Як застосовується право на видалення відповідно до GDPR? Загальний регламент про захист даних та право на видалення, також відоме як GDPR, дозволяє громадянам ЄС запросити видалення своїх персональних даних. Це право є важливою частиною підходу GDPR до захисту даних, надаючи фізичним особам більший контроль над тим, як обробляється їхня особиста інформація.
Однак для бізнесу відповісти на ці запити не так просто. Перш за все, може бути важко виявити та надійно видалити всі персональні дані, пов’язані з особою в організаційних системах.
Тож давайте розглянемо це більш детально.
Що таке право на видалення відповідно до GDPR?
Що?
Загальний регламент про захист даних (GDPR) – це закон про захист даних, який застосовується до організацій, які обробляють персональні дані фізичних осіб у Європейському Союзі. Одним із його ключових положень є право на видалення, також відоме як право на забуття. Це дозволяє фізичним особам вимагати видалення своїх персональних даних. Організації повинні виконувати запити, якщо:
– Він більше не потрібен для свого початкового призначення
– Згоду відкликано
– Дані були оброблені незаконно
Коли?
GDPR набув чинності 25 травня 2018 року після прийняття у квітні 2016 року. З того часу організації, які обробляють персональні дані громадян ЄС, повинні дотримуватися його вимог, включаючи відповідну обробку запитів щодо права на видалення.
Хто?
GDPR поширюється на:
Читайте також:
– Будь-яку організацію, незалежно від місця розташування, яка обробляє персональні дані фізичних осіб на території ЄС.
– Компанії, які пропонують товари чи послуги резидентам ЄС або стежать за їхньою поведінкою.
– Організації будь-якого розміру, включаючи підприємства, некомерційні та державні установи.
Що має бути видалено відповідно до права GDPR на видалення?
Щоб відповідати праву на видалення GDPR, основним пріоритетом є видалення активних записів із реальних систем, таких як персональні дані, що зберігаються в базах даних, файлах і записах клієнтів.
З іншого боку, резервні копії можуть залишатися до тих пір, поки вони не будуть перезаписані відповідно до графіка зберігання організації. Однак їх треба ставити “Поза межами використання», що означає, що вони не можуть бути доступні або оброблені для будь-яких інших цілей. Організації повинні чітко інформувати людей про те, як їхні дані обробляються в резервних копіях.
Винятки з права на видалення
Не всі запити на видалення мають бути виконані. Організації можуть відмовити, якщо потрібні дані:
- Для дотримання законодавства або нормативних вимог (наприклад, податкового законодавства або трудового законодавства)
- З міркувань суспільного інтересу (наприклад, для здоров’я або з дослідницькою метою)
- Для встановлення, здійснення або захисту законних вимог
Як забезпечити право на забуття відповідно до GDPR?
Щоб дотримуватися права на видалення, передбаченого GDPR, організаціям слід розробити чіткий процес обробки запитів на видалення. Ось 3 загальні кроки, які ви можете використовувати як основу для створення власного процесу.
Кроки для обробки запитів GDPR на право на видалення
- Перевірте запит
Підтвердьте особу запитувача та переконайтеся, що його дані підлягають видаленню відповідно до правил GDPR. Деякі дані можуть бути звільнені від видалення, наприклад, записи, необхідні для виконання юридичних зобов’язань або суспільних інтересів.
- Знайдіть дані
Визначте, де зберігаються дані особи, включаючи локальні системи, хмарні платформи та резервні копії.
- Безпечне видалення та документування процесу
Використовуйте надійні методи стирання даних, щоб забезпечити безповоротне видалення, запобігаючи несанкціонованому відновленню. Після цього ви можете зберігати записи про процес видалення для цілей аудиту та повідомляти запитувача про те, що його дані було видалено.
Проблеми дотримання права на видалення
Однак дотримання права на видалення GDPR не таке просте, як здається. Основні проблеми, з якими ви, ймовірно, зіткнетеся, зазвичай поділяються на 2 основні категорії: ідентифікація та пошук особистих даних, а також їх остаточне видалення для забезпечення відповідності.
- Ідентифікація та пошук персональних даних
Особисті дані часто розподіляються між кількома системами, включаючи пристрої співробітників, хмарні сховища, резервні копії та застарілі бази даних. Це ускладнює відстеження всіх екземплярів даних особи.
Проблема ще більша для організацій, які використовують старіші або несумісні системи зберігання даних, які не були розроблені для легкого пошуку або видалення. Резервні копії представляють особливу складність, оскільки вони призначені для відновлення даних, а не для модифікації, а це означає, що якщо інструменти прав не використовуються, то дані можуть залишатися збереженими навіть після обробки запиту на видалення. Це підводить нас до другого виклику.
- Безповоротне видалення даних
Після ідентифікації даних організації повинні забезпечити їх надійне видалення. Простого видалення файлів недостатньо, оскільки Управління даними може залишатися, створюючи ризики для відповідності та безпеки.
Переваги використання комбінованого підходу
Щоб подолати ці проблеми, організаціям необхідно використовувати надійні інструменти, які не тільки знаходять персональні дані в усіх системах, але й забезпечують їх безпечне та незворотне видалення. Це найпростіше при використанні рішення, яке включає в себе як розширені інструменти пошуку, так і Стирання даних програмне забезпечення, наприклад Jetico BCWipe.
Поєднуючи розширені функції пошуку з надійним програмним забезпеченням для стирання даних, організації можуть легко відповідати на запити на видалення та забезпечувати дотримання права на видалення GDPR. Використання такого комплексного підходу усуває людські помилки та процес передачі результатів пошуку в окремий інструмент видалення, що може бути виснажливим і схильним до помилок, таких як невідповідність даних або неповне видалення. За допомогою комбінованого рішення бізнес може:
- Оптимізуйте операції
- Ефективніше реагуйте на запити на видалення
- Мінімізуйте ризик помилок
В цілому, такий підхід посилює стратегії захисту даних, знижує ризик зриву дотримання вимог і підвищує довіру клієнтів.
Покрокова інструкція про те, як дотримуватися права GDPR на забуття
Щоб дотримуватися права на видалення, передбаченого GDPR, організації повинні безпечно знаходити та видаляти персональні дані за запитом. Ось як цього ефективно досягти за 3 кроки:
- Крок 1: Виберіть стиль PII та ключове слово
Функція пошуку BCWipe допомагає швидко ідентифікувати конфіденційні дані. Щоб виконати запит на право на видалення, спочатку виберіть стиль «Особиста ідентифікаційна інформація (PII)», щоб знайти конкретні типи особистої інформації, наприклад номери соціального страхування або ідентифікаційні номери платників податків. Потім введіть релевантне ключове слово, як-от ім’я особи, яка надіслала запит на видалення даних. У цьому прикладі людину звуть Джон Сміт.
Select PII preset filter with keyword to comply with GDPR Right to Erase in BCWipe screenshot
- Крок 2: Перевірте результати пошуку
Після завершення пошуку всі файли, що містять ідентифікаційну інформацію, пов’язану з ключовим словом, будуть відображені в полі “Результати пошуку”. Уважно перегляньте ці файли, щоб перевірити дані, перш ніж приступити до видалення.
- Крок 3: Видаліть вибрані файли
Виберіть файли, які ви хочете стерти, поставивши галочки, а потім натисніть «Стерти», щоб ініціювати безпечне видалення. BCWipe назавжди видаляє файли, які не підлягають криміналістичному відновленню, забезпечуючи повне дотримання права на видалення, передбаченого GDPR.
Найкращі практики та ключові міркування
Використання
Розширені інструменти пошуку і програмне забезпечення для стирання даних – це чудовий початок, але організації також можуть подумати про впровадження наступних практик, щоб допомогти дотримуватися права на видалення GDPR:
Навчання та розробка політик
Встановіть чіткі політики керування даними та регулярно проводьте для співробітників тренінги щодо обробки запитів на видалення. Чітко визначені процедури допомагають забезпечити послідовність у виявленні, обробці та безпечному видаленні персональних даних відповідно до вимог GDPR.
Журнали видалень
Ведіть повні записи запитів на видалення та дій, вжитих для їх виконання. Ведення журналів підвищує прозорість і дає змогу чітко показувати клієнтам, що їхні дані надійно переміщено, що призводить до підвищення довіри. Журнали також допомагають у звітності про відповідність та наданні документації на випадок регулятивних аудитів або запитів.
Кібергігієна
Регулярно перевіряйте IT-системи, оновлюйте політики збереження даних і картографуйте потоки даних, щоб підвищити ефективність обробки запитів на видалення. Суворі практики кібергігієни, такі як регулярне обслуговування системи та організація структурованих даних, запобігають помилкам під час видалення даних і зменшують ризики залишкової інформації, що може призвести до невідповідності.
Досягнення відповідності GDPR з BCWipe
Понад 20 років Міністерство оборони США довіряє BCWipe для безпечного стирання файлів і обробки даних за межами криміналістичного відновлення. Відповідає ключовим стандартам, таким як Літак Міністерства оборони США 5220.22-M, IEEE 2883-2022 рр. і НІСТ 800-88, BCWipe забезпечує надійний захист даних.
Вибираючи BCWipe, організації отримують доступ до передових інструментів, таких як Функція пошуку і централізоване управління для віддаленого стирання та програмного керування.
Хочете спробувати BCWipe та нову функцію пошуку? Зверніться до спеціаліста із захисту даних офіційного представника Jetico в Україні – компанії Ідеалсофт.
Читайте vgolos.org на Google News