Оценка влияния на защиту данных в рамках GDPR

Общий регламент по защите данных (GDPR) вводит новые правила для организаций, предоставляющих товары и услуги жителям Европейского союза (ЕС) или занимающихся сбором и анализом данных резидентов ЕС, независимо от того, где находитесь вы или ваше предприятие. Дополнительные сведения можно найти в разделе Сводка по GDPR. В этом документе вы можете получить сведения относительно оценки влияния на защиту данных (DPIA) в рамках GDPR при использовании продуктов и служб Майкрософт.

Термины

Полезные определения терминов GDPR, используемых в этом документе:

  • Управляющий данными (управляющий) — юридическое лицо, орган государственной власти, агентство или другое лицо, которое отдельно от других или вместе с ними определяет цели и средства обработки персональных данных.
  • Персональные данные и субъект данных — все сведения, относящиеся к определенному или определяемому физическому лицу ("субъект данных"). Определяемым физическим лицом считается лицо, которого можно прямо или косвенно определить.
  • Обработчик — физическое или юридическое лицо, орган государственной власти, агентство или другое лицо, которое обрабатывает персональные данные от лица управляющего.
  • Данные клиента — это данные, которые создаются и хранятся в ходе повседневной работы компании.

Что такое DPIA?

Общий регламент по защите данных (GDPR) требует, чтобы управляющие подготовили оценку влияния на защиту данных (DPIA) для операций, которые "с высокой вероятностью могут повлечь значительный риск для прав и свобод физических лиц". Продукты и службы Майкрософт не имеют характеристик, требующих DPIA. Однако это продукты и службы с широкими возможностями настройки, поэтому иногда конфигурация Майкрософт может требовать DPIA. Корпорация Майкрософт не контролирует такие данные и практически не имеет соответствующих аналитических сведений. Управляющим данными необходимо определить, какое использование данных является надлежащим.

Выполнение DPIA

Руководство по DPIA применимо к Office 365, Azure, Dynamics 365, службе поддержки и профессиональным услугам Майкрософт. В этом руководстве рассматриваются следующие вопросы:

Когда требуется DPIA?

Рассматривая вопрос о необходимости DPIA, следует учесть перечисленные ниже факторы риска. Другие факторы потенциального риска и дополнительные сведения см. в части 1 каждой инструкции.

  • Систематическая расширенная оценка данных на основе автоматизированной обработки.
  • Масштабная обработка определенных категорий данных (данные, используемые для уникальной идентификации физического лица) или персональных данных о судимостях и преступлениях.
  • Масштабное систематическое отслеживание общедоступной области.

В GDPR поясняется: "Обработка персональных данных не должна считаться масштабной, если обработка относится к персональным данным пациентов или клиентов, обрабатываемым отдельным врачом, другим специалистом в области здравоохранения или адвокатом. В таких случаях оценка влияния на защиту данных не должна быть обязательной".

Что требуется для выполнения DPIA?

DPIA предоставляет подробные сведения о планируемой обработке, которые описаны в части 2 руководства. Эти сведения включают следующие данные.

  • Оценка необходимости и пропорциональности операций обработки данных по отношению к целям DPIA.
  • Оценка рисков для прав и свобод физических лиц.
  • Предполагаемые меры по устранению рисков, в том числе меры предосторожности, меры безопасности и механизмы для обеспечения защиты персональных данных и соблюдения требований GDPR.
  • Цели обработки
  • Категории обрабатываемых персональных данных
  • Хранение данных
  • Размещение и передача персональных данных
  • Предоставление данных сторонним субобработчикам
  • Предоставление данных независимым третьим сторонам
  • Права субъектов данных

Дополнительные рекомендации

Конкретные сведения, которые могут быть важны для вашей реализации Майкрософт, см. ниже.

  • Office 365. Этот документ применим к приложениям и службам Office 365, включая, в том числе, Exchange Online, SharePoint Online, Yammer, Skype для бизнеса и Power BI. Дополнительные сведения см. в таблицах 1 и 2.
  • Azure. Клиентам рекомендуется сотрудничать с уполномоченными по защите личных данных и юрисконсультами, чтобы определить необходимость выполнения DPIA и ее содержимое в связи с использованием Microsoft Azure.
  • Dynamics 365. Содержимое DPIA может отличаться в зависимости от того, какие инструменты Dynamics 365 вы используете. Конкретные сведения см. в части 2 "Содержимое DPIA".
  • Windows. Этот документ относится к конфигурации обработчика диагностических данных Windows. Клиентам рекомендуется взаимодействовать со своими сотрудниками, отвечающими за конфиденциальность, и юрисконсультами, чтобы определить необходимость выполнения DPIA и ее содержимое в связи с использованием конфигурации обработчика диагностических данных Windows.
  • Служба поддержки и профессионального обслуживания Майкрософт. Профессиональные услуги не предполагают определенной стандартной или автоматизированной обработки данных и не предназначены для обработки особых категорий данных или выполнения задач, которые упрощают или требуют наблюдения за общедоступными данными. Дополнительные сведения см. в разделе Часть 1. Определение необходимости выполнения DPIA. Управляющие данными должны рассматривать описанные выше элементы DPIA, а также любые другие важные факторы в контексте конкретной реализации и использования профессиональных услуг. Сведения о профессиональных услугах см. в разделе Часть 2. Содержимое DPIA.

Подробнее