Поделиться через

Общий регламент по защите данных

Общий регламент по защите данных (GDPR) обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила независимо от того, где находитесь вы или ваше предприятие. В этом документе вы сможете получить сведения для соблюдения прав и выполнения обязательств в рамках GDPR при использовании продуктов и служб Майкрософт. Дополнительными ресурсами по оценке и обеспечению соответствия требованиям GDPR являются рекомендуемый план действий для GDPR и контрольные списки готовности к подотчетности.

Терминология

Полезные определения терминов GDPR, используемых в этом документе:

  • Контролер данных (контролер): юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
  • Персональные данные и субъект данных — все сведения, относящиеся к определенному или определяемому физическому лицу ("субъект данных"). Определяемым физическим лицом считается лицо, которого можно прямо или косвенно определить.
  • Обработчик: физическое или юридическое лицо, государственный орган, агентство или другой орган, обрабатывающий персональные данные от имени контролера.
  • Данные клиента — это данные, которые создаются и хранятся в ходе повседневной работы компании.

Что такое GDPR?

GDPR предоставляет пользователям права на управление персональными данными, которые организация собирает о них. Люди может осуществлять эти права с помощью запроса субъекта данных (DSR). Организация должна своевременно предоставлять сведения о dsr и утечках данных, а также выполнять оценки влияния на защиту данных (DPIA).

Учитывайте несколько моментов при реализации или оценке требований GDPR:

  • Разработка или оценка политики конфиденциальности данных в соответствии с GDPR.
  • Оценка безопасности данных в организации.
  • Определение контроллера данных.
  • Определение процессов безопасности данных, которые может потребоваться выполнить.

Рекомендуемый план действий для контрольныхсписков готовности GDPR и подотчетности может побудить вас к дополнительным размышлениям.

Чтобы соответствовать стандартам GDPR, выполните следующие задачи. Подробные сведения о реализации см. по ссылкам в списке.

  • Запросы субъектов данных (DSR). Официальный запрос от субъекта данных к управляющему, требующий выполнения некоторых действий (изменение, ограничение, доступ) с персональными данными этого субъекта.
  • Уведомление о нарушении. В соответствии с GDPR нарушение безопасности — это "нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию персональных данных, передаваемым, сохраненным или обработанным иным образом, или доступу к ней".
  • Оценка влияния на защиту данных (DPIA). В соответствии с GDPR управляющие данными должны подготовить DPIA для операций с данными, которые "могут привести к высокому риску для прав и свобод физических лиц".

Как упоминалось ранее, рекомендуемый план действий для проверки готовности к GDPR и подотчетности содержит руководство по реализации или оценке соответствия GDPR с помощью продуктов и служб Майкрософт.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция на портале Microsoft Purview , которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям имеет предварительно созданную оценку этого правила для клиентов Enterprise E5. Найдите шаблон для создания оценки на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Запрос субъекта данных (DSR)

GDPR предоставляет физическим лицам (или субъектам данных) определенные права в связи с обработкой их персональных данных, в том числе право на исправление неточных данных, удаление данных или ограничение их обработки, получение их данных и выполнение запроса на передачу их данных другому контролеру. Контролер отвечает за своевременный и согласованный с GDPR ответ. Для технических деталей, обратитесь к Запросам Темы Данных.

Вопросы и ответы по DSR

Какие действия завершают DSR?

DSR включают шесть действий: обнаружение, доступ, исправление, ограничение, экспорт и удаление.

Каковы ваши источники данных?

Большая часть данных организации поступает из приложений Office , таких как Excel и Outlook. Вы также можете найти данные, относящиеся к DSR, в аналитических сведениях , созданных продуктами и службами Майкрософт, а также в журналах, созданных системой.

Какие виды данных нужно искать?

Персональные данные можно найти в данных клиентов, аналитических сведениях, созданных продуктами и службами Майкрософт, а также в системных журналах.

Как выполняется поиск персональных данных?

Поиск персональных данных зависит от продуктов и служб Майкрософт. Средства поиска включают поиск контента и возможность поиска в приложении. Администраторы могут получать доступ к системным журналам, связанным с действиями пользователя.

В каких форматах должны быть доступны личные данные?

GDPR "право на переносимость данных" позволяет субъекту данных запрашивать копию персональных данных в "структурированном, часто используемом, машиночитаемом формате" и запрашивать, чтобы ваша организация передавала эти файлы другому контроллеру данных.

Что требует GDPR и каковы мои обязанности в качестве контролера?

В соответствии с GDPR управляющие должны:

  • Предоставьте субъектам данных копию своих персональных данных вместе с объяснением категорий обрабатываемых данных, целей этой обработки и категорий третьих лиц, которым могут быть раскрыты их данные.
  • Помогите каждому человеку реализовать свое право исправлять неточные личные данные, удалять данные или ограничивать их обработку, получать свои данные в удобочитаемой форме и, где это применимо, выполнять запрос на передачу своих данных другому контроллеру.

Что требует GDPR и каковы обязанности Microsoft как процессора?

Корпорация Майкрософт должна реализовать соответствующие технические и организационные меры, чтобы помочь вам отвечать на запросы субъектов данных, осуществляющих свои права, как обсуждалось ранее.

Где можно найти информацию, связанную с GDPR, для локальных серверов?

Вы можете найти ряд статей, посвященных GDPR. Разработанные Microsoft, они предоставляют рекомендуемые подходы для локальной рабочей нагрузки для SharePoint Server, Exchange Server, Project Server, сервера Office Web Apps, Office Online Server и локальных общих файловых ресурсов.

Как Microsoft позволяет вам отвечать на запросы субъектов данных?

Веб-службы предоставляют вам как управляющему множество возможностей для реагирования на запросы субъектов данных. Веб-службы Майкрософт и средства административного контроля помогают вам выполнять действия с персональными данными в соответствии с надлежащими запросами субъектов данных, позволяя обнаруживать, корректировать, ограничивать, удалять и экспортировать персональные данные, хранящиеся в облаке Майкрософт и подконтрольные управляющему, а также получать доступ к таким данным. Онлайн-сервисы также предоставляют данные в машиночитаемой форме, если вам это нужно.

Оценка воздействия на защиту данных

В соответствии с GDPR управляющие данными должны подготовить оценку влияния на защиту данных (DPIA) для операций обработки, которые "могут привести к высокому риску для прав и свобод физических лиц". Продукты и службы Майкрософт не требуют создания DPIA. Вместо этого это зависит от сведений о конфигурации Майкрософт. Список сведений, которые необходимо учитывать, можно найти в Разделе Содержимое DPIA в Office.

Часто задаваемые вопросы по DPIA

Когда нужно провести DPIA?

Вы должны выполнить DPIA при устранении рисков, связанных с безопасностью персональных данных или в результате нарушения безопасности данных. Конкретные примеры факторов риска в Office см. в статье Определение необходимости DPIA.

Что требуется для выполнения DPIA?

Регламент GDPR требует, чтобы оценка DPIA включала следующее:

  • Оценка необходимости и пропорциональности операций обработки данных по отношению к целям DPIA.
  • Оценка рисков для прав и свобод субъектов данных.
  • Специальные меры для устранения рисков, гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения GDPR.

Каковы мои обязанности в качестве контролера?

В соответствии с GDPR вы, как контролер, должны выполнить DPIA перед обработкой данных, что, вероятно, приведет к высокому риску для прав и свобод отдельных лиц, особенно обработки с использованием новых технологий. GDPR предоставляет следующий неисчерпаемый список случаев, в которых необходимо выполнить DPIA:

  • Автоматическая обработка для целей профилирования и аналогичных действий, которая имеет юридические последствия или аналогично существенно влияет на субъектов данных.
  • Обработка в большом масштабе специальных категорий персональных данных - данных, раскрывающих расовое или этническое происхождение, политические убеждения и т. д., - или данных, связанных с уголовными осуждениями и преступлениями.
  • Масштабное систематическое отслеживание общедоступной области.

GDPR также требует, чтобы вы проконсультировались с вашим Центром по защите данных (DPA), прежде чем начинать обработку, если вы не можете определить достаточные процессы для минимизации высоких рисков для субъектов данных.

Каковы обязательства Microsoft?

Microsoft обеспечивает конфиденциальность путем разработки и обеспечения конфиденциальности по умолчанию в своих технических и бизнес-функциях. В рамках этих усилий Microsoft проводит всесторонние проверки конфиденциальности операций обработки данных, которые могут оказать влияние на права и свободы субъектов данных. Команды по вопросам конфиденциальности, внедренные в группы служб, рассматривают разработку и реализацию служб, чтобы обеспечить обработку персональных данных в уважительном порядке, что соответствует международному праву, ожиданиям пользователей и явным обязательствам Майкрософт.

Эти проверки конфиденциальности, как правило, детализированные — конкретная служба может получать десятки или сотни отзывов. Microsoft объединяет эти детальные проверки конфиденциальности в Оценки воздействия на защиту данных (DPIA), которые охватывают основные группы обработки, которые затем проверяет сотрудник по защите данных Microsoft (DPO). DPO оценивает риски, связанные с обработкой данных, чтобы обеспечить принятие надлежащих мер по их предотвращению или снижению. Если объект DPO обнаруживает неозначимые риски, он рекомендует вернуться в группу разработчиков. DPIA проверяются и обновляются по мере изменения рисков защиты данных.

Microsoft, как процессор, обязана помогать контролерам в обеспечении соответствия требованиям DPIA, изложенным в GDPR. Чтобы помочь клиентам, корпорация Майкрософт предоставит абстрагированные части своих процессов DPIA в этом разделе в будущих обновлениях, чтобы позволить управляющим, опираясь на службы Майкрософт, использовать эти части для создания собственных процессов DPIA.

Уведомление о нарушении

GDPR устанавливает требования к уведомлениям для контроллеров данных и обработчиков данных при нарушении личных данных. Как обработчик данных корпорация Майкрософт помогает клиентам соблюдать требования к уведомлениям о нарушении GDPR. Управляющие данными несут ответственность за оценку риска для конфиденциальности данных и определение необходимости уведомления DPA клиента о нарушении безопасности данных. Корпорация Майкрософт предоставляет сведения, необходимые для этой оценки. Дополнительные сведения о том, как корпорация Майкрософт обнаруживает нарушение личных данных и реагирует на них, см. в разделе Уведомление о нарушении данных в соответствии с GDPR.

Часто задаваемые вопросы про уведомление о нарушении

Что составляет нарушение личных данных в GDPR?

Персональные данные — это любые сведения, касающиеся физического лица, которые могут быть использованы для прямой или косвенной идентификации. Утечка персональных данных — это "нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию персональных данных, передаваемым, сохраненным или иным образом обработанным, а также доступу к ней".

Каковы ваши обязательства в качестве контроллера?

Если происходит нарушение личных данных, которое может привести к высокому риску для прав и свобод отдельных лиц (таких как дискриминация, кража личных данных, мошенничество, финансовые потери или повреждение их репутации), GDPR требует от вас:

  • Уведомите соответствующее управление по защите данных (DPA) в течение 72 часов с момента получения сведений об этом, например после того, как корпорация Майкрософт уведомит вас. Если вы не уведомите DPA в течение этого периода времени, необходимо объяснить причину DPA. Это уведомление к DPA требуется, даже если существует риск для людей, который не может привести к высокому риску.
  • уведомить субъектов данных о нарушении без неоправданной задержки;
  • Задокументируйте нарушение, включая описание характера нарушения, например количество затронутых пользователей, количество затронутых записей данных, последствия нарушения и любые действия по исправлению, которые предлагает или предпринят ваша организация.

Каковы обязанности Microsoft как процессора?

Если выявим нарушение безопасности персональных данных, согласно GDPR мы должны уведомить вас об этом без неоправданной задержки. Там, где Microsoft является процессором, наши обязательства отражают как требования GDPR, так и наши стандартные договорные положения по всему миру. Мы считаем, что все подтвержденные нарушения безопасности персональных данных находятся в область; нет риска причинения ущерба порога. Мы уведомляем наших клиентов о том, что утечка данных была нарушена корпорацией Майкрософт напрямую или каким-либо из наших субобработчиков. У нас есть процессы для быстрого выявления и связи с сотрудниками по вопросам безопасности, которые вы идентифицируете в вашей организации. Кроме того, все субобработчики по договору обязаны сообщать корпорации Майкрософт о своих нарушениях и предоставлять гарантии в этом случае.

Как корпорация Майкрософт обнаружит нарушение данных?

Все наши службы и сотрудники выполняют внутренние процедуры контроля безопасности во избежание нарушений безопасности данных. Однако, кроме того, онлайн-сервисы имеют специальные средства контроля безопасности на наших платформах для обнаружения нарушений данных в редких случаях, когда они происходят.

Как корпорация Майкрософт ответит на нарушение данных?

Чтобы поддержать вас в случае нарушения прав персональных данных, корпорация Майкрософт: - Сотрудники службы безопасности обучены определенным процедурам, которые необходимо выполнить. — политики, процедуры и элементы управления на месте, чтобы гарантировать, что корпорация Майкрософт ведет подробные записи. Этот ответ включает в себя документацию, которая фиксирует факты инцидента, его последствия и меры по исправлению положения, а также отслеживает и хранит информацию в наших системах управления инцидентами.

Как корпорация Майкрософт сообщит мне о нарушении данных?

В Microsoft действуют политики и процедуры, позволяющие своевременно уведомлять вас. Чтобы удовлетворить ваши требования к уведомлению к DPA, мы предоставляем описание процесса, который мы использовали для определения того, произошло ли нарушение персональных данных, описание характера нарушения и описание мер, принятых нами для устранения нарушения.

Контрольный список готовности к подотчетности в рамках GDPR

Эти контрольные списки предоставляют удобный способ доступа к информации, которую может потребоваться для поддержки GDPR с помощью продуктов Майкрософт. Вы можете управлять элементами контрольного списка, ссылаясь на идентификатор элемента управления и название элемента управления в разделе Элементы управления, управляемые клиентом, на плитке GDPR с помощью Диспетчера соответствия требованиям Microsoft Purview.

Часто задаваемые вопросы о GDPR

Делает ли Microsoft обязательства перед своими клиентами в отношении GDPR?

Да. GDPR требует, чтобы контроллеры (например, организации, использующие корпоративные веб-службы Майкрософт) использовали только процессоры (например, Майкрософт), которые предоставляют достаточные гарантии для удовлетворения ключевых требований GDPR. Корпорация Майкрософт заблаговременно предоставляет эти обязательства всем клиентам корпоративного лицензирования в рамках их соглашений.

Как Microsoft помогает мне соответствовать?

Microsoft предоставляет инструменты и документацию для поддержки вашей подотчетности GDPR. Эта поддержка включает в себя права субъекта данных, проведение собственных оценок влияния на защиту данных и совместную работу по устранению нарушений личных данных.

Какие обязательства содержатся в Условиях GDPR?

Условия корпорации Майкрософт в отношении GDPR отражают обязательства, требуемые от обработчиков в статье 28. Статья 28 требует, чтобы процессоры обязались:

  • Используйте подпроцессоры только с согласия контроллера и несите ответственность за подпроцессоры.
  • Обрабатывать персональные данные только по указанию контроллера, в том числе в отношении переводов.
  • Убедитесь, что лица, которые обрабатывают личные данные, соблюдают конфиденциальность.
  • Внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности персональных данных, соответствующего риску.
  • Помогать управляющим в их обязательствах по реагированию на запросы субъектов данных при реализации ими своих прав в рамках GDPR.
  • Соблюдайте требования по уведомлению о нарушении и помощи.
  • Помощь контролерам в оценке воздействия на защиту данных и консультации с надзорными органами.
  • Удалите или верните личные данные в конце предоставления услуг.
  • Поддержите контролера с подтверждением соответствия GDPR.

На каком основании Microsoft облегчает передачу личных данных за пределы ЕС?

Microsoft долгое время использовала Стандартные договорные условия (также известные как Типовые положения) в качестве основы для передачи данных для своих корпоративных онлайн-сервисов. Договорные положения Standard — это стандартные условия, предоставляемые Европейской комиссией, которые можно использовать для передачи данных за пределы Европейской экономической зоны в соответствии с требованиями. Корпорация Майкрософт включила договорные положения Standard во все свои соглашения о корпоративном лицензировании с помощью условий продукта. Для персональных данных из Европейской экономической зоны, Швейцарии и Соединенного Королевства корпорация Майкрософт гарантирует, что передача персональных данных в третью страну или регион или международную организацию подпадает под соответствующие меры предосторожности, описанные в статье 46 GDPR. В дополнение к обязательствам корпорации Майкрософт в соответствии с Standard договорными положениями для обработчиков и других типовых контрактов, корпорация Майкрософт продолжает соблюдать условия платформы Privacy Shield, но больше не полагается на нее в качестве основы для передачи персональных данных из ЕС/ЕЭЗ в США.

Каковы другие предложения, связанные с обеспечением соответствия требованиям Майкрософт?

Как глобальная компания с клиентами почти во всех странах или регионах мира, Корпорация Майкрософт имеет надежный портфель соответствия требованиям для оказания помощи своим клиентам. Полный список предложений по соответствию требованиям, включая FedRamp, HIPAA/HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud и многие другие, см. в разделах о соответствии требованиям.

Как GDPR повлияет на мою компанию?

GDPR предъявляет широкий спектр требований к организациям, которые собирают или обрабатывают личные данные, включая требование соблюдать шесть ключевых принципов:

  • Прозрачность, справедливость и законность в обработке и использовании персональных данных. Вы должны быть ясно с частными лицами о том, как вы используете персональные данные, и вам также требуется "законное основание" для обработки этих данных.
  • Ограничьте обработку персональных данных указанными, явными и законными целями. Вы не можете повторно использовать или раскрывать персональные данные в целях, которые не являются "совместимыми" с целью, для которой вы первоначально собирали данные.
  • Сведите к минимуму сбор и хранение персональных данных только до того, что является достаточным и актуальным для целевой цели.
  • Обеспечьте точность персональных данных и их удаление или исправление. Необходимо принять меры, чтобы убедиться, что персональные данные, которые вы храните, являются точными и могут быть исправлены при возникновении ошибок.
  • Ограничьте хранение персональных данных. Вам необходимо убедиться, что персональные данные хранятся только до тех пор, пока это необходимо для достижения целей, для которых вы собирали данные.
  • Обеспечение безопасности, целостности и конфиденциальности персональных данных. Ваша организация должна принять меры для обеспечения безопасности личных данных с помощью технических и организационных мер безопасности.

Вы должны понимать конкретные обязательства вашей организации в соответствии с GDPR и как вы будете их выполнять. Корпорация Майкрософт поможет вам в настройке GDPR.

Какие права должны предоставлять компании в рамках GDPR?

GDPR предоставляет жителям ЕС контроль над своими личными данными через набор «прав субъекта данных». Этот набор включает право на:

  • Доступ к информации о том, как используются личные данные.
  • Доступ к личным данным, хранящимся в организации.
  • Удалите или исправьте неверные личные данные.
  • Исправить и стереть личные данные при определенных обстоятельствах (иногда их называют «право быть забытым»).
  • Ограничить или возразить против автоматической обработки персональных данных.
  • Получите копии личных данных.

Кто такие обработчики и контролеры?

Контролер — это физическое или юридическое лицо, государственный орган, агентство или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. Обработчик - это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.

Применяется ли GDPR к процессорам и контроллерам?

Да, GDPR распространяется как на контроллеры, так и на процессоры. Контроллеры должны использовать только процессоры, принимающие меры в соответствии с требованиями для GDPR. В соответствии с GDPR обработчики имеют дополнительные обязанности и ответственность за несоответствие или действия вне инструкций, предоставленных контролером, по сравнению с Директивой о защите данных. Обязанности обработчика включают, но не ограничиваются следующими:

  • Обработка данных только в соответствии с инструкциями контроллера.
  • Использование соответствующих технических и организационных мер для защиты персональных данных.
  • Помощь контроллеру с запросами субъекта данных.
  • Гарантируя, что задействованные подпроцессоры отвечают этим требованиям.Обеспечение соответствия требованиям.

Какой штраф предусмотрен для компаний за несоблюдение требований?

Компании могут быть оштрафованы на сумму до 20 миллионов евро или 4% от годового мирового оборота, в зависимости от того, что больше, за несоблюдение определенных требований GDPR. Дополнительные индивидуальные средства могут увеличить ваш риск, если вы не соблюдаете требования GDPR.

Нужно ли моему бизнесу назначать сотрудника по защите данных (DPO)?

Это зависит от нескольких факторов, определенных в нормативных актах. В статье 37 GDPR говорится, что контролер и обработчики должны назначить сотрудника по защите данных в любом случае, когда: (a) государственный орган или орган, за исключением судов, действующих в их судебном качестве, осуществляет обработку; (b) основная деятельность контролера или обработчика состоит из операций обработки, которые в силу их характера, их область или целей требуют регулярного и систематического мониторинга субъектов данных в большом масштабе; или (c) основная деятельность контролера или обработчика состоит из обработки в большом масштабе специальных категорий данных в соответствии со статьей 9 и персональных данных, связанных с уголовными осуждениями и преступлениями, указанными в Статья 10.

Сколько это будет стоить, чтобы соответствовать требованиям GDPR?

Соблюдение требований GDPR будет стоить времени и денег для большинства организаций, хотя это может быть более плавным переходом для тех, кто работает в хорошо спроектированной модели облачных служб и имеет эффективную программу управления данными.

Как я узнаю, что данные, обрабатываемые моей организацией, охватываются GDPR?

GDPR регулирует сбор, хранение, использование и совместное использование персональных данных. GDPR определяет персональные данные в широком смысле, как любые данные, относящиеся к идентифицированному или идентифицируемому физическому лицу.

Персональные данные могут включать, помимо прочего, сетевые идентификаторы (например, IP-адреса), сведения о сотрудниках, базы данных о продажах, данные о службах клиентов, формы обратной связи с клиентами, данные о местоположении, биометрические данные, кадры камер видеонаблюдения, записи о схеме лояльности, медицинские и финансовые сведения и многое другое. Он даже может включать информацию, которая не является личной( например, фотография пейзажа без людей), где номер счета или уникальный код связывает эти сведения с идентифицируемым лицом. И даже персональные данные, которые вы псевдонимизируете, могут быть персональными данными, если псевдоним может быть связан с конкретным лицом.

Обработка определенных "особых" категорий персональных данных, таких как персональные данные, которые показывают расовое или этническое происхождение человека или касаются его здоровья или сексуальной ориентации, регулируется более строгими правилами, чем обработка "обычных" персональных данных. Такая оценка персональных данных зависит от конкретных фактов, поэтому обратитесь к эксперту для оценки ваших конкретных обстоятельств.

Моя организация обрабатывает данные только от имени других пользователей. Должен ли он по-прежнему соответствовать GDPR?

Да. Хотя правила несколько различаются, GDPR применяется к организациям, которые собирают и обрабатывают данные для своих собственных целей («контроллеры»), а также к организациям, которые обрабатывают данные от имени других («процессоры»). Это требование является отходом от существующей Директивы о защите данных, которая применяется к контроллерам.

Что конкретно считается персональными данными?

Персональные данные - это любая информация, касающаяся идентифицированного или идентифицируемого лица. Нет различия между личной, общественной или рабочей ролью человека. Личные данные могут включать:

  • Имя
  • Домашний адрес
  • Рабочий адрес
  • Номер телефона
  • Номер мобильного телефона
  • Адрес электронной почты
  • Номер паспорта
  • Номер национального удостоверения личности
  • Номер социального страхования (или его эквивалент)
  • Водительское удостоверение
  • Физическая, физиологическая или генетическая информация
  • Медицинские сведения
  • Культурная принадлежность
  • Банковские реквизиты и номера счетов
  • Номер налогоплательщика
  • Рабочий адрес
  • Номера кредитных и дебетовых карт
  • публикации в социальных сетях;
  • IP-адрес (для региона ЕС)
  • Местоположение и данные GPS
  • Файлы cookie

Могу ли я передавать данные за пределы ЕС?

Да, однако GDPR строго регулирует передачу персональных данных европейских резидентов в пункты назначения за пределами Европейской экономической зоны. Вам может потребоваться создать конкретный правовой механизм, например контракт, или придерживаться механизма сертификации, чтобы включить эти передачи. Корпорация Майкрософт подробно описывает механизмы, которые она использует в условиях продукта.

У меня есть требования к хранению данных через соответствие требованиям. Переопределяют ли эти требования право на стирание?

При наличии законных оснований для продолжения обработки и хранения данных, таких как "для соблюдения юридического обязательства, требующего обработки в соответствии с законодательством Союза или государства-члена, которым подчиняется контролер" (статья 17(3)(b)), GDPR признает, что организации могут быть обязаны хранить данные. Однако убедитесь, что вы обратитесь к адвокату, чтобы убедиться, что основания для хранения сопоставляются с правами и свободами субъектов данных, их ожиданиями на момент сбора данных и другими важными факторами.

GDPR занимается шифрованием?

GDPR определяет шифрование как защитную меру, которая делает персональные данные неразборчивыми при нарушении. Таким образом, использование шифрования может повлиять на требования к уведомлению о нарушении личных данных. GDPR также указывает на шифрование в качестве соответствующей технической или организационной меры в некоторых случаях, в зависимости от риска. Шифрование также является обязательным требованием стандарта безопасности данных индустрии платежных карт и частью строгих правил соответствия, характерных для отрасли финансовых услуг. Продукты и службы Майкрософт, такие как Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, база данных SQL Server/Azure SQL, Windows 10 и Windows 11 обеспечивают надежное шифрование передаваемых и неактивных данных.

Как GDPR меняет реакцию организации на утечку персональных данных?

GDPR изменяет требования к защите данных и устанавливает более строгие обязательства для обработчиков и контролер в отношении уведомления о нарушениях безопасности персональных данных. В соответствии с новым регламентом обработчик должен уведомить контролера данных о нарушении личных данных после того, как стало известно об этом, без неоправданной задержки. Узнав о нарушении персональных данных, контроллер должен уведомить соответствующий орган по защите данных в течение 72 часов. Если нарушение, вероятно, приведет к высокому риску для прав и свобод отдельных лиц, контролер также должен уведомить затронутых лиц без неоправданной задержки. Дополнительное руководство по этой теме разрабатывается Рабочей группой ЕС по статье 29.

Продукты и службы Майкрософт, такие как Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 и Windows 10 — на сегодняшний день доступны решения, помогающие обнаруживать и оценивать угрозы безопасности и нарушения безопасности, а также выполнять обязательства по уведомлению о нарушениях GDPR.

Дополнительные ресурсы

  • Last updated on