работников в помещения, в которых ведётся обработка персональных данных.
  25. Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения.
  26. Форма журнала учёта носителей информации, содержащих персональные данные.
  27. Форма журнала учёта обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных.
  28. Форма журнала учёта передачи персональных данных.
  29. Приказ о закреплении персональных компьютеров сотрудникам МДОУ ЦРР д/с №4 “Империя детства” /№168 от 02.05.2017 г./
  30. Приказ о назначении ответственных за обеспечение безопасности и обработку персональных данных МДОУ ЦРР д/с №4 “Империя детства” /№22 от 02.09.2019 г./
  31. Приказ об утверждении списка сотрудников, допущенных к обработке персональных данных  МДОУ ЦРР д/с № 4 “Империя детства” № 24 от 02.09.2019 г.
  32. Приказ о порядке и сроках оценки служебных помещений, выделенных для хранения персональных данных МДОУ ЦРР д/с №4 “Империя детства”  /№169 от 02.05.2017 г./
  33. Приказ о защите персональных данных в  МДОУ ЦРР д/с №4 “Империя детства” /№166 от 02.05.2017 г./

 

Обратная связь

Архив записей

Главная

Детский сад у нас хорош – лучше сада не найдешь!

Волонтерское движение

В детском саду реализуется социальный проект волонтерской направленности «Дорогою добра». В рамках проекта проходят различные акции: «Добрые крышечки», «Подари бумаге вторую жизнь» и др.

Оздоровление

В детском саду оборудована и действует соляная комната с микроклиматом воссоздающим морской воздух. Для повышения физической и умственной работоспособности, иммунитета дети курсами принимают кислородный коктейль.

Физическое развитие

Физкультурные занятия, физкультминутки, утренняя гимнастика и гимнастика после сна, подвижные и спортивные игры, ритмическая гимнастика, спортивные праздники и физкультурные развлечения, дни и недели здоровья, закаливание, пешие прогулки

Ранняя профориентация

Мы является первоначальным звеном по профориентации детей на железнодорожные профессии. В ДОУ реализуется система работы по ознакомлению дошкольников с железной дорогой и профессиями железнодорожников.

Коррекция

В детском саду с 2020 года функционируют две группы компенсирующей направленности для детей с тяжелыми нарушениями речи

Экология

Дети являются активными участниками природоохранного социально-образовательного проекта «Эколята-дошколята» по формированию у детей экологической культуры и культуры природолюбия.

Доп. образование

У нас организована система дополнительного образования, которая обеспечивает переход от интересов детей к развитию их способностей. ДОУ осуществляет дополнительные платные образовательные услуги по обучению футболу, английскому языку, хореографии и др.

Муниципальное дошкольное образовательное бюджетное учреждение детский сад №128 г.Сочи

Официальные документы федерального уровня

Конституция Российской Федерации.

Конвенция о правах ребенка

Семейный кодекс РФ от 29.12.1995 N 223-ФЗ (принят ГД ФС РФ 08.12.1995).

Санитарно-эпидемиологические требования к устройству, содержанию и организации режима работы в дошкольных организациях.

  • Постановление Правительства РФ от 5.08.2013 г. N 662 «Об осуществлении мониторинга системы образования»
  • Письмо Департамента государственной политики в сфере общего образования от 18.07.2013 №08-950 «О направлении рекомендаций»
  • Приказ Минобрнауки России от 14.07.2013 №462 «Об утверждении Порядка проведения самообследования образовательной организации»

 

Официальные документы МДОУ №128 г. Сочи

 Санитарно-эпидемиологические требования к дошкольным группам, размещенным в жилых помещениях жилищного фонда

Санитарно-эпидемиологические правила и нормативы

СанПиН 2.4.1.3147-13

 

Официальные документы регионального и муниципального уровня

  • Приказ УОН от 17.05.2013 №682 «Об утверждении Положения об Экспертной комиссии по оценке результатов деятельности общеобразовательных учреждений и оценке эффективности работы их руководителей»
  • Приказ МОН КК от 02.09.2013 №5558 «Об утверждении плана мероприятий по формированию независимой системы оценки качества работы образовательных организаций Краснодарского края»
  • Приложение к приказу МОН КК от 02.09.2013 №5558 «План мероприятий по формированию независимой системы оценки качества работы образовательных организаций Краснодарского края»
  • Приказ УОН от 21.02.2014 №149 «О проведении мониторинга соответствия установленным требованиям официальных сайтов муниципальных образовательных организаций»
  • Постановление об утверждении правил размещения на официальном сайте информации о МДОУ детский сад №128

Правоустанавливающие документы

Свидетельство о государственной регистрации права


 


Финансовая деятельность

  • План финансово-хозяйственной деятельности МДОУ № 128 г. Сочи
  • документ о порядке оказания платных образовательных услуг, в том числе образец договора об оказании платных образовательных услуг, документ об утверждении стоимости обучения по каждой образовательной программе: нет
  • Документ о размере родительской платы за детский садПостановление администрации города Сочи от 08.10.2013 №2264 «Об установлении родительской платы за присмотр и уход за детьми в МОО, реализующих образовательную программу дошкольного образования»
  • общий объем финансирования, о расходах на одного ребенка и родительской плате
    в детском саду № 128

Положение АИС

МУНИЦИПАЛЬНОЕ ЗАДАНИЕ

2016 год и плановый 2017-2018гг

Отчет Мунзадание
ДОУ 128 за 2016

Порядок ведения личных дел:

Приказ об утверждения положения по формированию, ведению, хранению личных дел воспитанников и детей в МДОУ детский сад №128

  • правила внутреннего трудового распорядка    Правила внутреннего трудового распорядка МДОУ №128

  • коллективный договор:Коллективный договор 2016-2019,  Изменения и дополнения к колдоговору 2016-2019 гг

    Нормативно-правовая документация, определяющая порядок создания и ведения сайта МДОУ детский сад №128, назначение ответственных за хранение и обработка персональных данных сотрудников и воспитанников, положение о защите, хранении, обработке и передаче персональных данных работников и воспитанников:
  • О назначении ответственных за ведение сайта

    2018 год

  • 2018г приказ о назначении ответственных за инф на сайте

    Приказ от31.

    03.2017- ответственный за сайт
  • Положение о сайте МДОУ детский сад №128

  • О назначении ответственного лица за обработку персональных данных работников, детей и их родителей (законных представителей) МДОУ детский сад №128

  • положение о защите, хранении, обработке и передаче персональных данных работников и воспитанников: Положение о защите персональных данных

  • приказ — ответственный за программу Семья на ладошке

  • приказ — ответственный за программу Семья на ладошке

 

 

 

 

 

 

 

 

 

 

Письмо Департамента государственной политики в сфере общего образования от 18.07.2013 №08-950 «О направлении рекомендаций»

Постановление Правительства от 05.08.2013г №662 об осуществлении моноторинга.

Положение о комиссии по урегулированию конфликтов и споров между участниками образовательных отношений в МДОУ детский сад №128

Приказ Министерства образования и науки РФ от 14 июня 2013 Приказ от 14. 12.2017 г. 1218 О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПОРЯДОК ПРОВЕДЕНИЯ САМООБСЛЕДОВАНИЯ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ


2020 год.

Отчет о результатах самообследования 2020

2019 г.

отчет о результатах деятельности и об использовании имущества за 2019 г.

Отчет о результатах самообследования за 2019г.

128 отчет о результатах самообследования за 2018г

Отчет о результатах самообследования

Отчет о результатах деятельности и об использовании имущества за 2018 год

 

за 2016 год
отчет заведующего МДОУ по самообследованию за 16-17г
Показатели деятельности МДОУ №128 за 16-17 учеб год,

Результаты проверок

  • предписания органов, осуществляющих государственный контроль (надзор) в сфере образования, отчеты об исполнении таких предписаний:

Документы

5 (100%) 5 голосов

Защита персональных данных — Официальный сайт Детского сада №6 Ромашка г.

Геленджик

ФЗ 152 о персональных данных

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015).

 
 Приказ об утверждении политики по обработке ПД

Приказ Об утверждении Политики муниципального бюджетного дошкольного образовательного учреждения детского сада №6 «Ромашка» муниципального образования город-курорт Геленджик в отношении обработки персональных данных.

 
 Политика в отношении обработки ПД

Политика муниципального бюджетного дошкольного образовательного учреждения детского сада №6 «Ромашка» муниципального образования города-курорта Геленджик в отношении обработки персональных данных.

 
 Приказ о назначении ответственных за организацию обработки ПД

Приказ о назначении ответственных за организацию обработки персональных данных.

 
 Инструкция ответственного за организацию обработки ПД

Инструкция ответственного за организацию обработки персональных данных.

 
 Инструкция администратора ИС ПД

Инструкция администратора информационных систем персональных данных.

 

Положение о совете по обеспечению информационной безопасности воспитанников МБДОУ 

 Приказ о защите ПД

Приказ о защите персональных данных работников МБДОУ д/с №6 «Ромашка».

 
 Положение о защите ПД

Положение о защите персональных данных работников, воспитанников и их родителей (законных представителей) муниципального бюджетного дошкольного образовательного учреждения детский сад №6 «Ромашка» муниципального
образования город-курорт Геленджик.

 
 Согласие на обработку ПД

Согласие на обработку персональных данных воспитанников и их родителей (законных представителей) муниципальным бюджетным дошкольным образовательным учреждением детским садом №6 «Ромашка» муниципального 
образования город-курорт Геленджик.

 

План мероприятий по защите ПДн 

План мероприятий по защите ПД в МБДОУ д/с №6 «Ромашка» муниципального образования город-курорт Геленджик.

Документы, определяющие политику образовательного учреждения в отношении обработки персональных данных

Положение о защите  персональных данных воспитанников и их родителей (Открыть документ)

Приказ об утверждении положения об обработке и защите персональных данных (Открыть документ)

Приказ о назначении лиц, ответственных за организацию обработки персональных данных (Открыть документ)

Согласие на обработку персональных данных воспитанников и их родителей (Открыть документ)

Обязательство о неразглашении персональных данных 1 (Открыть документ)

Обязательство о неразглашении персональных данных 2 (Открыть документ)

Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (Открыть документ)

Форма согласия на обработку персональных данных (Открыть документ)

Положение о защите  персональных данных сотрудников (Открыть документ)

Лист ознакомления сотрудников, имеющих доступ к персональным данным 1 (Открыть документ)

Лист ознакомления сотрудников, имеющих доступ к персональным данным 2 (Открыть документ)

Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных (Открыть документ)

Положение о порядке доступа педагогических работников к информационно-телекоммуникационным сетям и базам данных, учебным и методическим материалам, музейным фондам. материально-техническим средствам обеспечения образовательной деятельности (Открыть документ)

Приказ  о назначении лиц, ответственных за обработку персональных данных (открыть  jpg)

Информационное письмо о внесении изменений в сведения в реестре  операторов, осуществляющих обработку персональных данных (открыть pdf)

Приказ о назначении ответственного за организацию обработки персональных данных  (открыть pdf)

Приказ об утверждении положения об обеспечении безопасности персональных данных  (открыть pdf)

Приказ об утверждении положения об организации обработки персональных данных  без использования средств автоматизации (открыть pdf)

 

Глава 11: Обязанности обработчиков – Разблокирование Общего регламента ЕС по защите данных

Выпуск Директива GDPR Удар

Определение «процессор»

В общих чертах, «обработчик» – это любое юридическое или физическое лицо (кроме сотрудника контролера), которое обрабатывает персональные данные от имени контролера.

Статья 2 (д)

Таким образом, «процессор» был определен в соответствии с Директивой как субъект, который обрабатывает персональные данные от имени контролера. Полное определение приводится в главе 5.

Статья 4 (8)

Таким образом, «процессор» – это субъект, который обрабатывает персональные данные от имени контролера. Полное определение приводится в главе 5.

Понятие «процессор» по существу не изменилось в соответствии с GDPR.Любая организация, которая была процессором в соответствии с Директивой, вероятно, продолжит оставаться процессором в соответствии с GDPR.

Назначение обработчиков

Организации, выступающие в качестве контролеров, обычно назначают поставщиков услуг для обработки персональных данных от их имени. Закон о защите данных ЕС разрешает такую ​​практику, но предъявляет определенные требования к организациям, которые желают это сделать.

Статья 17 (2) – (3)

Контролеру, желающему назначить обработчика, разрешалось привлекать только процессоров, которые гарантировали соблюдение национальных законов о защите данных на основе Директивы.Контроллеру было разрешено привлекать процессор только в соответствии с обязательным письменным соглашением, в котором говорится, что процессор:

  • должен действовать только в соответствии с инструкциями контроллера; и
  • должен обеспечивать безопасность обрабатываемых персональных данных.

Рекомендация 81; Статья 28 (1) – (3)

Контроллер, желающий назначить обработчика, должен использовать только процессоры, которые гарантируют соответствие GDPR. Контроллер должен назначить обработчика в форме обязательного письменного соглашения, в котором говорится, что обработчик должен:

  • действуют только в соответствии с задокументированными инструкциями контроллера ;
  • накладывает обязательства конфиденциальности на весь персонал, который обрабатывает соответствующие данные ;
  • должен обеспечивать безопасность обрабатываемых персональных данных;
  • соблюдать правила о назначении субпроцессоров ;
  • реализовать меры по оказанию помощи контролеру в соблюдении прав субъектов данных ;
  • помогает контроллеру получить разрешение от DPA, где это необходимо ;
  • по выбору контролера, либо вернуть, либо уничтожить личные данные в конце отношений (за исключением , как того требует закон ЕС или государства-члена) ; и
  • предоставить контроллеру всю информацию, необходимую для демонстрации соответствия GDPR .

GDPR налагает важные новые требования, которые должны быть включены во все соглашения об обработке данных. Поскольку GDPR не содержит переходных договоренностей, направленных на решение этой проблемы, это также влияет на уже существующие соглашения, и, возможно, потребуется пересмотреть их условия. Вполне вероятно, что обработчики, расположенные за пределами ЕЭЗ, будут сопротивляться введению этих новых обязательств, что потенциально затруднит организациям, действующим в качестве контролеров, законное назначение желаемых обработчиков и приведет к более сложным переговорам по соглашениям об аутсорсинге.

Заявка

Закон

ЕС о защите данных применяется во всех секторах ко всем организациям, подпадающим под действие закона. В то время как Директива, как правило, налагает прямые обязательства по соблюдению правовых норм только на контроллеров, GDPR налагает прямые обязательства по соблюдению правовых норм и на обработчиков.

Статья 4 (1)

От каждого государства-члена требовалось реализовать национальные законы о защите данных, налагающие прямые обязательства по соблюдению правовых норм для контроллеров, подпадающих под действие Директивы (в соответствии с национальным законодательством соответствующего государства-члена).

Рек.22; Статья 3 (1)

GDPR применяется к обработке персональных данных контроллером или процессором , который подпадает под действие GDPR (независимо от того, происходит ли соответствующая обработка в ЕС или нет).

Директива налагает только прямые обязательства соблюдения на контроллеров (с переработчиками, как правило, есть только договорные обязательства, а не прямые юридические обязательства). Однако GDPR налагает юридические обязательства непосредственно на контроллеры и процессоры .

Конфликты между инструкциями контроллера и применимым законодательством (ЕС)

Определяющей особенностью процессора является то, что процессор действует в соответствии с инструкциями контроллера. Однако процессор может столкнуться с противоречивыми требованиями между инструкциями контроллера и применимым законодательством, что приводит к очевидным трудностям.

НЕТ

В Директиве конкретно не рассматриваются сценарии, в которых процессор не может выполнять инструкции контроллера по юридическим причинам.

Статья 28 (3) (h)

В случае, если процессор считает, что инструкции контроллера противоречат требованиям GDPR или других законов ЕС или государств-членов, процессор должен немедленно проинформировать контроллер .

GDPR предоставляет разумное решение, требующее, чтобы процессор проинформировал контролера о том, что он не может выполнять инструкции контроллера, если эти инструкции противоречат применимому законодательству (ЕС).Затем контролер должен издать пересмотренные инструкции, которые соответствуют действующему законодательству.

GDPR не дает четких указаний о том, что должно произойти, если инструкции контролера нарушают национальные законы юрисдикции за пределами ЕС. Предположительно, это будет предметом переговоров между сторонами.

Назначение подпроцессоров

Процессоры могут назначать субпроцессоров только с разрешения контроллера.

Арт.16

Субпроцессорам разрешалось обрабатывать персональные данные только в соответствии с инструкциями контролера или требованиями применимого законодательства. Однако Директива не предусматривает четких правил назначения субпроцессоров.

Статья 28 (2), (4)

Процессор не должен назначать субпроцессора без предварительного письменного согласия контроллера . Если контролер соглашается с назначением субпроцессоров, эти субпроцессоры должны быть назначены на тех же условиях, которые изложены в контракте между контролером и обработчиком, и в любом случае в соответствии с ст.28 (1) – (2) (см. Выше).

Хотя Директива напрямую не решает этот вопрос, DPA обычно интерпретируют Директиву как требующую назначения субпроцессоров на тех же условиях, которые применяются к процессору, и при условии утверждения контролером. Следовательно, новая формулировка GDPR вряд ли будет иметь большое практическое значение.

Обязательства процессора по соблюдению конфиденциальности

Обработчики данных должны обеспечивать конфиденциальность обрабатываемых ими персональных данных.

Арт.16

Обработчики были обязаны сохранять конфиденциальность личных данных, за исключением инструкций от контроллера, если только обработчик не был обязан обрабатывать эти данные по закону.

Статья 28 (3) (b), 29

Обработчик должен обеспечить конфиденциальность любых обрабатываемых им персональных данных. Контракт между контролером и обработчиком должен требовать, чтобы обработчик обеспечивал соблюдение всеми лицами, уполномоченными обрабатывать персональные данные, соответствующими обязательствами конфиденциальности .

Статья 29 GDPR следует положениям статьи 16 Директивы. Несмотря на новые требования в отношении договорных мер защиты, в этом контексте практически нет изменений ни для контроллеров, ни для процессоров.

Соответствие инструкции контроллера

Взаимосвязь между контроллером и процессором основана на том принципе, что процессор будет обрабатывать данные только в соответствии с инструкциями контроллера.

Арт.16

Обработчикам не разрешалось обрабатывать персональные данные, кроме как в соответствии с инструкциями контролера или требованиями применимого законодательства.

Арт.29

Обработчики (и любые вспомогательные обработчики) не должны обрабатывать персональные данные, кроме как в соответствии с инструкциями контролера или требованиями законодательства ЕС или национальных законов государств-членов.

GDPR по существу сохраняет позицию, изложенную в Директиве.

Несоблюдение инструкций контроллера

Можно предвидеть, что процессор может отклониться от инструкций контроллера и начать принимать решения относительно целей и средств обработки персональных данных.

НЕТ

В Директиве конкретно не рассматривается вопрос о том, что происходит, когда процессор отклоняется от инструкций контроллера.

Статья 28 (10)

Если процессор, в нарушение GDPR, определяет цели и средства любой обработки (т. Е. Если процессор принимает свои собственные решения, а не следует инструкциям контроллера), этот процессор рассматривается как контроллер в отношении что обрабатывающая деятельность .

Организации, действующие в качестве обработчиков, должны с особой осторожностью относиться к этому положению. По сути, каждый раз, когда такая организация обрабатывает персональные данные для своих собственных целей, а не для целей контролера, эта организация становится контролером и подлежит полному соблюдению обязательств контролера в отношении этой обработки.

Записи о деятельности по переработке

В целях обеспечения соответствия закон ЕС о защите данных требует, чтобы обработчики данных обеспечивали ведение записей о своей деятельности по обработке данных и что информация в этих записях предоставляется (или доступна по запросу) DPA.

НЕТ

Директива конкретно не требует, чтобы обработчики вели записи любого рода. Почти во всех государствах-членах (кроме Ирландии) обработчики не обязаны регистрироваться в DPA.

Рек. 82; Статья 30 (2)

Каждый процессор (и его представитель, если таковой имеется) должен вести записи о своих действиях по обработке , выполненных от имени контролера , в том числе:

  • детали контроллера / процессора и любых представителей / DPO;
  • категорий выполняемых перерабатывающих мероприятий;
  • информация о трансграничной передаче данных; и
  • – общее описание мер безопасности, реализованных в отношении обрабатываемых данных.

Организации, действующие в качестве обработчиков (или их представителей), обязаны поддерживать записи о процессах обработки, чтобы предоставлять, по запросу, записанную информацию DPA. Это, вероятно, потребует от переработчиков значительных вложений в функции ведения документации.

Сотрудничество с DPA

DPA отвечают за выполнение и регулирование закона ЕС о защите данных.

НЕТ

Директива не требует от процессоров сотрудничества с DPA. Вместо этого национальное законодательство государств-членов требовало, чтобы контроллеры сотрудничали с DPA, а Директива требовала, чтобы процессоры действовали в соответствии с инструкциями этих контроллеров (см. Выше).

Арт.31

Процессоры (и их представители, если таковые имеются) обязаны по запросу сотрудничать с DPA при выполнении своих задач .

GDPR в корне меняет обязательства переработчиков в этом отношении. Принимая во внимание, что обработчики обычно не имели прямого взаимодействия с DPA в соответствии с Директивой, они обязаны взаимодействовать и помогать DPA в соответствии с GDPR.

Безопасность данных

Закон ЕС о защите данных обязывает обработчиков обеспечивать безопасность обрабатываемых ими персональных данных.

НЕТ

Директива требовала от контроллеров выполнения контрактов, обязывающих обработчиков обеспечивать безопасность любых обрабатываемых ими персональных данных.Однако Директива не налагала никаких обязательств по обеспечению безопасности данных непосредственно на обработчиков.

Статья 28 (1), (3) (e), (4), 32

Обработчики данных должны применять соответствующие технические и организационные меры безопасности для защиты личных данных от случайного или незаконного уничтожения или потери, изменения, несанкционированного раскрытия или доступа. В зависимости от характера обработки они могут включать :

  • шифрование личных данных ;
  • текущие проверки мер безопасности ;
  • резервирование и резервирование ; и
  • регулярное тестирование безопасности .

Соблюдение утвержденного Кодекса поведения (см. Главу 12) может предоставить доказательства того, что процессор выполнил эти обязательства.

Директива требовала, чтобы контроллеры по контракту налагали на процессоры требования безопасности данных. Однако GDPR налагает эти требования непосредственно на обработчиков и подвергает обработчиков штрафам, пени и искам о компенсации за невыполнение этих требований. Следовательно, уровень риска, с которым сталкиваются обработчики согласно GDPR, значительно повышается.

Сообщение об утечке данных

Одним из ключевых вопросов в обеспечении безопасности персональных данных является обеспечение того, чтобы соответствующие лица, принимающие решения, знали о любых нарушениях данных и могли соответствующим образом реагировать.

НЕТ

В Директиве ничего не говорится о проблеме сообщений о нарушениях данных обработчиками.

Статья 33 (2)

Процессоры должны без неоправданной задержки сообщать контроллеру о любых нарушениях данных .

Для переработчиков это обязательство создает дополнительную нагрузку.

Для контроллеров это обязательство обеспечивает дополнительный уровень уверенности в том, что о нарушениях данных будет надлежащим образом сообщаться.

Обязанность назначить DPO

При определенных обстоятельствах закон ЕС о защите данных требует, чтобы лицо было официально назначено на роль DPO, чтобы контролировать соблюдение требований защиты данных организацией (см. Главу 12).

НЕТ

Директива не требует, чтобы обработчики назначали DPO.

Арт.37

В той степени, в которой GDPR требует назначения DPO (см. Главу 12), это требование применяется к процессорам .

Некоторые организации, выступающие в роли обработчиков, вероятно, сочтут это обременительным требованием и расходами.

В долгосрочной перспективе назначение DPO может помочь снизить риск несоблюдения GDPR.

Ограничения на трансграничную передачу данных

Закон

ЕС о защите данных ограничивает трансграничную передачу данных, за исключением случаев, когда передача осуществляется в Адекватной юрисдикции, существует законный механизм передачи или применяется исключение или отступление (см. Главу 13).

НЕТ

Директива не затрагивает напрямую проблему трансграничной передачи данных, выполняемой процессорами (на основании того, что контроллер несет ответственность за действия процессора, процессор может действовать только по инструкциям контроллера, а контроллер подчиняется соответствующим ограничения).

Арт.44

Согласно GDPR, обязательства в отношении трансграничной передачи данных (см. Главу 13) применяются непосредственно к процессорам .

Теоретически обработчики уже должны были соблюдать правила, касающиеся трансграничной передачи данных, до даты вступления в силу GDPR (на основании инструкций, изданных соответствующим контролером). Однако на практике возможность прямой предусмотренной законом ответственности переработчиков (а также договорная ответственность переработчиков перед контроллерами) создает новую категорию риска для переработчиков, которые участвуют в таких передачах.

Ответственность обработчиков

Закон

ЕС о защите данных признает возможность того, что обработчики могут нести ответственность за нарушение своих юридических или договорных обязательств.

НЕТ

Если обработчик нарушил договор с контролером, он мог иметь договорную ответственность перед контролером. Однако обработчики не несут прямой ответственности в соответствии с Директивой, а субъекты данных не могут предъявлять претензии непосредственно обработчикам.

Рек.146; Статья 82 (1) – (2)

Субъекты данных могут предъявлять претензии непосредственно обработчикам . Однако обработчик несет ответственность за ущерб, причиненный его деятельностью по обработке, только в том случае, если он имеет:

  • не соблюдает обязательства по GDPR, которые конкретно относятся к обработчикам; или
  • действовал вне или вопреки законным инструкциям контролера.

Для переработчиков возможность прямой ответственности – это новый риск, с которым нужно бороться.

Для контроллеров тот факт, что обработчики могут нести прямую ответственность за свои собственные нарушения, может означать, что контролер (если он также не нарушает GDPR) может в некоторых случаях избежать ответственности за нарушения, совершенные его обработчиками (при условии, что контроллер не виноват).

Контрольный список соответствия GDPR для компаний США

Общий регламент ЕС по защите данных также требует от компаний за пределами Европейского Союза защищать личные данные.

Этот контрольный список соответствия GDPR содержит советы, специально предназначенные для компаний из США.

GDPR – это закон Европейского Союза о конфиденциальности данных, который требует от организаций обеспечивать безопасность данных, а также дает людям больший контроль над тем, как их данные используются. Закон также предусматривает угрозу крупных штрафов за несоблюдение, которые могут достигать 4% от общемирового дохода или 20 миллионов евро, в зависимости от серьезности и обстоятельств нарушения.

Мы уже предоставили общий контрольный список соответствия, применимый ко всем организациям.Этот контрольный список соответствия GDPR для компаний США в целом затрагивает эти вопросы, но также фокусируется на некоторых требованиях, уникальных для американских организаций. Мы рекомендуем компаниям из США рассмотреть оба списка.

Почему американские компании должны соблюдать GDPR

GDPR применяется к компаниям за пределами ЕС, поскольку он носит экстерриториальный характер. В частности, закон предназначен не столько для регулирования бизнеса, сколько для защиты прав субъектов данных. «Субъект данных» – это любое лицо в ЕС, включая граждан, жителей и даже, возможно, посетителей.

На практике это означает, что если вы собираете какие-либо личные данные людей в ЕС, вы обязаны соблюдать GDPR. Данные могут быть в форме адресов электронной почты в маркетинговом списке или IP-адресов тех, кто посещает ваш сайт. (См. Нашу статью, в которой объясняется, что считается персональными данными в соответствии с GDPR.)

Вам может быть интересно, как Европейский Союз будет обеспечивать соблюдение закона на территории, которую он не контролирует. Дело в том, что иностранные правительства постоянно помогают другим странам обеспечивать соблюдение их законов посредством договоров о взаимопомощи и других механизмов.Статья 50 GDPR решает этот вопрос напрямую. Пока возможности ЕС не проверялись, но, без сомнения, органы по защите данных изучают свои возможности в каждом конкретном случае.

Контрольный список соответствия GDPR для компаний США

  • Проведите информационный аудит личных данных ЕС

Подтвердите, что ваша организация должна соблюдать GDPR. Во-первых, определите, какие персональные данные вы обрабатываете и принадлежат ли они жителям ЕС.Если вы обрабатываете такие данные, определите, «связаны ли действия по обработке с предложением товаров или услуг таким субъектам данных, независимо от того, связаны ли они с платежом». Recital 23 может помочь вам уточнить, подпадают ли ваши действия под действие GDPR. Если вы подпадаете под действие GDPR, перейдите к следующим шагам.

  • Сообщите своим клиентам, почему вы обрабатываете их данные

Согласие – это только одна из правовых оснований, которые могут оправдать использование вами личных данных других людей.Вы можете найти другие обоснования «законности обработки» в статье 6 GDPR. Однако, если вы решите обрабатывать данные на основе согласия, это связано с дополнительными обязанностями. Наконец, статья 12 требует, чтобы вы предоставляли субъектам данных четкую и прозрачную информацию о своей деятельности. Скорее всего, это будет означать обновление вашей политики конфиденциальности.

  • Оцените свои действия по обработке данных и улучшите защиту

Оценка воздействия на защиту данных поможет вам понять риски для безопасности и конфиденциальности данных, которые вы обрабатываете, и выбрать способы снижения этих рисков.Затем начните применять методы защиты данных, такие как использование сквозного шифрования и организационных мер безопасности, чтобы ограничить вашу подверженность утечкам данных. Начиная новый проект, вы должны следовать принципу «защита данных по умолчанию и по умолчанию».

  • Убедитесь, что у вас есть соглашение об обработке данных с вашими поставщиками.

Вы, как контроллер данных, будете нести частичную ответственность перед своими сторонними клиентами, если они нарушат свои обязательства GDPR. Поэтому важно иметь соглашение об обработке данных, в котором устанавливаются права и обязанности каждой стороны. Это включает вашего поставщика электронной почты, поставщика облачного хранилища и любого другого субподрядчика, который обрабатывает личные данные. Вы можете найти образец соглашения об обработке данных здесь.

  • Назначьте сотрудника по защите данных (при необходимости)

Многие организации (особенно крупные) должны назначить сотрудника по защите данных. GDPR определяет некоторые из требований, обязанностей и характеристик этой руководящей должности.

  • Назначьте представителя в Европейском Союзе

Статья 27 определяет, какие организации, не входящие в ЕС, должны назначать представителя, базирующегося в одном из государств-членов ЕС. Подробно про 80 ​​провайдеров об этой роли.

  • Знайте, что делать в случае нарушения данных.

В статьях 33 и 34 изложены ваши обязанности в случае раскрытия личных данных в результате взлома или любого другого нарушения данных. Использование надежного шифрования может снизить вероятность наложения штрафов и уменьшить ваши обязательства по уведомлению в случае утечки данных.

  • Соблюдать законы о трансграничной передаче (если применимо)

Как и в предыдущих постановлениях ЕС о передаче персональных данных в страны, не входящие в ЕС, статья 45 GDPR сохраняет жесткие требования для организаций, желающих это сделать. Вам может потребоваться самостоятельная сертификация в рамках Privacy Shield Framework.

Следуя этим шагам, а также шагам из нашего контрольного списка соответствия GDPR, вы можете избежать проверки со стороны регулирующих органов ЕС.Информация на этом веб-сайте предоставляет множество инструментов, которые вам понадобятся, от полного текста GDPR до нескольких форм и шаблонов.

Что такое Общие правила защиты данных? Понимание и соблюдение требований GDPR в 2019 году

Узнайте об Общем регламенте защиты данных (GDPR) и требованиях соответствия в Data Protection 101, нашей серии статей об основах информационной безопасности.

Определение GDPR (Общий регламент защиты данных)

Общий регламент защиты данных (GDPR), согласованный Европейским парламентом и Советом в апреле 2016 года, заменит Директиву о защите данных 95/46 / ec весной 2018 года, как основной закон, регулирующий, как компании защищают личные данные граждан ЕС.Компании, которые уже соблюдают Директиву, должны убедиться, что они также соответствуют новым требованиям GDPR до того, как она вступит в силу 25 мая 2018 г. Компании, которые не смогут обеспечить соблюдение GDPR до указанного срока, будут подвергаться суровым штрафам и штрафы.

GDPR требования применяются к каждому государству-члену Европейского Союза с целью создания более последовательной защиты данных потребителей и личных данных в странах ЕС. Некоторые из основных требований GDPR к конфиденциальности и защите данных включают:

  • Требование согласия субъектов на обработку данных
  • Анонимизация собранных данных для защиты конфиденциальности
  • Предоставление уведомлений о нарушении данных
  • Безопасная обработка передачи данных через границы
  • Требование к определенным компаниям назначить сотрудника по защите данных для надзора за соблюдением GDPR.

Проще говоря, GDPR устанавливает базовый набор стандартов для компаний, которые обрабатывают данные граждан ЕС, чтобы лучше защищать обработку и перемещение персональных данных граждан.

Кто подчиняется GDPR?

Цель GDPR – ввести единый закон о безопасности данных для всех членов ЕС, чтобы каждому государству-члену больше не нужно было писать свои собственные законы о защите данных, и законы, согласованные во всем ЕС. Помимо членов ЕС, важно отметить, что любая компания, которая продает товары или услуги резидентам ЕС, независимо от ее местонахождения, подлежит регулированию. В результате GDPR повлияет на требования к защите данных во всем мире.

Требования Общего регламента по защите данных 2018

Сам GDPR содержит 11 глав и 91 статью. Ниже приведены некоторые главы и статьи, которые имеют наибольшее потенциальное влияние на операции по обеспечению безопасности:

  • Статьи 17 и 18 – Статьи 17 и 18 GDPR предоставляют субъектам данных больший контроль над личными данными, которые обрабатываются автоматически. В результате субъекты данных могут более легко передавать свои личные данные между поставщиками услуг (также называемое «право на переносимость»), и они могут указывать контроллеру стереть их личные данные при определенных обстоятельствах (также называемое «правом на стирание»). ).
  • Статьи 23 и 30 – Статьи 23 и 30 требуют, чтобы компании применяли разумные меры защиты данных для защиты личных данных и конфиденциальности потребителей от потери или разглашения.
  • Статьи 31 и 32 – Уведомления об утечке данных играют большую роль в тексте GDPR. В статье 31 определены требования к единичным нарушениям данных: контролеры должны уведомить контролирующие органы (SA) о нарушении личных данных в течение 72 часов с момента обнаружения нарушения и должны предоставить конкретные детали нарушения, такие как характер и приблизительное количество нарушений. затронутые субъекты данных.Статья 32 требует, чтобы контроллеры данных как можно быстрее уведомляли субъектов данных о нарушениях, когда нарушения подвергают их права и свободы высокому риску.
  • Статьи 33 и 33a – Статьи 33 и 33a требуют от компаний проведения оценок воздействия на защиту данных для выявления рисков для данных потребителей и обзоров соответствия требованиям защиты данных, чтобы гарантировать устранение этих рисков.
  • Статья 35 – Статья 35 требует, чтобы определенные компании назначали сотрудников по защите данных.В частности, любая компания, обрабатывающая данные, раскрывающие генетические данные субъекта, его состояние здоровья, расовое или этническое происхождение, религиозные убеждения и т. Д., Должна назначить сотрудника по защите данных; эти сотрудники служат для консультирования компаний по вопросам соблюдения нормативных требований и выступают в качестве контактных лиц с SA. Некоторые компании могут подпадать под действие этого аспекта GDPR просто потому, что они собирают личную информацию о своих сотрудниках в рамках процессов управления персоналом.
  • Статьи 36 и 37 – Статьи 36 и 37 определяют должность сотрудника по защите данных и его обязанности по обеспечению соответствия GDPR, а также отчетности перед надзорными органами и субъектами данных.
  • Статья 45 – Статья 45 распространяет требования о защите данных на международные компании, которые собирают или обрабатывают персональные данные граждан ЕС, подвергая их тем же требованиям и штрафам, что и компании, расположенные в ЕС.
  • Статья 79 – В статье 79 излагаются штрафы за несоблюдение GDPR, которые могут составлять до 4% от глобального годового дохода компании-нарушителя в зависимости от характера нарушения.

Обеспечение соблюдения GDPR и штрафы за несоблюдение

По сравнению с прежней Директивой о защите данных GDPR увеличил штрафы за несоблюдение.SA имеют больше полномочий, чем в предыдущем законодательстве, потому что GDPR устанавливает стандарт в ЕС для всех компаний, которые обрабатывают личные данные граждан ЕС. SA обладают полномочиями по расследованию и исправлению ситуации и могут выдавать предупреждения о несоблюдении, проводить аудит для обеспечения соответствия, требовать от компаний внесения определенных улучшений в установленные сроки, отдавать приказ об удалении данных и блокировать передачу данных компаниями в другие страны. Контроллеры и обработчики данных подчиняются полномочиям и штрафам SA.

GDPR также позволяет SA устанавливать более крупные штрафы, чем Директива о защите данных; штрафы определяются в зависимости от обстоятельств каждого дела, и SA может выбрать, применять ли свои корректирующие полномочия со штрафами или без них. Для компаний, которые не соблюдают определенные требования GDPR, штрафы могут составлять до 2% или 4% от общего глобального годового оборота или 10 или 20 млн евро, в зависимости от того, что больше.

GDPR распространяется на всех, кто работает с европейскими гражданами

Помимо членов ЕС, важно отметить, что любая компания, которая продает товары или услуги резидентам ЕС, независимо от ее местонахождения, подлежит регулированию.Соблюдая требования GDPR, компании смогут избежать дорогостоящих штрафов, улучшив при этом защиту данных клиентов и доверие к ним.

Теперь, когда это положение о конфиденциальности вступило в силу, веб-сайты, которые не соблюдают его, будут недоступны в европейских странах. Наиболее заметными среди временно заблокированных сайтов были Chicago Tribune и LA Times. Если сайт вашей организации собирает какие-либо регулируемые данные от европейских пользователей, он должен соответствовать GDPR.

Примут ли США законы о конфиденциальности данных?

Повышенное внимание общественности и политиков привлекло внимание к конфиденциальности данных в США.На данный момент нет федерального законодательства о конфиденциальности данных. Однако дискуссии по этой теме все активнее. Разговор приобрел громкий характер после слушаний в Конгрессе основателя Facebook Марка Цукерберга. Многие штаты приняли собственные законы, наиболее заметным из которых на сегодняшний день является Закон штата Калифорния о конфиденциальности потребителей.

Согласно отчету Ovum, около двух третей компаний в США могут переосмыслить свою стратегию в Европе в результате GDPR.Однако, поскольку компании ожидают ужесточения правил конфиденциальности данных в Соединенных Штатах, некоторые понимают, что, возможно, пришло время внедрить более строгие меры защиты данных во всех сферах.

Лучшие практики GDPR: важный закон ЕС о защите данных

Все организации, от малых до крупных, должны знать все требования GDPR и быть готовы их соблюдать в будущем. Для многих из этих компаний первым шагом к соблюдению GDPR является назначение сотрудника по защите данных, который будет создавать программу защиты данных в соответствии с требованиями GDPR.После выполнения требований важно быть в курсе изменений в законах и методах правоприменения. У BBC есть тематическая страница GDPR, на которой освещаются текущие новости по вопросам правоприменения и другим темам.

Шаги по обеспечению соответствия GDPR

1. Физически прочитать GDPR

Хотя есть разделы, которые сложно расшифровать и содержат больше юридических формулировок, каждый человек, на которого распространяется GDPR, должен попытаться прочитать и понять это знаковое законодательство.

2. Обратитесь к другим организациям

GDPR затрагивает бизнес по всему миру, а не только в Европейском Союзе. Если вы или сотрудники вашей организации по-прежнему не понимаете, какие шаги необходимы для достижения соответствия, обратитесь к тем, кто соблюдает требования. Многие компании, вероятно, поделятся шагами, предпринятыми для достижения соответствия.

3. Обращайте пристальное внимание на свой веб-сайт

Файлы cookie, подписки, хранение данных и многое другое – это то, что можно легко настроить на веб-сайте.Другое дело, что они соблюдают GDPR. Несмотря на то, что многие инструменты, используемые для сбора и хранения контактных данных, допускают соблюдение требований, вы должны убедиться, что соблюдаете их.

4. Обращайте больше внимания на свои данные

Все данные в вашей организации должны соответствовать GDPR, если вы присутствуете (в цифровом или физическом виде) в ЕС. Правильно определите, как данные поступают, хранятся и / или передаются и удаляются. Знание каждого пути, по которому может идти личная информация, имеет жизненно важное значение для предотвращения нарушений и обеспечения надлежащей отчетности в случае потери данных.

Дополнительные ресурсы по соответствию GDPR

Теги: Data Protection 101, GDPR, Compliance

Контроль и обработка персональных данных

Введение

Общие правила защиты данных (GDPR) вступили в силу в ЕС 25 мая 2018.

Данные Закон о защите 2018 г., который был подписан 24 мая 2018 г., дал дополнительные влияние на GDPR в областях, где государства-члены обладают гибкостью (например, цифровой возраст согласия).

GDPR очень значительно увеличивает обязательства и ответственность для организаций и предприятий в том, как они собирают, используют и защищают личные данные. Организации и предприятия должны быть полностью прозрачными в отношении как они используют и защищают личные данные, и чтобы иметь возможность продемонстрировать ответственность за свою деятельность по обработке данных.

Определения защиты данных

Согласно GDPR, персональные данные – это данные, которые относятся или могут идентифицировать человека отдельно или вместе с другими доступными Информация. Персональные данные могут включать ваше имя, адрес, контактные данные, идентификационный номер, IP-адрес, кадры видеонаблюдения, карты доступа / теги, аудиовизуальные или аудиозаписи данных о человеке и местоположении.

Субъект данных – это физическое лицо, к которому относятся личные данные. Вы можете прочитать о правах субъектов данных в нашем документе Доступ к вашему личные данные в соответствии с GDPR.

Любые действия с вашими личными данными, в том числе их хранение, известны как обработка .

Известна организация или предприятие, которые решают, что делать с вашими данными. как контроллер . Однако эта организация может разрешить другому лицу или юридическое лицо для обработки ваших личных данных от своего имени. Человек, который обрабатывает информация от имени контроллера данных известна как процессор .

В этом документе изложены обязанности контроллеров и обработчиков данных. согласно GDPR.

Обязательства по защите данных

Обязанность законной обработки персональных данных

Организации могут использовать или хранить личные данные только там, где есть законные причина. GDPR устанавливает шесть стандартных законных причин, которые могут быть использованы организация:

  • Вы дали свое свободное и осознанное согласие.
  • Обработка необходима для выполнения контракта, стороной которого вы являетесь. к, например, доставка товара
  • Обработка необходима контроллеру для соблюдения обязательство, такое как обязательный сбор данных для защиты от денег отмывание доходов или налогообложение
  • Обработка необходима для защиты ваших жизненно важных интересов или жизненно важных интерес другого лица, например, доступ к медицинским записям в экстренная помощь
  • Обработка необходима для выполнения задачи, выполняемой в общественные интересы или когда контролер имеет официальные полномочия, такие как обработка общественной безопасности
  • Обработка необходима в законных интересах обработки организации, если это не противоречит вашим правам, например, чтобы предотвратить мошенничество

Вы должны получить достаточно информации простым и понятным языком, чтобы знать что организация собирается делать с вашими личными данными. Это часто можно найти в политиках конфиденциальности на веб-сайтах или в формах, которые вы можете прочитать или войти в систему человек.

Обязательство по разработке и эксплуатации соответствующих систем обработки

GDPR ввел концепцию защиты данных по дизайну и защита данных по умолчанию .

Защита данных с помощью дизайна означает, что меры защиты данных должны быть включены когда любая система проектируется контроллером. В результате шансы уменьшаются непреднамеренные нарушения законодательства о защите данных.

Защита данных по умолчанию означает, что системы должны быть настроены как данные дружественная защита. Это должно означать, что единственные необходимые персональные данные собраны, хранятся в течение минимально необходимого периода и что лицо автоматически не включается в какую-либо ненужную обработку.

Контроллеры

могут подать заявку на сертификацию в Ирландии в Службу защиты данных. Комиссия, которая продемонстрирует, что их процессы разработаны с учетом с Положением.

Обязанность использовать процессоры, отвечающие требованиям законодательство

Если обработка должна выполняться процессором, а не контроллером, контроллер должен использовать только те процессоры, которые гарантируют, что их системы обработки соответствуют требованиям Положения.

Примеры его характера обработчиков включают зарплатные компании, бухгалтеров и компании по исследованию рынка, каждая из которых может хранить или обрабатывать личные информация от имени другого лица. Облачные провайдеры есть также обычно обработчики данных.

Контроллер должен иметь договор с обработчиком, определяющий объем обработки, требуемой контролером, и обязательств обработчика в соответствии с Регламентом. Процессор не может передать эту обработку другому обработчик без согласия контролера и аналогичный договор, согласованный с тот второй процессор.

Процессоры должны соблюдать любой соответствующий кодекс поведения, который может быть подготовлен. Комиссией по защите данных. Процессоры также могут получить сертификацию демонстрируя свое соответствие Регламенту.

Обязанность вести учет

Согласно GDPR, любой контролер, в котором работает более 250 сотрудников, или который обрабатывает конфиденциальную информацию, должен вести учет обработки деятельность под его ответственность.

Эта запись должна состоять из:

  • Название и контактные данные контролера
  • Цели обработки
  • Описание категорий субъектов данных и персональных данных
  • Категории получателей данных
  • Любая передача данных в третьи страны и данные этой страны гарантии
  • Срок стирания данных
  • Описание действующих мер защиты данных

Процессоры должны вести аналогичные записи.Эти записи могут быть проверены Комиссия по защите данных по запросу.

Обязательство по обеспечению безопасности данных

Контроллеры и обработчики обязаны обеспечивать безопасность личных данных. Они также должны гарантировать, что любые сотрудники не имеют доступа к каким-либо данным и не обрабатывают их. если они не обязаны это делать. Согласно GDPR, контроллеры и процессоры должны рассмотреть возможность внедрения современных мер безопасности, соответствующих рискам участвует в их деятельности. Например, риск может возникнуть из-за случайного или незаконное уничтожение хранимых данных или несанкционированное раскрытие, доступ или изменение.

Меры безопасности могут включать анонимизацию или шифрование данных и восстановление или резервное копирование сохраненных данных. Контроллеры и процессоры должны регулярно проверять и оценивать меры безопасности, а также учитывать данные безопасность при утилизации оборудования.

Обязанность сообщать о нарушениях данных

Согласно GDPR, контролер должен уведомить Комиссию по защите данных о безотлагательное нарушение личных данных, если такое нарушение может привести к риск для прав и свобод субъекта данных. Уведомление должно быть сделал. самое позднее, в течение 72 часов после того, как диспетчер узнает о нарушение. Обработчики данных должны уведомить соответствующие контроллеры, если процессор становится известно о нарушении. Затем контролер должен уведомить субъекта данных без задержки.

Контроллер также должен незамедлительно уведомить субъекта данных в ясной и простым языком, если утечка данных может привести к высокому риску права и свободы субъекта данных. Пример ситуации повышенного риска будет там, где украдены ваши банковские реквизиты.

Обязанность проводить оценку воздействия на защиту данных

Согласно GDPR, когда контролер намеревается выполнить обработку с высоким риском, они должны сначала провести оценку воздействия на защиту данных (DPIA). Данные Комиссия по защите опубликовала список операций по обработке данных, которые требуется DPIA.

Эти процессы включают обработку с использованием новых технологий, профилирование и автоматизированная обработка принятия решений, обработка большого количества конфиденциальных личные данные или систематический мониторинг общедоступной области.

Оценка воздействия на защиту данных должна включать:

  • Описание обработки и назначения
  • Оценка необходимости обработки
  • Оценка рисков для прав и свобод данных предметы
  • Меры по устранению рисков

Контроллер может проконсультироваться с Комиссией по защите данных, которая может дать совет контролеру. Комиссия по защите данных опубликовала подробное руководство для диспетчеров о том, как и когда проводить DPIA.

Контроллер должен провести проверку после начала обработки убедитесь, что это выполняется в соответствии с оценкой воздействия данных, которая была выполненный.

Контроллер также должен получить совет по защите данных. офицер.

Обязанность назначать сотрудников по защите данных (DPO)

Согласно GDPR, сотрудники по защите данных должны назначаться контролерами. и процессоры, основная деятельность которых заключается в обработке, требующей регулярный и систематический мониторинг субъектов данных в крупном масштабе или особые категории персональных данных или данных, касающихся судимости и правонарушения.

Сотрудники по защите данных:

  • Должен быть назначен на основании профессиональных качеств и, в в частности, экспертные знания в области законодательства и практики защиты данных
  • Может быть штатным сотрудником или сторонним поставщиком услуг
  • Необходимо предоставить контактные данные Комиссии по защите данных
  • Должны быть обеспечены соответствующими ресурсами для выполнения своих задач и поддерживать свои экспертные знания
  • Должны подчиняться непосредственно высшему руководству в своих организация
  • Запрещается выполнять какие-либо другие задачи, которые могут привести к конфликту проценты

DPO должны участвовать во всех вопросах защиты данных и иметь ресурсы для выполнения своих задач.

Вы можете связаться с DPO организации по любым вопросам, касающимся вашего личные данные, хранящиеся в этой организации.

Задачи DPO:

  • Проинформировать и проконсультировать свою организацию по вопросам защиты данных обязательства
  • Следить за соблюдением своей организацией GDPR и любых национальных законодательство о защите данных
  • Консультации по оценке и мониторингу воздействия на защиту данных производительность
  • Связь с надзорным органом

Комиссия по защите данных опубликовала подробное руководство о соответствующей квалификации для DPO.

Обязательство соблюдать нормы поведения и сертификации

Ассоциации и другие органы, представляющие контроллеров и процессоров, могут подготовить свод правил, в которых будет указано, каким должен быть GDPR. применяемый. Эти органы должны представить свои проекты кодексов поведения в Данных. Комиссия по охране на согласование.

В целях повышения прозрачности и соблюдения настоящего Регламента GDPR представит механизмы сертификации и знаки защиты данных, позволяя субъектам данных быстро оценить уровень защиты данных соответствующие продукты и услуги.Список сертифицированных организаций будет общедоступный.

Кодексы поведения

и утвержденные механизмы сертификации также помогут контролеры при выявлении рисков, связанных с их типом обработки и в соблюдении передовой практики.

Соблюдение утвержденного кодекса поведения или утвержденной сертификации механизм может использоваться как элемент для демонстрации соответствия обязательства контролера или процессора в соответствии с GDPR.

Обязательства, связанные с передачей данных за пределы ЕС

Любая передача личных данных за пределы ЕС или в международную организация будет строго регулироваться GDPR.Регламент также применяется к любой последующей передаче персональных данных из одного государства, не являющегося членом ЕС, в Другой.

Такая передача личных данных может иметь место, если европейские Комиссия решила, что государство, не являющееся членом ЕС, или деловой сектор в пределах в этой стране действует адекватный уровень защиты данных. Решая, если есть адекватная защита, Комиссия рассмотрит законы этой страны, уважение прав человека, наличие какого-либо органа по защите данных и международные обязательства, взятые страной в отношении персональных данных.После принятия решения о том, имеет ли страна или сектор адекватная защита данных, Комиссия продолжит наблюдение за этой страной с точки зрения ее данных. методы защиты.

Комиссия публикует список всех таких одобренных стран, секторов и международные организации.

Передача личных данных в Великобританию временно разрешена для Великобритании после окончания переходного периода Brexit на основании того, что Великобритания не вносит никаких изменений в действующее законодательство о защите данных.В Европейская комиссия в настоящее время изучает, являются ли гарантии Великобритании достаточно похожи на GDPR, чтобы обеспечить соответствие решение.

Если контроллер или процессор хочет передать данные в неутверждено страна, сектор или международная организация, которая контроллер или процессор должны обеспечивать соответствующие меры безопасности и гарантировать, что любые субъекты данных по-прежнему смогут осуществлять свои права.

Надзор и контроль

Независимые надзорные органы

Согласно GDPR, каждое государство-член ЕС должно иметь один или несколько независимых государственные органы, ответственные за мониторинг применения Регулирование.В Ирландии таким надзорным органом является Служба защиты данных. Комиссия.

Комиссия по защите данных:

  • Контролирует и обеспечивает выполнение GDPR
  • Повышает осведомленность общественности о правилах и правах в отношении данных обработка
  • Консультирует правительство по вопросам защиты данных
  • Повышает осведомленность контроллеров и процессоров о своих обязательства
  • Предоставляет физическим лицам информацию об их защите данных. права
  • Поддерживает список операций обработки, требующих защиты данных оценка воздействия
  • Рассматривает жалобы и проводит расследования, связанные с соблюдением Закон о защите данных

Комиссия по защите данных имеет право приказать любому контролеру или процессор для предоставления информации, которая требуется органу для оценки соблюдение Регламента.Может проводить расследования в отношении контроллеров. и процессоры в форме аудита данных, включая доступ к помещениям контроллер или процессор. Он может приказать контроллеру или процессору заменить их процессы соответствуют запросам субъектов данных. Защита данных Комиссия также может выдавать предупреждения контроллерам и процессорам и может запретить обработки, а также начать судебное разбирательство против контролера или процессор.

Организации, занимающиеся трансграничной обработкой персональных данных может иметь дело с одним ведущим надзорным органом, одним stop shop (OSS) для большей части своей обработки.

Европейский совет по защите данных

GDPR ввел новый европейский надзорный орган по защите данных. Европейские данные Совет по защите (EDPB) отвечает за соблюдение GDPR. последовательно по всему Европейскому Союзу. Будет выпущено руководство и рекомендации по применению Положения. Он также посоветует Комиссия ЕС о применении Регламента и любых обновлениях, которые могут быть обязательный.

EDPB состоит из главы одного надзорного органа каждого члена государство и европейский надзорный орган по защите данных или их представители.

Пенальти

Штрафы применяются как к контроллерам, так и к процессорам, которые нарушают Регулирование. Существуют разные наказания, в зависимости от серьезности нарушение.

Серьезные нарушения

На самые серьезные нарушения (например, не имея достаточного согласие клиента на обработку данных или намеренное нарушение основных принципов конфиденциальности концепции) организации могут быть оштрафованы до 4% от их годового глобального оборота или 20 миллионов евро, в зависимости от того, что больше.

Мелкие нарушения

Согласно GDPR, организации, нарушившие Регламент, могут быть оштрафованы на сумму до 2% от их годового глобального оборота или 10 миллионов евро, в зависимости от того, что больше, для меньшие нарушения. Некоторые примеры меньших нарушений включают: отсутствие записей для того, чтобы не уведомлять надзорный орган и субъект данных о нарушение или непроведение оценки воздействия.

Дополнительная информация

Есть более подробная информация о GDPR по защите данных.т.е.

Комиссия по защите данных

21 Fitzwilliam Square South,
Дублин 2,
D02 RD28
Ирландия

Часы работы: 09:15 – 17:30 Пн – Чт, 09: 15-17: 15 Пятница

Тел . : +353 57 868 4800 / +353 0761 104800

Учебный материал GDPR – запрос о свободе информации в офис Уполномоченного по информации

Спасибо, что обратились в офис комиссара по информации.Мы подтверждаем
, что мы получили вашу корреспонденцию.

Если вы сделали запрос на информацию, проводимую ICO, мы свяжемся с
вы как можно скорее, если нам потребуется дополнительная информация, которая позволит нам
ответьте на ваш запрос. Если нам не нужна дополнительная информация, мы
ответит вам в рамках наших опубликованных и установленных законом уровней обслуживания. Для
больше информации, пожалуйста, посетите [1] http://ico.org.uk/about_us/how_we_comply

.

Если вы подняли вопрос о новых правах на информацию – мы постараемся отправить вам
– первоначальный ответ и справочный номер дела в течение 30 дней.

Если вас беспокоит то, как организация обращается с вашими
личная информация, мы обычно не будем ее изучать, если у вас нет
первым поднял его вместе с организацией. Для получения дополнительной информации, пожалуйста, посетите наш
веб-страница, “сообщение о проблеме с организацией” (перейдите на нашу домашнюю страницу и
по ссылке «для общественности»).Вы также можете позвонить по указанному ниже номеру.

Если вы обратились за консультацией – мы постараемся ответить в течение 14 дней.

Если ваша переписка относится к существующему делу – мы добавим ее в
ваше дело и рассмотрите его при передаче к ответственному за дело.

Копия корреспонденции – мы не отвечаем на отправленную корреспонденцию.
скопировал нам.

Для получения дополнительной информации о наших услугах, пожалуйста, посетите нашу веб-страницу «Сервис Стандарты
и чего ожидать »(перейдите на нашу домашнюю страницу и перейдите по ссылкам для
«Сообщите о проблеме» и «Стандарты обслуживания и чего ожидать»).Ты можешь
также позвоните по указанному ниже номеру.

Если есть что-то, что вы хотели бы обсудить с нами, позвоните в наш
телефон доверия 0303123 1113.

С уважением

Офис Уполномоченного по информации

Наш информационный бюллетень

Подробную информацию о том, как подписаться на нашу ежемесячную электронную новостную рассылку, можно найти по адресу
[2] http: //www.ico.org.uk/tools_and_resource …

Твиттер

Найдите нас в Twitter по адресу [3] http: // www.twitter.com/ICOnews

Миссия ICO – защищать права на информацию в общественных интересах.
Чтобы узнать больше о нашей работе, посетите наш сайт или подпишитесь на
наш электронный информационный бюллетень по адресу ico.org.uk/newsletter.

Если вы не являетесь предполагаемым получателем этого электронного письма (и любого вложения),
, пожалуйста, сообщите отправителю по электронной почте и уничтожьте все копии без
переходят к третьим лицам.

Если вы хотите, чтобы мы общались с вами особым образом, позвольте
нам известно, или для получения дополнительной информации о том, что следует учитывать, когда
общаясь с нами по электронной почте, посетите ico. org.uk/email

Список литературы

Видимые ссылки
1. http://ico.org.uk/about_us/how_we_comply
2. http://www.ico.org.uk/tools_and_resource …
3. http://www.twitter.com/ICOnews

Что такое GDPR? Все, что вам нужно знать о новых общих правилах защиты данных

Что означает GDPR?

GDPR – это общий регламент по защите данных. Это основа европейского законодательства о конфиденциальности в области цифровых технологий.

Как это произошло?

В январе 2012 года Европейская комиссия изложила планы реформы защиты данных во всем Европейском союзе, чтобы сделать Европу «пригодной для цифровой эпохи». Почти четыре года спустя было достигнуто соглашение о том, в чем дело и как это будет реализовано.

SEE: Данные моей украденной кредитной карты были использованы на расстоянии 4500 миль. Я попытался выяснить, как это произошло (обложка PDF) (TechRepublic)

Одним из ключевых компонентов реформ является введение Общего регламента защиты данных (GDPR). Эта новая структура ЕС применяется к организациям во всех государствах-членах и имеет значение для предприятий и частных лиц по всей Европе и за ее пределами.

«Цифровое будущее Европы можно построить только на доверии. При наличии твердых общих стандартов защиты данных люди могут быть уверены, что они контролируют свою личную информацию», – сказал Андрус Ансип, вице-президент по Единому цифровому рынку. говоря, когда реформы были согласованы в декабре 2015 года.

Что такое GDPR?

По своей сути GDPR – это новый набор правил, призванный предоставить гражданам ЕС больший контроль над своими личными данными.Он направлен на упрощение нормативной среды для бизнеса, чтобы как граждане, так и бизнес в Европейском союзе могли в полной мере воспользоваться преимуществами цифровой экономики.

Реформы призваны отразить мир, в котором мы живем сейчас, и вводят законы и обязательства, в том числе касающиеся личных данных, конфиденциальности и согласия, по всей Европе в соответствии с требованиями эпохи подключения к Интернету.

По сути, почти каждый аспект нашей жизни вращается вокруг данных. От компаний, работающих в социальных сетях, до банков, розничных продавцов и правительств – почти все услуги, которые мы используем, включают сбор и анализ наших личных данных.Ваше имя, адрес, номер кредитной карты и многое другое – все это собирается, анализируется и, что, возможно, наиболее важно, хранится организациями.

Что такое GDPR?

Нарушение данных неизбежно. Информация теряется, крадется или иным образом передается в руки людей, которые никогда не собирались ее видеть – и эти люди часто имеют злой умысел.

Согласно условиям GDPR, организации не только должны гарантировать, что личные данные собираются на законных основаниях и на строгих условиях, но и те, кто собирает и обрабатывает их, обязаны защищать их от неправомерного использования и эксплуатации, а также уважать права владельцев данных – или понесут штрафы за невыполнение этого требования.

На кого распространяется GDPR?

GDPR применяется к любой организации, действующей в ЕС, а также к любым организациям за пределами ЕС, которые предлагают товары или услуги клиентам или предприятиям в ЕС. В конечном итоге это означает, что почти каждой крупной корпорации в мире нужна стратегия соблюдения GDPR.

Законодательство применяет два различных типа обработчиков данных: «процессоры» и «контроллеры». Определения каждого из них изложены в статье 4 Общего регламента по защите данных.

SEE: Соответствует GDPR? Вот удобный контрольный список из пяти этапов подготовки.

Контроллер – это «лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки личных данных», а обработчик – это «лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера». Например, если вы подпадаете под действие Закона Великобритании о защите данных, вам, вероятно, также потребуется соответствовать GDPR.

«Вы несете значительно большую юридическую ответственность, если несете ответственность за нарушение. Эти обязательства для процессоров являются новым требованием в соответствии с GDPR», – сообщает Управление уполномоченных по информации Великобритании, орган, ответственный за регистрацию контроллеров данных, принимая меры в отношении данных. защита и обработка проблем и неправильного обращения с данными.

GDPR в конечном итоге возлагает на обработчика юридические обязательства по ведению учета личных данных и способов их обработки, обеспечивая гораздо более высокий уровень юридической ответственности в случае нарушения организации.

Контроллеры также обязаны обеспечивать соответствие всех контрактов с обработчиками GDPR.

Общие правила защиты данных: что это значит для вас?

Изображение: iStock

Что такое личные данные согласно GDPR?

Типы данных, которые в соответствии с действующим законодательством считаются личными, включают имя, адрес и фотографии. GDPR расширяет определение личных данных, так что что-то вроде IP-адреса может быть личными данными.Он также включает конфиденциальные личные данные, такие как генетические данные и биометрические данные, которые могут быть обработаны для однозначной идентификации человека.

Когда вступил в силу GDPR?

После четырех лет подготовки и обсуждения GDPR был одобрен Европейским парламентом в апреле 2016 года, а официальные тексты и постановление директивы были опубликованы на всех официальных языках ЕС в мае 2016 года. Закон вступил в силу по всему Европейскому Союзу 25 мая 2018 г.

GDPR вступает в силу 25 мая 2018 года.

Изображение: iStock

Каков крайний срок соблюдения GDPR?

Ожидается, что с 25 мая 2018 года все организации будут соответствовать GDPR.

Как Brexit влияет на GDPR?

Великобритания в настоящее время собирается покинуть Европейский Союз 31 октября 2019 года. Правительство Великобритании заявило, что это не повлияет на соблюдение GDPR в стране, и что GDPR будет работать на благо Великобритании, несмотря на то, что страна перестает действовать. быть членом ЕС.Таким образом, Brexit вряд ли окажет какое-либо влияние на требования организации по соблюдению GDPR.

Что означает GDPR для бизнеса?

GDPR устанавливает единый закон на всем континенте и единый набор правил, которые применяются к компаниям, ведущим бизнес в странах-членах ЕС. Это означает, что действие законодательства выходит за пределы границ самой Европы, поскольку международные организации, базирующиеся за пределами региона, но осуществляющие деятельность на «европейской земле», все равно должны будут соблюдать.

Одна из надежд заключается в том, что упрощение законодательства о данных с помощью GDPR может принести пользу предприятиям. Европейская комиссия утверждает, что наличие единого надзорного органа для всего ЕС упростит и удешевит работу предприятий в регионе. Комиссия утверждает, что GDPR сэкономит 2,3 миллиарда евро в год по всей Европе.

«Объединяя европейские правила защиты данных, законодатели создают возможности для бизнеса и поощряют инновации», – заявляет Комиссия.

SEE: Общий регламент ЕС по защите данных (GDPR): шпаргалка (TechRepublic)

Они говорят, что это означает, что регулирование гарантирует, что гарантии защиты данных встроены в продукты и услуги с самого раннего этапа разработки, обеспечивая «защита данных с помощью дизайна» в новых продуктах и ​​технологиях.

Организациям также рекомендуется применять такие методы, как «псевдонимизация», чтобы получать выгоду от сбора и анализа личных данных, в то же время защищая конфиденциальность их клиентов.(Хотя некоторые группы утверждают, что это уже слишком поздно, учитывая количество подключенных устройств в мире.)

Что означает GDPR для потребителей / граждан?

Из-за огромного количества случаев утечки данных и взломов, прискорбная реальность для многих состоит в том, что некоторые из их данных – будь то адрес электронной почты, пароль, номер социального страхования или конфиденциальные медицинские записи – были обнаружены в Интернет.

Одним из основных изменений GDPR является предоставление потребителям права знать, когда их данные были взломаны.Организации должны как можно скорее уведомить соответствующие национальные органы, чтобы граждане ЕС могли принять соответствующие меры для предотвращения злоупотребления их данными.

Потребителям также обещан более легкий доступ к их личным данным с точки зрения того, как они обрабатываются, а организациям необходимо четко и понятно подробно описать, как они используют информацию о клиентах.

Некоторые организации уже переместились, чтобы убедиться, что это так, даже если это так просто, как отправка клиентам электронных писем с информацией о том, как используются их данные, и предоставление им возможности отказаться, если они не дадут свое согласие часть этого.Многие организации, например, в секторах розничной торговли и маркетинга, связались с клиентами, чтобы спросить, хотят ли они быть частью их базы данных.

В этих обстоятельствах у клиента должен быть простой способ отказаться от включения своих данных в список рассылки. Между тем, некоторые другие секторы были предупреждены о том, что им нужно сделать гораздо больше, чтобы обеспечить соблюдение GDPR, особенно когда речь идет о согласии.

GDPR также вводит уточненный процесс «право на забвение», который предоставляет дополнительные права и свободы людям, которые больше не хотят, чтобы их личные данные обрабатывались для их удаления, при условии, что нет оснований для их сохранения.

Организации должны помнить об этих правах потребителей.

Действительно ли это письмо о конфиденциальности отправлено реальной компанией? Может быть, это жульничество?

Организациям любого размера из всех секторов рассылаются электронные письма клиентам с просьбой согласиться, чтобы продолжать получать сообщения и другие маркетинговые материалы. По большей части, если клиент действительно хочет оставаться в списке, ему просто нужно щелкнуть ту часть электронного письма, которая сообщает компании, что он хочет оставаться на связи.

Однако, когда так много организаций рассылают электронные письма по GDPR, преступники и мошенники использовали это как отличную возможность для рассылки фишинговых писем, чтобы поймать людей, не имеющих программного обеспечения, особенно с учетом того, что люди получали больше писем от организаций, чем обычно.

Исследователи Redscan раскрыли одну из этих схем, в которой преступники выдают себя за Airbnb и утверждают, что пользователь не сможет принимать новые бронирования или отправлять сообщения потенциальным гостям до тех пор, пока не будет принята новая политика конфиденциальности.Злоумышленники конкретно упоминают новую политику конфиденциальности ЕС в качестве причины отправки сообщения.

Однако те, кто стоял за этой схемой, очень сильно использовали GDPR для кражи информации, потому что, хотя настоящее сообщение Airbnb не запрашивало никакой информации, у тех, кто получил поддельное сообщение, запрашивается их личная информация, включая учетные данные и информация о платежной карте.

Это вряд ли единственная попытка преступников использовать GDPR для собственной выгоды.

Что такое уведомление о нарушении GDPR?

GDPR устанавливает обязанность всех организаций сообщать об определенных типах нарушений данных, которые включают несанкционированный доступ или потерю персональных данных в соответствующий надзорный орган. В некоторых случаях организации также должны информировать лиц, пострадавших от нарушения.

Организации обязаны сообщать о любых нарушениях, которые могут привести к риску для прав и свобод людей и привести к дискриминации, ущербу репутации, финансовым потерям, потере конфиденциальности или любому другому экономическому или социальному ущербу.

Если данные клиента будут взломаны хакерами, организация будет обязана сообщить об этом.

Изображение: iStock

Другими словами, если имя, адрес, данные о рождении, медицинские записи, банковские реквизиты или какие-либо личные или личные данные о клиентах были нарушены, организация обязана сообщить об этом пострадавшим, а также соответствующему регулирующему органу, чтобы все возможное можно сделать, чтобы ограничить ущерб.

Это необходимо сделать с помощью уведомления о нарушении, которое должно быть доставлено непосредственно жертвам. Эта информация не может быть передана только в пресс-релизе, в социальных сетях или на веб-сайте компании. Это должна быть личная переписка с пострадавшими.

Выступая в апреле 2019 года, ICO стремилось уточнить, когда организации должны сообщать о нарушении и как это сделать. «Важно, чтобы организации понимали, чего ожидать в случае нарушения кибербезопасности», – сказал заместитель комиссара ICO по операциям Джеймс Диппл-Джонстон.

В соответствии с GDPR, когда организации необходимо уведомить о нарушении?

О нарушении необходимо сообщить в соответствующий надзорный орган в течение 72 часов с момента, когда организация впервые узнала о нем. Между тем, если нарушение является достаточно серьезным, чтобы уведомить клиентов или общественность, законодательство GDPR гласит, что клиенты должны нести ответственность без «неоправданной задержки».

Какие штрафы предусмотрены GDPR за несоблюдение?

Несоблюдение GDPR может привести к штрафу в размере от 10 миллионов евро до четырех процентов годового глобального оборота компании, что для некоторых может означать миллиарды.

Штрафы зависят от серьезности нарушения и от того, насколько серьезно компания соблюдает соблюдение нормативных требований в отношении безопасности.

Максимальный штраф в размере 20 миллионов евро или четыре процента мирового оборота – в зависимости от того, что больше – налагается на нарушение прав субъектов данных, несанкционированную международную передачу личных данных, а также несанкционированную международную передачу личных данных, а также несоблюдение процедур или игнорирование доступа субъектов. запросы на их данные.

Более низкий штраф в размере 10 миллионов евро, или два процента от мирового оборота, будет применяться к компаниям, которые иным образом неправильно обрабатывают данные. К ним относятся, помимо прочего, отказ от сообщения об утечке данных, неспособность обеспечить конфиденциальность по дизайну и обеспечение защиты данных на первом этапе проекта и соблюдение требований путем назначения сотрудника по защите данных – если организация быть одним из требований GDPR.

Какие на данный момент самые большие штрафы GDPR?

По состоянию на май 2019 года самый крупный на сегодняшний день штраф в размере 50 млн евро составляет 50 млн евро.Французская организация по надзору за защитой данных CNIL оштрафовала Google в январе после того, как пришла к выводу, что гигант поисковых систем нарушает правила GDPR в отношении прозрачности и наличия действующей правовой основы при обработке данных людей в рекламных целях. Google обжалует штраф.

До штрафа Google самый крупный штраф GDPR составлял 400 000 евро, когда португальская больница была оштрафована за «несовершенные» методы управления счетами.

Вполне вероятно, что впереди еще много штрафов, поскольку органы по надзору за защитой данных по всей Европе в настоящее время расследуют тысячи дел.

По состоянию на май 2019 года компания Google является получателем самого крупного штрафа GDPR – в январе 2019 года французская служба по надзору за защитой данных оштрафовала Google на 50 млн евро.

iStockPhoto / Getty Images

Что содержится в уведомлении о нарушении GDPR?

В случае потери данных компанией, будь то в результате кибератаки, человеческой ошибки или чего-либо еще, компания обязана отправить уведомление о нарушении.

Это должно включать приблизительные данные о нарушении, в том числе категории информации и количество лиц, скомпрометированных в результате инцидента, а также категории и приблизительное количество соответствующих записей личных данных. Последний учитывает, как может быть несколько наборов данных, относящихся только к одному человеку.

Организациям также необходимо предоставить описание потенциальных последствий утечки данных, таких как кража денег или мошенничество с использованием личных данных, и описание мер, которые принимаются для борьбы с утечкой данных и противодействия любым негативным воздействиям. с которыми могут столкнуться люди.

Также необходимо предоставить контактные данные сотрудника по защите данных или основного контактного лица, занимающегося нарушением.

Нужно ли нам назначать сотрудника по защите данных?

Согласно условиям GDPR, организация должна назначить сотрудника по защите данных (DPO), если она выполняет крупномасштабную обработку особых категорий данных, осуществляет крупномасштабный мониторинг отдельных лиц, например отслеживание поведения, или является государственным органом. .

В случае государственных органов, один DPO может быть назначен в группе организаций.Хотя организациям, не указанным выше, необязательно назначать DPO, все организации должны убедиться, что у них есть навыки и персонал, необходимые для соблюдения законодательства GDPR.

SEE: GDPR доказывает, что технологических гигантов можно приручить

Нет установленных критериев того, кто должен быть DPO или какую квалификацию они должны иметь, но, согласно Управлению комиссара по информации, они должны иметь профессиональный опыт и закон о защите данных пропорционально тому, что выполняет организация.

Неспособность назначить сотрудника по защите данных, если этого требует GDPR, может считаться несоблюдением и повлечь за собой штраф.

Как выглядит соответствие GDPR?

GDPR может показаться сложным, но правда в том, что по большей части законодательство консолидирует принципы, которые в настоящее время являются частью Закона Великобритании о защите данных.

Тем не менее, есть элементы GDPR, такие как уведомление о нарушении и обеспечение того, чтобы кто-то отвечал за защиту данных, которые организации должны решить, или рискуют наложить штраф.

Не существует универсального подхода к подготовке к GDPR. Скорее, каждая компания должна знать, что именно необходимо достичь, чтобы соответствовать требованиям, и кто является контролером данных, который взял на себя ответственность за обеспечение этого.

«Ожидается, что вы введете комплексные, но соразмерные меры управления», – говорится в ICO Великобритании. «В конечном итоге эти меры должны свести к минимуму риск взлома и обеспечить защиту личных данных. На практике это, вероятно, означает большее количество политик и процедур для организаций, хотя многие организации уже имеют меры надлежащего управления.«

SEE: Будет ли GDPR защищать граждан ЕС? 61% специалистов по информационной безопасности говорят« да »(TechRepublic)

Это может быть обязанностью отдельного лица в малом бизнесе или даже целого отдела в транснациональной корпорации. Либо Таким образом, для того, чтобы это работало, необходимо учитывать бюджеты, системы и персонал

В соответствии с положениями GDPR, которые способствуют подотчетности и управлению, компаниям необходимо принимать соответствующие технические и организационные меры.Сюда могут входить положения о защите данных (обучение персонала, внутренний аудит операций по обработке и анализ кадровой политики), а также ведение документации по операциям по обработке данных. Другая тактика, на которую могут обратить внимание организации, включает минимизацию данных и псевдонимизацию или предоставление людям возможности контролировать обработку, заявили в ICO.

При подготовке к GDPR такие органы, как ICO, предложили общие рекомендации о том, что следует учитывать. Все организации должны убедиться, что они выполнили все необходимые оценки воздействия и соответствуют требованиям GDPR, в противном случае они рискуют нарушить новые директивы.

GDPR здесь, и что теперь?

По состоянию на 25 мая 2018 года GDPR вступил в силу, и за несколько дней и недель до этого наблюдалось увеличение количества компаний, отправляющих электронные письма клиентам с просьбой принять участие в новой политике конфиденциальности и согласия. В первые 24 часа электронные письма приходили настолько объемными и быстрыми, что многие пользователи Интернета чувствовали себя ошеломленными.

В последнее время некоторые организации и платформы, в том числе сайт Klout, занимающийся оценкой сайтов в социальных сетях, просто прекратили работу – Klout явно не указывал на GDPR, но дата 25 мая, вероятно, не является совпадением.Это не единственная служба, которая закрывает работу или ограничивает доступ для европейских пользователей.

европейских пользователя, которые посетили известные новостные веб-сайты США, такие как The LA Times, The Chicago Times и The Baltimore Sun утром 25 мая, обнаружили, что они не могут получить доступ к веб-сайтам, а издатели указали на GDPR как причина.

«К сожалению, наш веб-сайт в настоящее время недоступен в большинстве европейских стран. Мы занимаемся этим вопросом и стремимся рассмотреть варианты, которые поддерживают весь спектр наших цифровых предложений на рынке ЕС», – говорится в заявлении на веб-сайте Chicago Tribune. .

Подобные заявления были размещены в новостных изданиях, управляемых группами Lee Enterprises и Tronc – и год на многих из этих публикаций по-прежнему отображает то же сообщение для европейских пользователей, которые пытаются посетить сайты.

Отказ пользователей в доступе к продуктам – по крайней мере, на данный момент – рассматривается многими как цена, которую стоит заплатить, чтобы избежать возможных штрафов. Хотя некоторые зададут вопрос, что они делают с пользовательскими данными и какое согласие у них есть?

Что изменилось в GDPR с момента его введения?

По состоянию на май 2019 года многие из этих проблем с издателями в США все еще не были решены, и подобные Tronc по-прежнему приносят те же извинения пользователям в Европе.

Издатели – не единственные организации, которым приходится смириться с новой реальностью, поскольку некоторые из крупнейших технологических компаний, включая Facebook, заявляют, что они начали чувствовать укус GDPR. Социальная сеть обвинила GDPR в сокращении примерно на миллион пользователей в месяц во втором квартале года, а также в падении роста доходов от рекламы в Европе.

Организации любого размера в той или иной степени пострадали от этого. Аналитики Forrester говорят, что многие компании сообщают о сокращении от 25% до 40% своего адресного рынка электронной почты и других форм контактов.

В результате многим компаниям приходится задумываться о новых методах привлечения потребителей и получения доходов. Аналитик Gartner предположил, что некоторым компаниям, возможно, придется пересмотреть свою стратегию центров обработки данных в результате принятия такого законодательства, как GDPR.

За год, прошедший с момента введения GDPR, некоторые из крупнейших мировых технологических компаний попытались позиционировать свои продукты как ориентированные на конфиденциальность – стратегия, которая, вероятно, отчасти возникла из-за повышения осведомленности о конфиденциальности и согласия.

Генеральный директор Apple Тим Кук призвал США ввести эквивалент GDPR, чтобы предотвратить использование данных в качестве оружия против пользователей. Между тем, генеральный директор Facebook Марк Цукерберг недавно рассказал о том, как конфиденциальность будет в будущем Facebook – хотя он сам признает, что некоторым может быть трудно в это поверить.

Что будет дальше с GDPR и защитой данных?

Страны и регионы по всему миру, похоже, ориентируются на GDPR, вводя или изменяя законодательство о защите данных.Страны, которые сообщили, что изменят свои законы о конфиденциальности после введения GDPR, включают Бразилию, Японию, Южную Корею, Индию и другие.

Кремниевая долина, Калифорния, также собирается ввести свои собственные законы о конфиденциальности данных в Законе о конфиденциальности потребителей Калифорнии, который вступает в силу с 1 января 2020 года.

Законодательство следует по стопам GDPR, разрешая физическим лицам иметь больше говорят о том, как используются их личные данные, но во многих отношениях это далеко не так: нет установленного срока для уведомления потребителей о нарушении, и организации не будут подвергаться штрафам за несоблюдение.

Однако введение этого закона в разгар технологической индустрии, похоже, предполагает, что конфиденциальность и согласие – это вопросы, которые могут изменить способ работы Кремниевой долины.

Предыдущее и связанное с ним покрытие

Руководство ИТ-лидера по угрозе кибервойны (Tech Pro Research)

От безопасности и мобильных устройств до Windows и теневых ИТ.

Vendor Security Alliance настраивает систему аудита, чтобы она соответствовала GDPR.

Некоммерческий альянс добавил соответствие GDPR к своей ежегодной системе аудита поставщиков и объявил, что впервые принимает новых участников.

Как европейский GDPR повлияет на австралийские организации

Несоблюдение правил защиты данных может привести к штрафу в размере 20 миллионов евро, и австралийские организации, имеющие связи с Европой, не будут освобождены.

ПОДРОБНЕЕ О КИБЕРБЕЗОПАСНОСТИ

11 вещей, которые необходимо сделать для соответствия GDPR

25 мая 2018 года сегодняшний Закон о защите данных (DPA) будет заменен новым Общим регламентом по защите данных (GDPR).В этом контрольном списке выделены 11 наиболее важных шагов, которые вы можете предпринять сейчас, чтобы убедиться, что ваши данные и процессы соответствуют требованиям.

По данным Управления комиссара по информации (ICO), если вы уже соответствуете требованиям DPA, то большая часть вашего подхода к соблюдению останется в силе до мая 2018 года. Однако в GDPR есть некоторые различия, что означает, что вам придется одни вещи впервые, а другие – иначе. Прежде чем мы углубимся в подробности, рассмотрим GDPR и его значение для юридических и физических лиц.

Что такое GDPR?

Цель GDPR – обеспечить ясность и последовательность для защиты личных данных. Он вводит новые правила для организаций, которые предлагают товары и услуги людям в Европейском союзе (ЕС) или которые собирают и анализируют данные, связанные с резидентами ЕС, независимо от того, где они находятся. GDPR устанавливает:

  • Расширенные права на личную неприкосновенность частной жизни
  • Повышенная пошлина за защиту данных
  • Обязательное сообщение о нарушениях
  • Значительные штрафы за несоблюдение

Каковы основные изменения GDPR?

Существует четыре основных различия между соблюдением GDPR и DPA.

Конфиденциальность данных

Согласно GDPR, физические лица имеют право:

  • Доступ к их личным данным
  • Исправьте ошибки в своих личных данных
  • Удалить личные данные
  • Возражать против обработки своих персональных данных
  • Экспорт личных данных

Элементы управления и уведомления

В новые правила внесены изменения в части:

  • Строгие требования безопасности
  • Обязательство по уведомлению о нарушении
  • Соответствующие согласия на обработку данных
  • Конфиденциальность
  • Бухгалтерский учет

Прозрачная политика

GDPR требует, чтобы организации предоставляли прозрачные и легкодоступные политики в отношении:

  • Уведомление о сборе данных
  • Уведомление об обработке
  • Детали обработки
  • Сохранение / удаление данных

Информационные технологии и обучение

Компаниям потребуется инвестировать в:

  • Персонал по вопросам конфиденциальности и обучение сотрудников
  • Политика данных
  • Сотрудник по защите данных (если в вашем бизнесе более 250 сотрудников)
  • Контракт с обработчиком / поставщиком

Итак, что вам нужно сделать, чтобы все это произошло? Мы помогли компаниям любого размера стать совместимыми с GDPR.Узнайте, как мы можем помочь вашему бизнесу.

Вот 11 областей, которые ISO помечает как ключевые области для анализа. Мы также помогаем компаниям, похожим на вашу, соответствовать требованиям

11 вещей, которые вы должны сделать сейчас, чтобы соответствовать GDPR

1. Повышайте осведомленность в своем бизнесе

ICO призывает компании как можно скорее начать планирование GDPR, чтобы у вас было время подумать о последствиях для бюджета, ИТ, персонала, управления и коммуникаций.

Ключевые люди и лица, принимающие решения, должны быть осведомлены о новом законодательстве, чтобы они могли понять потенциальное воздействие и определить области, требующие внимания для соблюдения.Если у вас есть, начните с просмотра вашего реестра рисков.

2. Аудит всех персональных данных

Задокументируйте, какие личные данные вы храните, откуда они поступили и с кем вы ими делитесь.

GDPR обновляет права для сетевого мира. Это возлагает на организации ответственность за подтверждение соблюдения принципов защиты данных, например, за счет наличия эффективных политик и процедур.

Например, если вам стало известно, что вы поделились неточными личными данными с другими организациями, вы обязаны сообщить другой организации об этой неточности, чтобы она также могла исправить свои собственные записи.

3. Обновите свое уведомление о конфиденциальности

Когда вы собираете личные данные, вы, вероятно, используете примечание о конфиденциальности, содержащее соответствующую DPA информацию, такую ​​как ваша личность и то, как вы собираетесь использовать их информацию. Согласно новым правилам, вы должны будете сообщить людям кое-что еще по сравнению с DPA. Например, вам нужно будет объяснить:

  • ваша правовая основа для обработки данных
  • сроки хранения ваших данных
  • имеют право подавать жалобу в ICO, если они считают, что проблема в том, как вы обрабатываете их данные.

Таким образом, вам нужно будет просмотреть свои текущие уведомления о конфиденциальности и разработать план внесения любых необходимых изменений к маю 2015 года.

4. Изучите свои процедуры защиты прав физических лиц

Новое законодательство охватывает те же принципы, что и DPA, но со значительными улучшениями. Главное здесь – убедиться, что у вас есть процедуры, чтобы вы могли выполнить, например, индивидуальный запрос о предоставлении им имеющихся у вас данных в электронном виде и в обычно используемом формате.

Основные права физических лиц в соответствии с GDPR:

  • разрешить предметный доступ
  • исправлены неточности
  • стерта информация
  • предотвратить прямой маркетинг
  • предотвратить автоматическое принятие решений и профилирование
  • разрешить переносимость данных (согласно пункту выше)

5.Изучите свои процедуры, поддерживающие запросы на предметный доступ

В зависимости от типа и размера организации, запросы на доступ к объектам могут создавать логистическую / административную головную боль для многих предприятий.

Согласно новым правилам, вы вряд ли сможете взимать плату за выполнение запросов, и у вас будет всего месяц для выполнения требований, а не текущие 40 дней. Существуют также различные основания для отказа в удовлетворении запроса на доступ к субъекту, и если вы отклоняете запрос, вам необходимо иметь политику и процедуры, демонстрирующие, почему запрос соответствует этим критериям.

Возможно, вы захотите рассмотреть возможность проведения анализа затрат / выгод для предоставления доступа в режиме онлайн для отдельных лиц.

6. Определите и задокументируйте свою правовую основу для обработки персональных данных

Согласно GDPR, права некоторых лиц будут изменены в зависимости от вашей правовой основы для обработки их персональных данных. Например, они могут удалить свои данные, если вы используете согласие в качестве законного основания для обработки. Таким образом, вам необходимо понимать различные типы обработки данных, которую вы выполняете, определять правовую основу для ее выполнения и задокументировать ее.

7. Проверьте, как вы запрашиваете, получаете и регистрируете согласие

Если вы полагаетесь на согласие отдельных лиц на обработку их данных, убедитесь, что оно соответствует стандартам GDPR. Если нет, измените механизмы своего согласия или найдите альтернативу согласию. В GDPR четко указано, что контролеры данных должны иметь возможность продемонстрировать, что согласие было дано. Таким образом, вам может потребоваться проверить системы, которые у вас есть для записи согласия, и убедиться, что у вас есть эффективный контрольный журнал.

8. Проверьте свои данные о детях

Впервые GDPR вводит особую защиту личных данных детей.Поэтому, если ваша организация собирает информацию о детях в возрасте до 13 лет, вам потребуется согласие родителей / опекунов на законную обработку их данных.

9. Разработать процедуры для обнаружения, сообщения и расследования утечки личных данных

GDPR требует, чтобы все организации уведомляли ICO обо всех нарушениях данных, в результате которых физическое лицо может пострадать в той или иной форме, например, в результате кражи личных данных или нарушения конфиденциальности. Поэтому вам необходимо настроить процессы для обнаружения, сообщения и расследования нарушений.

Обратите внимание, что несообщение о нарушении может привести к наложению штрафа, а также штрафу за само нарушение.

10. Изучите свои процессы, связанные с оценками воздействия на конфиденциальность данных (DPIA)

Вам может потребоваться провести оценку воздействия на конфиденциальность (PIA) в ситуации высокого риска, такой как развертывание новой технологии, или когда операции могут существенно повлиять на людей.

Чтобы подготовиться к такой возможности, ICO рекомендует вам ознакомиться с их Кодексом практики PIA, чтобы вы могли решить, как лучше всего реализовать DPIA в вашей организации.Подумайте, где в вашей организации может быть необходимо провести DPIA. Кто это будет делать? Кого еще нужно задействовать? Следует ли запускать процесс централизованно или локально?

11. Назначьте Управление по защите данных (DPO)

Если в вашей организации работает 250 или более человек, она является государственным органом или участвует в регулярном и систематическом мониторинге субъектов данных в крупном масштабе, вам следует назначить сотрудника по защите данных. DPO должен взять на себя надлежащую ответственность за соблюдение требований к защите данных и иметь знания, поддержку и полномочия, чтобы делать это эффективно.

Чтобы узнать, как облачные ИТ могут помочь вам оптимизировать процессы для GDPR, ознакомьтесь с этим блогом: Как облачные ИТ могут помочь вам подготовиться к GDPR

Поговорите со специалистом по GDPR.

Хотите узнать, как обеспечить соответствие вашего бизнеса GDPR? Заполните форму ниже, и один из наших сотрудников свяжется с вами в ближайшее время.

.