О GDPR простыми словами: руководство для малых предприятий
Ознакомьтесь ко всем нашим контентом для малого бизнеса в разделе справка и обучения для малого бизнеса.
Использование Microsoft 365 для бизнеса для обеспечения соответствия требованиям GDPR
Общий регламент по защите данных (GDPR) — это регламент Европейского союза (ЕС), определяющий порядок обработки персональных данных организациями. Если ваша организация продает товары или предоставляет услуги гражданам ЕС, или нанимает их на работу, вам необходимо соблюдать требования GDPR.
Как администратор малого предприятия вы, вероятно, задаетесь вопросом: "С чего начать?". Наиболее часто это происходит в тех случаях, когда обработка персональных данных не является основным направлением деятельности вашей организации и вы не знакомы с GDPR.
Вы можете начать с просмотра этой статьи, в которой рассматриваются основные сведения о регламенте GDPR, причины его появления и возможности использования Microsoft 365 для бизнеса для обеспечения соответствия требованиям GDPR.
В ней также приводятся ответы на часто задаваемые вопросы о GDPR, которые могут возникнуть у малых предприятий, и описываются действия, которые малые предприятия могут предпринять для подготовки к GDPR.
Важно!
Решения Microsoft 365 и рекомендации в этой статье являются средствами и ресурсами, которые могут помочь вам защитить данные и управлять ими, но они не гарантируют соответствия требованиям GDPR. Вы сами принимаете решение о проведении оценки состояния соответствия требованиям. В случае необходимости проконсультируйтесь со специалистом по правовым вопросам и (или) профессиональным консультантом.
Краткий обзор GDPR
GDPR — это регламент ЕС, который обновляет и расширяет более раннюю Директиву о защите данных (DPD), впервые принятую в 1995 году. Регламент GDPR посвящен обеспечению конфиденциальности данных физического лица, будь то клиент, сотрудник или деловой партнер. Цель GDPR заключается в обеспечении защиты персональных данных граждан ЕС, независимо от того, проживают они в ЕС или в другом месте. В регламенте изложены цели и рекомендации по их достижению. Организации должны принимать меры для обеспечения соответствия требованиям GDPR.
Регламент GDPR посвящен вопросам использования данных. Представьте, что данные имеют жизненный цикл. Цикл начинается со сбора данных, продолжается их хранением и использованием (обработкой) и заканчивается полным удалением данных из систем.
GDPR охватывает следующие типы данных.
Персональные данные. В соответствии с GDPR персональные данные — это данные, которые могут быть связаны с физическим лицом и которые позволяют идентифицировать это лицо. Примеры персональных данных включают имя, адрес, дату рождения и IP-адрес. Согласно GDPR к персональным данным относится даже закодированная информация (также известная как "анонимная" информация), если она может быть связана с физическим лицом, независимо от того, насколько неясной или технической она является.
Конфиденциальные персональные данные. Это данные, которые содержат дополнительные сведения о персональных данных. Например, сведения о религиозной принадлежности, участии в профсоюзах, этническом происхождении и т. д. К конфиденциальным персональным данным также относятся биометрические данные и данные ДНК. В соответствии с GDPR для конфиденциальных данных предусмотрены более строгие правила защиты, чем для персональных данных.
Термины GDPR
Далее приводятся определения терминов, часто используемых в GDPR. Важно понять значение этих терминов.
Согласие:
В GDPR говорится: "Обработка персональных данных должна быть разработана для служения человечеству". GDPR надеется достичь этой цели, используя согласие при обработке персональных данных. Это может быть простое обращение к клиентам с вопросом о том, хотят ли они получать сообщения электронной почты от вашей организации. Это также означает, что на сайте вашей организации больше не будет флажков отказа, если потребуется использовать данные для маркетинга. Явно выраженное согласие должно быть получено с помощью "четкого утвердительного действия". Кроме того, вы должны обеспечить сохранность записей о получении согласия или отказе.
Права субъекта данных:
В GDPR закреплены права субъекта данных. В отношении своих персональных данных клиенты, сотрудники, деловые партнеры, подрядчики, учащиеся, поставщики и т. д. имеют следующие права.
Получать сведения об использовании своих данных. Необходимо информировать физических лиц об использовании их данных.
Получать доступ к своим данным. Необходимо предоставить физическим лицам доступ к хранящимся у вас данным (например, предоставив доступ к учетной записи или другим ручным способом).
Запрашивать исправление своих данных. Физические лица могут попросить вас исправить неточные данные.
Запрашивать удаление своих данных. Также известное как "право на удаление данных", это право позволяет физическому лицу запрашивать удаление своих персональных данных, собранных организацией, из всех систем, которые их используют или предоставляют к ним общий доступ.
Запрашивать ограничение обработки своих данных. Физическое лицо может попросить вас скрыть свои данные или ограничить к ним доступ. Однако это право применяется только при определенных обстоятельствах.
Запрашивать перенос своих данных. Физическое лицо может попросить вас передать свои данные в другую организацию.
Заявлять о возражении. Физическое лицо может высказать возражение против использования своих данных для различных целей, включая адресный маркетинг.
Требовать не подвергать свои данные автоматизированной обработке, включая определение профиля. В GDPR предусмотрены строгие правила использования данных для определения профилей людей и автоматизации решений на основе этих профилей.
Действия по подготовке к GDPR
В этом разделе описываются действия, которые может предпринять малое предприятие, чтобы подготовиться к GDPR. Большая часть сведений об этих действиях взята из публикации, подготовленной Бюро публикаций Европейского союза, — Семь шагов, которые может предпринять организация, чтобы подготовиться к Общему регламенту по защите данных.
Лучший способ для малого предприятия начать работу с GDPR — это обеспечить применение указанных ниже ключевых принципов при сборе персональных данных.
- Определите четкие цели сбора персональных данных и не используйте персональные данные для других целей. Например, если вы просите клиентов предоставить вам свои адреса электронной почты, чтобы они могли получать уведомления о новых предложениях и рекламных акциях, используйте адреса электронной почты только для этой конкретной цели.
- Не собирайте больше данных, чем требуется. Например, если вашей организации требуется почтовый адрес для доставки товаров, вам нужно узнать адрес и имя клиента, но вам не нужно знать семейное положение этого человека.
Действие 1. Узнайте, какие персональные данные собирает и использует ваша организация, а также цели их использования
Как малый бизнес, одним из первых шагов, которые вы должны предпринять, является инвентаризация персональных данных, которые вы собираете и используете в своем бизнесе, и почему они необходимы. Это относится к данным сотрудников и клиентов.
Например, вам могут понадобиться персональные данные ваших сотрудников на основании трудового договора или по юридическим причинам (например, для предоставления налоговой отчетности в налоговую службу).
В качестве другого примера можно привести необходимость управлять списками клиентов, чтобы отправлять уведомления о специальных предложениях, если они дали на это согласие.
Функции Microsoft 365, которые могут помочь в шаге 1
Microsoft Purview Information Protectionможет помочь вам обнаруживать, классифицировать и защищать конфиденциальную информацию в вашей компании. С помощью обучаемых классификаторов можно выявлять и маркировать документы, содержащие персональные данные.
Действие 2. Сообщите своим клиентам, сотрудникам и другим физическим лицам о необходимости сбора их персональных данных
Физические лица должны знать о факте обработки своих персональных данных и о целях этой обработки. Например, если клиенту необходимо создать профиль для доступа к веб-сайту вашей организации, укажите, как вы собираетесь использовать его данные.
Однако нет необходимости информировать физических лиц, если они уже знают, как вы будете использовать их данные. Например, когда они предоставляют домашний адрес для доставки заказанного товара.
Вы также должны информировать физических лиц по запросу о хранящихся у вас персональных данных и предоставлять им доступ к этим данным. Систематизация данных облегчает их предоставление в случае необходимости.
Действие 3. Храните персональные данные только до тех пор, пока в этом есть необходимость
Данные сотрудников необходимо хранить до тех пор, пока сохраняются трудовые отношения и связанные с ними юридические обязательства. Данные клиентов необходимо хранить до тех пор, пока существуют отношения с клиентами и связанные с ними юридические обязательства (например, необходимость уплаты налогов). Удалите данные, если цели их сбора и использования утратят свою актуальность.
Функции Microsoft 365, которые могут помочь в шаге 3
Используйте политики и метки хранения, чтобы обеспечить хранение персональных данных в течение определенного периода времени и удалять их, если в них больше не будет необходимости.
Действие 4. Защитите персональные данные, которые вы обрабатываете
При хранении персональных данных в ИТ-системе ограничьте доступ к файлам, содержащим эти данные, с помощью надежного пароля. Регулярно обновляйте параметры безопасности вашей системы.
Примечание.
GDPR не предписывает использование определенных ИТ-систем, но требует, чтобы система имела соответствующий уровень безопасности. Дополнительные сведения см. в ст. 32 GDRP. Безопасность обработки.
При хранении бумажных документов, содержащих персональные данные, убедитесь, что они недоступны для посторонних лиц.
При хранении персональных данных в облаке, например в Microsoft 365, вы можете воспользоваться функциями безопасности, такими как управление разрешениями на доступ к файлам или папкам, защищенные централизованные расположения для хранения файлов (например, библиотеки документов OneDrive или SharePoint) и шифрование данных при отправке и получении файлов.
Функции Microsoft 365, которые могут помочь в шаге 4
Вы можете использовать настройку функций соответствия требованиям, чтобы защитить конфиденциальные данные вашей организации. Диспетчер соответствия требованиям поможет вам сразу начать работу! Например, можно создать и развернуть политики защиты от потери данных , использующие шаблон GDPR.
Действие 5. Обеспечьте сохранность документации по обработке данных
Подготовьте краткий документ, описывающий типы сохраняемых персональных данных и цели их использования. При необходимости предоставьте документацию в государственный орган по надзору за соблюдением законодательства о защите персональных данных.
Такие документы должны включать указанные ниже сведения.
| Информация | Примеры |
|---|---|
| Цель обработки данных | Уведомление клиентов о специальных предложениях, например о возможности доставки товара на дом, оплата услуг поставщиков, начисление заработной платы и социальное обеспечение сотрудников |
| Типы персональных данных | Контактные данные клиентов, контактные данные поставщиков и данные сотрудников |
| Затрагиваемые категории субъектов данных | Сотрудники, клиенты и поставщики |
| Категории получателей | Министерство труда и социальный защиты, налоговые органы |
| Сроки хранения | Персональные данные сотрудников до окончания трудового договора (и связанных с ним юридических обязательств), персональные данные клиентов до окончания клиентских или договорных отношений |
| Технические и организационные меры по защите персональных данных | Регулярное обновление ИТ-систем, защищенное расположение, управление доступом, шифрование данных и резервное копирование данных |
| Передача персональных данных получателям за пределами ЕС | Использование обработчика данных за пределами ЕС (например, хранение в облаке), расположение обработчика данных, договорные обязательства |
Договорные обязательства корпорации Майкрософт в отношении GDPR можно найти в Приложении по защите данных при использовании веб-служб Майкрософт. В этом приложении описаны обязательства корпорации Майкрософт по обеспечению конфиденциальности и безопасности, условия обработки данных и условия GDPR для служб, размещаемых на серверах Майкрософт, на которые подписываются клиенты в соответствии с соглашением о корпоративном лицензировании.
Действие 6. Убедитесь, что ваши субподрядчики соблюдают правила
Если вы передаете обработку персональных данных другой компании, используйте только поставщика услуг, который гарантирует обработку данных в соответствии с требованиями GDPR (например, меры безопасности).
Действие 7. Назначьте специалиста, ответственного за обеспечение защиты данных
Для обеспечения надежной защиты персональных данных организациям может потребоваться назначить специалиста по защите данных. Если обработка персональных данных не является основной частью вашей деятельности или если вы владеете малым предприятием, назначение специалиста по защите данных может не потребоваться. Например, если ваша организация собирает данные о ваших клиентах только для доставки товаров на дом, назначать специалиста по защите данных не нужно. Даже если возникнет необходимость в специалисте по защите данных, можно назначить его обязанности имеющемуся сотруднику в дополнение к его задачам. В случае необходимости можно нанять внешнего консультанта для выполнения этих обязанностей.
Как правило, выполнять оценку влияния на защиту данных не требуется. Такая оценка необходима организациям, деятельность которых представляет большой риск для персональных данных (например, если они проводят комплексный мониторинг общедоступной области — видеонаблюдение).
Если вы владеете малым предприятием, начисляющим зарплату сотрудникам и управляющим списком клиентов, вам, как правило, не нужно проводить оценку влияния на защиту данных.
Вопросы и ответы о соблюдении требований GDPR малыми предприятиями
Я являюсь индивидуальным предпринимателем, нужно ли мне беспокоиться о GDPR?
Регламент GDPR устанавливает правила обработки данных, а не количество нанимаемых сотрудников. Он затрагивает компании всех размеров, даже индивидуальных предпринимателей. Однако для компаний, количество сотрудников которых составляет менее 250 человек, предусмотрены некоторые исключения, например упрощенное ведение записей, но только в том случае, если вы уверены, что обработка данных не нарушает права физических лиц и носит случайный характер.
Например, обработка неличных данных является исключением и требует принятия упрощенных мер. Однако при обработке данных, являющихся "конфиденциальными данными особой категории", даже если обработка носит случайный характер, необходимо регистрировать факт обработки таких данных. Определение "случайной обработки" является расплывчатым, но оно применяется к данным, используемым один раз или редко.
Вы также должны обеспечить защиту собираемых персональных данных. Для этого необходимо зашифровать собираемые персональные данные и ограничить к ним доступ хотя бы с помощью пароля. Хранение данных клиентов в электронной таблице на рабочем столе без защиты не соответствует требованиям GDPR.
Как определить, что веб-сайт организации соответствует требованиям GDPR?
Первый вопрос, который нужно себе задать: "Собираются ли персональные данные на веб-сайте моей организации?" Например, на сайте вашей организации может присутствовать контактная форма, в которой запрашивается имя и адрес электронной почты. Если вы хотите отправлять электронные сообщения с рекламой, добавьте поле для флажка "подписаться" и сведения о целях использования данных. Только если получатель установит этот флажок, вы сможете использовать его персональные данные в целях маркетинга.
Также необходимо обеспечить защиту базы данных, в которой хранятся данные. Компания, предоставляющая услуги по размещению данных, или поставщик облачных хранилищ смогут проконсультировать вас по этому вопросу. Использование Microsoft 365 для бизнеса гарантирует хранение данных в соответствии с требованиями GDPR.
Моя организация находится за пределами Европы. Необходимо ли соблюдать требования GDPR?
GDPR — это регламент, который защищает граждан ЕС. Если ваша организация сотрудничает с гражданами ЕС или вы надеетесь на это в будущем, вам необходимо соблюдать этот регламент. Этот регламент распространяется как на граждан ЕС, проживающих в Европейском союзе, так и на граждан ЕС, проживающих в другом месте.
Рассмотрим следующие примеры.
Американская компания, которая сдает автомобили в прокат гражданам ЕС, должна соответствовать требованиям GDPR при сборе и обработке данных клиентов. Компания должна получить согласие на сбор данных клиентов и обеспечить их безопасное хранение. Компании также необходимо обеспечить соблюдение всех прав субъекта данных.
Австралийская компания продает товары в Интернете, и ее пользователи создают учетные записи для совершения покупок через Интернет. Права субъекта данных GDPR и согласие должны применяться к гражданам ЕС, создающим учетные записи. Компании также необходимо обеспечить соблюдение всех прав субъекта данных.
Международная благотворительная организация собирает данные о донорах и использует их для рассылки сообщений и запросов на пожертвования. В GDPR говорится: "... обработка персональных данных в целях прямого маркетинга может рассматриваться как выполненная в законных интересах". Однако организация обязана доказать, что ее интересы переопределяют интересы субъекта данных. Компания (или, в данном случае, благотворительная организация) всегда должна получать явное и информированное согласие на обработку персональных данных.
GDPR также применяется при перемещении данных клиентов через границы. Если вы используете облачные вычисления для хранения данных, вам необходимо обеспечить полное соответствие службы требованиям GDPR. Это может оказаться сложным, если хранилище данных находится в месте с плохой защитой данных. При использовании Microsoft 365 для бизнеса вы получите доступ к соответствующей юридической документации для обеспечения соответствия требованиям GDPR.
Я собираю данные, но их хранит другая организация. Освобождает ли это меня от необходимости соблюдать требования GDPR?
Согласно GDPR, если вы собираете данные, вы подпадаете под действие некоторых его требований. GDPR вводит понятия обработчика данных и управляющего данными.
Управляющий данными — это физическое лицо или организация (у вас могут быть совместные управляющие), которые определяют способы и цели сбора данных, а также типы собираемых данных. Они могут хранить собираемые данные на облачных серверах другой организации. Например, веб-сайт, собирающий данные о клиентах, является управляющим данными.
Обработчик данных — это физическое лицо или организация, которые хранят и обрабатывают данные по запросу управляющего данными. Например, хранилище данных в Приложениях Microsoft 365 для бизнеса является обработчиком данных и полностью соответствует требованиям GDPR.
Организация или система могут одновременно выступать в качестве управляющего данными и обработчика данных. Microsoft 365 для бизнеса можно использовать в качестве управляющего данными и обработчика данных при полном соблюдении требований GDPR.
Можно ли по-прежнему рассылать сообщения с рекламой старым клиентам?
Вы должны убедиться, что ваши клиенты, даже те, которые у вас были в течение многих лет, дали согласие на использование своих данных в целях маркетинга. Возможно, вы ранее получили согласие и у вас есть подтверждающие записи. Если это так, вы можете продолжать рассылать сообщения с рекламой. Если нет, вам нужно получить согласие клиентов, чтобы продолжить присылать им сообщения с рекламой. Обычно это предполагает отправку сообщения вашим клиентам с просьбой перейти на ваш сайт и выбрать вариант согласия на получение сообщений в будущем.
Нужно ли беспокоиться о GDPR при найме новых сотрудников? Как насчет имеющихся сотрудников?
Требования GDPR распространяются не только на данные клиентов, но и на данные сотрудников. Новых сотрудников часто находят с помощью социальных сетей, например LinkedIn. Убедитесь, что вы не храните данные о потенциальных новых сотрудниках без их явного согласия.
Что касается имеющихся сотрудников и договоров с новыми сотрудниками, подпись в конце договора необязательно предполагает согласие, особенно если в договоре используется условие в неутвердительной форме. В этом случае необходимо получить явное согласие в отношении этого условия. Что это означает на практике, зависит от вашего договора с сотрудником, но в некоторых случаях вы можете использовать "законный интерес" и добавить уведомление об обработке данных, чтобы проинформировать сотрудников о целях обработки их данных.
Обеспечение конфиденциальности данных с помощью Microsoft 365 для бизнеса
Соблюдение требований GDPR подразумевает обеспечение защиты персональных данных. В GDPR есть понятие, известное как конфиденциальность по умолчанию. Оно означает, что защита данных должна быть "встроена" в систему и продукт, чтобы обеспечение конфиденциальности стало обычным делом.
Крупные и малые предприятия нуждается в удобстве, не жертвуя безопасностью. Microsoft 365 для бизнеса предназначен для организаций, имеющих не более 300 сотрудников. Небольшие организации могут использовать облачные средства Майкрософт для повышения производительности своего бизнеса. С помощью Microsoft 365 для бизнеса небольшие организации могут управлять электронной почтой, документацией, собраниями, мероприятиями и не только! В Microsoft 365 для бизнеса также предусмотрены встроенные меры безопасности и возможность управления устройствами, что имеет очень важное значение для обеспечения соответствия требованиям GDPR.
Microsoft 365 для бизнеса может помочь вам обеспечить соответствие требованиям GDPR следующим образом.
Обнаружение. Важным шагом к обеспечению соответствия требованиям GDPR является знание того, какие данные имеются в вашей организации.
Управление. Управление доступом к данным и контроль их использования являются неотъемлемой частью GDPR. Microsoft 365 для бизнеса защищает бизнес-данные на основе политик, применяемых к устройствам. В эпоху, когда сотрудники работают удаленно, возможность управления устройствами становится жизненно важной. Microsoft 365 для бизнеса включает функции управления устройствами, которые обеспечивают защиту данных на всех устройствах. Например, вы можете указать, чтобы все устройства с Windows 10 в вашей организации были защищены с помощью Защитника Windows.
Защита. Решение Microsoft 365 для бизнеса создано для обеспечения безопасности. Элементы управления устройствами и защиты данных Microsoft 365 для бизнеса работают в вашей корпоративной сети, включая удаленные устройства, для обеспечения безопасности ваших данных. Microsoft 365 для бизнеса предлагает такие элементы управления, как параметры конфиденциальности в приложениях Microsoft 365 и шифрование документов. Microsoft 365 для бизнеса позволяет отслеживать соответствие требованиям GDPR, обеспечивая необходимый уровень защиты.
Создание отчетов. В GDPR большое внимание уделяется отчетности. Даже предприятие с одним сотрудником, если оно обрабатывает большие объемы данных, должно документировать свои процедуры обработки данных и отчитываться о них. Microsoft 365 для бизнеса берет на себя выполнение требований по предоставлению отчетности.
Такие инструменты, как журналы аудита, позволяют отслеживать данные и сообщать об их перемещении. Отчеты включают сведения о классификации собираемых и сохраняемых данных, сведения о действиях с данными и сведения об их передаче.
Клиенты и сотрудники все больше осознают важность конфиденциальности данных и теперь ожидают, что компания или организация будет обеспечивать эту конфиденциальность. Microsoft 365 для бизнеса предоставляет инструменты для достижения и поддержания соответствия требованиям GDPR без серьезных потрясений для вашего бизнеса.
Дальнейшие действия
Чтобы подготовиться к GDPR, рекомендуется выполнить следующие действия.
Оцените свою программу GDPR с помощью контрольных списков готовности к подотчетности.
Исследуйте Microsoft 365 для бизнеса как решение для достижения и поддержания соответствия требованиям GDPR.
Важно!
Получите юридическую консультацию, соответствующую вашей компании или организации.
Дополнительные ресурсы
Центр управления безопасностью Майкрософт: обзор GDPR
Официальный блог Майкрософт: Обязательства Майкрософт по GDPR
Веб-сайты Европейской комиссии:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по