ݺߣ

ݺߣShare a Scribd company logo

Обговорення GDPR

A
Anastasiia Konoplova

Презентація з обговорення GDPR, яке відбулося 19 червня 2018 року. Чекаємо на Ваші питання.

1 of 18
Downloaded 35 times
GDPR, і як його застосовувати резидентам України 19-06-2018 1 Анастасия Коноплева, CISA a.konopleva@isaca.org.ua
Подяка Редактори: Ірина Івченко Анастасія Конопльова Ростислав Цейко Андрій Рибальченко Перекладачі: Сергій Болдинюк Ольга Вишатицька, Євгенія Пилипенко, Андрій Малярчук (з координацією Світлани Лазарєвої) Олексій Мендрін Наталія Валєєва Юлія Драніщева Організація: Костянтин Куліков Асоціація ІТ
Коротко 25.05.2018 Екстратериторіальність max{€20 млн, 2-4% общего годового оборота} 72 години, щоб повідомити про порушення Детальна згода суб’єкта Права суб’єкта знати та припинити Мета обробки Privacy by default and by design Зобов’язання контролера http://www.eugdpr.org/the-regulation.html
Документи • Оригінал документу, який має юридичну силу – https://eur-lex.europa.eu/legal- content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG • Офіційний переклад українською, затверджений Урядовим офісом координації європейської та атлантичної інтеграції Секретаріату КМУ – https://eu-ua.org/sites/default/files/inline/files/es-2016679.pdf • Неофіційні переклади українською та російською – /AnastasiiaKonoplova/gdpr-isaca-kyiv- chapter
Принципи lawfulness, fairness and transparency законність, справедливість і прозорість purpose limitation обмеження мети data minimization мінімізація даних accuracy точність storage limitation обмеження на зберігання integrity and confidentiality цілісність та конфіденційність Стаття 5
Предмет "персональні дані (personal data)" - будь-яка інформація, що стосується ідентифікованої чи придатної до ідентифікації фізичної особи ("суб'єкта даних"); ідентифікована фізична особа - це той, хто може бути визначений безпосередньо чи опосередковано, зокрема, за посиланням на такий ідентифікатор, як ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн ідентифікатор або один чи більше факторів специфічної для фізичної, фізіологічної, генетичної, психічної, економічної, культурної або соціальної ідентичності цієї фізичної особи; "обробка (processing)" означає будь-яку операцію або сукупність операцій, які виконуються з персональними даними або наборами персональних даних, незалежно від того, чи використовуються автоматичні засоби, така як збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, узгодження, використання, розголошення шляхом передачі, розповсюдження або іншим чином – забезпечення доступності, систематизація або поєднання, обмеження, стирання або знищення; Стаття 4
Ролі Суб’єкт даних (data subject) • Ідентифікована чи придатна до ідентифікації фізична особа контролер (controller) • визначає цілі та засоби обробки персональних даних обробник (processor) • обробляє персональні дані від імені контролера; одержувач (recipient) • фізична або юридична особа, державний орган, агенція чи інший орган, якому розкриті персональні дані, незалежно від того, чи є вона третьою особою. третя особа (third party) • фізична чи юридична особа, державний орган, агентство чи орган, відмінний від суб'єкта даних, контролера, обробника та особи, яка під безпосереднім керівництвом контролера або обробника має дозвіл обробляти персональні дані головна установа (main establishment) представник (representative) підприємство (enterprise) група суб’єктів господарювання (group of undertakings) certification body Representation of data subject Supervisory authorities Стаття 4
Специфічні ситуації • Processing in the context of employment • processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes • processing and freedom of expression and information • public security • public interest • дані дитини • расове чи етнічне походження, • політичні погляди, • релігійні чи філософські переконання, • членство в профспілках, • обробка генетичних, біометричних даних з метою однозначної ідентифікації фізичної особи, • дані стосовно здоров'я, статевого життя або сексуальної орієнтації фізичної особи • Передача даних в третю країну
Передача в третю країну • Комісія вирішила, що третя країна, територія або один або декілька визначених секторів у межах цієї третьої країни, або відповідна міжнародна організація забезпечують належний рівень захисту. Така передача не вимагає спеціального дозволу. • Без дозволу наглядового органу – Затверджені механізми захисту ПД • З дозволу наглядового органу – договірні положеннями між контролером або обробником та контролером, обробником або одержувачем персональних даних у третій країні або міжнародній організації; • Якщо суб’єкт даних явно погодився або запитав договір Стаття 46, 49
Права суб’єкта Права доступу до інформації суб’єкта персональних даних Право на усунення помилок Право на стирання даних ("право на забуття") Право на обмеження обробки Зобов'язання про повідомлення щодо виправлення чи стирання персональних даних або обмеження обробки Право на портативність даних Право висувати заперечення Автоматизоване індивідуальне прийняття рішень, включаючи профілювання Статті 12-22
Зобов’язання контролера та обробника Data protection by design and by default Representatives of controllers or processors not established in the Union Records of processing activities Cooperation with the supervisory authority Security of processing Notification of a personal data breach to the supervisory authority Communication of a personal data breach to the data subject Data protection impact assessment Designation of the data protection officer Codes of conduct Статті 25-39
Обмеження і виключення 2.2 9.2 11 13.4 14.5 17.3 20.3 22.2 23 27.2 30.5 Законодавство Країн Членів …
Санкції 4.Порушення наступних положень, у відповідності до пункту 2, є предметом адміністративних штрафів у розмірі до 10 000 000 євро або, у випадку з підприємством, до 2% від загального світового річного обороту за попередній фінансовий рік, від того, що вище: • (a) зобов'язання контролера та обробника відповідно до статей 8 (діти), 11(зайве), 25-39 та 42 та 43 (сертифікація); • (b) зобов'язання органу сертифікації відповідно до статей 42 та 43; • (c) зобов'язання наглядового органу відповідно до статті 41 (4). 5. Порушення наступних положень, у відповідності до пункту 2, є предметом адміністративних штрафів у розмірі до 20 000 000 євро або, у випадку з підприємством, до 4% від загального світового річного обороту за попередній фінансовий рік, залежно від того, що вище: • (a) основні принципи обробки, включаючи умови згоди, відповідно до статей 5, 6, 7 та 9; • (b) права суб'єктів даних відповідно до статей 12-22; • (c) передача персональних даних одержувачу в третій країні або міжнародній організації відповідно до статей 44-49; • (d) будь-які зобов'язання відповідно до законодавства Країн Членів, прийнятих відповідно до Розділу IX; • (e) невиконання вимоги наглядового органу до тимчасового або остаточного обмеження щодо обробки або зупинення потоків даних відповідно до статті 58(2) або ненадання доступу з порушенням статті 58(1). Стаття 83
Регуляція • Європейська Рада з Захисту Даних – Dispute resolution by the Board – Urgency procedure • Наглядові органи в Країнах Членах – Independent supervisory authorities – Monitoring of approved codes of conduct
Механізми Certification International cooperation for the protection of personal data Representation of data subjects Right to an effective judicial remedy against a controller or processor Right to an effective judicial remedy against a supervisory authority Suspension of proceedings (81)
Глобальна проблема
Застосовність • Які дані ми обробляємо? – Звідки беремо? – Як впорядковуємо? – Даних достатньо для ідентифікації особи? • Навіщо обробляємо? • Яка наша роль в обробці? • Згода? • Виключення • Законність • Юридичні підстави обробки • Юрисдикція • Розподіл відповідальності
Питання від спільноти до Ради Обговорення триває, слідкуйте за публікаціями на https://www.facebook.com/Kyiv.ISACA/

More Related Content

Обговорення GDPR

  • 1. GDPR, і як його застосовувати резидентам України 19-06-2018 1 Анастасия Коноплева, CISA a.konopleva@isaca.org.ua
  • 2. Подяка Редактори: Ірина Івченко Анастасія Конопльова Ростислав Цейко Андрій Рибальченко Перекладачі: Сергій Болдинюк Ольга Вишатицька, Євгенія Пилипенко, Андрій Малярчук (з координацією Світлани Лазарєвої) Олексій Мендрін Наталія Валєєва Юлія Драніщева Організація: Костянтин Куліков Асоціація ІТ
  • 3. Коротко 25.05.2018 Екстратериторіальність max{€20 млн, 2-4% общего годового оборота} 72 години, щоб повідомити про порушення Детальна згода суб’єкта Права суб’єкта знати та припинити Мета обробки Privacy by default and by design Зобов’язання контролера http://www.eugdpr.org/the-regulation.html
  • 4. Документи • Оригінал документу, який має юридичну силу – https://eur-lex.europa.eu/legal- content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG • Офіційний переклад українською, затверджений Урядовим офісом координації європейської та атлантичної інтеграції Секретаріату КМУ – https://eu-ua.org/sites/default/files/inline/files/es-2016679.pdf • Неофіційні переклади українською та російською – /AnastasiiaKonoplova/gdpr-isaca-kyiv- chapter
  • 5. Принципи lawfulness, fairness and transparency законність, справедливість і прозорість purpose limitation обмеження мети data minimization мінімізація даних accuracy точність storage limitation обмеження на зберігання integrity and confidentiality цілісність та конфіденційність Стаття 5
  • 6. Предмет "персональні дані (personal data)" - будь-яка інформація, що стосується ідентифікованої чи придатної до ідентифікації фізичної особи ("суб'єкта даних"); ідентифікована фізична особа - це той, хто може бути визначений безпосередньо чи опосередковано, зокрема, за посиланням на такий ідентифікатор, як ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн ідентифікатор або один чи більше факторів специфічної для фізичної, фізіологічної, генетичної, психічної, економічної, культурної або соціальної ідентичності цієї фізичної особи; "обробка (processing)" означає будь-яку операцію або сукупність операцій, які виконуються з персональними даними або наборами персональних даних, незалежно від того, чи використовуються автоматичні засоби, така як збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, узгодження, використання, розголошення шляхом передачі, розповсюдження або іншим чином – забезпечення доступності, систематизація або поєднання, обмеження, стирання або знищення; Стаття 4
  • 7. Ролі Суб’єкт даних (data subject) • Ідентифікована чи придатна до ідентифікації фізична особа контролер (controller) • визначає цілі та засоби обробки персональних даних обробник (processor) • обробляє персональні дані від імені контролера; одержувач (recipient) • фізична або юридична особа, державний орган, агенція чи інший орган, якому розкриті персональні дані, незалежно від того, чи є вона третьою особою. третя особа (third party) • фізична чи юридична особа, державний орган, агентство чи орган, відмінний від суб'єкта даних, контролера, обробника та особи, яка під безпосереднім керівництвом контролера або обробника має дозвіл обробляти персональні дані головна установа (main establishment) представник (representative) підприємство (enterprise) група суб’єктів господарювання (group of undertakings) certification body Representation of data subject Supervisory authorities Стаття 4
  • 8. Специфічні ситуації • Processing in the context of employment • processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes • processing and freedom of expression and information • public security • public interest • дані дитини • расове чи етнічне походження, • політичні погляди, • релігійні чи філософські переконання, • членство в профспілках, • обробка генетичних, біометричних даних з метою однозначної ідентифікації фізичної особи, • дані стосовно здоров'я, статевого життя або сексуальної орієнтації фізичної особи • Передача даних в третю країну
  • 9. Передача в третю країну • Комісія вирішила, що третя країна, територія або один або декілька визначених секторів у межах цієї третьої країни, або відповідна міжнародна організація забезпечують належний рівень захисту. Така передача не вимагає спеціального дозволу. • Без дозволу наглядового органу – Затверджені механізми захисту ПД • З дозволу наглядового органу – договірні положеннями між контролером або обробником та контролером, обробником або одержувачем персональних даних у третій країні або міжнародній організації; • Якщо суб’єкт даних явно погодився або запитав договір Стаття 46, 49
  • 10. Права суб’єкта Права доступу до інформації суб’єкта персональних даних Право на усунення помилок Право на стирання даних ("право на забуття") Право на обмеження обробки Зобов'язання про повідомлення щодо виправлення чи стирання персональних даних або обмеження обробки Право на портативність даних Право висувати заперечення Автоматизоване індивідуальне прийняття рішень, включаючи профілювання Статті 12-22
  • 11. Зобов’язання контролера та обробника Data protection by design and by default Representatives of controllers or processors not established in the Union Records of processing activities Cooperation with the supervisory authority Security of processing Notification of a personal data breach to the supervisory authority Communication of a personal data breach to the data subject Data protection impact assessment Designation of the data protection officer Codes of conduct Статті 25-39
  • 12. Обмеження і виключення 2.2 9.2 11 13.4 14.5 17.3 20.3 22.2 23 27.2 30.5 Законодавство Країн Членів …
  • 13. Санкції 4.Порушення наступних положень, у відповідності до пункту 2, є предметом адміністративних штрафів у розмірі до 10 000 000 євро або, у випадку з підприємством, до 2% від загального світового річного обороту за попередній фінансовий рік, від того, що вище: • (a) зобов'язання контролера та обробника відповідно до статей 8 (діти), 11(зайве), 25-39 та 42 та 43 (сертифікація); • (b) зобов'язання органу сертифікації відповідно до статей 42 та 43; • (c) зобов'язання наглядового органу відповідно до статті 41 (4). 5. Порушення наступних положень, у відповідності до пункту 2, є предметом адміністративних штрафів у розмірі до 20 000 000 євро або, у випадку з підприємством, до 4% від загального світового річного обороту за попередній фінансовий рік, залежно від того, що вище: • (a) основні принципи обробки, включаючи умови згоди, відповідно до статей 5, 6, 7 та 9; • (b) права суб'єктів даних відповідно до статей 12-22; • (c) передача персональних даних одержувачу в третій країні або міжнародній організації відповідно до статей 44-49; • (d) будь-які зобов'язання відповідно до законодавства Країн Членів, прийнятих відповідно до Розділу IX; • (e) невиконання вимоги наглядового органу до тимчасового або остаточного обмеження щодо обробки або зупинення потоків даних відповідно до статті 58(2) або ненадання доступу з порушенням статті 58(1). Стаття 83
  • 14. Регуляція • Європейська Рада з Захисту Даних – Dispute resolution by the Board – Urgency procedure • Наглядові органи в Країнах Членах – Independent supervisory authorities – Monitoring of approved codes of conduct
  • 15. Механізми Certification International cooperation for the protection of personal data Representation of data subjects Right to an effective judicial remedy against a controller or processor Right to an effective judicial remedy against a supervisory authority Suspension of proceedings (81)
  • 17. Застосовність • Які дані ми обробляємо? – Звідки беремо? – Як впорядковуємо? – Даних достатньо для ідентифікації особи? • Навіщо обробляємо? • Яка наша роль в обробці? • Згода? • Виключення • Законність • Юридичні підстави обробки • Юрисдикція • Розподіл відповідальності
  • 18. Питання від спільноти до Ради Обговорення триває, слідкуйте за публікаціями на https://www.facebook.com/Kyiv.ISACA/