Оценка влияния на защиту данных в рамках GDPR
Общий регламент по защите данных (GDPR) обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения см. в статье Сводка по GDPR. В этом документе вы можете получить сведения относительно оценки влияния на защиту данных (DPIA) в рамках GDPR при использовании продуктов и служб Майкрософт.
Термины
Полезные определения терминов GDPR, используемых в этом документе:
- Управляющий данными (управляющий) — юридическое лицо, орган государственной власти, агентство или другое лицо, которое отдельно от других или вместе с ними определяет цели и средства обработки персональных данных.
- Персональные данные и субъект данных — все сведения, относящиеся к определенному или определяемому физическому лицу ("субъект данных"). Определяемым физическим лицом считается лицо, которого можно прямо или косвенно определить.
- Обработчик — физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, которое обрабатывает персональные данные от лица управляющего.
- Данные клиента — это данные, которые создаются и хранятся в ходе повседневной работы компании.
Что такое DPIA?
Общий регламент по защите данных (GDPR) требует, чтобы управляющие подготовили оценку влияния на защиту данных (DPIA) для операций, которые "с высокой вероятностью могут повлечь значительный риск для прав и свобод физических лиц". Продукты и службы Майкрософт не требуют создания DPIA. Однако это продукты и службы с широкими возможностями настройки, поэтому иногда конфигурация Майкрософт может требовать DPIA. Корпорация Майкрософт не контролирует такие данные и практически не имеет соответствующих аналитических сведений. Управляющим данными необходимо определить, какое использование данных является надлежащим.
Выполнение DPIA
Руководство по DPIA применимо к Office 365, Azure, Dynamics 365, службе поддержки и профессиональному обслуживанию Майкрософт. В этом руководстве рассматриваются следующие вопросы:
Когда требуется DPIA?
Рассматривая вопрос о необходимости DPIA, следует учесть перечисленные ниже факторы риска. Другие факторы потенциального риска и дополнительные сведения см. в части 1 каждой инструкции.
- Систематическая расширенная оценка данных на основе автоматизированной обработки.
- Масштабная обработка определенных категорий данных (данные, используемые для уникальной идентификации физического лица) или персональных данных о судимостях и преступлениях.
- Масштабное систематическое отслеживание общедоступной области.
GDPR поясняет: "Обработка персональных данных не должна рассматриваться в большом масштабе, если обработка касается персональных данных пациентов или клиентов отдельным врачом, другим работником здравоохранения или адвокатом. В таких случаях оценка влияния на защиту данных не должна быть обязательной.
Что требуется для выполнения DPIA?
DPIA предоставляет подробные сведения о планируемой обработке, которые описаны в части 2 руководства. Эти сведения включают следующие данные.
- Оценка необходимости и пропорциональности операций обработки данных по отношению к целям DPIA.
- Оценка рисков для прав и свобод физических лиц.
- Предполагаемые меры по устранению рисков, в том числе меры предосторожности, меры безопасности и механизмы для обеспечения защиты персональных данных и соблюдения требований GDPR.
- Цели обработки
- Категории обрабатываемых персональных данных
- Хранение данных
- Размещение и передача персональных данных
- Предоставление данных сторонним субобработчикам
- Предоставление данных независимым третьим сторонам
- Права субъектов данных
Дополнительные рекомендации
Конкретные сведения, которые могут быть важны для вашей реализации Майкрософт, см. ниже.
- Office 365. Этот документ относится к приложениям и службам Office 365, включая, помимо прочего, Exchange Online, SharePoint, Viva Engage, Skype для бизнеса и Power BI. Дополнительные сведения см. в таблицах 1 и 2.
- Azure. Клиентам рекомендуется сотрудничать с уполномоченными по защите личных данных и юрисконсультами, чтобы определить необходимость выполнения DPIA и ее содержимое в связи с использованием Microsoft Azure.
- Dynamics 365. Содержимое DPIA может отличаться в зависимости от того, какие Dynamics 365 средства вы используете. Конкретные сведения см. в части 2 "Содержимое DPIA".
- Windows. Этот документ относится к конфигурации обработчика диагностических данных Windows. Клиентам рекомендуется взаимодействовать со своими сотрудниками, отвечающими за конфиденциальность, и юрисконсультами, чтобы определить необходимость выполнения DPIA и ее содержимое в связи с использованием конфигурации обработчика диагностических данных Windows.
- служба поддержки Майкрософт и профессиональных услуг. Профессиональные службы не выполняют определенную рутинную или автоматическую обработку данных, а также не предназначены для обработки специальных категорий или задач, которые упрощают или требуют мониторинга общедоступных данных. Дополнительные сведения см. в разделе Часть 1. Определение необходимости выполнения DPIA. Управляющие данными должны рассматривать описанные выше элементы DPIA, а также любые другие важные факторы в контексте конкретной реализации и использования профессиональных услуг. Сведения о профессиональных услугах см. в разделе Часть 2. Содержимое DPIA.