|
<< Click to Display Table of Contents >> Общие правила защиты данных (GDPR) |
  
|
|
<< Click to Display Table of Contents >> Общие правила защиты данных (GDPR) |
|
Компания Bosch обязуется соблюдать Общие правила защиты данных (GDPR) с момента их вступления в силу, а именно с 25 мая 2018 года (для получения дополнительной информации: http://www.eugdpr.org/).
Как следствие, веб-сайты Bosch включают в себя определенные функции для соответствия требованиям GDPR.
В соответствии с GDPR, уведомление о несанкционированном доступе станет обязательным во всех государствах-участниках, где утечка данных может «привести к угрозе для прав и свободы личности». Это необходимо выполнить в течение 72 часов с момента получения уведомления об утечке. Лица, осуществляющие обработку персональных данных, будут обязаны сообщать об утечке данных своим заказчикам, контролерам, «без излишнего промедления».
Часть расширенных прав субъектов персональных данных, изложенных в GDPR, является правом субъектов персональных данных на получение подтверждения от контролера данных о том, обрабатываются ли их персональные данные, где и с какой целью. Более того, контролер должен бесплатно предоставить копию персональных данных в электронном виде. Это изменение представляет собой переход к прозрачности данных и предоставлению полномочий субъектам данных.
Также называемое удалением данных, право на забвение дает субъекту данных право на удаление контролером персональных данных, прекращение распространения данных и, возможно, прекращение обработки данных третьими лицами. Условия для удаления, как указано в статье 17, включают в себя следующее: данные больше не имеют отношения к исходным целям для обработки или субъект данных отозвал свое согласие. Следует также отметить, что при рассмотрении таких запросов это право требует от контролеров сравнения прав субъектов с «общественными интересами в плане доступности данных».
GDPR представляет переносимость данных — право субъекта данных получать свои персональные данные, которые ранее были предоставлены для «общего использования и в машиночитаемом формате», и передавать эти данные другому контролеру.
Встроенный алгоритм конфиденциальности как концепция существует уже много лет, но только недавно он стал частью требований GDPR. В своей основе встроенный алгоритм конфиденциальности предусматривает не добавление, а включение защиты данных с самого начала проектирования систем. В частности, «контролер должен ... надлежащим образом осуществлять необходимые технические и организационные меры, чтобы соответствовать требованиям настоящего Регламента и защищать права субъектов данных». Статья 23 призывает контролеров собирать и обрабатывать только те данные, которые абсолютно необходимы для выполнения их обязанностей (минимизация данных), а также для ограничения доступа к персональным данным теми, кто выполняет обработку.
В настоящее время контролеры должны сообщать о своих действиях по обработке данных местным органам по надзору за соблюдением законодательства о защите персональных данных, что для международных компаний может стать бюрократической проблемой, причем большинство государств-участников имеют разные требования к уведомлениям. В соответствии с GDPR нет необходимости предоставлять уведомления/информацию об обработке данных в каждый местный орган по надзору за соблюдением законодательства о защите персональных данных; также не требуется уведомлять/получать разрешение на переводы на основе статей типового договора (MCC). Вместо этого обязательными будут внутренние требования ведения записей, как поясняется ниже; прием у должностного лица по защите данных будет обязательным только для тех контролеров и лиц, осуществляющих обработку персональных данных, основной вид деятельности которых состоит из обработки данных, требующей регулярного и систематического мониторинга субъектов персональных данных в крупном масштабе, данных особых категорий или данных, относящихся к осуждению и правонарушениям. Важная информация о должностном лице по защите данных:
•Назначается на основании профессиональных качеств, в частности, экспертных знаний закона о защите данных и практики
•Может быть штатным сотрудником или внешним поставщиком услуг
•Контактные данные должны предоставляться соответствующему органу по надзору за соблюдением законодательства о защите персональных данных
•Должен получать соответствующие ресурсы для выполнения своих задач и поддержания их экспертных знаний
•Подчиняется непосредственно высшему уровню руководства
•Не выполняет другие задачи, которые могут привести к конфликту интересов