Общий регламент по защите данных (GDPR) является законом Европейского Союза, который регулирует, как компании могут собирать и использовать персональные данные резидентов ЕС. Он устанавливает стандарты, которые помогают обеспечить сохранность, обработку и распространение этих данных таким образом, чтобы не подвергать лиц риску. Закон также определяет, как организации должны реагировать в случае утечки данных.
Ключевая особенность GDPR заключается в том, что он устанавливает набор конкретных прав субъектов данных, которые дают им возможность делать запросы на доступ к данным.
Эта статья описывает, какие именно запросы могут делать субъекты данных и как организация должна их обрабатывать. Она также предлагает решения, которые помогут предоставлять быстрые и точные ответы на запросы по GDPR, чтобы избежать штрафов за нарушения в размере от десяти миллионов евро.
Какие типы данных охватывает GDPR?
В соответствии с GDPR, резиденты ЕС имеют конкретные права в отношении персональных данных, которые организации имеют о них. Ключевые примеры персональных данных включают:
- Основную идентификационную информацию, такую как имена и адреса
- Финансовую информацию, такую как данные банковского счета
- Личные характеристики, включая национальность, дату рождения и пол
- Информацию о здоровье, включая данные о состоянии здоровья и инвалидности
- Генетические данные, включая результаты ДНК-тестов и другую информацию о генетическом составе
- Информацию о трудоустройстве, такую как номера сотрудников и зарплаты
- Онлайн идентификаторы, такие как имена пользователей
- Поведенческие данные, включая детали об интересах или онлайн-активности
- Биометрические данные, такие как данные распознавания лиц
- Информацию о местоположении
Этапы обработки запроса на доступ к данным
Когда лицо делает запрос на доступ к данным, первым шагом для организации является проверка, сохраняются ли или обрабатываются ли какие-либо персональные данные этого лица. Если ответ отрицательный, задача будет считаться выполненной после уведомления лица. С другой стороны, если организация сохраняет или обрабатывает данные этого лица, они должны перейти ко второму этапу и обработать конкретный запрос лица. Следующий раздел объясняет типы запросов и как их обрабатывать.
Запросы к организациям согласно GDPR
1) Какую информацию организация имеет о лице и почему
Этот запрос основывается на двух правах:
- Право на информирование (The right to be informed, статьи 13 и 14). Резиденты ЕС имеют право на четкие и точные детали о том, какую персональную информацию организация собрала о них, даже если это означает, что компания не собрала никаких данных о них.
- Право на доступ (The right of access, статья 15). Они также имеют право знать, обрабатываются ли их личные данные, включая категории собранных данных, цель обработки, методы и политики хранения, кому данные раскрываются, как долго они будут храниться и откуда была получена информация.
2) Лицо хочет исправить “неправильную” информацию о себе в архивах организации
- Этот тип запроса основывается на праве на исправление (The right to rectification, статья 16), что требует от организаций обеспечивать точность и актуальность всех персональных данных, которые они хранят. Субъекты данных имеют право требовать исправления неточных персональных данных или дополнения неполных данных.
Чтобы обеспечить соответствие, требуется тесное взаимодействие между всеми информационными системами и процессами, чтобы данные, обновленные в одной системе, автоматически исправлялись во всех других местах.
3) Лицо хочет удалить данные о себе из организации
Этот тип запроса охватывает два права:
- Право на стирание (The right to erasure, right to be forgotten, статья 17). Лицо может требовать, чтобы организация удалила его личную информацию из своих записей и ресурсов и немедленно прекратила дальнейшее распространение данных.
Компания должна удалить все данные, которые соответствуют любому из следующих критериев:
- Были собраны незаконно
- Больше не нужны
- Были собраны во время детства лица
- Появляются онлайн
Организация может отказать в запросе на удаление, если это нарушает любое из следующего:
- Право на свободу и выражение взглядов
- Причины общественного интереса в области охраны здоровья или научных или исторических исследований
- Установление, реализация или защита правовых требований или юридических обвинений
- Важно помнить, что даже если компания может хранить данные лица, нужно получить его согласие на дальнейшую обработку.
- Право на ограничение обработки (The right to restriction of processing, статья 18). Если неясно, должны ли данные лица быть удалены, лицо все еще может требовать временного ограничения их обработки, пока компания не решит проблему, уведомит лицо и получит его согласие. Выполнение этого права GDPR требует индивидуального рассмотрения каждого случая.
4) Лицо хочет передать информацию, которой владеет организация, другому поставщику услуг
- Право на перенос данных (The right to data portability, статья 20) дает резидентам ЕС возможность требовать от компании перемещения их персональных данных к другому поставщику услуг. Это право способствует интероперабельности, облегчая передачу данных пользователей между контролерами данных. Оно также поощряет конкуренцию между цифровыми сервисами, поскольку пользователи могут менять поставщиков, не теряя своих персональных данных. Выполнение этого требования предполагает предоставление данных в структурированном, машиночитаемом формате, который можно непосредственно передать другой стороне.
5) Лицо желает прекращения обработки ее данных для маркетинговых целей организацией
Лица имеют право возражать против обработки их данных (The right to object to data processing activities, статья 21), таких как использование их персональных данных для маркетинговых или других целей. Важными причинами для отказа в этом типе запроса могут быть следующие:
- Существует законная потребность в обработке
- Запрос является чрезмерным или необоснованным
- Запрашиваемые данные используются для общественных, исторических или статистических целей
- Запрашиваемые данные использовались или предоставлялись для осуществления юридических претензий
6) Лицо просит прекратить принятие автоматизированных решений, которые влияют на ее правовые интересы
- GDPR также предоставляет права в отношении автоматизированного принятия решений и профайлинга (Rights in relation to automated decision-making and profiling, статья 22). Если в процессе обработки персональных данных используется автоматизированное принятие решений и профайлинг, необходимо предоставить “значимую информацию о задействованной логике, а также значимость и предсказуемые последствия такой обработки для субъекта данных.”
Три важные причины для осуществления автоматической обработки и профайлинга:
- Лицо дало свое согласие
- Обработка необходима для заключения или исполнения договора
- Обработка разрешена законодательством Союза или государства-члена, применимым к контролеру
Нужно обеспечить, чтобы сотрудники не обрабатывали информацию с помощью автоматизированных функций без проверки наличия важной причины для избежания нарушений, которые могут привести к штрафам, что может дорого обойтись.
Как Netwrix может помочь отвечать на запросы GDPR?
Netwrix может обеспечить уверенность в способности обрабатывать все типы запросов на данные (data requests), быстро находя всю информацию, которую организация хранит об отдельном лице.
Решения Netwrix (например Netwrix Auditor или Netwrix Data Classification) могут помочь защитить все чувствительные и регулируемые данные организации. Можно установить управление данными, удалить ненадлежащий доступ, внедрить политики безопасности и своевременно выявлять современные угрозы, чтобы избежать затрат, связанных с нарушениями безопасности и нарушениями соответствия.
