Глоссарий GDPR: разбивка для занятых людей

Опубликовано: 2018-02-16
Глоссарий GDPR: разбивка для занятых людей

Ключевой принцип GDPR: представляйте свои политики в отношении данных пользователям без «юридических терминов».

ТАК ЗАЧЕМ ОНИ ДАЛИ НАМ 200 СТРАНИЦ МОЗГОВОГО ЖАРГОНА ДЛЯ ПРОЧТЕНИЯ?

Прохождение нового Общего регламента по защите данных очень важно.

Но это так же весело, как смотреть турнир по гольфу в замедленной съемке.

Итак, вот разбивка того, что означают все эти юридические термины, написанные предложениями, которые вы не заснете на полпути.

Не стесняйтесь нажимать CTRL+F, чтобы избавиться от головной боли.

Определения

Обязательные корпоративные правила (ОКП) : У вас есть личные данные в ЕС? Хотите передать его людям в вашей многонациональной организации. за пределами ЕС? BCR — это ваши правила, которым нужно следовать.

Биометрические данные : «Данные тела». Если он может вас идентифицировать и связан с физическими, физиологическими или поведенческими чертами, то это он.

СОГЛАСИЕ : Это большое. ПОЛУЧИТЬ СОГЛАСИЕ НА ИСПОЛЬЗОВАНИЕ ЧЬИХ-ЛИБО ДАННЫХ СЕЙЧАС СЛОЖНО.

Должно быть:

  • бесплатно дается
  • специфический
  • утвердительный
  • явный

Так что… если вы собираетесь отправить кому-то электронное письмо, вы должны получить его согласие на отправку по электронной почте. Собираетесь использовать куки? Для этого вам тоже нужно специальное согласие.

Вы должны запросить согласие людей самостоятельно. Вы не можете смешивать это с тем же флажком, что и ваша политика конфиденциальности.

И вы не можете предварительно отметить поле «Я согласен на ____». Они должны сделать это сами.

Вы не можете написать свое старомодное заявление об отказе от ответственности «Этот сайт использует файлы cookie, раз вы здесь, вы не против» и ожидать, что оно сработает.

Люди поняли, как вы используете их данные. Они должны дать вам добро, чтобы использовать его таким образом.

Это много.

Подробнее об этом мы писали здесь.

Данные о здоровье : как это звучит (слава богу).

Контролер данных : Если вы маркетолог, то это, вероятно, вы. Это любой, кто запрашивает, собирает и использует личные данные любым способом. Если вы их обрабатываете, если вы их храните, если вы определяете, как будут использоваться данные людей, вы являетесь контролером данных. Поздравляю!

Стирание данных: также известное как «Право на забвение». Это просто означает, что субъект данных (человек) может удалить любые данные, которые у вас есть. Они говорят слово, и вы должны очистить их данные, прекратить их использовать и прекратить распространять (грубо) каким-либо образом.

Переносимость данных : если кто-то приходит к вам и говорит: «ЭЙ, мне нужна копия всех данных, которые у вас есть обо мне», — вы должны сказать «конечно, давай». И вы должны передать им копию этих данных в формате, который они могут легко передать кому-то еще. (Подробнее о том, что живет здесь)

Обработчик данных : все, что вы (контролер данных) используете для сбора и обработки данных. Многие ваши маркетинговые инструменты — это процессоры данных (инструменты аналитики, инструменты A/B-тестирования, плагины и тому подобное).

Управление по защите данных : страшные люди, которые будут следить за тем, чтобы вы соблюдали правила. Это национальные органы, которые отвечают за защиту данных и конфиденциальность, а также за соблюдением GDPR в ЕС.

Сотрудник по защите данных : человек, которого вы должны назначить, чтобы справиться со всем этим безумием регулирования, если ваша компания больше 250 человек (но, честно говоря, GDPR не может решить, каким должно быть это число). Это эксперт по конфиденциальности данных, который будет работать с вами независимо и следить за соблюдением GDPR.

Субъект данных : Человек — у которого есть данные, которые вы имеете, видите или используете.

Делегированные действия : забавные «бонусные законы», которые дополняют существующие, чтобы обеспечить больше ясности или критериев. Ожидайте кучу таких от независимых стран ЕС в будущем.

Отступление : Исключения из законов!

Директива : Это закон, устанавливающий «цель» для всех стран ЕС. Затем каждая страна принимает свои собственные национальные законы для достижения этой цели.

Зашифрованные данные : более или менее: вы защищаете личные данные, путая их. Шифрование данных гарантирует, что только люди с определенным доступом могут получить доступ или прочитать данные, которые вы сохранили. Что касается мер безопасности, то это очень хорошая идея.

Предприятие : все, что занимается экономической деятельностью, независимо от ее «юридической формы». Так что люди, организации, ассоциации вы называете это. Любой, кто зарабатывает или портит деньги.

Система хранения данных : GDPR применяется в двух случаях: к автоматизированным системам (хранение материалов на компьютере и в базах данных) или, в случае печатных копий, к «соответствующим системам хранения данных». Файловая система является «релевантной», если в ней можно осуществлять поиск или доступ к ней по определенным критериям, таким как имя, идентификационный номер, номер телефона и т. д.)

Поэтому, если вы сбрасываете все свои кадровые данные в немаркированные, неорганизованные ящики, вам, вероятно, не придется беспокоиться о них для GDPR. Вы просто должны беспокоиться о них, потому что вы знаете, по любой другой причине.

Генетические данные : официальный сайт ЕС определяет это, но давайте. Вы знаете, что такое генетика.

Группа обязательств : Чтобы понять, что такое «предприятие», нужно просмотреть множество прецедентов, но все более или менее сводится к следующему: обязательство — это когда одна компания контролирует другую компанию. А контроль в данном случае означает возможность оказывать «решающее влияние».

Пример: материнская компания владеет контрольным пакетом акций дочерней компании. Предполагается, что они могут осуществлять контроль. Это обязательство.

А группа начинаний – это группа тех.

Главное учреждение : Это более или менее связано с тем, где применяется надзор. Это место в профсоюзе, где принимаются решения, связанные с обработкой данных. Это означает, что если вы обрабатываете свои данные в Германии, даже если вы находитесь в другом месте, ваше «основное учреждение» находится в Германии.

ЛИЧНЫЕ ДАННЫЕ : ЕЩЕ ОДНА БОЛЬШАЯ. Персональные данные – это любая информация, которая относится к человеку и может быть использована для его идентификации. Сюда входят данные, которые могут косвенно идентифицировать их или идентифицировать их в сочетании с другими входящими данными.

Это отличается от PII (личной информации) . И это более строгое определение, чем мы видели раньше.

Вот полная разбивка:

Персональные данные (PII)
Личные данные
  • Полное имя (если не общепринятое)
  • Домашний адрес
  • Адрес электронной почты
  • Национальный идентификационный номер
  • Номер паспорта
  • Номерной знак транспортного средства
  • Номер водительских прав
  • Лицо, отпечатки пальцев или почерк
  • Номера кредитных карт
  • Цифровая идентификация
  • Дата рождения
  • Место рождения
  • Генетическая информация
  • Номер телефона
  • Логин, отображаемое имя, псевдоним или дескриптор
  • Полное имя (если не общепринятое)
  • Домашний адрес
  • Адрес электронной почты
  • Национальный идентификационный номер
  • Номер паспорта
  • Номерной знак транспортного средства
  • Номер водительских прав
  • Лицо, отпечатки пальцев или почерк
  • Номера кредитных карт
  • Цифровая идентификация
  • Дата рождения
  • Место рождения
  • Генетическая информация
  • Номер телефона
  • Логин, отображаемое имя, псевдоним или дескриптор

+

  • Айпи адрес
  • Уникальные идентификаторы, такие как идентификаторы устройств, UserID, TransactionID, CookieID
  • Псевдонимные данные (это неузнаваемые данные + ключ в другом месте, чтобы сделать их снова читаемыми)

Нарушение персональных данных : большое «упс». Это происходит каждый раз, когда кто-то может случайно или незаконно получить доступ, уничтожить или неправильно использовать сохраненные вами личные данные. В соответствии с GDPR вы должны сообщить всем своим субъектам данных об одном из них в течение 72 часов.

Конфиденциальность по дизайну : Хватит откладывать на потом. Когда вы создаете систему, которая работает с данными — интерфейс, веб-сайт, что угодно — вы должны думать о защите данных ДО того, как начнете. Он должен быть разработан с учетом прав на данные. Они не должны быть выпуском в последнюю минуту.

Оценка воздействия на конфиденциальность : то, что вы (вместе со своим сотрудником по защите данных) должны сделать! По сути, это просто проверка потенциальных рисков для конфиденциальности. Это означает, что нужно взглянуть на свои личные данные, узнать, как они обрабатываются и что вы делаете прямо сейчас для их защиты.

Обработка : ВСЕ, ЧТО вы делаете с личными данными — вручную или автоматически. Собираю, записываю, использую. Персональные данные просто мелькают на вашем экране и обрабатываются.

Профилирование : если вы автоматизируете личные данные и анализируете их, чтобы предсказать чье-то (конкретное) поведение, это считается профилированием.

Псевдонимизация — у вас есть личные данные. Вы обрабатываете их таким образом, что уже не можете отнести их к субъекту данных — по крайней мере, без какой-либо другой, отдельно хранимой части информации. Классический пример — замена идентифицируемых данных обратимым, непротиворечивым значением — например, строкой случайных чисел, — которое впоследствии можно «разблокировать» и повторно атрибутировать.

Это отличается от фактически анонимных данных: в них идентифицируемая часть информации полностью уничтожается.

Какие методы «считаются» псевдонимизацией в соответствии с GDPR, еще не совсем определено, и существует много неясностей в отношении того, какие данные считаются «вероятными для идентификации» или «достаточно вероятными» для идентификации.

Но есть некоторые причудливые стимулы GDPR для псевдонимизации ваших личных данных. Вы можете найти их в Recital 29.

Например, когда вы собираете свои стандартные, обычные персональные данные, вы можете использовать их только по причинам, явно «одобренным» субъектом данных. Но с псевдонимизацией у вас есть немного больше свободы в том, как вы можете обрабатывать данные, даже если они предназначены для целей, отличных от тех, для которых они были собраны изначально.

Получатель – лицо, которому раскрываются персональные данные.

Регламент – закон, который является обязательным и применяется на всей территории ЕС.

Представитель . Если людям, не соблюдающим GDPR, необходимо обратиться к контролерам данных (например, к вашей компании) для решения проблем, они обращаются к вашим представителям. Представители должны быть в Союзе и четко назначены для выполнения задачи.

Право на забвение : см. «Удаление данных» выше.

Право на доступ / право доступа субъекта : если у вас есть чьи-то личные данные, они могут запросить доступ к ним. Вы должны быть в состоянии дать им это.

Надзорный орган : Каждое государство-член ЕС назначит государственный орган для надзора за соблюдением GDPR. Это надзорный орган (но вы также можете знать его как DPA или орган по защите данных).

Трилоги. После того, как все прочитают первый проект предложенного закона, Европейская комиссия, Европейский парламент и Совет ЕС встречаются в неофициальной обстановке для переговоров. Эти встречи называются трилогами и проводятся для того, чтобы можно было быстро принять компромиссный текст.

Сокращения:

BCR : обязательные корпоративные правила (см. выше)

CFR : Хартия основных прав Европейского Союза

CJEU : Суд Европейского Союза.

DPA : Орган по защите данных (см. Надзорный орган)

DPO : сотрудник по защите данных

ЕСПЧ : Европейская конвенция о правах человека.

EDPB : Европейский совет по защите данных

DEPS : Европейский инспектор по защите данных

ЕЭЗ : Европейская экономическая зона (28 государств-членов ЕС, а также Исландия, Лихтенштейн и Норвегия)

ДФЕС : Договор о функционировании Европейского Союза.

WP29 : Рабочая группа Статья 29. Это был консультативный совет на уровне ЕС, состоящий из национальных DPA. Но EDPB более или менее заменил его в соответствии с GDPR.

Список поставщиков конфиденциальной информации
Список поставщиков конфиденциальной информации