GDPR և անձնական տվյալների մշակում
1) Ի՞ նչ խորհուրդ է տալիս GDPR-ը և ով է սուբյեկտը
GDPR-ը պաշտպանում է ֆիզիկական դեմքերի իրավունքները ԵՄ/EEZ-ում նրանց անձնական տվյալների մշակման ժամանակ (PD)։ Այն կիրառելի է, եթե
Դուք տեղադրված եք ԵՄ/EEZ-ում կամ համբուրում եք օգտագործողներին ԵՄ-ում (ապրանքներ/ծառայություններ, վարքագիծ);
դուք վերահսկող եք (որոշում եք նպատակները/վերամշակման միջոցները) կամ պրոցեսորը (PD-ն մշակում եք վերահսկողի անունից)։
Հիմնական դերերը
Վերահսկիչը 'նպատակների/միջոցների սեփականատերը, պատասխանատու է օրենքի և թափանցիկության համար։
Պրոցեսոր 'գործում է վերահսկողի փաստաթղթավորված հրահանգներով, եզրափակում է DPA-ն։
DPO (տվյալների պաշտպանության սպա) 'անկախ պաշտպանություն, DPIA/DSR, խորհրդատվություն, կապ ագրեսորի հետ։
2) Մշակման սկզբունքները (հարյուր 5)
1. Օրինականությունը, արդարությունը, թափանցիկությունը։
2. Նպատակի սահմանափակումը։ Հստակ սահմանված, համապատասխան նպատակներ։
3. Տվյալների նվազեցումը։ Միայն անհրաժեշտ է։
4. Ճշգրտությունը։ Արդիականացում և ուղղում։
5. Պահեստավորման սահմանափակումը։ Retenshn և հեռացում/անանուն։
6. Ամբողջականությունը և գաղտնիությունը։ Լռելյայն անվտանգությունը։
7. Ուղղափառություն։ Մրցույթի ապացուցումը (policies, լոգներ, DPIA)։
3) Իրավական հիմքերը (հարյուր 66) - iGaming/fintech մատրիցա
4) Հատուկ կատեգորիաներ և կենսաչափություն (հարյուր)
Հատուկ կատեգորիաների մշակումը (առողջություն, համոզմունքներ և այլն) արգելված է, եթե առանձին հիմքեր չկան։
Կենսաչափությունը եզակի նույնականացման համար (օրինակ, face-template-ը liveness/face-match) պահանջում է ուղղակի համաձայնություն կամ այլ նեղ իրավական բազա (կախված է երկրից)։ Պահեք ձևանմուշները, ոչ թե «հում» պատկերները, որտեղ դա հնարավոր է։
5) Ավելացում և ավտոմատացված լուծումներ (strong 2)
Igaming/fintech-ը օգտագործում է ֆրոդի, պատասխանատու խաղի (RG), ռիսկային լիմիտների համար։ Պահանջները
տրամաբանության թափանցիկ բացահայտումը (բանական սահմաններում), կարևորությունը և հետևանքները.
մարդու միջամտության իրավունքը և որոշումը վիճարկելու իրավունքը.
DPIA-ն իրավունքների/ազատությունների ռիսկի բարձր հավանականությամբ (մեծ ավելացում)։
Առաջարկություններ ՝ պահեք reason codes, տարբերակեք մոդելները/կանոնները, իրականացրեք bias-աուդիտ։
6) DPIA/DTIA: Երբ պարտադիր են
DPIA-ն իրականացնում է, եթե բարձր ռիսկը 'մեծ ավելացում, կենսաչափություն, «համակարգված դիտարկումներ», նոր տվյալների աղբյուրներ։
Office DPIA։ Իրավական հիմքերի մշակման նպատակը և նկարագրությունը բացատրում են սուբյեկտների ռիսկերը, որոնք նպաստում են բյուջետային ռիսկին։
DTIA (հիբրիդային փոխանցման գնահատում) 'ստացողի երկրի իրավական միջավայրը + պայմանագրային/այդ միջոցները (SCC/համարժեք, կոդավորումը, բաժանումը)։
7) Հիբրիդային փոխանցումները (gl.V)
Մեխանիզմները ՝ SCC, BCR, հարմարավետության լուծումներ, տեղական անալոգներ։
Techmers: end-to-end կոդավորումը, կոդավորման բաժանումը, դաշտերի նվազեցումը, կեղծանունացումը մինչև փոխանցումը։
Փաստաթղթավորեք ռուսական կոդերը և DTIA արդյունքները։ պարբերաբար վերանայեք ռիսկերը։
8) Սուբյեկտների իրավունքները (DSR)
Մուտքի, ուղղման, հեռացման, սահմանափակման, դիմադրության, առարկության, մարքեթինգի հրաժարվելու իրավունք։
Ժամանակահատվածները 'սովորաբար մինչև 30 օր (կարելի է երկարացնել ևս 60-ով դժվարությամբ, ծանուցմամբ)։
Ստուգեք հաճախորդի ինքնությունը (առանց ավելորդ բացահայտման)։
Բացառություններ 'AML/հարկային պարտավորության և այլ փաստարկների պատճառով։
9) Cookie/MSK և մարքեթինգը
Կիսեք կոոկին կատեգորիաներով 'պարտադիր/ֆունկցիոնալ/վերլուծություն/մարքեթինգ։
ԵՄ/EEZ-ի վերլուծաբանների/մարքեթինգի համար 'opt-in (իրական ընտրություն), համաձայնությունների ամսագիր, մանրամասն նկարագրություններ։
Հարգեք Do Cort Track/Opt-out; օգտագործեք սերվերային վերլուծություն և տվյալների նվազեցում։
E-mail/SMS մարքեթինգը առանձին համաձայնություն է։ պահպանեք համաձայնության և թայմստեմպերի լճակը։
10) Անվտանգություն և «privacy by design/2019»
In transit-ի և at rest-ի կոդավորումը, հիբրիդային ռեքվիզիտների խառնուրդը, տվյալների գոտիների մեկուսացումը (PII ռուսական վերլուծություն)։
RBAC/ABAC, MFA, JIT հասանելի, գործողությունների ամսագիրը, WORM արխիվը։
DLP բեռնման և փոխանակման վերահսկումը։ prod տվյալների չարտոնված օրինակների արգելքը dev/stage-ում։
Նվազագույնի հասցրեք դաշտերը, ագրեգիրուզե՛ ք և անանուն օգտագործեք այնտեղ, որտեղ նույնականացման կարիք չկա։
11) Ռուսական վիրահատությունները (RoPA) և ռենտենշնը
Վարեք RoPA 'նպատակ, հիմքեր, տվյալների կատեգորիաներ և սուբյեկտներ, ստացողներ, պահեստավորման ժամկետներ, անվտանգության միջոցներ, փոխանցման համար։
Retenshn-մատրիցա 'PD-ի յուրաքանչյուր կատեգորիայի համար ժամանակահատվածն է (օրինակ, AML/KYC 355 տարի հարաբերությունների ավարտից հետո), ինտեգրման/անանունացման մեթոդը, պատասխանատու սեփականատերը։
12) Արտահոսքեր և ծանուցումներ (st.33/34)
Գնահատեք իրավունքների և ազատությունների ռիսկը. Եթե հնարավոր է, որ վնասը տեղեկացվի վերահսկող մարմնին 72 ժամվա ընթացքում, իսկ բարձր ռիսկի դեպքում 'սուբյեկտներին առանց անհիմն հետաձգման։
Մրցույթի պլանը 'մեկուսացում, ֆորենզիկա, ուղղում, հաղորդակցություն, փոստ ծովով։ պահեք արտեֆակտներ և լուծումներ։
13) Մոսկվա, DPA և վենդորների կառավարումը
Յուրաքանչյուր պրոցեսորի հետ կիսեք DPA 'առարկան, PD կատեգորիաները, ենթահամակարգերը, անվտանգությունը, օգնությունը DSR/պատահականներով, աուդիտ, www.ru/wwwww.ru տվյալներ։
Անցկացրեք due diligence: միգրացիա, հավաստագրություն (CSO/SOC), միջադեպեր, անվտանգության միջոցներ, ենթահամակարգեր։
Վերագնահատումը ամեն տարի փոփոխություններով (սանկցիաներ, M&A, աշխարհագրություն)։
14) Մատրիցա «Նպատակները պահպանելու համար»
15) Ձեր wiki (կմախքներ)
1. Գաղտնիության քաղաքականությունը (փխրուն) 'կարճ տարբերակը + ամբողջական։
2. Cookie/կոնսենսենս-կառավարման քաղաքականությունը։
3. Տեխնոլոգիական վերամշակումը (RoPA)։
4. DPIA/DTIA + գրիպերի չափանիշները։
5. DSR քաղաքականությունը (SLA/ընթացակարգեր/ձևանմուշներ)։
6. Ռեթենշնի քաղաքականությունը և www.+ job-www.pline։
7. Բանկային և ծանուցումների քաղաքականությունը (RACI, ձևեր)։
8. Iclance DPA-ը և due diligence vendors-ը։
9. Ավելացման և ավտոմատացված լուծումների կանոնները (wwww.ainability, բողոքարկման)։
16) Մետրիկները և վերահսկողությունը
DSR SLA 'հարցումների մասը փակված է 30 օրվա ընթացքում։
Consent Coverage-ը վալիդային opt-in/opt-out-ի հետ իրադարձությունների մասն է։
Minimization Index-ը 'միջին PD-ը ֆիչին։
MediViol.ru/Express-ը 'մուտքի և բեռնման, միտում։
Encryption Coverage: Աղյուսակների/բաքերի/bakas կոդավորման մեջ։
Incident MTTR/MTTD-ը և կրկնությունը։
Vendor Compliance Rate-ը և աուդիտի արդյունքները։
RoPA Completeness и Retention Adherence.
17) Չեկ թերթերը
Ֆիչիի գործարկումից առաջ (Privacy by Design)
- DPIA/հիմքերը ապացուցված են DPO-ի կողմից։
- Նպատակներ/հիմքեր/retenshn նշված RoPA-ում։
- Դաշտերի նվազեցում/կեղծանունացում/տվյալների գոտիների մեկուսացում։
- Consens-Banner և cookie կատեգորիաները տրամադրված են։
- DPA/վենդորները համաձայնեցված են, ենթահամակարգերը նշված են։
- Լոգներ, ալերտներ, աուդիտ, հեռացում/անանուն - ներառված են։
Վիրահատություն (եռամսյակային)
- Հասանելիության հեղափոխությունը (RBAC/ABAC), ավելցուկի վերանայումը։
- Բեքապների վերականգնման թեստը։
- DTIA/SCC և ենթահամակարգերի ցանկը։
- Retenshna (հեռացվել է ժամանակից) և DSR-2019։
- IR պլանի վերապատրաստումը և պլեյբուսների նորարարությունը։
DSR գործընթացը
- Վերաֆինանսավորումը։
- Տվյալների հավաքումը RoPA համակարգերից։
- Պատասխանը բացառման հիմքերի ամրագրման ժամանակ։
- Գրառումների նորարարությունը և կողմերի ծանուցումը (փոխաբերության դեպքում)։
18) Իրականացման ճանապարհային քարտեզը
1. Համակարգերի և PD հոսքերի բուլարիզացիան; RoPA ձևավորումը։
2. DPO-ի նշանակումը, քաղաքական և RACI-ի հայտարարությունը։
3. DPIA/DTIA-2019 և կոնսենսենս-կառավարման։
4. Տվյալների գոտիների բաժանումը, կոդավորումը, DLP, լոգները և WORM արխիվը։
5. Retenshn-pline և հեռացում/անանուն։
6. Wendor-revew, DPA, ռուսական ենթահամակարգեր։
7. Ավելացումը 'reason codes, բողոքներ, andability։
8. Ռուսական մետրիկները, Board զեկույցը, արտաքին/ներքին աուդիտի նստաշրջանը։
Արդյունքը
GDPR-համապատասխանությունը ոչ միայն կայքում քաղաքականությունն է, այլ PD կյանքի ցիկլի կառավարման համակարգը 'ճիշտ հիմքերը, նվազագույնի և անվտանգությունը լռելյայն, DPIA/DTIA, սուբյեկտների իրավունքների հարգանքը, որոնք վերահսկվում են գողերի և չափված չափումների կողմից։ Տեղադրելով գաղտնիությունը ճարտարապետության և գործընթացների մեջ, դուք կպահպանեք լիցենզիաներ, պաշտպանություններ և խաղացողների վստահություն 'առանց վնասելու ապրանքի արագությունը և փոխակերպումը։