Поширені запитання щодо GDPR Мережі захисту даних
Законодавство про захист даних не є чимось новим, але GDPR справді вдосконалює правила, вводить жорсткіші зобов'язання та спирається на попередні визначення захисту даних або їх змінює. Ось декілька зручних відповідей на поширені запитання.
З: Який взаємозв’язок між GDPR та Законом про захист даних Великобританії (DPA)?
A: Як Регламент ЄС, GDPR став автоматично застосовуватися у всіх державах-членах ЄС з 25 травня 2018 року.
GDPR надає державам-членам ЄС обмежені можливості вносити зміни до того, як вони застосовуватимуться в їхній країні, відомі як "відступ". Закон про захист даних Великобританії від 2018 року набуває чинності, щоб надати чіткіші пояснення організації, як застосовується GDPR до Великобританії, включаючи позицію Великобританії щодо цих відступів.
Наприклад, Великобританія встановила вік згоди дитини щодо послуг інформаційного суспільства на 13 років. Цей вік буде відрізнятися в інших державах-членах.
DPA 2018 також охоплює обробку даних, яка не підпадає під законодавство ЄС, наприклад, імміграція та національна безпека. Тому важливо, щоб GDPR та DPA 2018 читалися поряд.
З: Як змінилося визначення поняття "особисті дані" згідно з GDPR?
A: Особисті дані - це будь-яка інформація, яка стосується живої особи, яку можна ідентифікувати або можна ідентифікувати за цією інформацією. Наприклад, ім'я, адреса, номер паспорта, дані про місцезнаходження, ідентифікатор в Інтернеті та список можна продовжувати. Окрім чіткого включення контактних даних фізичних осіб, це також поширюється на наші ділові контакти, за якими нас можна ідентифікувати.
Поняття ідентифікується вимагає ретельного розгляду; чи може одна інформація та інша інформація зробити особу ідентифікуваною?
Варто зазначити, що GDPR застосовується до персональних даних, які обробляються повністю або частково автоматизованими засобами. Якби не були автоматизовані, на Положення охоплюватимуться особисті дані, які є частиною системи подання заявок (або мають бути призначені частиною системи подання).
З: Що таке дані спеціальної категорії?
A: Певні типи персональних даних вимагають вищого рівня захисту. Відповідно до попереднього ДПА 1998 року використовувався термін "конфіденційні дані". Визначення того, що зараз називають "особливими категоріями" персональних даних, було вдосконалено згідно з GDPR і охоплює виявлення персональних даних:
- расового чи етнічного походження
- політичні думки
- релігійні чи філософські переконання
- членство в профспілках
- дані щодо здоров’я чи статевого життя
- сексуальна орієнтація
- генетичні дані
- біометричні дані
Обробка такої інформації обмежена згідно з GDPR. Детальніше див. У статті 9 GDPR.
Іноді це потребує ретельного розгляду, оскільки спочатку ви можете не думати, що обробляєте дані спеціальної категорії. Варто врахувати, що деякі дієтичні вимоги можуть свідчити про релігійні вірування та різні, здавалося б, нешкідливі відомості, якщо їх поєднання може виявити сексуальну орієнтацію.
Багато людей задається питанням, чому вищезазначену інформацію отримують особливий захист, корінь цього полягає у принципах захисту прав людини та даних, що склалися в Європі після Другої світової війни. Війна, в якій людей переслідували за етнічне походження, релігійні переконання чи справді сексуальну орієнтацію.
З: Які 7 принципів захисту даних GDPR?
A: Закони про захист даних у всьому світі завжди лежали в основі основних принципів захисту даних. GDPR спеціально наголошує на вимозі до відповідальності організацій. Сім принципів:
1. Законність, справедливість та прозорість
2. Обмеження цілей - чітко повідомте про цілі, для яких ви будете використовувати персональні дані
3. Мінімізація даних - збирайте лише ті особисті дані, які вам потрібні для ваших чітких цілей
4. Точність - особисті дані не повинні бути неточними або оманливими
5. Обмеження зберігання - не зберігайте особисті дані довше, ніж це потрібно для ваших чітких цілей
6. Безпека - забезпечте відповідні заходи безпеки для захисту персональних даних
7. Підзвітність - ви повинні вміти продемонструвати свою прихильність до всього вищезазначеного.