GDPR сәйкес жеке деректерді қорғау

GDPR компаниялар мен ұйымдарға жеке деректерді жинау, сақтау және басқару бойынша егжей-тегжейлі талаптарды белгілейді. Бұл ЕО-дағы жеке тұлғалардың жеке деректерін өңдейтін еуропалық ұйымдарға да, ЕО-да тұратын адамдарға бағытталған ЕО-ға кірмейтін ұйымдарға да қатысты.

Деректерді қорғаудың жалпы ережесі (GDPR) қашан қолданылады?

GDPR келесі жағдайларда қолданылады:

• сіздің компанияңыз жеке деректерді өңдейді және нақты деректерді өңдеу қай жерде жүргізілетініне қарамастан ЕО аумағында орналасқан
• Сіздің компанияңыз ЕО-дан тыс жерде құрылған, бірақ ЕО-дағы жеке тұлғаларға тауарларды немесе қызметтерді ұсынуға байланысты жеке деректерді өңдейді немесе ЕО ішіндегі тұлғалардың мінез-құлқын бақылайды

ЕО азаматтарының деректерін өңдейтін  ЕО-ға кірмейтін кәсіпорындар ЕО-да өкілін тағайындауы керек .

Деректерді қорғаудың жалпы ережесі (GDPR) қашан қолданылмайды?

GDPR келесі жағдайларда қолданылмайды:

• деректер субъектісі өлді
• деректер субъектісі заңды тұлға болып табылады
• өңдеуді өз кәсіптерінен, кәсіптерінен немесе кәсібінен тыс мақсаттарда әрекет ететін тұлға жүзеге асырады.

Жеке деректер дегеніміз не?

Дербес деректер - деректер субъектісі ретінде белгілі, сәйкестендірілген немесе сәйкестендірілетін тұлға туралы кез келген ақпарат  . Жеке деректерге мыналар кіреді:

• Аты
• мекенжайы
• ID/паспорт нөмірі
• табыс
• мәдени профиль
• Интернет протоколының (IP) мекенжайы
• ауруханада немесе дәрігерде сақталған деректер (бұл жеке тұлғаны медициналық мақсатта бірегей түрде анықтайды).

Арнайы деректер санаттары

Сіз ешкім туралы жеке деректерді өңдеуге құқығыңыз жоқ:

• нәсілдік немесе этникалық шығу тегі
• жыныстық бағдар
• Саяси Көзқарастар
• діни немесе философиялық сенімдер
• кәсіподақ мүшелігі
• генетикалық, биометриялық немесе денсаулық деректері, ерекше жағдайларды қоспағанда (мысалы, сізге нақты келісім берілген немесе ЕО немесе ұлттық заңнамаға сәйкес маңызды қоғамдық мүдделерге байланысты өңдеу қажет болған жағдайда)
• ЕО немесе ұлттық заңнама рұқсат етпесе, қылмыстық үкімдер мен құқық бұзушылықтарға қатысты жеке деректер.

Жеке деректерді кім өңдейді?

Өңдеу кезінде жеке деректер әртүрлі компаниялар немесе ұйымдар арқылы өтуі мүмкін. Бұл циклде жеке деректерді өңдеуге қатысты екі негізгі профиль бар:

• Деректерді бақылаушы  – жеке деректерді өңдеудің мақсаты мен әдісін шешеді.
• Мәліметтерді өңдеуші  – деректер контроллері атынан деректерді сақтайды және өңдейді.

Компания ішінде жеке деректердің өңделуін кім бақылайды?

Компания тағайындауы мүмкін Деректерді қорғау жөніндегі қызметкер (DPO) жеке деректердің өңделуін бақылауға және жеке деректерді өңдейтін қызметкерлерді олардың міндеттері туралы ақпараттандыруға және кеңес беруге жауапты. DPO сонымен қатар DPA және жеке тұлғалармен байланыс нүктесі ретінде әрекет ететін Деректерді қорғау органымен (DPA) жұмыс істейді.

Деректерді қорғау жөніндегі қызметкер қашан тағайындалуы керек?

Сіздің компанияңыз DPO тағайындауы қажет, егер:

• жеке тұлғаларды үнемі немесе жүйелі түрде бақылайсыз немесе деректердің арнайы санаттарын өңдейсіз
• бұл өңдеу негізгі әрекет болып табылады
• деректерді кең ауқымда өңдейсіз.

Мысалы, адамдардың желідегі мінез-құлқына негізделген іздеу жүйелері арқылы мақсатты жарнама үшін жеке деректерді өңдейтін болсаңыз, сізде DPO болуы керек. Дегенмен, жарнамалық материалдарды клиенттерге жылына бір рет ғана жіберсеңіз, сізге DPO қажет болмайды. Сол сияқты, егер сіз пациенттің денсаулығы туралы деректерді жинайтын дәрігер болсаңыз, DPO қажет болмауы мүмкін. Бірақ егер сіз аурухана үшін генетика және денсаулық туралы жеке деректерді өңдесеңіз, онда DPO қажет болады.

DPO ұйымыңыздың толық уақытты қызметкері болуы мүмкін немесе қызмет көрсетуші арқылы сыртқы мердігер жалдауы мүмкін. DPO жеке тұлға немесе ұйымның бөлігі болуы мүмкін.

Басқа компания үшін деректерді өңдеу

Деректер контроллері жеткілікті кепілдіктерді ұсынатын деректер процессорын ғана пайдалана алады; олар тартылған тараптар арасындағы жазбаша келісім-шартқа енгізілуі керек. Келісімшарт сонымен қатар бірқатар міндетті ережелерді қамтуы керек, мысалы, деректерді өңдеуші деректер контроллерінің нұсқаулары бойынша жеке деректерді ғана өңдейді.

ЕО аумағынан тыс деректерді тасымалдау

Жеке деректер ЕО аумағынан тыс тасымалданған кезде, GDPR қамтамасыз ететін қорғау деректермен бірге кеңеюі керек. Бұл деректерді шетелге экспорттасаңыз, сіздің компанияңыз оның келесі шаралардың бірін ұстануын қамтамасыз етуі керек дегенді білдіреді:

• ЕО-ға кірмейтін елдерді қорғауды ЕО барабар деп санайды.
• Сіздің компанияңыз жеке деректерді еуропалық емес импорттаушымен келісілген келісімшартқа нақты ережелерді қосу сияқты тиісті қауіпсіздік шараларын қамтамасыз ету үшін қажетті қадамдарды жасайды.
• Сіздің компания жеке тұлғаның келісімі сияқты аудару (жоқтау) үшін нақты негіздемеге сүйенеді.

Деректерді өңдеуге қашан рұқсат етіледі?

ЕО деректерін қорғау ережелері көрсетілген және заңды мақсат үшін деректерді әділ және заңды түрде өңдеу керектігін және осы мақсатқа жету үшін қажетті деректерді ғана өңдеуді білдіреді. Жеке деректерді өңдеу үшін келесі шарттардың біріне сәйкес келетініңізге көз жеткізуіңіз керек:

•  мүдделі тұлғаның келісімі берілген 
•  жеке деректер жеке тұлғамен шарттық міндеттемелерді орындау үшін қажет 
• жеке деректер заңды міндеттемені орындау үшін қажет 
•  жеке деректер адамның өмірлік маңызды мүдделерін қорғау үшін қажет 
• жеке деректер қоғамдық мүддедегі тапсырманы орындау үшін өңделеді
•  деректері өңделетін тұлғаның негізгі құқықтары мен бостандықтары елеулі түрде бұзылмаған жағдайда, компанияңыздың заңды мүдделеріне сай әрекет етіңіз  . Егер адам құқықтары компанияңыздың мүдделерінен асып түссе, сіз жеке деректерді өңдей алмайсыз.

Мәліметтерді өңдеуге келісім – келісім

GDPR келісім негізінде деректерді өңдеудің қатаң ережелерін қолданады. Бұл ережелердің мақсаты -  адамның немен келісіп жатқанын түсінуін қамтамасыз ету . Бұл келісім ерікті, нақты, ақпараттандырылған және сұрау түрінде түсінікті және түсінікті тілде көрсетілген бір мағыналы болуы керек дегенді білдіреді. Келісім желідегі ұяшықты тексеру немесе пішінге қол қою сияқты растау әрекеті арқылы берілуі керек.

Біреу жеке деректерін өңдеуге келісім бергенде, сіз деректерді келісім берілген мақсаттар үшін ғана өңдей аласыз. Сондай-ақ оларға келісімін қайтарып алу мүмкіндігін беру керек.

Ашық ақпаратпен қамтамасыз ету

Сіз жеке тұлғаларға олардың жеке деректерін кім және не үшін өңдеп жатқаны туралы нақты ақпаратты беруіңіз керек. Кем дегенде мыналарды қамту керек:

• Сіз кімсіз
• неге сіз жеке деректерді өңдейсіз
• заңды негізі қандай
• деректерді кім алады (бар болса)

Кейбір жағдайларда сіз берген ақпарат мыналарды қамтуы мүмкін:

• Қажет болса, Деректерді қорғау жөніндегі қызметкердің (DPO) байланыс ақпараты.
• жеке деректерді өңдеу үшін осы заңды негізге сүйенген кезде компанияның қандай заңды мүддесі бар
• ЕО-дан тыс елге деректерді беру үшін қолданылатын шаралар
• деректер қанша уақыт сақталады
• Адамның деректерді қорғау құқығы (мысалы, қол жеткізу, түзету, өшіру, шектеу, қарсы тұру, тасымалдау және т.б. құқығы)
• келісімді қалай қайтарып алуға болады (келісім өңдеу үшін заңды негіз болған кезде)
• деректерді беру бойынша заңды немесе шарттық міндеттеме бар ма
• автоматтандырылған шешім қабылдау жағдайында – шешімнің логикасы, мағынасы және салдары туралы ақпарат

Сіз бұл ақпаратты түсінікті және қарапайым тілде ұсынуыңыз керек.

Балаларға арналған арнайы ережелер

Баланың жеке ақпаратын келісім негізінде, мысалы, әлеуметтік медиа тіркелгісін пайдалану немесе есептік жазбаны жүктеп салу арқылы жинасаңыз,  алдымен ата-ананың келісімін алуыңыз керек , мысалы, ата-анаға немесе қамқоршыға хабарландыру жіберу арқылы. Адамның бала болып саналатын жасы оның тұратын жеріне байланысты өзгеріп отырады және 13-16 жас аралығында болады.

Қол жеткізу құқығы және деректерді тасымалдау құқығы

Сіз адамдардың жеке деректеріне  еркін қол жеткізу құқығын қамтамасыз етуіңіз керек  . Егер сіз осындай сұрау алсаңыз, сізге қажет:

• олардың жеке деректерін өңдейтініңізді хабарлаңыз
• оларды өңдеу туралы хабарлау (өңдеу мақсаты, мүдделі жеке деректердің санаттары, олардың деректерін алушылары және т.б.)
• оларға өңделетін жеке деректердің көшірмесін (қолжетімді форматта) ұсыну

Егер өңдеу келісімге немесе келісімшартқа негізделген болса, жеке тұлға сізден өзінің жеке деректерін оларға қайтаруыңызды немесе оны басқа компанияға беруіңізді сұрауы мүмкін. Бұл деректерді тасымалдау құқығы ретінде белгілі. Деректерді жиі қолданылатын және машина оқылатын пішімде беруіңіз керек.

Түзету құқығы және қарсылық білдіру құқығы

Егер адам өзінің жеке деректерін дұрыс емес, толық емес немесе дұрыс емес деп санаса, ол  оны  кідіріссіз түзетуге немесе толтыруға құқылы.

Бұл жағдайда, сіз олармен бөліскен кез келген жеке деректер өзгертілген немесе жойылған болса, деректерді барлық алушыларға хабарлауыңыз керек. Егер сіз бөліскен кез келген жеке ақпарат қате болса, оны көрген кез келген адамға айтуыңыз керек (егер бұл пропорционалды емес күш салуды қажет етпесе).

Сондай-ақ жеке тұлға  кез келген уақытта  сіздің компанияңыз заңды мүдделеріңіз негізінде немесе қоғамдық мүдделердегі тапсырманы орындау үшін өңдейтін белгілі бір мақсат үшін өзінің жеке деректерін өңдеуге қарсылық білдіре алады . Жеке тұлғаның мүдделерінен басым болатын заңды мүдделеріңіз болмаса, жеке деректеріңізді өңдеуді тоқтатуыңыз керек.

Сол сияқты, жеке тұлға сіздің заңды мүдделеріңіз олардың мүдделерінен асып түсетін-алмайтыны анықталғанға дейін өзінің жеке деректерін өңдеуді шектеуді сұрауы мүмкін. Дегенмен, тікелей маркетинг жағдайында сіз әрқашан жеке тұлғаның өтініші бойынша жеке деректерді өңдеуді тоқтатуыңыз керек.

Өшіру құқығы (ұмыту құқығы)

Кейбір жағдайларда жеке тұлға деректер контроллерінен өзінің жеке деректерін өшіруді сұрауы мүмкін, мысалы, егер деректер өңдеу мақсатына жету үшін қажет болмаса. Дегенмен, сіздің компанияңыз мұны істеуге міндетті емес, егер:

• өңдеу сөз және ақпарат бостандығын құрметтеу үшін қажет
• заңды міндеттемені орындау үшін жеке деректерді сақтау керек
• Жеке деректерді сақтауға қоғамдық қызығушылықтың басқа себептері бар, мысалы, денсаулық сақтау мақсаттары немесе ғылыми және тарихи зерттеулер.
• заңды талап қою үшін жеке деректерді сақтау қажет

Автоматтандырылған шешім қабылдау және профильдеу

Жеке тұлғалар  тек автоматтандырылған өңдеуге негізделген шешім қабылданбауға құқылы . Дегенмен, бұл ережеге кейбір ерекшеліктер бар  , мысалы, олар автоматтандырылған шешімге өзінің нақты келісімін берген кезде. Автоматтандырылған шешім заңға негізделмесе, сіздің компанияңыз:

• адамға автоматтандырылған шешім қабылдау туралы хабарлау
• адамға автоматтандырылған шешімді адам қарауына құқық беріңіз
• адамға автоматты шешімге қарсы шығуға мүмкіндік беріңіз

Мысалы, егер банк белгілі бір тұлғаға несие беру туралы шешімді автоматтандырса, бұл адам автоматтандырылған шешім туралы хабардар болуы керек және шешімге қарсылық білдіруге және адамның араласуын талап етуге мүмкіндігі болуы керек.

Деректерді бұзу - Тиісті хабарламаны қамтамасыз ету

Деректерді бұзу - бұл сіз жауапты жеке деректер кездейсоқ немесе заңсыз түрде рұқсат етілмеген алушыларға ашылғанда немесе уақытша қолжетімсіз болып қалғанда немесе өзгертілгенде.

Егер деректердің бұзылуы орын алса және жеке құқықтар мен бостандықтарға қауіп төндірсе, бұзушылық туралы білгеннен кейін 72 сағат ішінде деректерді қорғау органына хабарлауыңыз керек.

Деректердің бұзылуы зардап шеккендерге жоғары қауіп төндіретініне байланысты, сіздің компанияңыз барлық зардап шеккен тұлғаларды хабардар етуді талап етуі мүмкін.

Біз сұрақтарға жауап береміз

Егер сіздің компанияңыз өз құқықтарын жүзеге асырғысы келетін жеке тұлғадан сұрау алса, сіз бұл сұрауға кідіріссіз және кез келген жағдайда сұрауды алғаннан кейін 1 ай ішінде жауап беруіңіз керек. Бұл жауап беру мерзімі күрделі немесе бірнеше сұраулар үшін адамға ұзарту туралы хабарланған жағдайда 2 айға ұзартылуы мүмкін. Өтініштер тегін өңделуі керек.

Өтініш қабылданбаған жағдайда, сіз тұлғаға оның себептері және олардың Деректерді қорғау органына шағымдану құқығы туралы хабарлауыңыз керек.

Әсерді бағалау

Деректерді қорғауға әсер етуді бағалауды (DPIA) жүргізу жоспарланған өңдеу адамдардың құқықтары мен бостандықтарына жоғары қауіп төндіруі мүмкін барлық жағдайларда   , мысалы, жаңа технологиялар пайдаланылғанда міндетті болып табылады.

Мұндай жоғары қауіп бар, егер:

• Жеке тұлғаларды бағалау үшін автоматтандырылған өңдеу және профильдеу механизмдері қолданылады.
• қоғамдық аумақ кең ауқымда бақыланады (мысалы, бейнебақылау жүйесі)
• қылмыстық соттылық пен құқық бұзушылыққа қатысты деректердің арнайы санаттары немесе жеке деректер үлкен көлемде өңделеді (мысалы, денсаулық туралы деректер)

Ескерту. Деректерді қорғау органдары деректерді өңдеудің басқа санаттарын жоғары тәуекел деп санауы мүмкін.

Егер DPIA-да көрсетілген шаралар барлық анықталған жоғары тәуекелдерді шеше алмаса, жоспарланған деректерді өңдеуді бастамас бұрын Деректерді қорғау органымен кеңесу керек.

Іс қағаздарын жүргізу

Сіз өзіңіздің компанияңыздың GDPR сәйкес жұмыс істейтінін және барлық тиісті міндеттемелерге сәйкес келетінін көрсете алуыңыз керек - әсіресе деректерді қорғау органы сұраған немесе тексерген кезде.

Мұны істеудің бір жолы - келесідей нәрселердің егжей-тегжейлі жазбаларын сақтау:

• деректерді өңдеуге қатысатын компанияңыздың аты мен байланыс деректері
• жеке деректерді өңдеудің себебі(лер).
• жеке деректерді беретін тұлғалар санаттарының сипаттамасы
• дербес деректерді алатын ұйымдардың санаттары
• жеке деректерді басқа елге немесе ұйымға беру
• жеке деректерді сақтау мерзімі
• жеке деректерді өңдеу кезінде қолданылатын қауіпсіздік шараларының сипаттамасы

Сіздің компанияңыз жазбаша процедуралар мен нұсқауларды сақтауы және үнемі жаңартып отыруы және оларды қызметкерлеріңізге жеткізуі керек.

Егер сіздің компанияңыз  ШОБ  немесе одан кішірек болса, өңдеу әрекеттеріңіздің жазбаларын сақтаудың қажеті жоқ, егер олар:

• жүйелі түрде жасалмайды
• олар қатысушылардың құқықтары мен бостандықтарына әсер етпейді
• құпия деректермен немесе қылмыстық жазбалармен айналыспаңыз

Дизайн бойынша және әдепкі бойынша деректерді қорғау

Дизайн бойынша деректерді қорғау  сіздің компанияңыз жеке деректерді өңдеудің жаңа әдісін жоспарлаудың бастапқы кезеңдерінде деректерді қорғауды қарастыруы керек дегенді білдіреді. Осы принципке сәйкес деректерді бақылаушы деректерді қорғау және жеке тұлғалардың құқықтарын қорғау принциптерін жүзеге асыру үшін барлық қажетті техникалық және ұйымдастырушылық шараларды қабылдауы керек. Бұл қадамдар, мысалы, псевдонимизацияны қолдануды қамтуы мүмкін.

Деректерді қорғау әдепкі бойынша  компанияңыз әрқашан құпиялылыққа ең қолайлы әдепкі параметрді орнату керек дегенді білдіреді. Мысалы, екі құпиялылық параметрі мүмкін болса және параметрлердің бірі басқалардың жеке ақпаратыңызға қол жеткізуіне кедергі келтірсе, оны әдепкі параметр ретінде пайдалану керек.

Ережелерді бұзу және айыппұлдар

GDPR талаптарын орындамау белгілі бір бұзушылықтар үшін 20 миллион еуроға дейін немесе компанияңыздың жаһандық айналымының 4% мөлшерінде елеулі айыппұлдарға әкелуі мүмкін. Деректерді қорғау органы жеке деректеріңізді өңдеуді тоқтатуға бұйрық беру сияқты қосымша түзету шараларын қолдануы мүмкін.

Реклама Google

 

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.