今天我们将讨论“伟大而可怕的” GDPR(通用数据保护法规)或个人数据保护通用法规。 尽管该法律于2018年5月获得通过,但许多公司仍未满足其所有要求。
我们会见了DPO(数据保护官),以简单地告诉他什么是GDPR,以及公司为避免巨额罚款必须做什么。
本文的脚注引用了法律的基本定义。
-什么是GDPR?
-GDPR是适用于整个世界的国际法¹,尽管它已被欧盟采用。 这是一部保护互联网用户权利的法律,尤其是对每个在欧盟或欧盟公民的个人数据的传输,处理,存储进行规范。
¹“本规则适用于在联盟中控制者或处理者的机构的活动范围内处理个人数据,无论该处理是否在联盟中进行。”-即使他使用欧盟以外公司的服务/站点?
-是的,国际地位使您不仅可以在欧盟范围内扩大法律的效力。 如果某人使用了可从欧盟领土获得的资源或是欧盟公民,但在其他国家的领土内,则该人仍受该法律的约束。
-采用它的原因是什么?-在采用GDPR之前,有很多数据滥用案例,包括个人案例。 营销人员开始通过各种研究来“恐吓”人们。 他们开始研究一个人的行为和习惯,并使用此知识,从而使他变得更加无能为力。 当某人在站点上执行某些操作时,例如,推荐系统会促使他采取某种行为。
在某个时候,Facebook完全开始合法出售用户数据以进行研究。 另外,所有生物特征数据都受到保护,这非常重要,因为 欧盟引入的电子护照。
-非欧盟国家的公司应该怎么做才能遵守该法律的要求?
-必须遵守该法律定义的规则。 首先,您需要通知用户信息收集。 这是第一个遇到的资源访问者。 公司必须绝对清楚,轻松地(包括通过设计解决方案)向用户传达他们想要从他那里得到什么,他的数据被收集了什么以及为什么需要它。 例如,如果收集了体重参数,则有必要指出为什么要使用它们(如果其真正目的是提供减肥药,则应写明)。
-是否应以匿名形式存储数据?-法律有义务对数据进行匿名处理并将其存储在不同的位置。 但是事实是这里有两个主要角色-处理器²和控制器³。
控制器是收集和使用此数据的人,它有义务将其匿名存储在不同的位置,因此,例如,攻击者获得了某些数据库的访问权限,将无法与真实的人进行比较。 例如,您的姓名,地址,银行卡号,身高,体重,婚姻状况等。 每个项目应存储在不同的数据库中。 用一个名字,第二个婚姻状态,第三个地址,等等。
但是每个公司都有允许您将所有这些连接起来并用于自己的目的的算法。 因此,提供数据存储是一回事。 但是处理 ⁴这是完全不同的。 应该有数据访问协议。 如果不存在,则在发生泄漏的情况下,委员会将对此予以澄清;如果您没有规程,则委员会将决定您妥善保管并且处理不佳,他们将采取措施。
²““处理者”是指代表控制者处理个人数据的自然人或法人,公共当局,机构或其他机构”;
³“控制人”是指自然人或法人,公共当局,机构或其他机构,这些机构单独或与他人共同确定处理个人数据的目的和方式; 如果此类处理的目的和方式是由联盟或成员国法律确定的,则“
processing“处理”是指对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动化方式进行,例如收集,记录,组织,结构化,存储,改编或更改,检索,咨询,使用,通过传播,传播或其他方式公开,对齐或组合,限制,擦除或破坏”。
-为了符合本法律的要求,如何组织现有站点/业务的翻译过程?
-首先,有必要分析数据收集和处理的当前状态。 因此,如果目前仅使用一台服务器,则有必要将其分成几台,这样就不可能从一个来源入侵所有数据库。 保护应该作为信息的输入,并且服务器会经常受到防病毒软件的监视。 最好为第二个通道提供Internet,以便在其中一个通道发生泄漏的情况下,将其关闭,并进行工作以消除另一个通道上的所有问题。 访问只能通过安全的VPN连接进行。 现在,所有主流浏览器在尝试访问不带https的页面时都会写警告。
如果使用https,一切正常。 顺便说一句,长期以来一直无视该法律要求的Google 都将ssl证书的存在作为搜索中的排名因素之一。
-是什么威胁不遵守该法律的要求?
-如果我们谈论的是欧盟居民,那么当然是罚款,这些罚款是监管机构在分析和调查后发布的。 原则上,在宏观层面上,这全部由2,000万欧元(即年营业额的4%)的高额罚款监管。 欧洲法院将对此案进行审议,它宁愿以营业额的4%来代替2000万欧元。
但这是最大的。 自法律生效以来已经过去了一年,并且已经有实际案例。 在泄漏极少且没有人受伤的情况下,攻击者被逮住了,该公司只是发出警告。 如果由于疏忽而没有采取措施,他们将处以罚款,从几欧元到数十万欧元不等。 迄今为止,Google继续对法律的某些规定继续不予理issued,已处以最高5000万欧元的罚款。 立即警告说,由于丢失了生物识别数据,例如医疗机构,受到了特别严厉的惩罚。
-谁有义务遵守该法律,而谁不对该诉讼适用?
-不存储个人数据的人⁵-此处也包含允许您识别一个人或确定其位置的数据,例如ip,但目前佣金不将ip视为个人数据。 名称和电话号码是个人数据,如果收集它们的目的不仅是为了与该人联系,还希望以其他方式使用它们。 如果仅用于通信,则数据不会对保留期限产生影响和限制。 这些目标不涉及销售商品或预测用户行为。
还应记住,邮件,登录名或密码分别不是个人数据。 仅特别是那些允许您个性化一个人或确定一个人的位置的参数,例如ip + mac地址。
在后苏联时期,我们习惯于“如果不允许,则禁止”的事实,相反,在自由主义国家中,“不允许的则不允许”。 这是两种完全不同的范式和对法律的态度。 并且,因此,无罪推定在这里是有效的-除非证明无罪,否则您无罪。
⁵““个人数据”是指与已识别或可识别的自然人(“数据主体”)有关的任何信息; 可识别的自然人是指可以直接或间接识别的人,特别是可以参考诸如姓名,识别号,位置数据,在线标识符之类的标识符,或者可以参考特定于身体,生理,该自然人的遗传,心理,经济,文化或社会特征”;
-现在,该委员会又提交了另一项有关个人数据保护的法律,即关于Cookie的法律,请向我们详细说明。
-这只是IP地址的问题。 通过ip,您可以确定人员在哪里,设备的整个配置。 但是同时有必要以某种方式遵守该法律。 现在,知识产权已经超出了该法律的范围 。 但是他们没有离开,问题仍然悬而未决,因为它仍然需要监管。 他的版本已经有两个,很快就会有第三个。 它们的使用很容易被削弱。 英国已经开始朝这个方向运动。
如果当前版本采用了该法律,则Google和类似公司将无法在欧盟工作。 现在,每个人都在游说减轻这项法律。 但是值得向欧盟表示敬意,他们高度关注人民,其公民和居民,并且正在推动这项有利于人民的法律。 虽然该法律尚未获得通过,甚至还没有处于阅读的最后阶段。 但根据惯例,即使在2019年被接受,通常也要花1-2年的时间才能解决所有问题。
现在,整个问题仅是公司将被允许渗透到人们的个人生活中的深度。
-实施措施以符合本法现场要求所需的团队组成?
-通常这意味着要部分就业,在极少数情况下,有必要全职参与整个团队。 分析人员将对公司的当前状况进行审核,并生成执行规范。 负责硬件,通信通道等的系统管理员或DevOps和程序员将最终确定该站点。
-客户团队和公司的工作将产生什么结果?
-首先,将更改与个人数据(处理)有关的工作:收集,处理和存储将遵守法律。 客户的公司很有可能会出现一个新职位-数据保护官(DPO)。 将在公司网站和用户可用的文档(安全声明,隐私政策,Cookie处理政策等)上完成工作。 将出现用于访问和处理用户个人数据的内部协议。
您可以通过单击以下链接来了解有关GDPR的更多信息: https ://www.gdpreu.org/(该资源仅以英语提供)。