Это Канонический вопрос около интерпретация GDPR так как обсуждали на мета.
Хотя Server Fault может помочь вам, когда у вас есть конкретная проблема с внедрением чего-либо, связанного с регламентом, общие вопросы о соответствии GDPR слишком широки, мы не юристы, которые могут интерпретировать юридические вопросы, а стиль вопросов / ответов не позволяет Для того, чтобы быть уверенным, что вы действительно соблюдаете требования, необходимо углубленное обсуждение, чтобы знать все детали в вашей организации.
У меня вопрос относительно Общие правила защиты данных (GDPR), постановление ЕС 2016/679.
Как и большинство нормативных актов, GDPR не является четким списком правил о том, что делать, а что нет. Поэтому вопросы, касающиеся этого, часто слишком обширны, чтобы их можно было решить на сайте вопросов и ответов. Вокруг регулирования существует множество мифов и неправильных упрощений, и вся отрасль основана на страхе перед санкциями, налагаемыми регулированием.
Этот ответ пытается дать практический обзор предмета. Я не юрист, но работаю над этой темой почти с тех пор, как она появилась, сначала со сбором информации. ждать и смотреть подход, и в настоящее время с другим практическим, своего рода приоритетным и итеративным подходом.
Мы (пока) не знаем, как постановление будет интерпретировано судами, и многие компании все еще ждут, чтобы увидеть, какие действия предпринимают другие. Поскольку Server Fault предназначен для ИТ-специалистов, мы не юристы, которые могут интерпретировать постановление и его связь с другими законами. Даже если бы мы могли, вопросы в стиле вопросов и ответов были бы очень длинными, чтобы получить всю подробную информацию, необходимую для ответа: соблюдение GDPR - это не вопрос отдельных действий, а целая стратегия внутри вашей компании. Если вам нужно задать такие вопросы, возможно, вам потребуется нанять консультанта или даже юриста. Однако многие выживут без него.
Вы должны создать (возможно, с помощью юридической консультации) свою собственную стратегию и на ее основе решить, какие действия вы выполняете в соответствии с GDPR. Когда вы пытаетесь реализовать эти изменения в реальной информационной системе, вы можете столкнуться с техническими проблемами, касающимися того, как что-то должно быть достигнуто. Вот тогда вопрос сузился до объема сбоя сервера!
Для начала вы должны знать, для чего нужны правила. По сути, это правовая основа для обеспечения бережного обращения с личными данными в течение всего срока их службы, от сбора до удаления. GDPR Статья 5 кратко описывает принципы обработки персональных данных:
GDPR дает субъекты данных то есть контроль граждан над своими личными данными и инструменты, обеспечивающие соблюдение этих принципов. К ним относятся права на доступ к своим данным, их исправление и перемещение, а также на удаление, то есть право быть забытым (если никакой другой закон не требует его сохранения). Это также дает возможность наложения санкций, и вашей компании может потребоваться назначить сотрудник по защите данных.
Большинство принципов уже реализовано в национальном законодательстве (в связи с Директива о защите данных 95/46 / EC), что делает изменение довольно ограниченным для компаний внутри ЕС. Компании за пределами ЕС могут иметь немного больше дел, если они обрабатывают личные данные граждан ЕС.
Главное, что изменилось: ответственность, что лучше всего достигается на практике путем тщательного документирования ваших процедур:
На мой взгляд, если вы тщательно обдумали эти вещи, устранили проблемы и снизили риски, которые вы обнаружили, а затем задокументировали все это, вы должны быть подальше от санкций - даже если вы действительно пострадали от вторжения. Между вашей ситуацией и поведением, за которое человек несет ответственность, будет целый океан возможных небрежных действий. € 20 млн / 4% от оборота штрафы.