GDPR действительно очень важен в настоящее время как «золотой стандарт» законов о защите данных, но это всего лишь последнее в линии, вытекающей из Конвенции ЕС 108 в 1981 году. Простое соблюдение GDPR поможет вам пройти долгий путь, но некоторые другиеВ юрисдикциях (не входящих в ЕС) могут быть законы, специфичные для них, поэтому вам необходимо провести некоторое исследование, если это применимо. Текст самого GDPR вполне читабелен, но я считаю это неофициальное переформатирование GDPR более полезным - лучший поиск, более удобная навигация, больше перекрестных ссылок.
Процесс выяснения того, чтовам, возможно, придется подумать и сделать, что это также определено в GDPR - это называется Оценка воздействия на защиту данных (DPIA) (имеет много общего с оценками воздействия конфиденциальности на более высоком уровне, PIA), и вы можете найти этот инструментфранцузский комиссар по защите данных (CNIL) полезно;он предоставляет ориентированный путь для решения соответствующих проблем и помогает вам находить и отвечать на поставленные вопросы, в результате чего получается хороший отчет и список действий.
Вы должны быть в состоянии ответить на такие вопросы:
- Какие данные вы собираете?
- Включает ли это "личные данные" в смысле GDPR?
- Почему вы собираете их?
- Какое право вы имеете на данные(то есть, на чем вы основываетесь?)
- Где вы храните его?
- Кто имеет к нему доступ?
- Передаются ли данные третьим лицам? Если да, то на каких условиях?
- Как долго вы собираетесь хранить его?
- Каким образом субъекты данных (люди, о которых данные) сообщают, что у вас есть данные и как можноони просят его просмотреть, изменить или запросить удаление?
- Какие шаги вы предпринимаете для защиты данных (например, TLS, шифрование в покое, хеширование пароля)?
Если все это звучит сложно, тогда вы получаете точку в GDPR - возможность использовать данные людей - это привилегия, которую не следует воспринимать легкомысленно, и если вы сделаете это, вам нужно будет активизироваться. Есть простой выход - не собирайте личные данные;данные, которые не связаны с человеком, не являются личными данными и освобождены от GDPR;Подумайте о погоде, ценах на акции и т. д. Обратите внимание, что «личная информация» (PII) не является термином или понятием, которое существует в GDPR;это изобретение США. Цвет не является персональными данными; любимый цвет человека .
Может быть возможно собрать подробные данные, если они анонимны (любая ссылка на человека удалена или сделана бесполезной), хотя это удивительно сложно сделать эффективно.