Контролер файла данных личного характера

Содержание
  1. Декларации, конвенции, соглашения и другие правовые материалы
  2. 1. Принцип законности и лояльности
  3. 2. Принцип точности
  4. 3. Принцип цели
  5. 4. Принцип доступа заинтересованных лиц
  6. 5. Принципы неприменения дискриминационных мер
  7. 6. Право на отступление
  8. 7. Принцип безопасности
  9. 8. Контроль и санкции
  10. 9. Трансграничный поток данных
  11. 10. Область применения
  12. В. Применение руководящих принципов к картотекам, содержащим данные личного характера и принадлежащим международным межправительственным организациям
  13. ASP.NET Core | Передача данных в контроллер
  14. Передача сложных объектов
  15. Передача массивов
  16. Передача данных в запросе POST
  17. Получение данных из контекста запроса
  18. Информация о GDPR на русском языке
  19. GDPR  (General Data Protection Regulation)
  20. Основные цели GDPR
  21. Основные термины
  22. Права граждан
  23. Персональные данные
  24. Сфера действия GDPR
  25. Соответствие требованиям GDPR
  26. Утечка персональных данных
  27. Что такое GDPR?
  28. Подробнее о GDPR
  29. Права субъектов персональных данных
  30. GDPR: правила обработки персональных данных простыми словами
  31. Персональные данные и GDPR: что это такое?
  32. Новые термины: контроллер и процессор
  33. Пример Gravitec.net
  34. Принципы и требования GDPR
  35. Что получает пользователь?
  36. Как соответствовать нормам GDPR: на примере Gravitec.net
  37. Как компания Gravitec.net подготовилась к введению новых правил?

Декларации, конвенции, соглашения и другие правовые материалы

Контролер файла данных личного характера

Приняты резолюцией 45/95 Генеральной Ассамблеи от 14 декабря 1990 года

Право выбора способов применения положений, касающихся компьютеризированных картотек, содержащих данные личного характера, принадлежит каждому государству при условии соблюдения следующих принципов:

1. Принцип законности и лояльности

Сбор или обработка данных, касающихся лиц, не должны осуществляться незаконными или нелояльными методами, и эти данные не должны использоваться в целях, противоречащих целям и принципам Устава Организации Объединенных Наций.

2. Принцип точности

Лица, ответственные за составление картотеки, или лица, ответственные за ее использование, обязаны проверять точность и соответствие зарегистрированных данных и следить за тем, чтобы они были по возможности максимально полными, во избежание ошибок из-за пропусков, и чтобы они обновлялись периодически или в ходе использования информации, содержащейся в досье, все время пока данная информация является предметом обработки.

3. Принцип цели

Цель создания картотеки и ее использование в зависимости от данной цели должны быть определены, обоснованы и в ходе ее создания доведены до сведения общественности или до сведения заинтересованного лица, с тем чтобы впоследствии можно было проверить:

а) соответствуют ли все собранные и зарегистрированные данные личного характера преследуемой цели;

b) не используются ли и не предаются ли гласности данные личного характера без согласия заинтересованного лица в целях, не совместимых с определенными таким образом целями;

c) не превышает ли срок хранения данных личного характера сроки, позволяющие достичь цели их регистрации.

4. Принцип доступа заинтересованных лиц

Любое лицо, удостоверяющее свою личность, имеет право знать, подвергаются ли касающиеся его данные обработке, получать об этом сообщение в понятной форме, без излишних задержек и расходов, добиваться внесения соответствующих исправлений в данные или уничтожение их в случае их незаконной, необоснованной или неточной регистрации и, если эти данные сообщались кому-либо, знать их получателя. Следует предусмотреть возможность подачи, в случае необходимости, апелляции в контрольный орган, предусмотренный в принципе восемь, изложенном ниже. В случае внесения исправления в картотеку соответствующие расходы относятся на счет лица, ответственного за картотеку. Желательно, чтобы положения данного принципа распространялись на любое лицо, независимо от его национальности или места жительства.

5. Принципы неприменения дискриминационных мер

За исключением случаев отступлений, оговоренных в принципе 6, не подлежат сбору данные, которые могут послужить основой для незаконного или произвольного принятия дискриминационных мер, в частности данные о расовом или этническом происхождении, цвете кожи, половой жизни, политических, религиозных, философских и других убеждениях, а также принадлежности к организациям или профсоюзам.

6. Право на отступление

Отступления от принципов 1–4 могут быть разрешены только в том случае, если они необходимы для защиты национальной безопасности, общественного порядка, здоровья или нравственности населения, а также, в частности, прав и свобод других лиц, особенно преследуемых (гуманитарная оговорка), при условии, что эти отступления ясно предусматриваются законом или равнозначным положением, принятыми в соответствии с внутренней юридической системой, которая ясно устанавливает их границы и предоставляет соответствующие гарантии.

Отступления от принципа 5, касающегося запрещения дискриминации, не только должны сопровождаться теми же гарантиями, что и отступления от принципов 1–4, но и могут быть разрешены только в пределах, предусмотренных Международным биллем о правах человека и другими соответствующими документами в области защиты прав человека и борьбы против дискриминации.

7. Принцип безопасности

Следует принять соответствующие меры в целях защиты картотек как от естественных рисков, таких, как случайная потеря или уничтожение в результате стихийного бедствия, так и от связанных с деятельностью человека рисков, таких, как несанкционированный доступ, противозаконное использование данных или заражение компьютерным вирусом.

8. Контроль и санкции

В любом законодательстве должен быть указан орган, который в соответствии с внутренней юридической системой обязан контролировать соблюдение вышеуказанных принципов.

Этот орган должен гарантировать соблюдение принципов беспристрастности, независимости по отношению к лицам или органам, ответственным за их обработку и применение, а также техническую компетентность.

В случае нарушения положений внутреннего законодательства, касающихся применения вышеуказанных принципов, следует предусмотреть возможность применения уголовно-правовых и других санкций, а также использование соответствующих средств индивидуальной правовой защиты.

9. Трансграничный поток данных

Если законодательством двух или более стран, участвующих в трансграничном потоке данных, предусматриваются примерно одинаковые гарантии в отношении защиты личной жизни, то обмен данными между ними должен осуществляться так же свободно, как и внутри территории каждой из этих стран. В случае отсутствия таких гарантий подобный обмен информацией может быть ограничен только в законном порядке и только в той мере, в какой это необходимо для защиты личной жизни.

10. Область применения

Настоящие принципы должны применяться в первую очередь ко всем государственным и частным компьютеризированным картотекам и, факультативно и с учетом соответствующих конкретных условий, к некомпьютеризированным картотекам.

Могут быть приняты конкретные положения также факультативного характера, распространяющие действие всех или части настоящих принципов на картотеки, принадлежащие юридическим лицам, в частности в том случае, если они частично содержат информацию, касающуюся физических лиц.

В. Применение руководящих принципов к картотекам, содержащим данные личного характера и принадлежащим международным межправительственным организациям

Настоящие руководящие принципы должны применяться к картотекам, содержащим данные личного характера и принадлежащим международным межправительственным организациям, при условии внесения необходимых изменений с учетом тех различий, которые могут существовать между картотеками для внутреннего пользования, такими, которые касаются учета персонала, и картотеками для внешнего использования, касающимися третьих лиц, имеющих отношение к организации.

Каждая организация должна назначить полномочный компетентный орган, поручив ему осуществлять контроль за добросовестным применением настоящих руководящих принципов.

Гуманитарная оговорка: необходимо предусмотреть конкретное отступление от этих принципов в том случае, если картотека предназначена для защиты прав человека и основных свобод заинтересованного лица или оказания ему гуманитарной помощи.

Аналогичное отступление следует предусмотреть и в национальном законодательстве в отношении тех международных межправительственных организаций, в соглашениях о штаб-квартирах которых не оговаривается неприменение данного национального законодательства, а также в отношении международных неправительственных организаций, к которым применяется данное законодательство.

Источник: https://www.un.org/ru/documents/decl_conv/conventions/computerized_data.shtml

ASP.NET Core | Передача данных в контроллер

Контролер файла данных личного характера

Последнее обновление: 17.11.2019

Вместе с запросом приложению могут приходить различные данные. И чтобы получить эти данные, мы можем использовать разные способы. Самым распространенным способом считается применение параметров.

Определение в методах контроллера параметров ничем не отличается от определения параметров в языке C#. Параметры могут представлять примитивные типы, как int или string, а могут представлять и более сложные классы.

Передавать значения для параметров можно различными способами. При отправке GET-запроса значения передаются через строку запроса. Стандартный get-запрос принимает примерно следующую форму: название_ресурса?параметр1=значение1&параметр2=значение2. Например, определим следующий метод:

public string Hello(int id) { return $”id= {id}”; }

Чтобы передать значение для параметра id, нам надо отправить запрос типа http://localhost:57086/Home/Hello?id=9:

Если метод принимает несколько параметров:

public string Square(int a, int h) { double s = a * h / 2; return $”Площадь треугольника с основанием {a} и высотой {h} равна {s}”; }

В этом случае мы можем обратиться к действию, набрав в адресной строке Home/Square?a=10&h=3, и приложение выдало бы нам нужный результат.

Если же мы не используем параметры в строке запроса, то для параметров будут передаваться значения по умолчанию. Например, при отправке запроса Home/Square/ параметры a и h будут равны 0. Но на случай подобной ситуации мы можем использовать параметры по умолчанию, которые будут работать, если через строку запроса не передается никаких параметров:

public string Square(int a = 3, int h = 10) { double s = a * h / 2; return $”Площадь треугольника с основанием {a} и высотой {h} равна {s}”; }

Система привязки MVC, которую мы позже рассмотрим, сопоставляет параметры запроса и параметры метода по имени.

То есть, если в строке запроса идет параметр a, то его значение будет передаваться именно параметру метода, который также называется a.

При этом должно быть также соответствие по типу, то есть если параметр метода принимает числовое значение, то и через строку запроса надо передавать для этого параметра число, а не строку.

Передача сложных объектов

Хотя строка запроса преимущественно используется для передачи данных примитивных типов, но мы также можем принимать более сложные объекты. Например, определим рядом с контроллером класс Geometry:

public class HomeController : Controller { public IActionResult Index() { return View(); } public string Area(Geometry geometry) { return $”Площадь треугольника с основанием {geometry.Altitude} и высотой {geometry.Height} равна {geometry.GetArea()}”; } // остальное содержимое } public class Geometry { public int Altitude { get; set; } // основание public int Height { get; set; } // высота public double GetArea() // вычисление площади треугольника { return Altitude * Height / 2; } }

Класс Geometry определяет два свойства и метод для подсчета площади. И теперь в контроллере метод Area принимает параметр типа Geometry.

Как в этом случае мы можем передать контроллеру данные? Для этого нам надо отправить запрос наподобие следующего http://localhost:57086/Home/Area?altitude=10&height=3.

Здесь параметры строки запроса должны соответствовать по имени свойствам объекта. Регистр названий при этом не учитывается:

Передача массивов

Допустим, метод принимает массив чисел:

public string Sum(int[] nums) { return $”Сумма чисел равна {nums.Sum()}”; }

Чтобы передать значения для массива, нам надо использовалась строку запроса наподобие http://localhost:57086/Home/Sum?nums=1&nums=2&nums=3. В этом случае в массиве nums окажется три элемента.

Теперь изменим метод Sum, чтобы он принимал массив объектов ранее созданного класса Geometry:

public string Sum(Geometry[] geoms) { return $”Сумма площадей равна {geoms.Sum(g=>g.GetArea())}”; }

Данный метод подсчитывает сумму всех площадей в массиве geoms. И чтобы передать в этот метод данные, нам надо использовать запрос типа http://localhost:57086/Home/Sum?geoms[0].altitude=10&geoms[0].height=3&geoms[1].altitude=16&geoms[1].height=2. В этом случае в массиве geoms будут два элемента Geometry.

Передача данных в запросе POST

Кроме GET-запросов также широко применяются POST-запросы. Как правило, такие запросы отправляются с помощью форм на веб-странице. Но основные принципы передачи данных будут теми же, что и в GET-запросах.

Для передачи POST-запросов определим в представлении Index.cshtml, которое должно быть по умолчанию в папке Views/Home, простенькую форму:

Высота:

Основание:

Форма устанавливает метод отправки – post, адрес отправки – Home/Area и два поля ввода чисел.

И чтобы метод Area принимал отправляемые данные, нам надо изменить его код следующим образом:

public class HomeController : Controller { public IActionResult Index() { return View(); } [HttpPost] public string Area(int altitude, int height) { double square = altitude * height / 2; return $”Площадь треугольника с основанием {altitude} и высотой {height} равна {square}”; } }

Чтобы система могла связать параметры метода и данные формы, необходимо, чтобы атрибуты name у полей формы соответствовали названиям параметров.

Причем здесь действуют те же правила привязки, поэтому мы также может с той же формы получать более сложные объекты:

[HttpPost] public string Area(Geometry geometry) { return $”Площадь треугольника с основанием {geometry.Altitude} и высотой {geometry.Height} равна {geometry.GetArea()}”; }

Получение данных из контекста запроса

Параметры представляют самый простой способ получения данных, но в действительности нам необязательно их использовать. В контроллере доступен объект Request, у которого можно получить как данные строки запроса, так и данные отправленных форм.

Данные строки запроса доступны через свойство Request.Query, которое представляет объект IQueryCollection. Например:

public string Area() { string altitudeString = Request.Query.FirstOrDefault(p => p.Key == “altitude”).Value; int altitude = Int32.Parse(altitudeString); string heightString = Request.Query.FirstOrDefault(p => p.Key == “height”).Value; int height = Int32.Parse(heightString); double square = altitude * height / 2; return $”Площадь треугольника с основанием {altitude} и высотой {height} равна {square}”; }

В данном случае метод Area обрабатывает GET-запросы, и мы можем к нему обратиться через запрос типа http://localhost:57086/Home/Area?altitude=20&height=4.

Для получения данных отправленных форм можно использовать свойство Request.Form. Это свойство представляет объект IFormsCollection, но работает аналогично Request.Query:

[HttpPost] public string Area() { string altitudeString = Request.Form.FirstOrDefault(p => p.Key == “altitude”).Value; int altitude = Int32.Parse(altitudeString); string heightString = Request.Form.FirstOrDefault(p =>p.Key == “height”).Value; int height = Int32.Parse(heightString); double square = altitude * height / 2; return $”Площадь треугольника с основанием {altitude} и высотой {height} равна {square}”; }

Источник: https://metanit.com/sharp/aspnet5/5.2.php

Информация о GDPR на русском языке

Контролер файла данных личного характера

Перевод GDPR здесь GDPR Русская версия

GDPR  (General Data Protection Regulation)

GDPR переводится как Общий/Генеральный регламент по защите персональных данных.25 мая 2018 года во всех государствах-членах Европейского Союза был введен новый закон о защите персональных данных. То, что часто называют Общим регламентом о защите данных ЕС, на самом деле является серией директив ЕС:

История принятия GDPR

Основные цели GDPR

  • защита персональных данных
  • защита прав и свобод людей в защите их данных
  • ограничение перемещения персональных данных в рамках Евросоюза
  • далее

Основные термины

  • Контроллер данных — это тот кто взаимодействует с клиентом, собирает данные и определяет каким образом их дальше обрабатывать.
  • Процессор (Оператор) данных — получает персональные данные от контроллера, хранит их или каким-то образом обрабатывает, по указанию контроллера. Процессор не работает с физическими лицами, а только обрабатывает их персональные данные, строго по поручению контроллера. Согласно GDPR статус процессора можно потерять, если процессор начинает сам определять, каким образом обрабатывать данные, а не следовать указаниям контроллера.
  • Совместные контроллеры — Если персональные данные обрабатываются двумя контроллерами совместно. Например, если процессор меняет схему обработи персональных данных без ведома контроллера, то он сам становится контроллером.
  • DPO (Data Protection Officer) — сотрудник по защите персональных данных.

Полный список.

Права граждан

GDPR усиливает существующие и вводит новые права гражданам ЕС, а также  дает гражданам больше контроля над своими личными данными:

  • более легкий доступ к их данным, включая предоставление дополнительной информации о том, как обрабатываются эти данные, и обеспечить доступность этой информации ясным и понятным образом;
  • право на переносимость данных — изменение правил передачи персональных данных между поставщиками услуг;
  • право на забвение («право на удаление персональных данных») — когда человек больше не хочет чтобы его персональные обрабатывалить и нет законных оснований для сохранения его персональных данных, то данные будут удалены;
  • право знать, если данные пользователя были взломаны — компаниям и организациям придется незамедлительно информировать людей о нарушениях безопасности данных. Они также обязаны уведомить соответствующий орган по надзору за защитой данных.

Кроме того GDPR предоставляет простые и рабочие инструменты гражданам ЕС для реализации своих прав, упрощая механизмы обращения в надзорные органы, например, жалобы в электронном виде.

Персональные данные

Персональные данные — любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»).

Например, прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.

То все данные, которые с ним связаны — это персональные данные. То есть просто данные становятся персональными данными, если, используя некую их совокупность, можно однозначно идентифицировать человека.

Примеры персональных данных:

  • имя, фамилия
  • номер паспорта или ИД удостоверения
  • дата и место рождения
  • место проживания, регистрация, прописка
  • е-мейл, телефон, или другая контактная информация
  • ИП-адрес и патаметры соединения
  • дата и время посещения ресурса, история и параметры посещений, включая название браузера.

А также особо охраняемые данные:

  • раса и национальность
  • политические взгляды
  • вероисповедание
  • сексуальная ориентация
  • биометрические данные — физические, физиологические или поведенческие признаки физического лица, при помощи которых возможно однозначно идентификацировать человека. Например, изображение человеческого лица, отпечатки пальцев, сечатки глаза, запись голоса и т.п.
  • данные о здоровье – данные о физическом или психическом здоровье человека. Нарпимер, медицинские анализы и заключения.
  • генетические данные  – унаследованные или приобретенные генетические признаки физического лица, предоставляющие уникальную информацию о физиологии или здоровье, а также соответствующие биологические образцы

Сфера действия GDPR

Под действие закона GDPR попадает полностью или частично автоматизированная обработка персональных данных граждан ЕС на территории Европейского Союза и за его пределами физическими или  юридическими лицами,  государственными органами и  другими институтами и организациями. Любая, даже некоммерческая, деятельность связанная с обработкой персональных данных попадает под действие GDPR (Статья 2, Статья 3).

Даже безвозмездное оказание услуг гражданам ЕС попадает под действие закона. Например, если сервисе в Интренете зарегистрировался гражданин ЕС, причем даже пользовался им безвозмездно, но оставил какие-нибудь персональные данные, то это также попадает поддействие GDPR.

Например, даже обычный веб-сайт, принимающий посетителей из ЕС и собирающий Cookies, попадает под действие GDPR. Хотя Cookies хранятся на компьютере пользователей, с точки зрения GDPR это неважно. Так как решение о том хранить или нет принимается автоматически на стоорне сервера (контроллер).

Соответствие требованиям GDPR

Чтобы проверить соответствие вашего проекта требованиям GDPR следует:

  • Определить, какие персональные данные собирает ваш проект, где и как они хранятся, обрабатываются и используются. Проверьте, возможно не все данные на самом деле нужны. Если по совокупности данных нельзя определить конкретного человека, то это не является персональными данными и тогда Ваш это не касается.
  • Контроль использования персональных данных. Опредлите, как, когда, кем и зачем обрабатываются персональные данные.
  • Разработайте механизмы защиты персональных данных. Проверьте надежность от взлома.  Возможно стоит ограничить круг лиц, допущенных к работе с персональными данными. Если надо, создайте политики доступа к обработке персональных данных.
  • Назначьте сотрудника по защите данных.Сотрудник должен хотя разбираться с законодательной базой и должен быть готов работать с обращениями пользователей инадзорными органами ЕС.
  • Ведение необходимой отчетности, согласно положениям GDPR.

Подробнее о соответствии GDPR.

Утечка персональных данных

Что делать, если ваш сайт или проект взломали, чтобы минимизировать потери.

Необходимо в течение 72 часов оповестить надзорные органы. Дать описание характера утечки, указать примерное число владельцев персональных данных. Дать описание описание возможных последствий. Указать меры, предпринятых для их смягчения. Подробнее про взлом персональных данных.

Источник: https://ogdpr.eu/ru

Что такое GDPR?

Контролер файла данных личного характера

Эта статья будет полезна будущим юристам и разработчикам приложений. Сначала я скажу, что же такое GDPR, а потом объясню, что полезного можно узнать из дальнейшего повествования.

General Data Protection Regulation (GDPR) защищает персональные данные, любую информацию о человеке, по которой он идентифицируется. GDPR является регламентом который предоставляет резидентам Евросоюза (ЕС) возможность управлять персональными данными, он вступает в силу с 25 мая 2018 года.

Теперь, о том кто может заинтересоваться вышеуказанным документом. Во-первых, это программисты, разработчики, которым по “долгу работы” положено знать стандарты и требования предъявляемые к программным приложениям.

Можно задать вопрос: при чем здесь евросоюз, если мы в России? Справедливо, но если представить, что какой-нибудь сайт осуществляет новостную рассылку и получил в качестве подписчика гражданина европейской страны, то программное обеспечение сайта стало обрабатывать данные защищаемые правилами GDPR. Следовательно, ПО должно соответствовать современным требованиям.

Теперь, о будущих юристах. Я всегда ориентируюсь на контингент студентов юридических факультетов, потому что у юристов других специальностей может не быть времени на прочтение этой статьи – своя специфика важнее, а коллеги по правовой отрасли эти сведения знают, также как и я, из официальных источников опубликования.

Прочитать первоисточник можно на сайте о законодательстве Европейского Союза – РЕГЛАМЕНТ (EU) 2016/679 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА.

На русском языке комментарии в документе «анализ возможных последствий и влияния Регламента Global Data Protection Regulation (GDPR) Европейского Союза на бизнес российских операторов персональных данных…» подготовленным Институтом Исследований Интернета.

Тем, кто больше привык к видео-формату, можно порекомендовать репортаж Защита данных в ЕС на телеканале РБК. Для остальных продолжаю рассказывать. Основные принципы GDPR:

  • Прозрачность и законность – компании должны указывать цели, для которых они собирают персональные данные и должны получить согласие пользователя на обработку данных явным образом (не по умолчанию);
  • Минимизация данных – запрещено запрашивать персональные данные, превышающие объем, необходимый для реализации заявленных целей.
  • Ограничение цели – запрещено собирать нецелевые данные, а также использовать накопленные данные, если цели изменились и не требуют использование накопленных.
  • Управление данными – пользователь может потребовать предоставить ему всю информацию, которая была о нем накоплена. И может потребовать удалить эту информацию.
  • Ограничение хранения – одно из важных ограничений – это ограничение по времени. Персональные данные должны удаляться после достижения цели их сбора. Проще говоря, срок хранения данных ограничен сроком необходимым для реализации цели.
  • Безопасность хранения – нельзя передавать персональные данные третьим лицам и в случае утечки данных нужно информировать об этом владельца (пользователя). Уведомление происходит в течение 72 часов после обнаружения такого нарушения.

Вот, уже на основе этих принципов можно определить направление разработки функционала приложения программистами и аспекты правовой документации юристами. Так, принципе, параллельно программистам и юристам я поведу логику изложения информации дальше.

В России сейчас действует закон “О персональных данных” от 27.07.2006 N 152-ФЗ. Чем дополняет этот закон Европейский Регламент?

  • возможность получения пользователем копии собранных о нем данных (raw data);
  • возможен перенос данных от одного оператора к другому с согласия пользователя (data portability right);
  • согласие родителей на обработку данных детей до 16 лет для получения онлайн услуг;
  • вынесена в отдельную функцию возможность отозвать в любой момент согласие на получение и обработку данных.

В Европейском Регламенте введены понятия контролер данных и оператор данных. Например, компания, предоставляющая услуги и собирающая данные, будет контролером данных, а облачная система, в которой ведется запись будет оператором.

Нарушения Регламента GDPR может повлечь административные штрафы до 20 миллионов евро или до 4% мирового годового оборота.

Поэтому в срочном порядке у разработчиков появилась услуга приведения ПО в соответствие с европейскими требованиями, например, осуществление элементарной шифровки данных, если её не было.

У юристов появились пакеты услуг по созданию или доработке соглашений в соответствии с положениями GDPR.

Тем, кто уже утомился читать, могу посоветовать ставить лайк, подписаться на канал и ждать новых публикаций, а для остальных продолжу.

Подробнее о GDPR

1. Территориальность. Повторю, что Регламент разделяет:

  • контролер персональных данных – самостоятельно определяет цели и средства получения и обработки данных.
  • оператор персональных данных – лица, обрабатывающие данные от имени контролера.

Речь идет о странах – членах ЕС, но также предусматривается регулирование отношений, если “неевропейская страна” обрабатывает данные граждан стран евросоюза.

Если страна оператора не входит в ЕС, но оператор взаимодействует с контролером из ЕС, он должен соответствовать правилам, потому что контролер обязан обеспечить безопасные меры сбора и обработки данных и потребует соответствие от оператора.

2. Персональные данные – означают любую информацию, относящуюся к физическому лицу (субъект данных), проходящему идентификацию. Онлайн данные могут быть отнесены к персональным – онлайн идентификаторы, идентификаторы устройств, идентификаторы файлов cookie и IP-адреса. Данные об интересах, политической принадлежности, псевдонимизированные данные тоже являются персональными данными.

3. Инспектор по защите персональных данных – контролёр и обработчик должны назначить инспектора по защите персональных данных при любых обстоятельствах, в случае когда:

  • обработка осуществляется органом власти или учреждением, за исключением судов, действующих в рамках своей судейской дееспособности;
  • ключевая деятельность контролёра или обработчика заключается в обработке данных, которая в силу своего характера, своего объема и/или целей, требует регулярного и систематического мониторинга субъектов данных в больших масштабах;
  • ключевая деятельность контролёра или обработчика заключается в масштабной обработке особых категорий данных, а также персональных данных, касающихся осужденных в уголовном порядке и правонарушителей.

Инспектор по защите персональных данных может являться сотрудником контролёра или обработчика, или осуществлять задачи на основании договора об оказании услуг.

4. Взаимодействие контролера и оператора. Стороны должны принимать технические и организационные меры для обеспечения уровня безопасности, например:

  • псевдонимизацию и шифрование персональных данных;
  • обеспечение постоянной конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг;
  • способность своевременно восстанавливать доступность и доступ к персональным данным в случае физического или технического инцидента;
  • проводить процесс регулярного тестирования, оценки и оценки эффективности технических и организационных мер для обеспечения безопасности обработки.

Основные меры по обеспечению безопасности должны быть реализованы технически и закреплены в договоре, регулирующем отношения.

Оператор обязан уведомить контролера без неоправданной задержки, узнав о нарушении персональных данных.

5. Согласие на обработку персональных данных. Регламент прямо предусматривает, что согласие в письменной форме может быть предоставлено путем проставления «галочек» в форме на Интернет-сайте, выбора технических параметров или другим заявлением или действием, ясно указывающим на согласие пользователя.

Прямо выраженное согласие должно быть получено в следующих случаях:

  • для обработки специальных категорий персональных данных, в частности, о расовой или этнической принадлежности, политических, религиозных или философских убеждениях или членстве в профсоюзах, генетических данных, биометрических данных с целью уникальной идентификации физического лица, данных о здоровье;
  • на принятие решений относительно субъекта данных, «основанных исключительно на автоматизированной обработке, включая профилирование»;
  • на передачу персональных данных в страны, которые не обеспечивают достаточный уровень защиты, если другой механизм передачи не установлен.

Регламент содержит специальные положения в отношении обработки персональных данных несовершеннолетних.

6. Информирование пользователей. Контролеры до осуществления сбора данных должны информировать субъектов о:

  • сроке хранения данных;
  • праве отозвать согласие в любое время;
  • праве запрашивать доступ, исправление или ограничение ;
  • подавать жалобу в надзорный орган.

Данная информация должна раскрываться в ясной и легкодоступной форме.

7.

Профилирование (profiling) – автоматизированная обработка персональных данных в любой форме, при которой оцениваются личные аспекты, связанные с физическим лицом, для анализа или прогнозирования аспектов, касающихся работы субъекта данных, его или ее экономического положения, здоровья, личных предпочтений или интересов, его или ее надежности или поведения, местонахождения или передвижений, когда такая обработка создает юридические последствия для него или ее или аналогично оказывает существенное влияние на него или нее.

Субъект данных должен быть специально уведомлен об осуществлении профилирования и его последствиях и вправе в любое время заявить возражение в связи с таким профилированием.

8. Трансграничная передача данных.Регламент устанавливает ограничения на передачу персональных данных в «третьи страны», за пределы ЕС и в международные организации.

9. Уведомление о нарушениях – как я уже рассказывал ранее, контролер обязан уведомить надзорный орган о нарушении без ненадлежащего промедления, в течение 72 часов. Также контролёр обязан уведомить о нарушении субъекта данных.

Права субъектов персональных данных

Для конкретизации отдельных моментов я расскажу об основных правах субъектов.

Право на доступ – субъект может получить доступ к обрабатываемым данным и запросить копию этих данных.

Право на исправление – все данные должны быть доступны субъекту для исправления.

Право на возражение – субъект может возразить по поводу обоснованности собираемых данных и правильности процессов их обработки.

Право на удаление – субъект вправе удалять и требовать удаления своих персональных данных.

Право на ограничение – субъект может требовать ограничение обработки персональных данных, например, по времени, необходимому для проверки достоверности информации.

Право на портативность – у субъекта данных есть право получить данные о себе в структурированном машиночитаемом виде, например, для переноса другому контролеру. Также, субъект данных может потребовать от контролера осуществить такой перенос данных. Но Регламент не налагает на контролёров внедрение технологически совместимых систем.

Вот, краткий обзор некоторых положений закрепленных в GDPR. Для составления грамотного технического задания на разработку ПО или подготовки соглашений с пользователем, а также регламента по обработке персональных данных на сайте, я рекомендую юристу или разработчику изучить Регламент ЕС полностью и подробно.

Тем, кому интересно узнать еще о защите информационного пространства в интернете я рекомендую посмотреть краткое выступление Президента России на Пленарном заседании Международного конгресса по кибербезопасности.

автор публикации: Демешин С.В.

Источник: https://zen.yandex.ru/media/info_law_society/chto-takoe-gdpr-5b4782263d0e9500a9a83797

GDPR: правила обработки персональных данных простыми словами

Контролер файла данных личного характера

С 25 мая 2018 года вступают в силу новые правила обработки персональных данных граждан ЕС.

GDPR (General Data Protection Regulation, или Общие правила защиты данных) – это свод предписаний для компаний, которые собирают и обрабатывают данные пользователей Евросоюза в сети Интернет.

Новый регламент нацелен на повышение уровня защиты и предоставление гражданам контроля над своими данными.

Невыполнение правил компаниями ведет к наложению крупных штрафов (вплоть до 4% годового дохода бизнеса, или 20 млн. евро).

Требования акта касаются как организаций, зарегистрированных в ЕС, так и компаний, расположенных в других странах, при условии, что они предоставляют услуги гражданам Евросоюза, либо иным способом собирают данные таких пользователей.

Компания Gravitec.net подпадает под действие законов GDPR. Потому в этой статье мы разберемся со всеми нюансами новых правил обработки персональных данных. Подробно рассмотрим основные требования General Data Protection Regulation. Расскажем, что необходимо сделать, чтобы соответствовать нормам GDPR.

Персональные данные и GDPR: что это такое?

Персональные данные – это любая информация, касающаяся конкретного физического лица, с помощью которой можно его идентифицировать.

В определении норм GDPR сюда относятся как сведения, которые пользователь самостоятельно предоставил для того или иного веб-ресурса (имя и фамилия, пол, email или номер телефона), так и данные, собранные автоматически.

Например, это информация о местонахождении, об устройстве (в том числе IP-адрес), операционной системе и т.д.

Кроме того, персональными данными в интернете считают сведения о просмотренных страницах, поисковых запросах, постах в социальных сетях и всю ту информацию, на основе которой можно определить предпочтения и интересы пользователя, его социальный статус, религиозные убеждения, политические взгляды и т.п.

В отдельную группу можно выделить платежные данные, которые, безусловно, также относятся к персональным.

Всю эту информацию призваны защитить новые правила GDPR.

GDPR – это регламент (состоит из 99 статей), который регулирует отношения между теми, кто предоставляет свои личные данные (граждане ЕС) и теми, кто эти данные собирает, обрабатывает и использует в своей работе (интернет-сервисы, веб-ресурсы, коммерческие и некоммерческие компании, организации). Для получения более детальной информации можно ознакомиться с полным текстом регламента GDPR.

Новые термины: контроллер и процессор

Кто подпадает под действие правил GDPR?

Для начала разберемся с введенными в регламент терминами: контроллеры (data controller) и процессоры данных (data processor).

Контроллеры – это компании или организации, которые собирают данные пользователей. Процессоры – компании, которые их обрабатывают от имени контроллеров. Контроллеры несут большую часть ответственности и заключают с процессорами соглашения о соблюдении правил GDPR при обработке переданных контроллерами данных.

Так, для своих клиентов, как SaaS-сервис, компания Gravitec.net – это контроллер, а для подписчиков web push-уведомлений – процессор. То есть, на этапе, когда пользователь регистрируется в системе Gravitec.

net для установки на своем сайте пуш-технологии, сервис сохраняет предоставленные им данные согласно норм GDPR, как контроллер. Когда же push-сервис установлен на сайте клиента, то именно он (клиент) несет ответственность перед своими подписчиками за сбор данных, как контроллер, а компания Gravitec.

net от его имени обрабатывает данные подписчиков для корректной работы сервиса и выступает процессором в рамках правил GDPR.

Бесплатное подключение push-уведомлений к сайту

Стандарты General Data Protection Regulation распространяются на все компании, которые предоставляют услуги гражданам ЕС, даже если фактически не находятся на территории стран Евросоюза. Это организации, которые предлагают товары или услуги:

  • в валютах стран ЕС с возможностью оплаты;
  • на языках стран ЕС;
  • на доменах зоны ЕС (например, с расширениями .de, .fr, .cz и т.д.).

Также ответственность, согласно GDPR, несут организации, которые проводят мониторинг или анализ поведения граждан ЕС в сети.

Если контроллер из зоны ЕС передает для обработки данные своих пользователей процессору не из стран Евросоюза, он обязан заключить договор, в котором будут регламентироваться правила обработки персональных данных согласно норм GDPR. Соответственно, такой процессор также будет обязан выполнять правила акта.

Пример Gravitec.net

Компания Gravitec.net должна соблюдать правила GDPR, поскольку:

  • обслуживает клиентов из стран Европейского Союза;
  • предлагает свои услуги для граждан ЕС на разных языках (английский, немецкий, польский).

Персональные данные, которые собирает сервис Gravitec.net (контроллер):

  1. Данные аккаунта — email (обязательно), имя, номер телефона, Skype (дополнительно);
  2. Онлайн-идентификаторы веб-сеанса – браузер, геолокация, вид устройства, операционная система, IP-адрес, cookies.

Кроме того, сервис обрабатывает данные подписчиков клиента (как процессор):

  1. Уникальный идентификатор (RegID);
  2. Информацию веб-сеанса, в которую включены данные о браузере, IP-адресе, геолокации, cookies, виде устройства, операционной системе.

Принципы и требования GDPR

Подход к защите персональных данных в GDPR основан на восьми принципах, которые были задокументированы еще в 1980 году (в «Руководстве о защите частной жизни и трансграничных потоков персональных данных») и одобрены как ЕС, так и США. В GDPR они отображены в семи пунктах:

  1. Принцип законности, справедливости и прозрачности. Персональные данные должны быть получены законными и справедливыми средствами с согласия субъекта данных.
  2. Ограничение цели. Цель сбора данных должна быть указана во время сбора, и данные не должны использоваться ни для чего иного, кроме первоначального намерения.
  3. Минимизация данных. Собранные данные должны соответствовать заданной изначально цели. Запрещается собирать данные в большем объеме, чем это требуется для достижения цели.
  4. Точность. Персональная информация должна быть точной, полной и актуальной, насколько это необходимо для заданных целей. Если такие данные будут считаться неточными, они должны быть стерты или исправлены (по запросу пользователя).
  5. Ограничение хранения. Данные хранятся в форме, которая позволяет идентифицировать пользователя не дольше, чем это необходимо для выполнения целей обработки информации.
  6. Целостность и конфиденциальность. Личные данные должны быть защищены гарантиями безопасности от таких рисков, как потеря или несанкционированный доступ, уничтожение, использование, модификация или раскрытие данных.
  7. Подотчетность. Контролер несет ответственность и должен быть готов продемонстрировать соблюдение мер, указанных выше.

Таким образом, контроллер обязан в простой и доступной форме изложить пользователям цели сбора персональных данных. Кроме того, они должны иметь легкий доступ к информации о своих уже собранных данных.

Сведения должны быть точными, защищенными, храниться ограниченное время.

Также контроллер обязуется не собирать лишнюю информацию о пользователе, а только ту, которая нужна, к примеру, для качественного предоставления услуг.

Что получает пользователь?

В соответствии с GDPR, граждане ЕС имеют право соглашаться со сбором данных, или его отклонять, удалять и контролировать личную информацию, которую собирают компании в бизнес-целях. В целом, регламент предоставляет пользователям больше свободы и контроля над информацией, которой они делятся с компаниями.

Обозначим права, которые получают пользователи:

  • право знать, кто и зачем обрабатывает их личные данные;
  • право доступа к своей персональной информации;
  • право на исправление персональных данных;
  • право на очищение данных, или «право быть забытым»;
  • право на ограничение или блокировку обработки данных;
  • право переноса персональных данных из одного сервиса в другой;
  • право возражать против обработки данных;
  • право лично влиять на автоматизированные системы сбора и профилирования.

К тому же, к форме для подтверждения согласия на сбор персональных данных в GDPR устанавливаются особые требования. Для того чтобы форма соответствовала нормам, пользователь должен активно проявить свое волеизъявление. То есть, формы, где уже «проставлены галочки», не подойдут. Кроме того, у пользователя должен быть простой доступ к инструкции по отзыву согласия на обработку данных.

Как соответствовать нормам GDPR: на примере Gravitec.net

Каждая компания, которая сотрудничает с европейскими клиентами, собирает или обрабатывает персональные данные пользователей из ЕС, обязательно должна скорректировать свои методы обработки информации согласно нормам GDPR.

Также потребуется обратить внимание на политику конфиденциальности и прописанные условия использования ресурса.

Кроме того, необходимо обеспечить механизмы обработки возможных запросов пользователей, согласно обозначенным выше правам (например, перенос данных из одного сервиса в другой).

Как компания Gravitec.net подготовилась к введению новых правил?

  1. Сбор данных происходит по персональному согласию физического лица с условиями использования веб-ресурса (Terms of Use) во время регистрации в сервисе Gravitec.net. При внесении изменений в условия, компания сообщает пользователям о них и актуализирует информацию на сайте с указанием даты последнего обновления.
  2. Компания собирает персональные данные исключительно в целях обеспечения бесперебойной работы сервиса, для коммуникации с клиентом и предоставления заявленных услуг. Сервис Gravitec.net не собирает данные, которые не используются в работе. Перечень персональных данных был приведен выше.
  3. Вся полученная системой личная информация пользователя содержится в его аккаунте, и у него есть постоянный доступ к своим данным в личном кабинете («Настройки аккаунта»). Тут он может просмотреть, исправить или удалить персональные данные.
  4. Пользовательская информация и личные данные подписчиков клиента сохраняются по принципу «throughout the lifetime» — на протяжении всего периода использования сервиса клиентом. Изменение или удаление данных возможно по личному запросу клиента (контроллера).
  5. Платежные данные клиента зашифрованы платежным сервисом, у которого есть сертификат безопасности PCI DSS. Подробнее об этом см. Privacy Policy.

Таким образом, компания Gravitec.net соблюдает принципы прозрачности, точности, конфиденциальности и прочие нормы GDPR.

Быстрая регистрация в сервисе

Новый регламент устанавливает четкие правила взаимодействия между пользователями и компаниями в сфере предоставления персональных данных. Это серьезный шаг в защиту личной информации в сети Интернет, инструмент для борьбы с манипуляциями и неправомерным использованием персональных сведений.

Источник: https://gravitec.net/ru/blog/1827-2-gdpr-pravila-obrabotki-personal-nykh-dannykh/

Ваша работа
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: