6 принципов конфиденциальности GDPR, которые вы должны знать — прямо сейчас
Всеобъемлющие правила GDPR вступят в силу всего через несколько месяцев, и компании изо всех сил стараются их соблюдать. Это необходимо знать всем компаниям: существует шесть принципов конфиденциальности GDPR, которые составляют основные условия Общего регламента по защите данных. Организации должны следовать им при сборе, обработке и управлении личной информацией граждан Европы, независимо от того, находится ли бизнес в Европе или в любой точке мира. Принципы аналогичны принципам Директивы о защите данных (DPD), поэтому организации должны уже иметь некоторые поддерживающие политики. Однако необходимо внести коррективы, чтобы соответствовать дополнительным тонкостям шести принципов конфиденциальности GDPR и принципу дополнительной подотчетности.
Принципы более совершенны
Шесть принципов конфиденциальности GDPR предназначены для организаций. Эти принципы представляют собой обзор их основных обязанностей по защите данных. Организация может учитывать их при интерпретации дальнейших требований регламента.
Эти принципы конфиденциальности GDPR приходят на смену принципам, изложенным в Директиве ЕС о защите данных 95/46/EC (DPD), поэтому они будут знакомы организациям, которые уже соблюдают ее. Однако избегайте самоуспокоенности, поскольку сферы применения DPD и GDPR различаются, а новое регулирование является более масштабным и подробным. Таким образом, необходимо больше для обеспечения соблюдения.
Уже имеющиеся рамки для поддержки соблюдения DPD будут выгодны для тех организаций, которые хотят соблюдать GDPR, когда он вступит в силу 25 мая. Однако важно, чтобы организация хорошо понимала принципы, связанные с конфиденциальностью GDPR. область, чтобы определить различия между ними и определить все, что является новым.
Некоторые из принципов дополнительно уточняются, чтобы соответствовать достижениям в области технологий, которых не было на момент принятия DPD. Сегодняшние требования к конфиденциальности лучше защищены GDPR. Кроме того, принципы конфиденциальности GDPR учитывают изменения в обработке данных.
6 принципов конфиденциальности GDPR (это 6 плюс «плюс 1»)
Шесть принципов (изложенные в статье 5 регламента) подчеркивают цель GDPR по соблюдению требований. Их можно использовать, чтобы помочь организациям лучше всего управлять своими личными данными. Они обобщают основные обязанности по соблюдению нормативных требований и очень помогают организациям не отставать. Шесть принципов таковы:
1. Законность, справедливость и прозрачность
Персональные данные должны обрабатываться законно, справедливо и прозрачно по отношению к субъекту данных (лицу, которому принадлежат данные). Чтобы сделать это на законных основаниях, обработка должна соответствовать критериям законной обработки, изложенным в GDPR. Чтобы достичь этого справедливо, обрабатываемые данные должны коррелировать с тем, как они были описаны. Информирование субъекта данных о том, что, как (простым для понимания и доступным способом) и почему его данные будут обрабатываться, гарантирует, что вы прозрачны в отношении обработки его данных.
Мелкий шрифт больше не годится! Но выделены скорее целенаправленные приемы, обеспечивающие проблемы и риски. Это дает субъекту данных подлинный контроль и выбор и приравнивается к прозрачности и справедливости.
GDPR подчеркивает этот принцип как основной, тогда как DPD затрагивает его как предусмотрительность для контроллера данных для прозрачной обработки данных.
Организации могли бы внедрить более доступные и простые политики конфиденциальности для защиты прав отдельных лиц.
2. Целевые ограничения
Персональные данные могут собираться только для определенных, явных и законных целей. Эти данные могут быть использованы только для описанных целей и ни для каких других, без предварительного согласия. Делай, что говоришь, и говори, что думаешь!
DPD отражает этот принцип аналогичным образом. Однако GDPR расширяет сферу применения, разрешая обработку других категорий, таких как обработка в общественных интересах и научных целях.
3. Минимизация данных
Собирайте только те персональные данные, которые необходимы для выполнения бизнес-функций. Если он вам не нужен, не собирайте его — никогда! Данные должны быть адекватными, актуальными и ограничиваться тем, что необходимо. Это играет смежную роль и с ограничением цели (принцип № 2).
4. Точность
Персональные данные должны быть точными и актуальными. Для этого должны быть предприняты все необходимые шаги. Не следует хранить неточные данные, а любые ошибки в данных следует исправлять, как только о них становится известно.
DPD требует тех же критериев. Тем не менее, GDPR основывается на том, что удаление или исправление неточных личных данных должно выполняться без промедления.
5. Ограничение хранения
Не сохраняйте данные, если они вам больше не нужны для целей, определенных и согласованных для обработки. Надежно удалите данные, когда они больше не нужны. Не храните персональные данные, которыми вы больше не пользуетесь! Обзор, обзор, обзор!
GDPR дополняет список исключений для этого принципа. GDPR разрешает более длительное время хранения данных в случаях обработки данных в общественных интересах и научных целях. Это добавлено к исключению, отображаемому под DPD, для более длительного времени хранения для обработки данных в статистических или исторических целях.
6. Честность и конфиденциальность
Целостность, конфиденциальность и доступность имеют основополагающее значение для безопасности! Конфиденциальность и целостность личных данных должны всегда поддерживаться. Для этого также необходимо контролировать доступ.
Для достижения принципа № 6 должны быть использованы необходимые организационные и технические меры. Персональные данные должны быть надлежащим образом защищены (шифрование является технической мерой для достижения этого). Если данные зашифрованы, они остаются конфиденциальными и сохраняют свою целостность, даже если попадут в чужие руки.
Воздействие взлома резко снижается как для организаций, так и для отдельных лиц, чьими данными они являются.
Кроме того, должны быть приняты меры для защиты от незаконной обработки, случайной потери, а также уничтожения или повреждения персональных данных.
Это основные ценности и в DPD.
Не забудьте плюс 1!
7. Подотчетность и соблюдение
Как только вы подумали, что все кончено, раскрывается самое важное дополнение…
Вот где сияет «плюс 1»!
Это одна из областей, которая отличает GDPR от нынешнего DPD и чревата серьезными последствиями (и головной болью!), если она не будет достигнута. Вы должны не только обеспечить соблюдение шести вышеуказанных принципов, но и продемонстрировать это соответствие. Вероятно, это самый важный из принципов, поскольку контролеры данных должны взять на себя ответственность за соблюдение требований, а также продемонстрировать это.
Подотчетность должна подаваться сверху вниз и внедряться в организацию. Это означает, что данные необходимо защищать и поддерживать соответствие требованиям, куда бы они ни направлялись, а также на каждом этапе обработки (внешней, внутренней, трансграничной и юрисдикционной, с третьими лицами). Кроме того, все принятые решения должны быть задокументированы для подтверждения ответственности. Все этапы обработки должны быть учтены и должны соответствовать требованиям.
Это потребует от организаций наличия процессов для достижения подотчетности, и они будут разными для каждой организации.
Принцип подотчетности также дополняет требования прозрачности GDPR.
Проблема соблюдения стандартов конфиденциальности GDPR
Организации должны пересмотреть свои внутренние политики и процедуры для обеспечения соответствия. Новый регламент означает, что организации необходимо будет обновить свои текущие процедуры соответствия, поскольку существующие методы не будут полностью охватывать новую область. Не делайте ошибку и не думайте, что если вы соблюдаете DPD, вы автоматически соблюдаете новые принципы конфиденциальности GDPR. Вероятность того, что вы этого не сделаете. Вам нужно будет внести коррективы, и вам нужно будет сделать это быстро.