Như với hầu hết các quy định, GDPR không phải là một danh sách rõ ràng các quy tắc về những gì nên làm và những gì không. Do đó, các câu hỏi liên quan đến nó thường quá rộng để xử lý trên trang web Q / A. Có nhiều huyền thoại và đơn giản hóa không chính xác xung quanh quy định, và cả một ngành công nghiệp dựa trên nỗi sợ các biện pháp trừng phạt áp đặt bởi quy định.
Câu trả lời này cố gắng đưa ra một cái nhìn tổng quan thực tế về chủ đề này. Tôi không phải là một luật sư, nhưng tôi đã được làm việc xung quanh vấn đề này gần như kể từ khi nó được giới thiệu, lần đầu tiên với một thu thập thông tin chờ đợi và xem xét cách tiếp cận, và hiện nay với thực tế khác, sắp xếp ưu tiên và cách tiếp cận lặp đi lặp lại.
Chúng tôi không (chưa) biết các quy định sẽ được các tòa án giải thích như thế nào và nhiều công ty vẫn đang chờ xem những hành động khác mà người khác đang thực hiện. Vì Server Fault dành cho các chuyên gia CNTT, chúng tôi không phải là luật sư có thể diễn giải quy định và mối quan hệ của nó với các luật khác. Ngay cả khi chúng ta có thể, các câu hỏi kiểu Q / A sẽ rất dài để có tất cả thông tin chi tiết cần trả lời: Tuân thủ GDPR không phải là vấn đề của từng hành động, mà là toàn bộ chiến lược trong công ty của bạn. Nếu bạn cần hỏi những câu hỏi như vậy, bạn có thể cần phải thuê một nhà tư vấn hoặc thậm chí là một luật sư. Nhiều người sẽ, tuy nhiên, tồn tại mà không có một.
Bạn phải tạo (có thể với một số lời khuyên pháp lý) chiến lược của riêng bạn và dựa vào đó, quyết định những hành động bạn đang thực hiện để tuân thủ GDPR. Khi bạn đang cố gắng thực hiện những thay đổi đó trong một hệ thống thông tin thực tế, bạn có thể gặp phải các vấn đề kỹ thuật về cách đạt được điều gì đó. Đó là khi câu hỏi đã được thu hẹp trong phạm vi Lỗi Máy chủ!
Để bắt đầu, bạn nên biết những gì quy định là cho. Về cơ bản, đó là một khung pháp lý để đảm bảo rằng dữ liệu cá nhân được xử lý cẩn thận trong suốt thời gian tồn tại của nó, từ việc thu thập đến xóa. GDPR Điều 5 mô tả các nguyên tắc xử lý dữ liệu cá nhân, tóm lại:
- tính hợp pháp, công bằng và minh bạch
- mục đích giới hạn
- giảm thiểu dữ liệu
- sự chính xác
- giới hạn lưu trữ
- tính toàn vẹn và bảo mật.
GDPR cung cấp cho các chủ thể dữ liệu tức là công dân kiểm soát dữ liệu cá nhân của họ và các công cụ để đảm bảo các nguyên tắc này đã được tôn trọng. Những quyền đó bao gồm quyền truy cập dữ liệu của chính mình, sửa và di chuyển dữ liệu đó và xóa dữ liệu đó là quyền bị lãng quên (nếu không có luật nào khác yêu cầu bảo quản dữ liệu đó). Nó cũng đưa ra khả năng xử phạt và công ty của bạn có thể cần chỉ định một nhân viên bảo vệ dữ liệu .
Hầu hết các nguyên tắc đã được thực hiện trong luật quốc gia (do Chỉ thị bảo vệ dữ liệu 95/46 / EC), điều này khiến cho sự thay đổi khá hạn chế đối với các công ty trong EU. Các công ty bên ngoài EU có thể có thêm một chút việc phải làm nếu họ xử lý dữ liệu cá nhân của công dân EU.
Một điều chính thay đổi là trách nhiệm , điều này đạt được tốt nhất trong thực tế bằng cách ghi lại các quy trình của bạn một cách kỹ lưỡng:
- Làm thế nào và tại sao dữ liệu cá nhân được thu thập
- điều gì làm cho việc xử lý hợp pháp ( sự đồng ý chỉ là một điều kiện từ Điều 6 )
- dữ liệu được lưu trữ và xử lý như thế nào
- ai có quyền truy cập vào dữ liệu và cách bạn kiểm soát và kiểm toán dữ liệu này
- liệu nó có bị xóa (tự động / tiêu chuẩn thực hành) khi lý do lưu trữ hết hạn
- làm thế nào bạn xử lý các rủi ro liên quan tức là phân tích rủi ro.
Theo tôi, nếu bạn đã suy nghĩ cẩn thận về những điều này, khắc phục các vấn đề và giảm thiểu rủi ro mà bạn đã phát hiện ra, và sau đó ghi lại tất cả những điều này, bạn nên tránh xa các biện pháp trừng phạt - ngay cả khi bạn bị xâm nhập. Sẽ có một đại dương những hành vi bất cẩn có thể xảy ra giữa tình huống của bạn và loại hành vi khiến một người phải chịu trách nhiệm về khoản tiền phạt 20 triệu euro / 4% doanh thu .