GDPR грядет: как подготовиться

Примечание: это только для общих информационных целей и не предназначено для юридического анализа или юридической консультации. Вам следует связаться с юристом, чтобы узнать больше о ваших конкретных обязательствах в соответствии с GDPR.

Если вы являетесь частью организации, которая ведет дела с гражданами Европейского Союза, возможно, вы слышали о предстоящих изменениях, касающихся Общего регламента по защите данных (GDPR). GDPR — это закон Европейского Союза, призванный усилить и унифицировать правила и права защиты данных в интересах граждан ЕС. GDPR применяется к организациям из ЕС и к организациям, не входящим в ЕС (любого размера), которые предоставляют товары и услуги в ЕС или используют технологии отслеживания (такие как файлы cookie или пиксели отслеживания) для мониторинга поведения пользователей из ЕС.

GDPR вступит в силу с 25 мая 2018 года.

В это время любые организации, которые не соблюдают требования, могут быть подвергнуты штрафам и другим нормативным санкциям. Эта статья — отличное место для начала обзора GDPR.

Ключевые принципы GDPR

При подготовке к предстоящему GDPR помните о следующих принципах:

• Собранные персональные данные должны обрабатываться справедливым, законным и прозрачным образом. Его нельзя использовать никоим образом, чего человек не ожидает разумно.
• Персональные данные должны собираться только для достижения конкретной цели и не использоваться в дальнейшем способом, несовместимым с этими целями. Организации должны указать, зачем им нужны персональные данные при их сборе.
• Имеющиеся личные данные должны быть актуальными и точными. Его следует удерживать не дольше, чем это необходимо для выполнения его цели.
• Граждане ЕС имеют право на доступ к своим личным данным. Они также могут запросить копию своих данных и беспрепятственно обновить, удалить, ограничить или переместить их данные в другую организацию.
• Все личные данные должны храниться в безопасности, и компании, занимающиеся определенными видами деятельности, теперь обязаны назначать сотрудника по защите данных.

Что такое персональные данные?

Определение персональных данных в GDPR включает в себя то, что мы обычно считаем информацией, позволяющей установить личность (PII), — имя, номер паспорта, дату рождения и т. д., — но оно также включает данные, которые мы можем считать неличными, например IP-адреса или устройства. идентификаторы.

Персональные данные могут даже включать данные о человеке, которые были хешированы или зашифрованы.

Полный список того, что GDPR считает персональными данными, см. в статье 4(1) GDPR.

Кроме того, в определение персональных данных включено подмножество данных, известное как «специальные категории персональных данных». Специальные категории персональных данных — это определенный список данных, прямо указанный в GDPR, который включает в себя такие вещи, как раса, религия, политические взгляды, данные о состоянии здоровья и т. д.

Шаги по подготовке к GDPR

Отображение данных – определите (и задокументируйте) следующее:

• Какими личными данными вы владеете или собираете?
• Для каких целей используются персональные данные?
• Откуда взялись эти данные и каким сторонам они были переданы?
• Где в настоящее время находятся эти данные?
• Как долго хранятся данные?
• Как эти данные будут удалены или изменены, если субъект данных отправит запрос?

Права — проверьте свои текущие процедуры, чтобы убедиться, что вы можете соблюдать права субъектов данных. Граждане ЕС имеют право на доступ к своим личным данным. Они также могут запросить копию своих данных, а также, чтобы их данные были обновлены, удалены, ограничены или беспрепятственно перемещены в другую организацию при определенных обстоятельствах.

Согласие . Если вы полагаетесь на согласие как на основание для обработки персональных данных, укажите, как вы добиваетесь, получаете и документируете согласие. Для определенных (но не всех) видов деятельности, как правило, требуется получение согласия физического лица на использование его данных — например, при обработке особых категорий персональных данных. В GDPR указано, что согласие должно быть дано в виде четкого положительного действия — молчание, предварительно отмеченные галочкой поля или бездействие, как правило, не являются согласием. Согласие также должно быть информировано.

Организации должны будут предоставить информацию о том, почему они собирают персональные данные и для чего они будут использоваться.

Вы также должны будете вести учет всех полученных согласий, в том числе, кто дал согласие, когда и с какими конкретными утверждениями они соглашаются. Физические лица из ЕС будут иметь право отозвать согласие в любое время.

Политика конфиденциальности . Просмотрите текущую политику конфиденциальности и определите, нужны ли какие-либо обновления.

Дизайн продукта . Вы должны предусмотреть конфиденциальность в своих проектах и ​​подумать, как вы можете свести к минимуму влияние ваших продуктов на конфиденциальность. Старайтесь использовать псевдонимизацию, анонимизацию и шифрование там, где это уместно или необходимо. Более подробную информацию о конфиденциальности по дизайну можно найти в статье 25 GDPR.

Процедуры утечки данных . Убедитесь, что у вас есть процедуры для обнаружения, сообщения и расследования любых утечек данных. GDPR требует, чтобы организации сообщали о нарушении органам по защите данных, как правило, в течение 72 часов с момента обнаружения, за исключением случаев, когда маловероятно, что нарушение может привести к риску для прав на неприкосновенность частной жизни отдельных лиц.

Сотрудник по защите данных — определите, следует ли вам назначить сотрудника по защите данных (DPO). GDPR указывает, что DPO должен быть назначен, когда основная деятельность организации включает «регулярный и систематический мониторинг субъектов данных в больших масштабах» или когда организация проводит крупномасштабную обработку «особых категорий персональных данных». DPO отвечает за надзор за соблюдением требований GDPR и служит связующим звеном между организацией и надзорными органами.

Сторонние поставщики — составьте список всех сторонних решений, которые вы используете в настоящее время (включая файлы cookie для отслеживания веб-сайтов), которые имеют доступ к личным данным субъектов данных или обрабатывают их. Вам следует просмотреть все ваши контракты со сторонними поставщиками. Включите в свои контракты положения о конфиденциальности и конфиденциальности данных, которые, при необходимости, соответствуют GDPR. Спросите сторонних поставщиков, которые, как вы определили, входят в сферу действия, соответствуют ли они регламенту GDPR.

Осведомленность . Расскажите своим сотрудникам о GDPR и его влиянии на сбор и обработку персональных данных клиентов.

Как насчет защиты конфиденциальности?

GDPR предъявляет особые требования к передаче персональных данных за пределы ЕС.

Например, передача данных должна происходить только в страны, в которых было установлено, что у них есть адекватные законы о защите данных, или где вы внедрили соответствующие механизмы экспорта данных.

ЕС не считает, что в США действуют адекватные законы о защите данных, однако Privacy Shield — это добровольная программа самосертификации, в которой организации США могут участвовать, чтобы продемонстрировать, что у них есть адекватные методы защиты данных для выполнения этого требования GDPR. .

SendGrid имеет сертификат Privacy Shield, а также предлагает клиентам стандартные договорные условия в качестве альтернативного механизма экспорта данных.

Как это влияет на электронную почту?

GDPR повлияет на маркетинговую практику. Все маркетологи электронной почты, связанные с GDPR, должны решить, как они добиваются, получают и документируют согласие, когда это необходимо. Маркетологи также захотят убедиться, что они могут обновлять, удалять, ограничивать или перемещать данные человека по запросу. Соблюдая GDPR и удаляя адреса электронной почты нежелательных субъектов из своих списков, вы можете повысить доставляемость!

Что дальше?

Если вы считаете, что GDPR затронет вашу организацию, обратитесь к юристу, чтобы узнать больше о ваших конкретных обязательствах в соответствии с GDPR. Цель этого поста — осветить некоторые изменения, которые могут произойти в организациях в результате GDPR. Полный текст GDPR доступен здесь. Вы также можете найти дополнительную информацию, касающуюся использования файлов cookie, Регламента электронной конфиденциальности и того, как он соотносится с GDPR, здесь.