Обзор общего регламента по защите данных

Общий регламент по защите данных (GDPR) обязывает организации, предоставляющие товары и услуги в Европейском союзе или занимающиеся сбором и анализом данных резидентов ЕС, соблюдать новые правила независимо от того, где находитесь вы или ваше предприятие. В этом документе вы сможете получить сведения для соблюдения прав и выполнения обязательств в рамках GDPR при использовании продуктов и служб Майкрософт. Дополнительными ресурсами по оценке и обеспечению соответствия требованиям GDPR являются рекомендуемый план действий для GDPR и контрольные списки готовности к подотчетности.

Терминология

Полезные определения терминов GDPR, используемых в этом документе:

  • Управляющий данными (управляющий) — юридическое лицо, орган государственной власти, агентство или другое лицо, которое отдельно от других или вместе с ними определяет цели и средства обработки персональных данных.
  • Персональные данные и субъект данных — все сведения, относящиеся к определенному или определяемому физическому лицу ("субъект данных"). Определяемым физическим лицом считается лицо, которого можно прямо или косвенно определить.
  • Обработчик — физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, которое обрабатывает персональные данные от лица управляющего.
  • Данные клиента — это данные, которые создаются и хранятся в ходе повседневной работы компании.

Что такое GDPR?

GDPR предоставляет людям права по управлению персональными данными, собранными организацией. Эти права можно реализовать с помощью запроса субъекта данных (DSR). Организация должна своевременно предоставлять информацию о запросах субъектов данных и нарушениях безопасности данных, а также выполнять оценку влияния на защиту данных (DPIA).

При реализации или оценке требований GDPR следует учитывать несколько моментов:

  • Разработка или оценка политики конфиденциальности данных в соответствии с GDPR.
  • Оценка безопасности данных в организации.
  • Кто является управляющим данными?
  • Какие процессы защиты данных может потребоваться выполнить?

Рекомендуемый план действий для GDPR и контрольные списки готовности к подотчетности могут предоставить дополнительные сведения для рассмотрения.

Указанные ниже задачи относятся к выполнению стандартов GDPR. Подробные сведения о реализации см. по ссылкам в списке.

  • Запросы субъектов данных (DSR). Официальный запрос от субъекта данных к управляющему, требующий выполнения некоторых действий (изменение, ограничение, доступ) с персональными данными этого субъекта.
  • Уведомление о нарушении. Согласно GDPR, нарушение персональных данных является «нарушением безопасности, ведущим к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к передаваемым, сохраняемым или иным образом обрабатываемым персональным данным».
  • Оценка влияния на защиту данных (DPIA). Контроллеры данных обязаны в рамках GDPR подготовить DPIA для операций с данными, которые «могут привести к высокому риску для прав и свобод физических лиц».

Как указано выше, рекомендуемый план действий для GDPR и контрольные списки готовности к подотчетности предоставляют руководство по обеспечению или оценке соответствия требованиям GDPR при использовании продуктов и служб Майкрософт.

Использование диспетчера соответствия требованиям Microsoft Purview для оценки рисков

Диспетчер соответствия требованиям Microsoft Purview — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия вашей организации и принимать меры для снижения рисков. В диспетчере соответствия требованиям есть встроенная оценка регламента для клиентов, использующих Корпоративный E5. Найдите шаблон для создания оценки на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Запрос субъекта данных (DSR)

GDPR предоставляет отдельным лицам (или субъектам данных) определенные права в связи с обработкой их персональных данных, включая право исправлять неточные данные, стирать данные или ограничивать их обработку, получать их данные и выполнять запрос на передачу своих данных другому контроллеру. Управляющий отвечает за предоставление своевременного ответа в соответствии с GDPR. Для технических деталей, обратитесь к Запросам Темы Данных.

Вопросы и ответы по DSR

Какие действия потребуются для завершения DSR?

DSR включают шесть действий: обнаружение, доступ, исправление, ограничение, экспорт и удаление.

Каковы ваши источники данных?

Значительная часть данных организации создается в приложениях Office, таких как Excel и Outlook. Данные, относящиеся к DSR, также можно найти в аналитике, создаваемой продуктами и службами Майкрософт, а также в системных журналах.

Какие виды данных нужно искать?

Персональные данные могут быть найдены в данных клиентов, аналитических данных, созданных продуктами и услугами Microsoft, а также в системных журналах.

Как будут искаться личные данные?

Поиск личных данных может варьироваться в зависимости от продуктов и услуг Microsoft. Средства поиска включают поиск контента и возможность поиска в приложении. Администраторы могут получать доступ к системным журналам, связанным с действиями пользователя.

В каких форматах должны быть доступны личные данные?

«Переносимость данных» GDPR позволяет субъекту данных запрашивать копию личных данных в «структурированном, широко используемом, машиночитаемом формате» и запрашивать, чтобы ваша организация передала эти файлы другому контроллеру данных.

Что требует GDPR и каковы мои обязанности в качестве контролера?

В соответствии с GDPR управляющие должны:

  • Предоставьте субъектам данных копию своих персональных данных вместе с объяснением категорий обрабатываемых ими данных, целей такой обработки и категорий третьих лиц, которым могут быть переданы их данные.
  • Помогите каждому человеку реализовать свое право исправлять неточные личные данные, удалять данные или ограничивать их обработку, получать свои данные в удобочитаемой форме и, где это применимо, выполнять запрос на передачу своих данных другому контроллеру.

Что требует GDPR и каковы обязанности Microsoft как процессора?

Мы должны реализовать надлежащие технические и организационные меры, чтобы помочь вам отвечать на запросы от субъектов данных, пользующихся вышеописанными правами.

Где можно найти информацию, связанную с GDPR, для локальных серверов?

Вы можете найти ряд статей, посвященных GDPR. Разработанные Microsoft, они предоставляют рекомендуемые подходы для локальной рабочей нагрузки для SharePoint Server, Exchange Server, Project Server, сервера Office Web Apps, Office Online Server и локальных общих файловых ресурсов.

Как Microsoft позволяет вам отвечать на запросы субъектов данных?

Веб-службы предоставляют вам как управляющему множество возможностей для реагирования на запросы субъектов данных. Веб-службы Майкрософт и средства административного контроля помогают вам выполнять действия с персональными данными в соответствии с надлежащими запросами субъектов данных, позволяя обнаруживать, корректировать, ограничивать, удалять и экспортировать персональные данные, хранящиеся в облаке Майкрософт и подконтрольные управляющему, а также получать доступ к таким данным. Онлайн-сервисы также предоставляют данные в машиночитаемой форме, если вам это нужно.

Оценка воздействия на защиту данных

В соответствии с GDPR контролеры данных должны подготовить Оценку воздействия на защиту данных (DPIA) для операций обработки, которые «могут привести к высокому риску для прав и свобод физических лиц». Продукты и службы Майкрософт не имеют характеристик, требующих DPIA. Это зависит скорее от деталей вашей конфигурации Майкрософт. Список деталей, которые необходимо учитывать в Office, можно найти в разделе Содержимое DPIA

Часто задаваемые вопросы по DPIA

Когда нужно провести DPIA?

Управляющие должны проводить DPIA при рассмотрении рисков для безопасности персональных данных, или в результате нарушения безопасности данных. Конкретные примеры факторов риска в Office рассмотрены в разделе Определение необходимости DPIA.

Что требуется для выполнения DPIA?

Регламент GDPR требует, чтобы оценка DPIA включала следующее:

  • Оценка необходимости и пропорциональности операций обработки данных по отношению к целям DPIA.
  • Оценка рисков для прав и свобод субъектов данных.
  • Специальные меры для устранения рисков, гарантии безопасности, меры предосторожности и механизмы для обеспечения защиты персональных данных и демонстрации соблюдения GDPR.

Каковы мои обязанности в качестве контролера?

Согласно GDPR управляющему требуется выполнить DPIA до обработки данных, в результате которой может появиться высокий риск нарушения прав и свобод физических лиц (в частности, до обработки с помощью новых технологий). В GDPR приведен следующий неполный список случаев, в которых необходимо проводить DPIA:

  • Автоматическая обработка для целей профилирования и аналогичных действий, которая имеет юридические последствия или аналогичным образом существенно влияет на субъекты данных;
  • Обработка в широком масштабе специальных категорий персональных данных, например данных, раскрывающих расовое или этническое происхождение, политические убеждения и т. п., или данных, касающихся уголовных приговоров и преступлений;
  • Масштабное систематическое отслеживание общедоступной области.

GDPR также требует, чтобы вы проконсультировались с вашим органом по защите данных (DPA) перед началом какой-либо обработки, если вы не можете определить достаточные процессы, чтобы минимизировать высокие риски для субъектов данных.

Каковы обязательства Microsoft?

Microsoft обеспечивает конфиденциальность путем разработки и обеспечения конфиденциальности по умолчанию в своих технических и бизнес-функциях. В рамках этих усилий Microsoft проводит всесторонние проверки конфиденциальности операций обработки данных, которые могут оказать влияние на права и свободы субъектов данных. Рабочие группы, которые несут ответственность за обеспечение конфиденциальности и входят в группы, занимающиеся службами, проверяют разработку и реализацию служб, чтобы обеспечить надлежащий способ обработки персональных данных, который соответствует международным законам, ожиданиям пользователей и нашим обязательствам.

Эти обзоры конфиденциальности, как правило, носят гранулярный характер - конкретная служба может получить десятки или сотни отзывов. Microsoft объединяет эти детальные проверки конфиденциальности в Оценки воздействия на защиту данных (DPIA), которые охватывают основные группы обработки, которые затем проверяет сотрудник по защите данных Microsoft (DPO). DPO оценивает риски, связанные с обработкой данных, чтобы обеспечить принятие надлежащих мер по их предотвращению или снижению. Если DPO обнаруживает неосуществленные риски, изменения рекомендуются обратно в инженерную группу. DPIA будут пересматриваться и обновляться по мере изменения рисков защиты данных.

Microsoft, как процессор, обязана помогать контролерам в обеспечении соответствия требованиям DPIA, изложенным в GDPR. Чтобы помочь клиентам, корпорация Майкрософт предоставит абстрагированные части своих процессов DPIA в этом разделе в будущих обновлениях, чтобы позволить управляющим, опираясь на службы Майкрософт, использовать эти части для создания собственных процессов DPIA.

Уведомление о нарушении

GDPR предписывает требования к уведомлениям для контроллеров и процессоров данных в случае нарушения личных данных. В качестве обработчика данных корпорация Майкрософт предоставляет клиентам возможности для соблюдения требований GDPR, предъявляемым к уведомлениям о нарушении безопасности данных. Управляющие данными несут ответственность за оценку риска для конфиденциальности данных и определение необходимости уведомления DPA клиента о нарушении безопасности данных. Корпорация Майкрософт предоставляет сведения, необходимые для этой оценки. Дополнительную информацию о том, как Майкрософт обнаруживает нарушения безопасности персональных данных и реагирует на них, см. в статье Уведомление о нарушениях безопасности данных согласно требованиям GDPR.

Часто задаваемые вопросы про уведомление о нарушении

Что составляет нарушение личных данных в GDPR?

Персональные данные — это любые сведения, касающиеся физического лица, которые могут быть использованы для прямой или косвенной идентификации. Нарушение персональных данных - это «нарушение безопасности, приводящее к случайному или незаконному уничтожению, потере, изменению, несанкционированному раскрытию или доступу к персональным данным, передаваемым, хранящимся или иным образом обрабатываемым».

Каковы ваши обязательства в качестве контроллера?

Если происходит нарушение личных данных, которое может привести к высокому риску для прав и свобод отдельных лиц (таких как дискриминация, кража личных данных, мошенничество, финансовые потери или повреждение их репутации), GDPR требует от вас:

  • Уведомите соответствующий орган защиты данных (DPA) в течение 72 часов после того, как о нем узнают, например, после того, как Microsoft уведомит вас. Если вы не сделаете этого в течение указанного срока, вам потребуется сообщить DPA причину такого поведения. Уведомить DPA требуется даже в том случае, если риск для физических лиц невысокий;
  • уведомить субъектов данных о нарушении без неоправданной задержки;
  • задокументировать нарушение с указанием его сути (количества затронутых людей, числа затронутых записей данных, последствий нарушения, возможных мер по устранению, которые ваша организация рекомендует принять или приняла).

Каковы обязанности Microsoft как процессора?

Если выявим нарушение безопасности персональных данных, согласно GDPR мы должны уведомить вас об этом без неоправданной задержки. Там, где Microsoft является процессором, наши обязательства отражают как требования GDPR, так и наши стандартные договорные положения по всему миру. Абсолютно все подтвержденные случаи нарушения безопасности персональных данных мы рассматриваем как требующие вмешательства. Мы уведомим наших клиентов о том, была ли утечка данных перенесена непосредственно Microsoft или любым из наших подпроцессоров. Мы подготовили способы быстрого определения сотрудников, ответственных за безопасность в вашей организации, и способы связи с ними. Кроме того, все субпроцессоры по контракту обязаны сообщать о своих собственных нарушениях в Microsoft и предоставлять гарантии на этот счет.

Как корпорация Майкрософт обнаружит нарушение данных?

Все наши службы и сотрудники выполняют внутренние процедуры контроля безопасности во избежание нарушений безопасности данных. Однако, кроме того, онлайн-сервисы имеют специальные средства контроля безопасности на наших платформах для обнаружения нарушений данных в редких случаях, когда они происходят.

Как корпорация Майкрософт ответит на нарушение данных?

Чтобы вы несанкционированного доступа к персональным данным, корпорация Майкрософт: — сотрудники службы безопасности, обученные на определенных процедурах, которые необходимо выполнить. — Содержит политики, процедуры и элементы управления, чтобы корпорация Майкрософт ведет подробные записи. Этот ответ включает в себя документацию, которая фиксирует факты инцидента, его последствия и меры по исправлению положения, а также отслеживает и хранит информацию в наших системах управления инцидентами.

Как корпорация Майкрософт сообщит мне о нарушении данных?

В Microsoft действуют политики и процедуры, позволяющие своевременно уведомлять вас. Для соблюдения требований по уведомлению DPA мы предоставим описание того, как было обнаружено нарушение безопасности персональных данных, а также укажем суть нарушения и меры, принятые для его нивелирования.

Контрольные списки готовности к подотчетности в рамках GDPR

Эти контрольные списки позволяют получить доступ к информации, необходимой для поддержки регламента GDPR при использовании продуктов Майкрософт. Вы можете управлять элементами контрольного списка с помощью диспетчера соответствия требованиям Microsoft Purview , ссылаясь на идентификатор элемента управления и заголовок элемента управления в разделе "Элементы управления, управляемые клиентом" на плитке GDPR.

Часто задаваемые вопросы о GDPR

Делает ли Microsoft обязательства перед своими клиентами в отношении GDPR?

Да. Согласно GDPR контроллеры (например, организации, использующие корпоративные службы Майкрософт веб-службы) используют только процессоры (например, Майкрософт), предоставляющие достаточные гарантии для удовлетворения ключевых требований GDPR. Microsoft предприняла упреждающий шаг, предоставив эти обязательства всем клиентам корпоративного лицензирования в рамках своих соглашений.

Как Microsoft помогает мне соответствовать?

Microsoft предоставляет инструменты и документацию для поддержки вашей подотчетности GDPR. Это включает в себя поддержку прав субъекта данных, выполнение ваших собственных оценок воздействия защиты данных и совместную работу по устранению нарушений персональных данных.

Какие обязательства содержатся в Условиях GDPR?

Условия корпорации Майкрософт в отношении GDPR отражают обязательства, требуемые от обработчиков в статье 28. Статья 28 требует, чтобы процессоры обязались:

  • Используйте подпроцессоры только с согласия контроллера и несите ответственность за подпроцессоры.
  • Обрабатывать персональные данные только по указанию контроллера, в том числе в отношении переводов.
  • Убедитесь, что лица, которые обрабатывают личные данные, соблюдают конфиденциальность.
  • Внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности персональных данных, соответствующего риску.
  • Помогать управляющим в их обязательствах по реагированию на запросы субъектов данных при реализации ими своих прав в рамках GDPR.
  • Соблюдайте требования по уведомлению о нарушении и помощи.
  • Помощь контролерам в оценке воздействия на защиту данных и консультации с надзорными органами.
  • Удалите или верните личные данные в конце предоставления услуг.
  • Поддержите контролера с подтверждением соответствия GDPR.

На каком основании Microsoft облегчает передачу личных данных за пределы ЕС?

Microsoft долгое время использовала Стандартные договорные условия (также известные как Типовые положения) в качестве основы для передачи данных для своих корпоративных онлайн-сервисов. Стандартные условия договора - это стандартные условия, предоставленные Европейской комиссией, которые могут использоваться для передачи данных за пределы Европейской экономической зоны в соответствии с требованиями. Microsoft включила Стандартные договорные условия во все наши соглашения о корпоративном лицензировании через Условия онлайн-услуг. Корпорация Майкрософт гарантирует, что передача персональных данных из Европейской экономической зоны, Швейцарии и Соединенного Королевства в третью страну или международную организацию производится в соответствии с надлежащими мерами безопасности, приведенными в статье 46 регламента GDPR. В дополнение к своим обязательствам по стандартным контрактным условиям для обработчиков и другим типовым договорам корпорация Майкрософт продолжает соблюдать условия соглашения о правилах обмена конфиденциальной информацией, но больше не использует его в качестве основы при передаче персональных данных из ЕС/ЕЭЗ в США.

Каковы другие предложения, связанные с обеспечением соответствия требованиям Майкрософт?

Как глобальная компания, имеющая клиентов почти во всех странах мира, Microsoft обладает обширным портфелем решений для обеспечения соответствия, который помогает нашим клиентам. Чтобы просмотреть полный список наших предложений по соответствию, включая FedRamp, HIPAA / HITECH, ISO 27001, ISO 27002, ISO 27018, NIST 800-171, UK G-Cloud и многие другие, посетите наши темы по соответствию.

Как GDPR повлияет на мою компанию?

GDPR предъявляет широкий спектр требований к организациям, которые собирают или обрабатывают личные данные, включая требование соблюдать шесть ключевых принципов:

  • Прозрачность, справедливость и законность в обработке и использовании персональных данных. Вам нужно будет уточнить у отдельных лиц, как вы используете личные данные, а также потребуется «законная основа» для обработки этих данных.
  • Ограничение обработки персональных данных указанными, явными и законными целями. Вы не сможете повторно использовать или раскрывать личные данные в целях, которые не «совместимы» с целью, для которой эти данные были первоначально собраны.
  • Минимизация сбора и хранения персональных данных до уровня, который является адекватным и соответствующим назначению.
  • Обеспечение точности личных данных и возможность их удаления или исправления. Вам нужно будет предпринять шаги, чтобы убедиться, что ваши личные данные точны и могут быть исправлены в случае возникновения ошибок.
  • Ограничение хранения личных данных. Вам нужно будет гарантировать, что вы сохраняете личные данные только столько времени, сколько необходимо для достижения целей, для которых эти данные были собраны.
  • Обеспечение безопасности, целостности и конфиденциальности личных данных. Ваша организация должна принять меры для обеспечения безопасности личных данных с помощью технических и организационных мер безопасности.

Вам требуется определить, каковы обязательства вашей организации по GDPR и как их выполнять, и корпорация Майкрософт готова помочь вам в этом.

Какие права должны предоставлять компании в рамках GDPR?

GDPR предоставляет жителям ЕС контроль над своими личными данными через набор «прав субъекта данных». Это включает в себя право:

  • Доступ к информации о том, как используются личные данные.
  • Доступ к личным данным, хранящимся в организации.
  • Удалите или исправьте неверные личные данные.
  • Исправить и стереть личные данные при определенных обстоятельствах (иногда их называют «право быть забытым»).
  • Ограничить или возразить против автоматической обработки персональных данных.
  • Получите копии личных данных.

Кто такие обработчики и контролеры?

Контролер — это физическое или юридическое лицо, орган государственной власти, государственное ведомство или другое учреждение, которое самостоятельно или вместе с другими лицами определяет цели и способы обработки персональных данных. Обработчик - это физическое или юридическое лицо, государственный орган, агентство или другой орган, который обрабатывает персональные данные от имени контролера.

Применяется ли GDPR к процессорам и контроллерам?

Да, GDPR распространяется как на контроллеры, так и на процессоры. Контроллеры должны использовать только процессоры, принимающие меры в соответствии с требованиями для GDPR. В соответствии с GDPR процессоры несут дополнительные обязанности и несут ответственность за несоответствие или действия вне инструкций, предоставленных контроллером, по сравнению с Директивой о защите данных. Обязанности процессора включают, но не ограничиваются:

  • Обработка данных только в соответствии с инструкциями контроллера.
  • Использование соответствующих технических и организационных мер для защиты персональных данных.
  • Помощь контроллеру с запросами субъекта данных.
  • Гарантируя, что задействованные подпроцессоры отвечают этим требованиям.Обеспечение соответствия требованиям.

Какой штраф предусмотрен для компаний за несоблюдение требований?

За несоблюдение определенных требований GDPR компании могут быть оштрафованы на сумму до 20 млн евро или 4% годового мирового оборота, в зависимости от того, что больше. Дополнительные индивидуальные средства могут увеличить ваш риск, если вы не соблюдаете требования GDPR.

Нужно ли моему бизнесу назначать сотрудника по защите данных (DPO)?

Это зависит от нескольких факторов, определенных в нормативных актах. В статье 37 GDPR говорится, что контролеры и обработчики должны назначать сотрудника по защите данных в любом случае, когда: (а) обработка осуществляется государственным органом или органом, за исключением судов, действующих в качестве судей; (b) основная деятельность контроллера или процессора состоит из операций обработки, которые в силу своего характера, их объема и / или их целей требуют регулярного и систематического мониторинга субъектов данных в больших масштабах; или (c) основная деятельность контролера или обработчика состоит из обработки в широком масштабе специальных категорий данных в соответствии со статьей 9 и персональных данных, касающихся уголовных обвинительных приговоров и преступлений, указанных в статье 10.

Сколько это будет стоить, чтобы соответствовать требованиям GDPR?

Соблюдение соответствия GDPR будет стоить времени и денег для большинства организаций, хотя это может быть более плавным переходом для тех, кто работает по хорошо спроектированной модели облачных сервисов и имеет эффективную программу управления данными.

Как я узнаю, что данные, обрабатываемые моей организацией, охватываются GDPR?

GDPR регулирует сбор, хранение, использование и совместное использование персональных данных. Персональные данные в широком смысле определяются под GDPR как любые данные, относящиеся к идентифицированному или идентифицируемому физическому лицу.

Персональные данные могут включать, но не ограничиваются ими, сетевые идентификаторы (например, IP-адреса), информацию о сотрудниках, базы данных о продажах, данные обслуживания клиентов, формы обратной связи с клиентами, данные о местоположении, биометрические данные, видеоматериалы CCTV, записи схем лояльности, состояние здоровья, и финансовая информация и многое другое. Они могут даже включать информацию, которая не является личной, например фотографию ландшафта без людей, если эта информация связана посредством номера учетной записи или уникального кода с идентифицируемым лицом. И даже личные данные, которые были псевдонимами, могут быть личными данными, если псевдоним может быть связан с конкретным человеком.

Обработка определенных "специальных" категорий персональных данных, например персональных данных, раскрывающих расовое или этническое происхождение человека или касающихся его здоровья или сексуальной ориентации, регулируется более строгими правилами, чем обработка "обычных" персональных данных. Эта оценка персональных данных в значительной степени зависит от фактов, поэтому мы рекомендуем привлекать эксперта для оценки ваших конкретных обстоятельств.

Моя организация обрабатывает данные только от имени других пользователей. Нужно ли по-прежнему соответствовать GDPR?

Да. Хотя правила несколько различаются, GDPR применяется к организациям, которые собирают и обрабатывают данные для своих собственных целей («контроллеры»), а также к организациям, которые обрабатывают данные от имени других («процессоры»). Это требование является отходом от существующей Директивы о защите данных, которая применяется к контроллерам.

Что конкретно считается персональными данными?

Персональные данные - это любая информация, касающаяся идентифицированного или идентифицируемого лица. Нет различия между личными, общественными или рабочими ролями человека. Личные данные могут включать:

  • Имя
  • Домашний адрес
  • Рабочий адрес
  • Номер телефона
  • Номер мобильного телефона
  • Адрес электронной почты
  • Номер паспорта
  • Номер национального удостоверения личности
  • Номер социального страхования (или его эквивалент)
  • Водительское удостоверение
  • Физическая, физиологическая или генетическая информация
  • Медицинские сведения
  • Культурная принадлежность
  • Банковские реквизиты и номера счетов
  • Номер налогоплательщика
  • Рабочий адрес
  • Номера кредитных и дебетовых карт
  • публикации в социальных сетях;
  • IP-адрес (для региона ЕС)
  • Местоположение и данные GPS
  • Файлы cookie

Могу ли я передавать данные за пределы ЕС?

Да, однако GDPR строго регулирует передачу персональных данных европейских жителей в пункты назначения за пределами Европейского экономического пространства. Вам может понадобиться установить определенный правовой механизм, например, контракт, или придерживаться механизма сертификации, чтобы разрешить эти передачи. Microsoft подробно описывает механизмы, которые мы используем в Условиях онлайн-услуг.

У меня есть требования к хранении данных в соответствии с требованиями. Переопределяют ли эти требования право на удаление?

При наличии законных оснований для дальнейшей обработки и хранения данных, таких как «на соответствие юридическому обязательству, которое требует обработки в соответствии с законодательством Союза или государства-члена, которому подчиняется контролер» (Статья 17 (3) (b)), GDPR признает, что организации могут быть обязаны хранить данные. Однако вам следует убедиться, что вы привлекаете своего юрисконсульта для обеспечения того, чтобы основания для удержания были сопоставлены с правами и свободами субъектов данных, их ожиданий на момент сбора данных и т. д.

GDPR занимается шифрованием?

Шифрование идентифицируется в GDPR как защитная мера, которая делает личные данные неразборчивыми, когда они нарушаются. Следовательно, использование шифрования может повлиять на требования к уведомлению о нарушении личных данных. GDPR также указывает на шифрование в качестве соответствующей технической или организационной меры в некоторых случаях, в зависимости от риска. Шифрование также является обязательным требованием стандарта безопасности данных индустрии платежных карт и частью строгих правил соответствия, характерных для отрасли финансовых услуг. Продукты и службы Майкрософт, например Azure, Dynamics 365, Enterprise Mobility + Security, Office Microsoft 365, SQL Server / База данных SQL Azure, Windows 10 и Windows 11, предлагают надежное шифрование данных при передаче и неактивных данных.

Как GDPR меняет реакцию организации на утечку персональных данных?

GDPR изменит требования к защите данных и установит более строгие обязательства для процессоров и контроллеров в отношении уведомления о нарушениях персональных данных. В соответствии с новым регламентом процессор должен уведомить контроллер данных о нарушении персональных данных, после того, как ему стало известно, без неоправданной задержки. Узнав о нарушении персональных данных, контроллер должен уведомить соответствующий орган по защите данных в течение 72 часов. Если нарушение может привести к высокому риску для прав и свобод отдельных лиц, контролеры также должны будут уведомить пострадавших лиц без неоправданной задержки. Дополнительное руководство по этой теме разрабатывается Рабочей группой ЕС по статье 29.

Продукты и службы Майкрософт, такие как Azure, Dynamics 365, Enterprise Mobility + Security, Microsoft Office 365 и Windows 10, имеют доступные уже сегодня решения для обнаружения и оценки угроз и нарушений безопасности, а также для выполнения обязательств по уведомлению о нарушениях GDPR.

Дополнительные ресурсы