Загальний регламент захисту даних (GDPR) є законом Європейського Союзу, який регулює, як компанії можуть збирати та використовувати персональні дані резидентів ЄС. Він встановлює стандарти, що допомагають забезпечити збереження, обробку та поширення цих даних таким чином, щоб не піддавати осіб ризику. Закон також визначає, як організації повинні реагувати у випадку витоку даних.
Ключова особливість GDPR полягає в тому, що він впорядковує набір конкретних прав суб’єктів даних, які надають їм можливість робити запити на доступ до даних.
Ця стаття описує, які саме запити можуть робити суб’єкти даних і як організація повинна їх обробляти. Вона також пропонує рішення, що допоможуть надавати швидкі та точні відповіді на запити за GDPR, щоб уникнути штрафів за порушення у розмірі від десяти мільйонів євро.
Які типи даних охоплює GDPR?
Відповідно до GDPR, резиденти ЄС мають конкретні права щодо персональних даних, які організації мають про них. Ключові приклади персональних даних включають:
- Основну ідентифікаційну інформацію, таку як імена та адреси
- Фінансову інформацію, таку як дані банківського рахунку
- Особисті характеристики, в тому числі національність, дату народження та стать
- Інформацію про здоров’я, включаючи дані про стан здоров’я та інвалідність
- Генетичні дані, в тому числі результати ДНК-тестів та іншу інформацію про генетичний склад
- Інформацію про працевлаштування, таку як номери співробітників та зарплати
- Онлайн ідентифікатори, такі як імена користувачів
- Поведінкові дані, включаючи деталі про інтереси або онлайн-активність
- Біометричні дані, такі як дані розпізнавання обличчя
- Інформацію про місцеперебування
Етапи обробки запиту на доступ до даних
Коли особа робить запит на доступ до даних, першим кроком для організації є перевірка, чи зберігаються або обробляються будь-які персональні дані цієї особи. Якщо відповідь негативна, завдання вважатиметься виконаним після повідомлення особі. З іншого боку, якщо організація зберігає або обробляє дані цієї особи, вони повинні перейти до другого етапу та обробити конкретний запит особи. Наступний розділ пояснює типи запитів і як їх обробляти.
Запити до організацій згідно з GDPR
1) Яку інформацію організація має про особу і чому
Цей запит ґрунтується на двох правах:
- Право на інформування (The right to be informed, статті 13 і 14). Резиденти ЄС мають право на чіткі та точні деталі про те, яку персональну інформацію організація зібрала про них, навіть якщо це означає знати, що компанія не зібрала жодних даних про них.
- Право на доступ (The right of access, стаття 15). Вони також мають право знати, чи їхні особисті дані обробляються, включаючи категорії зібраних даних, мету обробки, методи та політики зберігання, кому дані розкриваються, як довго вони будуть зберігатися та звідки була отримана інформація.
2) Особа хоче виправити “неправильну” інформацію про себе в архівах організації
- Цей тип запиту ґрунтується на праві на виправлення (the right to rectification стаття 16), що вимагає від організацій забезпечувати точність та актуальність усіх персональних даних, які вони зберігають. Суб’єкти даних мають право вимагати виправлення неточних персональних даних або доповнення неповних даних.
Щоб забезпечити комплаєнс, потрібна тісна взаємодія між всіма інформаційними системами та процесами, щоб дані, оновлені в одній системі, автоматично виправлялися у всіх інших місцях.
3) Особа хоче видалити дані про неї з організації
Цей тип запиту охоплює два права:
- Право на стирання (The right to erasure, right to be forgotten, стаття 17). Особа може вимагати, щоб організація видалила її особисту інформацію з її записів та ресурсів і негайно припинила подальше поширення даних.
Компанія повинна видалити всі дані, які відповідають будь-якому з наступних критеріїв:
- Були зібрані незаконно
- Більше не потрібні
- Були зібрані під час дитинства особи
- З’являються онлайн
Організація може відмовити у запиті на видалення, якщо це порушує будь-яке з наступного:
- Право на свободу та вираження поглядів
- Причини суспільного інтересу в галузі охорони здоров’я або наукових чи історичних досліджень
- Встановлення, реалізація або захист правових вимог чи юридичних звинувачень
- Право на обмеження обробки (The right to restriction of processing, стаття 18). Якщо незрозуміло, чи дані особи повинні бути видалені, особа все ще може вимагати тимчасового обмеження їхньої обробки, поки компанія не розв’яже проблему, повідомить особу та отримає її згоду. Виконання цього права GDPR вимагає індивідуального розгляду кожного випадку.
4) Особа хоче передати інформацію, якою володіє організація, іншому постачальнику послуг
- Право на перенесення даних (The right to data portability, стаття 20) надає резидентам ЄС можливість вимагати від компанії переміщення їхніх персональних даних до іншого постачальника послуг. Це право сприяє інтероперабельності, полегшуючи передачу даних користувачів між контролерами даних. Воно також заохочує конкуренцію між цифровими сервісами, оскільки користувачі можуть змінювати постачальників, не втрачаючи своїх персональних даних. Виконання цієї вимоги передбачає надання даних у структурованому, машиночитному форматі, який можна безпосередньо передати іншій стороні.
5) Особа бажає припинення обробки її даних для маркетингових цілей організацією
Особи мають право заперечувати проти обробки їхніх даних (The right to object to data processing activities, стаття 21), таких як використання їхніх персональних даних для маркетингових або інших цілей. Вагомими причинами для відмови у цьому типі запиту можуть бути наступні:
- Існує законна потреба в обробці
- Запит є надмірним або необґрунтованим
- Запитувані дані використовуються для суспільних, історичних або статистичних цілей
- Запитувані дані використовувалися або надавалися для здійснення юридичних претензій
6) Особа просить припинити прийняття автоматизованих рішень, що впливають на її правові інтереси
- GDPR також надає права щодо автоматизованого прийняття рішень і профайлінг (Rights in relation to automated decision-making and profiling, стаття 22). Якщо в процесі обробки персональних даних використовується автоматизоване прийняття рішень і профайлінг, необхідно надати “значущу інформацію про залучену логіку, а також значущість і передбачувані наслідки такої обробки для суб’єкта даних.”
Три вагомі причини для здійснення автоматичної обробки та профайлінг:
- Особа дала свою згоду
- Обробка необхідна для укладення або виконання договору
- Обробка дозволена законодавством Союзу або держави-члена, що застосовується до контролера
Потрібно забезпечити, щоб співробітники не обробляли інформацію за допомогою автоматизованих функцій без перевірки наявності вагомої причини для уникнення порушень, які можуть призвести до штрафів, що можуть дорого обійтись.
Як Netwrix може допомогти відповідати на запити GDPR?
Netwrix може забезпечити впевненість у здатності обробляти всі типи запитів на дані (data requests), швидко знаходячи всю інформацію, яку організація зберігає про окрему особу.
Рішення Netwrix (наприклад Netwrix Auditor або Netwrix Data Classification) можуть допомогти захистити всі чутливі та регламентовані дані організації. Можна встановити управління даними, видалити неналежний доступ, впровадити політики безпеки та своєчасно виявляти сучасні загрози, щоб уникнути витрат, пов’язаних з порушеннями безпеки та порушеннями комплаєнсу.
