Терминология GDPR на простом английском

terminologiya gdpr na prostom anglijskom

Моя команда создает технологии для некоторых из самых популярных редакций Швеции и Норвегии. Часть прибыли поступает от продажи рекламы. Реклама лучше продается, когда она персонализирована, а для персонализации вам нужны данные. Бизнес-модель Интернета по умолчанию основывается на рекламе. GDPR имеет огромные последствия для онлайн-бизнесов, таких как редакции.

Но вот интересная часть – Общий регламент о защите данных (GDPR) устанавливает ограничения на то, какие данные можно собирать, как их можно использовать и как долго их можно хранить.

Эта публикация посвящена демистификации основных терминов GDPR, чтобы каждый мог понять эту интересную тему. Если вы являетесь европейцем или имеете европейских пользователей, вам нужно понимать GDPR.

TL;DR; это огромный переход в том, как собираются персональные данные от «по умолчанию» к «подключению». Плюс некоторые другие преимущества.

Вот видео, которое суммирует это на базовом уровне:

Прежде чем мы начнем, краткая оговорка: я не представляю своих текущих/предыдущих работодателей в своем личном блоге. Данная информация базируется исключительно на моих собственных исследованиях и не обязательно отражает политику, стратегию или внедрение GDPR моей компании.

Немного фона

GDPR вступил в силу 25 мая. Несмотря на то, что жизнь разработчиков и маркетологов усложняется, это действительно очень приятная сделка для конечных пользователей. GDPR запрещает компаниям собирать информацию, которая им не нужна (строго говоря).

Несмотря на то, что начинается со слова «Общие», GDPR действительно является законом Европейского Союза (ЕС), который применяется к:

  1. Компании, базирующиеся в ЕС
  2. Компании, собирающие персональные данные граждан Европы.

Возможно, это «General» и хорошо, потому что огромная часть Интернета европейская!

1*jS0wmtrioU6pGFsVO6sS7g
Глобальное использование Интернета в течение 24 часов (википедия)

Слово «Регламент» в GDPR означает, что оно должно применяться полностью по всему ЕС.

В долгосрочной перспективе это приводит к конфиденциальность по дизайну. Это принцип, требующий включения защиты данных с самого начала разработки систем, а не как сзади.

Общепринятая терминология

Вот список самых распространенных терминов GDPR:

  • А Субъект данных это лицо (например, вы и я), чьи персональные данные обрабатываются контроллером данных (например, компания или услуга, которую мы используем).
  • А Контроллер данных это организация, собирающая данные от жителей ЕС. Он определяет цели, условия и средства обработки персональных данных.
  • Субъект, осуществляющий фактическую обработку данных, называется а Процессор данных — примером может служить поставщик облачных услуг.
  • Обработка включает любую операцию, выполняемую с персональными данными, независимо от того, осуществляется ли она автоматизированными средствами. Это включает сбор, использование, запись, передачу его в алгоритмы машинного обучения (прочтите, как ML влияет на GDPR) и т.д.

GDPR для пользователей

Ваш личные данные – это любая информация, которая может быть использована для того, чтобы прямо или косвенно идентифицировать вас. Например: ваше имя, домашний адрес, фотография, адрес электронной почты, банковские реквизиты, публикации на веб-сайтах социальных сетей, медицинская информация или IP-адрес компьютера или мобильного телефона.

Эти данные обычно используются для профилирование, в котором автоматизированные процессы оценивают, анализируют или предсказывают ваше поведение. Например, если вы знаете свой возраст, вы увидите объявления, нацеленные на вашу возрастную группу. Это также касается данных, которые вы явно не предоставляете компании, например IP-адреса, который будет использоваться для определения вашего местоположения.

Теперь, когда GDPR действует, у компаний есть ограничения относительно того, какие персональные данные они могут собирать и как долго они могут их хранить. Они должны обосновать, зачем это им нужно.

Контроллер данных (компания) не может просто пойти и собирать пользовательские данные. Они должны сначала попросить вашего разрешения или согласия.

Согласие должно быть явным для собранных данных и для целей использования данных. Согласие предоставляется свободно (если вы скажете «нет», компания все равно должна обслуживать вас как можно лучше без ваших данных). Согласие не должно считаться предоставленным свободно, если субъект данных не имеет подлинного или свободного выбора или не может отказаться от согласия или отозвать его без ущерба. Согласие должно быть конкретным и четким относительно того, какие данные собираются и как они обрабатываются. Пользователь имеет право отзывать свое согласие в любое время но важнее его будет так же легко отозвать, как и дать согласие.

Компании больше не могут заставить вас поставить флажок с надписью «Я принимаю все условия и политику конфиденциальности». Вот почему вы получали эти электронные письма от многих веб-сайтов с информацией об их политике до 25 мая.

Область согласия GDPR имеет ряд последствий для компаний, на практике записывающих звонки. Типовых предупреждений «вызовы записываются с целью обучения и безопасности» больше не будет достаточно для получения согласия на запись звонков.

Должно быть разумное правовое основание для сбора точной части данных. Согласно сайту GDPR, это может быть, если:

  • Обработка необходима для выполнения договора, стороной которого является субъект данных, или для принятия мер по требованию субъекта данных к заключению договора.
  • Обработка необходима для выполнения юридических обязательств, которым подчиняется контролер.
  • Обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица.
  • Обработка необходима для выполнения задачи, выполняемой в общественных интересах или для осуществления официальных полномочий, предоставленных контролеру.
  • Обработка необходима для целей законных интересов, преследуемых контролером или третьей стороной, если такие интересы не преобладают интересы или основные права и свободы субъекта данных, требующие защиты персональных данных, в частности, если субъект данных является ребенком.

Важнейшим преимуществом GDPR является то, что он предоставляет пользователям возможность контролировать:

  1. Стирайте их данные, когда захотят (также известно как право быть забытым). Стирание данных запросы не останавливаются на контроллере данных. Если сторонние обработчики задействованы, они также должны прекратить обработку данных и стереть их. Я предполагаю, что для этого будет де-факто стандартный API, но пока он более специален и зависит от того, как службы общаются друг с другом. Я уверен, что в будущем появятся службы, где вы предоставите им свою личную информацию, и они проверят тысячи онлайн-сервисов, чтобы предоставить вам сводный отчет о том, на каких сайтах есть ваша информация. Компании должны предоставить способ запроса, есть ли у них данные для конкретного пользователя (не требуя регистрации). Пустяки: это по сути противоречит тому, как работает блокчейн! Узнайте больше о последствиях GDPR для Blockchain здесь.
  2. Обладайте их данными! Субъекты данных (пользователи) могут загружать и просматривать данные и способ их обработки. Кроме того, распорядитель данных должен сообщить субъекту данных о деталях обработки, таких как цели обработки, кому передаются данные и способ получения данных. Это называется право доступа или право доступа субъекта. Персональные данные не могут быть переданы в страны за пределами Европейского Союза, если они не гарантируют такой же уровень защиты данных.
  3. Перенесите данные конкурентам. Это хорошо для конкуренции, и в конечном счете пользователи побеждают. Данные должны предоставляться контролером в структурированном и общеупотребительном стандартном электронном формате. Нет больше блокировки! Это известно как Переносимость данных. Это, вероятно, откроет совершенно новый бизнес-сегмент для преобразования форматов данных из одного контроллера в другой.
  4. Обновите/исправите свои данные. Субъекты данных имеют право попросить распорядителей данных немедленно исправить (публичные или частные) данные, которые недействительны.

Я лично нахожу нарушение данных объявление удивительное.

Распорядитель данных несет юридическое обязательство уведомить соответствующий надзорный орган о любом нарушении данных без неоправданной задержки, за исключением случаев, когда нарушение может привести к риску для прав и свобод пострадавших лиц.

Лица должны быть поставлены в известность, если определено негативное влияние. После того, как стало известно о нарушении данных, для представления отчета остается максимум 72 часа. Кроме того, обработчик данных должен будет сообщить распорядителю данных без излишней задержки после того, как станет известно о нарушении персональных данных.

Вы помните, когда Yahoo два года держала в тайне свои нарушения? Ну уж нет!

GDPR для правительств

Поскольку GDPR — это достаточно великая вещь, правительства участвуют в защите своих граждан и обеспечении выполнения правил. Есть два термина для понимания:

  • национальный Органы защиты данных (DPA) назначаются каждой страной ЕС для имплементации и соблюдения законодательства о защите данных, а также для предоставления рекомендаций. Надзорный орган (SA) – это другое название DPO. Как отмечено в разделе 16, DPA имеют значительные правоприменительные полномочия, включая возможность налагать значительные штрафы. Они также являются местом, куда можно обратиться в случае нарушения законодательства о защите данных (в рамках GDPR для граждан ЕС), а также совета и конкретных вопросов и/или помощи с точки зрения организаций.
  • А Офицер по защите данных (DPO) — сотрудник распорядителя данных (компании), которому официально возложена задача обеспечить осведомленность организации о своих обязанностях по защите данных и соблюдению ими. Детальнее об этом в следующей главе.
1*Q6HO-CQ7tHOUAd0s9tG6xA
DPA и DPO

Каждый член ЕС имеет главное учреждение, где принимаются ключевые решения по обработке данных.

GDPR для компаний

Верхний предел штрафа за нарушение GDPR достаточно дорог: до 20 миллионов евро, или до 4% годового мирового оборота за предыдущий финансовый год… выше!

Компании, собирающие данные, несут ответственность за внедрение и демонстрацию того, что они соответствуют GDPR. Это называется соответствие.

Предполагается, что компании должны вести журнал о том, кто к какой информации обращался, когда власти просят провести аудит. Необходимо вести записи о деятельности по обработке, включающей цели обработки, привлеченные категории и сроки.

Записи должны предоставляться надзорному органу по запросу. Интересно, что даже если фактическая обработка происходит другой компанией (обработчиком данных от имени контроллера данных), именно компания, которая собирает данные, несет основную ответственность.

Весь этот новый диапазон требований достаточно сложен, чтобы создать новую должность: специалист по защите данных (DPO)! Это руководящая роль в сфере безопасности предприятия, которая отвечает за надзор за стратегией защиты данных и ее внедрение для обеспечения соответствия.

Они также:

  • Научите компанию и сотрудников важным требованиям соответствия
  • Является точкой контакта между компанией и надзорными органами.
  • Отслеживайте и предоставляйте консультации по защите данных во всей компании
  • Следите за всеми действиями по обработке данных в компании, включая цели всех видов обработки, которые должны быть обнародованы по запросу
  • Отвечайте на запросы пользователей о том, как используются их данные, право на удаление данных и вопросы о мерах, которые компания приняла для защиты их личной информации.
  • Определите и уменьшите риски конфиденциальности юридических лиц, анализируя персональные обрабатываемые данные и политику защиты данных, которая называется Оценка влияния на конфиденциальность данных. GDPR требует проведения DPIA, если обработка данных может привести к высокому риску для прав и свобод физических лиц.

DPO должен иметь команду поддержки, а также отвечать за непрерывное профессиональное развитие, чтобы быть независимым от нанимающей их организации фактически как «мини-регулирующий орган».

Если у компании есть несколько учреждений в ЕС, она будет иметь единый надзорный орган как главный орган, исходя из того, где происходит основная деятельность по обработке данных.

GDPR для разработчиков

Поскольку GDPR действует конфиденциальность по дизайну, это влияет на архитектуру программного обеспечения и их реализацию. К примеру, мы больше не можем вести журналы конфиденциальной информации (как упоминалось ранее, IP-адреса считаются личной информацией). Это несколько усложняет отслеживание ошибок.

Поэтому настройки конфиденциальности должны быть установлены на высоком уровне по умолчанию. Поэтому мы должны убедиться, что флажки, открывающие личные данные, не установлены по умолчанию.

Если Облако используется для хранения данных, ключи дешифрования должны иметь только владелец данных, а не облачная служба.

Мы не можем хранить данные дольше, чем нужно. Столбцы базы данных должны иметь a срок хранения данных определяет, когда данные должны быть удалены.

Личная информация должна быть под псевдонимом таким образом, что его больше нельзя увязывать (или «приписывать») одному субъекту данных без использования дополнительных данных.

Более подробно о псевдонимизации в техниках читайте в моей новой публикации.

Исключения из GDPR

Какая польза от закона, если его не нарушать? Не беспокойтесь слишком своими правами, поскольку следующие случаи не охватываются положением:

  • Законный перехват, национальная безопасность, армия, полиция, правосудие
  • Статистический и научный анализ для исследований
  • Умершие лица подпадают под действие национального законодательства
  • Есть специальный закон об отношениях между работодателем и работником. GDPR был разработан с упором на социальные сети и облачные провайдеры, но не учел достаточно требований по обработке данных сотрудников.
  • Обработка персональных данных физическим лицом во время личной или бытовой деятельности

Признание

Спасибо моей коллеге Йоане Норген за то, что она вычитывала эту публикацию перед публикацией. Любые возможные ошибки все еще мои.

Источники

Интересное чтение

Суть: GDPR является очевидным правом. Европа была пионером в ее создании, но это должно быть глобальное право. Поговорите об этом со своими друзьями, коллегами и законодателями, если вы хотите воспользоваться такой же защитой и выбором, как и европейцы.

Если вам это понравилось, вам может понравиться: программирование – это лучшая работа, и как я успеваю за технологиями.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *