Определения
Персональная информация (personal data) – любая информация относящаяся к идентифицированому или идентифицируемому физическому лицу. В частности имя, идентификационный номер, географическое расположение итд.
Обработка (processing) – любой набор операций над персональной информацией. Включает в себя как ручную так и автоматическую обработку информации. К примеру:
- сбор
- хранение
- организация
- адаптация
- изменение
- получение
- обсуждение
- использование
- передачу
- распространение
- ограничение
- уничтожение
Ограничение обработки (restriction of processing) – маркировка собраной, во время обработки информации таким образом, чтобы сделать повторную обработку максимально сложной
Требования
Обработчкик информации (интернет магазин/сервис) обязан оглашать любой факт сборки персональной информации, объявить легальный базис на сборку, сроки хранения информации и при необходимости сообщить о возможной передаче персональной информации третьему лицу.
У пользователя обработчика информации (в случае с магазином – речь идет о покупателе) есть право получить отчет в доступном формате, какая именно персональная информация о нем хранится, а так же в некоторых случаях попросить о удалении своей персональной информации.
Публичные офисы и коммерческие организации, центральная активность которой крутится вокруг сбора и обработки персональной информации, обязаны назначить ответственного за защиту персональной информации (dpo).
Ответственный за защиту персональной информации/dpo
В связи с новой регуляцией публичные офисы и интернет организации обязаны назначить отвественного за защиту о персональной информации.
Ответственный за защиту персональной информации должен наблюдать за соответствием регуляции, разъяснить основные положения регуляции и обязанности, являться советником в поиске и предохранении утечек персональной информации.
Отвественный за защиту персональной информации является независимым лицом обладающим достаточными знаниями о информационной безопасности. Ответственный отчитывается перед старшим менеджментом организации.
Отвественный может быть, а может и не быть, сотрудником организации.
В определенных случаях различные организации могут иметь общего отвественного.
Наказания
Следующие критерии будут взвешены при определении наказания при невыполнении требований о защите персональной информации.
Повреждения – количество пострадавших и длительность утечки, важность утекшей информации, первоначальная причина сбора информации.
Намеренность – случайно или специально была допущена ошибка.
Меры – какие меры были приняты по предотвращению ущерба пострадавшим.
Защитные методы – какие меры были принято своевременно чтобы предотвратить утечку.
Сотрудничество – насколько охотно организация сотрудничала с надзирающими органами для уменьшения ущерба.
Предыдущая история – разумно предположить, что “случайно”, одну и ту же ошибку допустить два раза сложно.
В зависимости от ситуации, следующие сакнции могут быть наложены:
Предупреждение – в случае первого и ненамеренного нарушения.
Регулярные проверки – вроде как оказаться под увеличительным стеклом у государственного чиновника.
Штраф до десяти миллионов € или 2% от годового оборота
Штраф до двадцати миллионов € или 4% от годового оборота