Вопрос, на самом деле, крайне обширный.
Повторюсь, но требуется определить какие данные, как и зачем вы собираете, установить базис.
Существует ли необходимость обработки данных работника, имея отношения с юр. лицом?
Можно смоделировать ситуацию, например, договор о предоставлении услуг отеля с юр. лицом. Отелю предоставляются данные работника, который будет проживать (мы говорим о ситуации на территории Евросоюза).
В GDPR определен порядок действий контролера в зависимости от того, получены ли данные от субъекта или иных источников — ст. 14.
Все прозрачно. Необходимо лишь каждому учитывать свою специфику.
1. Если железяки не собирают биометрию, то с ними все ок.
2. С аутентификацией тоже не сильно сложно.
Существует несколько потенциальных ваших статусов. Основные:
Контролер, т.е. лицо, которое определяет цели, средства обработки данных
Процессор, т.е лицо, производящее обработку по поручению контролера.
Третья сторона, т.е. сторона, которой данные раскрываются
В вашем случае надо определить роли в процессе.
По GDPR информация об обработке должна быть предоставлена в период первого сбора данных.
Если этот третий сервис обеспечивает регистрацию, может влиять на состояние полей, куда и как эти данные передать, то Контролером, полагаю, выступать будет она. Вы должны быть указаны в политике Контролера в числе лиц, которым данные передаются.
Из вопроса не следует, где находятся пользователи. Если вы не предлагаете услуги на территории Евросоюза, то расположение там сервера не создает обязанности по применению GDPR.
Право на удаление не всегда работает. GDPR содержит исключения, например вы вправе отказать, если данные требуются для защиты от претензий и исков, при наличии обязательств в силу закона и пр.
Прежде всего, необходимо изменить сам подход к обработке данных. В любом случае удалять, вопрос когда.
GDPR определяет, что данные должны обрабатываться в минимальном объеме, самый минимальный срок, обрабатываться в безопасной (защищенной) форме и пр.
Полагаю, что целесообразно (исходя из принципов ст. 5 ) определить правила работы с бэкапами, в которых, описать, в том числе:
обязательства по удалению данных в случае разворачивания
меры по беспечению безопасности (шифрование, псевдрнимизация, например)
сроки планового удаления бэкапов
определить условия, при которых данные не удаляются.
Говоря о сроках.
Ст. 12 устанавливает, что все запросы подлежат исполнению без задержек, но не более месяца (срок можно продлить в исключительных случаях).
Было бы хорошей практикой производить автоматическое удаление именно в этот срок (повторюсь, если нет основания для отказа).
В случае с AML и KYC я бы говорил о базисе (с) ст.6 (1), т.е. когда данные обрабатываются в связи с исполнением обязательств, вытекающих из закона.
В любом случае, ваша политика должна раскрывать какие данные и с какой целью обрабатываете, а также норма закона должна быть четко определена.
1. GDPR трактует персональные данные крайне широко. По первому вопросу я бы ответил положительно. Для иллюстрации можно обратиться к п. 30 преамбулы — практически любые данные, которые прямо или косвенно (том числе в своем сочетании) могут определить субъекта.
2. Вам необходимо четко сформулировать цель — зачем вы собираете эти данные и подвести под один из базисов. Например, если вы сделаете обоснование, что необходимо для исключения мошенничества, то вполне вам законный интерес, который необходимо обосновать в политике (по цели, необходимости).
Кстати, в вашем примере это не будет анонимизацией, так как данные могут быть приведены к исходному формату.
Справедливое замечание, но если в приведенной цитате еще дополнительно выделить «без согласия», тогда пункт приобретает новое значение, в котором само уведомление, возможно, теряет смысл.
Не исключено, что к GDPR придется вернуться еще не раз.
Я бы начал с другого — какова природа технической поддержки. По общему правилу техподдержка подразумевает наличие некой услуги/сервиса, ее предварительное или последующее сопровождение.
До того, как пользователь залогинится, он должен еще и зарегистрироваться.
Стоит более комплексно оценить весь пусть, цели. И да, с точки зрения поставленного вопроса, само имя вообще не требуется.
Повторюсь, но требуется определить какие данные, как и зачем вы собираете, установить базис.
Существует ли необходимость обработки данных работника, имея отношения с юр. лицом?
Можно смоделировать ситуацию, например, договор о предоставлении услуг отеля с юр. лицом. Отелю предоставляются данные работника, который будет проживать (мы говорим о ситуации на территории Евросоюза).
В GDPR определен порядок действий контролера в зависимости от того, получены ли данные от субъекта или иных источников — ст. 14.
Все прозрачно. Необходимо лишь каждому учитывать свою специфику.
2. С аутентификацией тоже не сильно сложно.
Существует несколько потенциальных ваших статусов. Основные:
В вашем случае надо определить роли в процессе.
По GDPR информация об обработке должна быть предоставлена в период первого сбора данных.
Если этот третий сервис обеспечивает регистрацию, может влиять на состояние полей, куда и как эти данные передать, то Контролером, полагаю, выступать будет она. Вы должны быть указаны в политике Контролера в числе лиц, которым данные передаются.
Из вопроса не следует, где находятся пользователи. Если вы не предлагаете услуги на территории Евросоюза, то расположение там сервера не создает обязанности по применению GDPR.
Прежде всего, необходимо изменить сам подход к обработке данных. В любом случае удалять, вопрос когда.
GDPR определяет, что данные должны обрабатываться в минимальном объеме, самый минимальный срок, обрабатываться в безопасной (защищенной) форме и пр.
Полагаю, что целесообразно (исходя из принципов ст. 5 ) определить правила работы с бэкапами, в которых, описать, в том числе:
Говоря о сроках.
Ст. 12 устанавливает, что все запросы подлежат исполнению без задержек, но не более месяца (срок можно продлить в исключительных случаях).
Было бы хорошей практикой производить автоматическое удаление именно в этот срок (повторюсь, если нет основания для отказа).
В любом случае, ваша политика должна раскрывать какие данные и с какой целью обрабатываете, а также норма закона должна быть четко определена.
2. Вам необходимо четко сформулировать цель — зачем вы собираете эти данные и подвести под один из базисов. Например, если вы сделаете обоснование, что необходимо для исключения мошенничества, то вполне вам законный интерес, который необходимо обосновать в политике (по цели, необходимости).
Кстати, в вашем примере это не будет анонимизацией, так как данные могут быть приведены к исходному формату.
Не исключено, что к GDPR придется вернуться еще не раз.
До того, как пользователь залогинится, он должен еще и зарегистрироваться.
Стоит более комплексно оценить весь пусть, цели. И да, с точки зрения поставленного вопроса, само имя вообще не требуется.