У этого регламент�а две главные цели. Он защищает наши персональные данные от попадания в руки третьих лиц и от их использования в неправомерных целях. С другой стороны, он старается отделить персональные данные от информации, имеющей отношение непосредственно к бизнесу. Так мы сможем развивать наш бизнес к лучшему, опираясь на существующее и адекватное знание.
Что такое персональные данные?
Персональные данные - это любая информация, имеющая отношение конкретно к человеку, и которая может быть прямо или косвенно использована, чтобы установить личность человека. Любые данные, имеющие отношение к физическим, физиологическим или поведенческим характеристикам называются биометрическими данными (информация с портала регламента GDPR).
Все компании - контроллеры персональных данных.
Если мы и должны вынести что-то новое для себя из закона GDPR, так это контроллер персональных данных. На практике любая компания, собирающая информацию о клиенте или работнике в регистр данных, является контроллером персональных данных. У контроллера персональных данных есть определенный регламент, как он должен обращаться с этими данными. Обработка персональных данных должна быть зафиксирована в политике конфиденциальности компании.
Isolta - тоже контроллер персональных данных. Она обрабатывает данные, в особенности при общении с клиентами. У Isolta в качестве клиентов много компаний, состоящих из одного человека, и во многих случаях данные об этих компаниях рассматриваются как персональные данные, так как они могут быть сопоставимы с определенными людьми. Чтобы узнать больше о том, как Isolta работает с персональными данными, пожалуйста, перейдите на страничку Политика конфиденциальности Isolta.
Главные моменты, которые следует учесть контроллеру персональных данных.
- Где собираются персональные данные
- Для какой цели используется информация
- На каких основаниях информация передается третьим лицам
- Как удостовериться в том, что данные актуальная
- Как безопасно хранить данные
Общее правило: не следует собирать больше персональных данных, чем это действительно необходимо. Вы можете сделать себе вызов - в каких персональных данных я действительно нуждаюсь для успешного развития своего бизнеса? Конфиденциальность должна считаться частью развития бизнеса, а не ограничивающим элементом.
Также нужно очень внимательно относиться к передаче данных третьим лицам. Передача значит, что вы передаете персональные данные третьим лицам навсегда. После передачи третье лицо становится контроллером данных, предоставленных вами.
Движение персональных данных - немного более простой процесс в сравнении с передачей. Например, субподрядчик может иметь временный доступ к вашим персональным данным. Такое “движение данных” возможно в случае, если ваш субподрядчик следует тем же условиям конфиденциальности, что и вы. Ситуация усложняется, если субподрядчик находится вне ЕС или ЕЭЗ, и в этом случае мы вам настойчиво рекомендуем перепроверить требования со специалистом по защите данных.
Информационная безопасность является частью защиты персональных данных.
Независимо от того, хранятся ли данные на бумаге или в цифровом виде, ее стоит хранить очень бережно. Многие думают что политика конфиденциальности не относится к бумажным архивам. Но это так, и наш опыт показал, что бумажные архивы хуже защищены, чем цифровые: бумаги часто лежат просто на столе, потеряны в недрах электронной почты, их плохо уничтожают т.д. Обратите на это внимание.
Использование надежного облачного сервера по обработке данных - самый простой и безопасный способ защиты персональных данных для маленьких компаний. Так количество данных на самом компьютере будет минимальным. Также компьютеры, подключенные к локальной сети, чаще подвержены атакам, и в этом случае система защиты компьютера и локальной сети должна быть на хорошем уровне. В облачном сервере по обработке данных безопасность предоставляется профессионалами и инфраструктура сможет успешно противостоять атакам.
Право быть забытым.
Человек, чьи персональные данные хранятся, называется субъектом данных. В новом регламенте по защите персональных данных у субъекта данных есть много прав на свои персональные данные. Например, субъект имеет право удостовериться в том, что с его данными правильно обращаются, и что данные достоверные. Один из пунктов в законе о персональных данных дает право человеку удалить персональные данные о себе. Это требование может быть проблематично для оператора персональных данных, так как данные могут быть плохо структурированы или же находиться в разных местах. Оператор персональных данных должен начать думать о том, как хранить персональные данные, чтобы их можно было легко удалить.
Могут быть ситуации, когда данные не должны удаляться, так как это будет нарушением уставных обязательств. Например, инвойс часто содержит персональные данные, но закон требует, чтобы вы сохраняли бухгалтерскую документацию в течение 6 лет, поэтому вы не можете удалить данные.
Провайдер сервера помогает контроллеру данных.
Если контроллер данных хранит данные на облачном сервере (например, на сервере Isolta), тогда представитель сервера является обработчиком персональных данных. Обработчик персональных данных должен помочь контроллеру данных исполнять свои обязанности. Как пример, контроллер обязан предоставлять субъектам персональных данных эти данные в доступном и структурированном и машиночитаемом фо�рмате.
Если же в регистре контроллера персональных данных есть так называемая утечка персональных данных (например, имя пользователя и пароль попал не в те руки), контроллер обязан в течение 72 часов уведомить надзорные органы по защите данных. Если регистр находится на облачном сервере, и этот провайдер облачного сервера (например, обработчик персональных данных) заметит нарушение требований безопасности, то он обязан сообщить об этом нарушении контроллеру. В таких случаях контроллер должен связаться с провайдером облачного сервера, чья клиентская служба поможет решить вопрос.
С чего начать?
Если в компании обрабатывается большое количество персональных данных (например, всесторонняя информация о клиентах или же конфиденциальная информация), то компания должна планировать деятельность, связанную с обработкой данных, с инспектором по защите данных.
Возможно также назначить определенного инспектора по защите данных внутри компании. Еще одна потенциальная обязанность - это так называемая оценка воздействия на конфиденциальность, которая описывает, как �с данными обращаются, как они обрабатываются и сохраняются.
Конечно, маленькие компании обычно меньше нуждаются в сборе персональных данных, поэтому требования к ним ниже. Однако для любой компании нелишним будет выделить время и записать, какие персональные данные нужны для конкретной деятельности бизнеса. В маленьких компаниях, персональные данные часто являются частью регистра клиентов и инвойсов.
Если вы сохраняете эти данные в Isolta, вы можете быть уверены в том, что базовые требования к защите персональных данных соблюдены. Клиентская служба Isolta поможет вам в отношении вопросов, связанных с защитой персональных данных, вам не нужно оставаться один на один с этой проблемой.