Законы

Определения

Персональная информация (personal data)  – любая информация относящаяся к идентифицированому или идентифицируемому физическому лицу. В частности имя, идентификационный номер, географическое расположение итд.

 

 

 

 

 

 

Обработка (processing) – любой набор операций над персональной информацией. Включает в себя как ручную так и автоматическую обработку информации. К примеру:

  • сбор
  • хранение
  • организация
  • адаптация
  • изменение
  • получение
  • обсуждение
  • использование
  • передачу
  • распространение
  • ограничение
  • уничтожение

Ограничение обработки (restriction of processing) – маркировка собраной, во время обработки информации таким образом, чтобы сделать повторную обработку максимально сложной

Требования

Обработчкик информации (интернет магазин/сервис)  обязан оглашать любой факт сборки персональной информации, объявить легальный базис на сборку, сроки хранения информации и при необходимости сообщить о возможной передаче персональной информации третьему лицу.

У пользователя обработчика информации (в случае с магазином – речь идет о покупателе) есть право получить отчет в доступном формате, какая именно персональная информация о нем хранится, а так же в некоторых случаях попросить о удалении своей персональной информации.

Публичные офисы и коммерческие организации, центральная активность которой крутится вокруг сбора и обработки персональной информации, обязаны назначить ответственного за защиту персональной информации (dpo).

Ответственный за защиту персональной информации/dpo

В связи с новой регуляцией публичные офисы и интернет организации обязаны назначить отвественного за защиту о персональной информации.

Ответственный за защиту персональной информации должен наблюдать за соответствием регуляции, разъяснить основные положения регуляции и обязанности, являться советником в поиске и предохранении утечек персональной информации.

Отвественный за защиту персональной информации является независимым лицом обладающим достаточными знаниями о информационной безопасности. Ответственный отчитывается перед старшим менеджментом организации.

Отвественный может быть, а может и не быть, сотрудником организации.

В определенных случаях различные организации могут иметь общего отвественного.

Наказания

Следующие критерии будут взвешены при определении наказания при невыполнении требований о защите персональной информации.

Повреждения – количество пострадавших и длительность утечки, важность утекшей информации, первоначальная причина сбора информации.
Намеренность – случайно или специально была допущена ошибка.
Меры – какие меры были приняты по предотвращению ущерба пострадавшим.
Защитные методы – какие меры были принято своевременно чтобы предотвратить утечку.
Сотрудничество – насколько охотно организация сотрудничала с надзирающими органами для уменьшения ущерба.
Предыдущая история – разумно предположить, что “случайно”, одну и ту же ошибку допустить два раза сложно.

В зависимости от ситуации, следующие сакнции могут быть наложены:

Предупреждение – в случае первого и ненамеренного нарушения.
Регулярные проверки – вроде как оказаться под увеличительным стеклом у государственного чиновника.
Штраф до десяти миллионов € или 2% от годового оборота
Штраф до двадцати миллионов € или 4% от годового оборота