Рекомендации по созданию политики конфиденциальности: как разработать понятную и соответствующую требованиям политику

Начните с картирования всех потоков личных данных и получения явных согласий до начала любой обработки; согласуйте с миссией и нормативными обязательствами и назначьте ответственного владельца для каждого потока.

Определите роли и обязанности сотрудников, с сотрудник команда, обученная работе с личными данными; внедрите контроль доступа на основе ролей и документируйте каждое запросы для доступа. Фреймворк предоставляет рекомендации для обмена данными с третий сторонами и с родитель организации, включая раз для утверждений и журналов аудита.

Установите сроки хранения для каждой категории данных и внедрите безопасное ликвидация рабочие процессы для удаления или анонимизации записей, когда истекает срок их хранения. Укажите, как и когда запросы для доступа к данным или их получения, и обеспечивают ведение поддающегося проверке журнала действий на протяжении всего времени работы.

Реализуйте явно согласие механизмы и пути отзыва; убедитесь, что каждая деятельность по обработке, требующая согласия, задокументирована, и поддерживайте простой канал для возражений или запросов на отзыв. В частности, регистрируйте, кто предоставляет согласие, дату (дата) и scope, чтобы поддержать нормативные запросы и выполнять запросы на доступ от правильной стороны.

Регулярно отчитывайтесь о деятельности по обработке данных, стандартизируйте оформление записей данных и согласуйте с целями на год. Постройте культуру, ориентированную на миссию, во всех подразделениях. родитель и распределенных команд, убедитесь, что каждая операция подлежит аудиту, и проводите ежеквартальные аудиты для выявления пробелов и их оперативного устранения.

Разработка чёткой политики конфиденциальности: типы данных, цели и права пользователей

Начните с краткого перечня собираемых вами данных: доступные типы данных, включая персональные данные и обезличенные записи, и определите объем документа. Укажите, что доступно пользователям, а что должно оставаться внутренним для повседневной работы; включайте данные о рождении (рождения) только в строго необходимых случаях и с надлежащими мерами предосторожности.

Цели должны быть описаны в четком заявлении: предоставление услуг на сайте, проведение автоматизированной аналитики и поддержание безопасности; если вы намерены использовать данные для иной цели, приложите отдельное положение и получите предварительное согласие, обеспечив обработку в соответствии с законодательством и утвержденные соответствующими органами, где это применимо. Сохраняйте цели узкими, чтобы снизить риск и держать пользователя в курсе.

Пользовательские права включают доступ, исправление, удаление, ограничение, возражение и переносимость данных; укажите, как их реализовать на сайте и через назначенного представителя; определите сроки ответа и этапы проверки; отметьте, что некоторые действия не освобождают от обязательств; система не предоставляет неограниченный доступ; вы не можете раскрывать больше, чем разрешено; если данные включают персональные данные, вы можете предоставить копии в деперсонализированной форме, где это возможно; неполные записи должны быть исправлены по запросу.

Трансграничные передачи данных, трансграничные по своей природе, требуют гарантий в соответствии с законодательством; контракты с перевозчиками и обработчиками должны включать положение, требующее соблюдения прав субъектов и утверждены схемами, такими как SCC; если пользователь запрашивает, предложите варианты минимизации перемещения данных или хранения данных локально, где это возможно.

Хранение и качество данных: укажите период или критерии хранения и обязуйтесь хранить данные не дольше, чем это необходимо; если записи неполные, пометьте их и запросите обновления; периодически проверяйте точность и предоставьте простой способ внесения исправлений; что касается удаления, предоставьте четкие шаги, соответствующие заявленным целям и соображениям, связанным с жизненным циклом данных.

Операционное управление: опишите, как осуществляется обработка на сайте, включая контроль доступа, минимизацию и автоматизированные решения с участием человека; опубликуйте краткое заявление, описывающее обработку данных и обеспечивающее, чтобы все действия оставались в рамках заявленной области и в соответствии с задокументированными положениями.

Уведомления DMCA: подача, процедуры удаления и сроки ответа

Разработайте стандартизированный шаблон уведомления DMCA и ускоренный процесс удаления контента для минимизации рисков и ответственности. Основная часть уведомления должна быть точной, содержать действительную подпись, идентифицировать защищенную авторским правом работу и указывать местоположение и среду, в которой она появляется. Адресуйте уведомление назначенному вами агенту и предоставьте контактные данные, чтобы операторы по всей федерации могли действовать быстро. Пожалуйста, раскройте достаточно информации для установления добросовестности в соответствии с законом, и согласуйте действия с вашей миссией по защите прав. Приложите соответствующие документы для подтверждения претензии и укажите сроки действия, если это применимо.

Элементы отправки

• Содержит идентификацию правообладателя, описание защищенного авторским правом произведения и описание того, где материал появляется (URL или другой локатор) в среде.
• Включает заявление о добросовестном убеждении в том, что использование не разрешено, а также подпись или электронное указание лица, действующего от имени правообладателя.
• Предоставляет контактную информацию (имя, почтовый адрес, электронную почту, телефон) ответственного лица, чтобы можно было раскрыть дополнительную информацию при необходимости и связаться с ним.
• Подтверждает, что отправитель уполномочен действовать от имени правообладателя (или является правообладателем) и указывает, на какие права предъявляются претензии.
• Содержит утверждение о достоверности под страхом наказания за лжесвидетельство и указывает на то, что отправитель может нести ответственность за искажение информации.
• Включает дипломатический контекст, где требуется трансграничная координация; запросить additional data, если необходимо, и приложить 相关 документы, где это уместно.
• Упоминаются обстоятельства, при которых материал используется без разрешения, и разъясняется нормативно-правовой и организационный контекст запросившей стороны для подтверждения претензии.
• Поддерживает систематизацию обработки в федерации с четкими правилами маршрутизации претензий организациям и перевозчикам для принятия мер.
• Указывает срок действия или действия, ограниченные по времени, если применимо, для предотвращения устаревших запросов на удаление контента.
• Указывает, были ли заявленные права или контент переданы другой стороне, и предоставляет обновленную контактную информацию, если это так.
• Указывает на отсутствие какой-либо лицензии или разрешения для материала, цитируемого в уведомлении.

Сроки ответа и выполнения действий

• Подтверждение получения в течение 1 рабочего дня с номером обращения и указаниями о дальнейших действиях.
• Удаление или отключение доступа в течение 24-72 часов, когда это возможно; предоставление информации о статусе, если необходима дополнительная информация.
• Если материал не будет удален, кратко укажите причину и предложите правообладателю возможность обратиться в суд; ведите поддающийся проверке журнал переписки для регуляторного контроля.
• Если подано встречное уведомление, сообщите об этом заявителю и подождите 10–14 дней, прежде чем восстанавливать контент, если только не будет подано судебный иск, запрещающий восстановление.
• Ведите журнал действий (временные метки, совокупность доказательств, ответственные стороны) для поддержки запросов регулирующих органов и внутреннего управления рисками.
• Эскалируйте вопрос юридическому отделу или высшему руководству, если претензия кажется легкомысленной или злонамеренной, и обеспечьте соблюдение правил истечения срока давности, чтобы избежать рисков.

Прекращение действия и ограничения доступа: Когда применять, методы уведомления и апелляции

Незамедлительно приводить в исполнение прекращение трудовых отношений и ограничения доступа, когда решения утверждены; аннулировать все учетные данные и средства доступа для всех, чья роль завершается, включая сотрудников, в том числе подрядчиков по контрактам; осуществлять передачу устройств и полученных данных в пределах округа, обеспечивая защиту данных субъектов во время передачи. Ответственная команда должна действовать после уведомления и в течение 1 рабочего дня в стандартных случаях, с повышением до 2 дней для сценариев высокого риска, и документировать каждое действие в файле дела для полноты и отслеживаемости в ходе аудита.

Способы уведомления: Уведомлять субъектов в электронном виде с подтверждением получения поименованным лицом и предоставлять копии ответственному руководителю, как указано в пункте. Использовать такие средства, как электронные уведомления, защищенные порталы или заказная почта; включать в договоры пункт об уведомлениях и последующих действиях и обеспечивать своевременное получение получателем подробной информации по утвержденным каналам. Все уведомления должны содержать ссылку на вышеуказанные требования и храниться в централизованном реестре в округе для нужд и аудита.

Специфика ограничений доступа: Немедленно заблокировать доступ к системам внутри района; отозвать токены, отключить удаленный доступ и лишить всех привилегий, которыми обладал бывший сотрудник или подрядчик. Прекратить обработку (processing) любых данных этим лицом и убедиться, что транзакции передачи и обработки data затем соответствуют разрешенным условиям. Обеспечить передачу полученных data в безопасное хранилище и ограничить дальнейший обмен посредством надежного положения, регулирующего использование, хранение и удаление после прекращения действия контрактов и в соответствии с политикой, если это применимо.

Апелляции: Любой, кто оспаривает решение о прекращении доступа и ограничениях, может подать апелляцию в течение установленного срока после уведомления. Ответственное лицо (имя) или назначенная комиссия рассматривает апелляцию, определяет результаты и выносит письменное решение (решения), которое хранится вместе с материалами дела. Процесс апелляции учитывает все соответствующие факторы, включая интересы граждан и работодателя, и использует задокументированный график для предотвращения неразрешенных споров.

Документация и соответствие требованиям: Ведите полный журнал решений, уведомлений, изменений прав доступа и передачи данных. Регистрируйте даты, имена затрагиваемых субъектов и вовлеченные стороны (физ. лицо) для поддержки защиты и отчетности. По возможности все действия должны выполняться в электронном виде, со средствами верификации и квитанциями; убедитесь, что вышеуказанные требования отражены в контрактах и пунктах, регулирующих обработку и передачу, и что дела остаются в рамках стандартов округа и политических указаний.

Согласование положений и условий: применимое право, ограничения ответственности и механизмы получения согласия

Приведите применимое право в соответствие с национальным законодательством и назначьте единое исключительное место рассмотрения споров; дата вступления в силу должна быть указана в документе и закреплена в тексте, чтобы стороны понимали, что это соответствие регулирует все предоставляемые продукты и услуги. В документе должно быть указано, что он создан для регулирования использования и обработки информации, с ограничением использования законными целями, и что Подрядчик обеспечивает четкую подотчетность за каждое использование данных.

Ограничения ответственности должны быть точными и подлежащими исполнению: ограничьте ответственность суммой, равной большей из величин: 2x от общей суммы ранее выплаченных комиссий за предыдущий период или 100 000 долларов США, только прямыми убытками и с четкими исключениями в отношении умышленного неправомерного поведения и нарушений конфиденциальности. Исключите убытки, возникшие в результате ликвидации или трудовых споров, если они не вызваны грубой небрежностью, связанной с основными обязательствами; обстоятельства, при которых может возникнуть ответственность, должны быть четко описаны, а состав убытков должен быть указан в документах, чтобы отдельные субъекты могли оценить риски.

Механизмы согласия должны быть явными и отзывными: каждая операция обработки требует определенного, утвердительного действия (например, установка флажка или цифровая подпись) и должна быть ограничена целями, заявленными во время особых согласий. Ведите номер для каждого события согласия и храните его как часть формального документооборота; позвольте физическому лицу (информация, субъекту, في) отозвать его в любое время при определенных обстоятельствах, с достаточной информацией, позволяющей продемонстрировать, что было предоставлено и почему, и убедитесь, что состав каждой записи согласия отражает права и предпочтения субъекта данных.

Связь с нами и доступность: каналы, соглашения об уровне обслуживания в отношении реагирования и прозрачность коммуникаций

Создайте централизованный контактный узел со следующими каналами: электронная почта, защищенная веб-форма, бесплатная телефонная линия, онлайн-чат и обмен сообщениями в приложении. Каждый канал должен направлять к назначенному представителю и регистрироваться в собственной системе. Присвойте уникальный номер обращения каждому запросу, отобразите путь эскалации и опубликуйте ожидаемое время обработки по каждой категории. Предоставьте достаточную информацию об обязанностях персонала и требованиях к разрешениям и убедитесь, что пользователь получает подтверждение с указанием канала связи, номера обращения и первоначального запроса на уточнение, если требуется дополнительная информация.

Соглашения об уровне обслуживания ответов должны быть четкими и измеримыми. Подтверждайте получение в течение 24 часов в рабочие дни; предоставляйте разъяснения или запрашивайте информацию в течение 48 часов; стремитесь к разрешению в течение 5 рабочих дней для стандартных запросов, выделяя больше времени для сложных случаев, если это необходимо. Назначайте каждый запрос ответственному лицу (обладающему релевантной компетенцией) и информируйте пользователя по тому же каналу; ведите публичный журнал раскрытия показателей производительности для обеспечения прозрачности и формирования ожиданий, избегая устаревших заявлений.

Доступность и форматы должны быть неотъемлемой частью. Все каналы должны поддерживать доступные форматы (простой текст, крупный шрифт, совместимость с программами чтения с экрана) и предоставлять расшифровки или субтитры для любого живого или записанного контента. Предлагайте альтернативные форматы и инструкцию для запроса специальных условий, а также четкий процесс получения разрешения (grant) на поддержку третьих лиц, когда это необходимо. Назначьте специального представителя для обработки запросов на доступность и обеспечьте ему достаточные полномочия для утверждения корректировок (в соответствии с руководящими принципами).

Прозрачность в коммуникациях требует четкого раскрытия соответствующей информации и удаления устаревшего контента. Опубликуйте следующее на публичной странице: варианты связи, SLA по ответам, процедуры эскалации, основы обработки данных и сроки хранения. Убедитесь, что все заявления являются точными, проверяемыми и актуальными; отмечайте изменения временными метками и оперативно удаляйте устаревшие формулировки. Согласуйте каждое раскрытие с договорами и документированными процедурами (инструкция) и подтвердите владение (owned) процессом, назначив представителя и ответственное лицо для контроля точности и получения согласия пользователя, когда это требуется.

Обработка и хранение данных должны быть регламентированы и подлежать аудиту. Храните запросы и ответы в течение минимального периода, удовлетворяющего юридическим и договорным обязательствам, затем надежно уничтожайте (уничтожение) журналы и вложения, когда это разрешено или запрошено, с четкими критериями удаления. Предоставьте пользователям возможность получать копии своих сообщений (получение) и давать разрешение на передачу деталей указанным сторонам, когда это необходимо, обеспечивая соблюдение установленных обязанностей и защиту их собственной информации (своих).

Регламент об обработке персональных данных: законные основания, трансграничная передача и права субъектов данных

Рекомендация: Внедрите единую, постоянно действующую процедуру, которая настоящим документом сопоставляет каждую операцию обработки с правовым основанием и создает центральный реестр данных, доступный субъектам по запросу. Для каждой цели определите точное основание (согласие, контракт, юридическое обязательство, жизненно важные интересы, общественная задача или законные интересы) и задокументируйте обоснование, включая запасные варианты на случай устаревания основания. Ведите материальные записи, включая категории задействованных данных (в том числе биометрические данные), получателей данных и сроки хранения.

Международные переводы: Передача данных в другие юрисдикции должна осуществляться только при наличии гарантий, таких как решение об адекватности, Стандартные договорные условия (SCC) или обязательные корпоративные правила. Проводите оценку влияния передачи данных для каждого пункта назначения; убедитесь, что защита является эквивалентной и юридически применимой в отношении получателя. При передаче данных убедитесь, что данные, защищенные электронным способом, остаются в безопасности при передаче и хранении, и что серверы и системы используют строгие технические средства контроля. Документируйте обоснование передачи и ведите постоянный мониторинг для выявления любых изменений в профиле рисков; прекратите или пересмотрите передачу, если гарантии утратят силу.

Права субъекта данных: Субъекты данных имеют право на доступ, исправление, удаление, ограничение обработки, возражение и переносимость данных. Предоставляйте доступ к данным в электронном виде, где это возможно; отвечайте в течение 30 дней; позволяйте субъектам принимать или отзывать согласие, где это применимо; убедитесь, что ответы не раскрывают данные Иных лиц и что запрещенной обработки удается избежать. Если запросы связаны с биометрическими данными, применяйте более надежную аутентификацию. При обработке запросов, обращаемся к субъектам данных по официальным каналам; предоставляйте ответы в безопасном формате и указывайте контактные данные для эскалации.

Минимизация и хранение данных: Собирайте только то, что необходимо для каждой цели, и отслеживайте происхождение данных. Для биометрических и других конфиденциальных данных применяйте более строгие меры защиты. Определите сроки хранения в документированном графике и внедрите автоматизированную процедуру удаления или анонимизации по истечении сроков. Обеспечьте отказ от устаревших практик и безопасное уничтожение данных при необходимости утилизации. Ведите журнал удалений и, где это применимо, обеспечьте возможность передачи данных только авторизованным получателям.

Управление и обработка инцидентов: Четко распределите обязанности между контроллером и любыми процессорами; поддерживайте административные и технические средства контроля; если это требуется по закону, назначьте DPO и сообщайте властям в соответствии с требованиями. В случае предполагаемых инцидентов с данными активируйте протокол реагирования, локализуйте нарушение, проведите первоначальную оценку и уведомьте власти и затронутых субъектов в установленные сроки. Сохраняйте контрольный журнал в записях и своевременно предоставляйте обновления субъектам данных. Обеспечьте бережное обращение с семейными данными и ограничьте доступ к ним только уполномоченному персоналу; обеспечьте безопасную и зашифрованную передачу данных, хранящихся на серверах и в системах, а также уничтожение отслеживаемым образом, когда требуется утилизация.