Содержание

Политика в области обработки и защиты персональных данных

6.1. Субъекты Персональных данных:

6.1.1. Пользователи, которые указали данные в формах Сайта при заказе на предоставление права использования Системой, обратной связи и прочее.

6.1.2. Пользователи, просматривающие Сайт.

6.2. Оператор осуществляет сбор Персональных данных следующими способами:

6.2.1. Пользователь предоставляет данные при заполнении форм Сайта, с помощью средств коммуникации, в том числе по телефону, по электронной почте и др.;

6.2.2. автоматический сбор данных о Пользователе с помощью технологий и сервисов: веб-протоколы, файлов “cookie”, веб-отметки, которые запускаются только при вводе Пользователем своих данных.

6.3. Оператор осуществляет хранение Персональных данных:

6.3.1. исключительно на должным образом защищенных электронных носителях, в том числе электронных;

6.3.2. на Сайте с применением автоматизированной обработки, за исключением случаев, когда неавтоматизированная Обработка необходима в связи с исполнением требований законодательства Российской Федерации.

6.3.3. с использованием баз данных, находящихся на территории Российской Федерации.

6.3.4. сроки хранения Персональных данных определены условиями Согласия: данные начинают хранится с момента дачи Согласия.

6.4. Оператор не распространяет и не предоставляет Персональные данные третьим лицам без письменного согласия Пользователя, за исключением следующих случаев:

6.4.1.исполнение условий Договора;

6.4.2. в целях предупреждения, пресечения незаконных действий Пользователя и защиты законных интересов Оператора и третьих лиц, а также в случаях, установленных законодательством Российской Федерации;

6.4.3. по мотивированному запросу судебных органов, органов государственной безопасности, прокуратуры, полиции, в следственные органы, в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6.5. Оператор предупреждает получающих лиц о том, что передаваемые данные могут быть использованы лишь в целях, для которых они сообщены.

6.6. В случае подтверждения факта неточности Персональных данных Оператор актуализирует их.

6.7. Оператор уничтожает Персональные данные в следующих случаях:

  • наличие угрозы безопасности Сайта;
  • истечение срока хранения Персональных данных;
  • нарушение условий Договора;
  • прекращение действия или расторжение Договора;
  • по запросу Пользователя.

6.8. Оператор удаляет всю полученную от Пользователя информацию при отзыве им Согласия. Право использования Сайта прекращается.

6.9. Оператор вправе временно прекратить обработку Персональных данных, т.е. блокировать Обработку (за исключением случаев, если Обработка необходима для уточнения Персональных данных).

Защита персональных данных

Разработка пакета организационно-распорядительных документов по защите ПДн

Разработка пакета организационно-распорядительных документов по защите персональных данных, является основной и первоочередной организационной мерой при внедрении комплексной системы защиты персональных данных. Именно документы по защите персональных данных проверяются в первую очередь контролирующими органами при проведении государственного контроля.

Аттестация ИСПДн

Аттестация системы защиты персональных данных – это комплекс организационно-технических мероприятий, который призван оценить эффективность принимаемых мер защиты и их соответствие требованиям нормативных документов РФ в области защиты ПДн.

Аттестация ГИС


&nbsp

Аттестация ГИС проводится в соответствии с программой и методиками аттестационных испытаний до начала обработки информации, подлежащей защите в ГИС. Для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16.

08.2004 г. N 1085.

Оценка соответствия требованиям Федерального закона «О персональных данных»

Анализ и оценка соответствия требованиям законодательства является первым этапом приведения процессов обработки и защиты персональных данных (ПДн) в соответствие действующему закону № 152-ФЗ «О персональных данных».

Что такое лицензия ФСТЭК и почему большинству компаний она не нужна

ФСТЭК выдает лицензию только на средства защиты, не использующие криптографические методы шифрования. Чтобы разрабатывать ПО, связанное с криптографией, нужно получать лицензию ФСБ.

Лицензия на охрану гостайны. Разрешает компании хранить сведения, которые относятся к государственной тайне, а также разрабатывать средства для их защиты.

Кому нужна лицензия ФСТЭК

Этот документ нужен только IT-компаниям, которые:

  1. Разрабатывают ПО или технические средства для защиты данных, например, антивирусы, межсетевые экраны, защитные программные комплексы.
  2. Помогают другим компаниям работать с персональными данными: хранят их на своих серверах, строят на заказ защищенные IT-инфраструктуры.
  3. Хранят сведения, являющиеся государственной тайной, или разрабатывают для этого ПО и технические инструменты.

Если компания просто хранит персональные данные клиентов и сотрудников, лицензия ей не нужна — это подтверждается специальным разъяснением ФСТЭК. То есть ФСТЭК не выдает никакой лицензии на обработку персональных данных, потому что она для этой деятельности не требуется.

Если компания разрабатывает ПО, не связанное с защитой информации, о получении лицензии ФСТЭК думать тоже не надо.

Компаниям, которые хранят персональные данные сотрудников и клиентов, важно доверять работу с ними только организациям, у которых есть лицензия ФСТЭК. То есть, если вы храните данные в облаке или устанавливаете антивирус, убедитесь, что у облачного провайдера или разработчика ПО есть лицензия — иначе будет риск утечки данных.

Чем лицензия отличается от аттестата и сертификата ФСТЭК

Кроме лицензий ФСТЭК выдает еще аттестаты и сертификаты. Сравним эти три документа, чтобы понять отличия:

  1. Лицензию ФСТЭК выдают самой компании. Она дает право заниматься определенной деятельностью, связанной с защитой информации.
  2. Аттестат ФСТЭК также выдают компании. Он показывает, что компания соблюдает технические требования ФСТЭК по защите персональных данных. Этот документ нужен, если вы храните данные, требующие особой защиты — об этом мы рассказывали в статье про аттестат ФСТЭК.
  3. Сертификат ФСТЭК выдают на программное обеспечение. Он показывает, что это ПО соответствует техническим требованиям, его можно использовать для защиты персональных данных. Например, такой сертификат можно получить на разработанный антивирус.

Получается, что если организации нужна лицензия ФСТЭК, в будущем ей наверняка понадобятся сертификаты на разработанные продукты. А аттестат может понадобиться любой организации, но обычно нужен только крупным компаниям, которые хранят много разных персональных данных.

У облака Mail.ru Cloud Solutions есть аттестат безопасности ФСТЭК. В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе Mail.ru Cloud Solutions вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты MCS, что позволит быстрее пройти необходимые процедуры.

ПЛЮС | FAQ по защите персональных данных

Давайте разберем ситуацию. Перво-наперво, почему возникает такой вопрос. Дело в том, что согласно закону , если сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), используются оператором для установления личности субъекта, то обязательно требуется его согласие, выраженное в письменной форме.

Поэтому, заданный вопрос трансформируется в дилемму: «Надо или не надо брать письменное согласие субъекта на обработку биометрических персональных данных, если на объекте используется система видеонаблюдения?» А это уже нетривиальная задача, особенно когда на объекте имеется большое число посетителей, а камеры видеонаблюдения установлены в коридорах организации.

Вспомним также, что из определения, данного в законе, к биометрическим персональным данным относятся сведения, которые «характеризуют физиологические особенности человека и на основе которых можно

установить его личность». Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «позволяют установить личность». Между тем, сами по себе «физиологические особенности человека» – это объективная реальность, данная нам в ощущениях и присущая именно индивиду, а не его изображению или электронной форме записи этого изображения. Следовательно, любое изображение человека (в том числе и видеозапись, сделанная системой видеонаблюдения) содержит в себе биометрические персональные данные, так как оно объективно отражает физиологические особенности человека и их можно использовать для идентификации.

Обратим также внимание на то, что закон, не исключая вообще факта обработки биометрических персональных данных, накладывает особые условия их обработки (письменное согласие субъекта) только в одном конкретном случае: когда целью обработки биометрических данных является установление личности субъекта. В остальных случаях ограничений на обработку биометрических данных закон не накладывает. То есть, основным квалификационным признаком отнесения той или иной информационной системы под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», будет являться не сам факт обработки биометрических персональных данных, а факт их

использования для идентификации субъекта. 

Использование систем видеонаблюдения, как правило, относится к компетенции служб безопасности объектов. При этом, как правило, такие системы относятся к системам охраны объектов и предназначаются для общего наблюдения за обстановкой на объекте, обнаружения каких-либо фактов нарушения установленного на объекте режима безопасности и фиксации (в том числе автоматически, без участия оператора) таких фактов для последующего ретроспективного контроля видеообстановки на охраняемом объекте. То есть, сама по себе система видеонаблюдения не используется непосредственно для идентификации субъекта по его биометрическим данным.

Следовательно, системы видеонаблюдения, предназначенные для контроля обстановки на объекте, не подпадают под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», так как не используют биометрические данные для идентификации субъекта персональных данных.

Теперь предположим, что на объекте произошел факт нарушения установленного режима безопасности с участием одного или нескольких субъектов, который был зафиксирован системой видеонаблюдения. Для принятия мер к нарушителям по данному факту необходимо установить личности субъектов его совершивших, то есть необходимо идентифицировать субъектов по физиологическим особенностям, зафиксированным на видеозаписи системы видеонаблюдения. Все действия по установлению причастных к факту нарушения проводятся в рамках процедуры расследования инцидента. Примем во внимание, что факт нарушения режима безопасности является противоправным действием (иначе зачем принимать какие-то меры в отношении субъекта?), а субъект в этом случае является подозреваемым (его вину надо еще доказать!). Поэтому, такое расследование будет ни что иное, как дознание. А это уже категория Уголовно-процессуального или Административного процессуального Кодексов РФ. Именно в ходе дознания проводится сбор и проверка материалов по факту совершенного противоправного действия. Именно в ходе дознания уполномоченные лица с привлечением экспертов и, при необходимости, специального программного обеспечения и специальной техники, используя видеозапись системы видеонаблюдения, смогут идентифицировать личность субъекта-нарушителя. При этом, видеозапись факта нарушения режима безопасности переходит в категорию вещественных доказательств, точно таких же как, например, отпечаток пальца преступника.

Следовательно, идентификация субъекта проводится не в рамках процесса видеозаписи, а в рамках процедуры дознания по факту нарушения режима безопасности на основе изучения вещественных доказательств, каковыми могут выступать элементы системы видеонаблюдения, в том числе и носители видеозаписи совершенного факта. В данном случае обработка биометрических персональных данных осуществляется вне основных функций системы видеонаблюдения и регламентируется нормативными правовыми актами, определяющими порядок проведения дознания и работы с вещественными доказательствами, а также частью 2 статьи 11 Федерального закона «О персональных данных». Надо также учитывать, что носители видеозаписи могут быть изъяты из системы видеонаблюдения и изучены вне ее с использованием специальных технических средств. Уполномоченное лицо, осуществляющее дознание по факту нарушения режима безопасности, может также привлечь в качестве вспомогательных средств элементы системы видеонаблюдения для целей расследования.  

ВЫВОДЫ:
1. Необходимо разделять два процесса: процесс контроля обстановки на объекте и процесс идентификации субъекта по биометрическим персональным данным.
2. Системы видеонаблюдения предназначены именно для контроля обстановки на объекте.
3. Идентификация субъекта, при необходимости, осуществляется не в ходе процесса контроля обстановки, а в ходе процедуры дознания, проводимой при расследовании инцидента.
4. В ходе расследования инцидента, видеозапись, позволяющая ретроспективно оценить обстановку, имеет силу вещественных доказательств, оценка которых проводится с привлечением экспертов и специального оборудования.
5. Использование системы видеонаблюдения для целей контроля обстановки на объекте не подпадает под действие ст. 11 Федерального закона № 152-ФЗ «О персональных данных».
 

Обработка персональных данных, ГБОУ Школа № 2073, Москва

Развитие различных информационных технологий привело к тому, что личная информация о человеке становится все более доступной. Различные сообщества, многочисленные социальные сети могут содержать целое «досье» на взрослого и ребенка. Каждый взрослый сам для себя решает, какую именно информацию можно выложить в информационные сети «Интернет». Дети часто создают свои аккаунты и там делятся личной информацией.

При поступлении в школу каждый родитель получает соглашение, где дает свое письменное согласие на обработку персональных данных. У многих возникает вопросы и опасения, относительно распространения персональных данных семьи или ребенка. Нередко родители хотят узнать, каким образом, в каких случаях личная информация о ребенке может быть распространена.

Для начала необходимо определиться, что такое персональные данные?

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (Федеральный Закон от 27.07.2006 № 152-ФЗ«О персональных данных»).

Что значит, дать согласие на обработку персональных данных?

«Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных» (Федеральный Закон «О персональных данных» от 27. 07.2006 № 152-ФЗ).

Обработка указанных специальных категорий персональных данных допускается в случаях, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных.

Каждая школа разрабатывает локальный акт, который конкретизирует сведения, относящиеся к персональным данным, кто имеет доступ к персональным данным обучающегося, права и обязанности работников, получивших доступ к персональным данным ученика и т. д.

Например, к персональным данным ученика относятся:

сведения, содержащиеся в свидетельстве о рождении, паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в личном деле учащегося; информация, содержащаяся в личном деле учащегося, лишенного родительского попечения; информация, содержащаяся в классном журнале; информация, содержащаяся в Карточке здоровья учащегося; информация о состоянии здоровья; документ о месте проживания; фотографии; иные сведения, необходимые для определения отношений обучения и воспитания.

Иные персональные данные учащегося, необходимые в связи с отношениями обучения и воспитания, администрация может получить только с письменного согласия одного из родителей (законного представителя). К таким данным относятся документы, содержащие сведения, необходимые для предоставления учащемуся гарантий и компенсаций, установленных действующим законодательством:

  • документы о составе семьи;
  • документы о состоянии здоровья;
  • документы, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (родители-инвалиды, неполная семья, ребенок-сирота, ребенок из многодетной семьи и т. п.).

Персональные данные учащегося являются конфиденциальной информацией и не могут быть использованы администрацией или любым иным лицом в личных целях.

Право доступа к персональным данным обучающегося могут иметь:

  • работники департамента (управления) образования (при наличии соответствующих полномочий, установленных приказом департамента (управления) образования;
  • директор образовательного учреждения;
  • секретарь образовательного учреждения;
  • заместители директора по УВР;
  • социальный педагог;
  • педагоги дополнительного образования
  • врач/медработник.
  • учителя-предметники;
  • классный руководитель.

Не имеет права получать информацию об учащемся родитель (законный представитель), лишенный или ограниченный в родительских правах на основании вступившего в законную силу постановления суда.

Работники, имеющие доступ к персональным данным учащегося, обязаны:

1. Не сообщать персональные данные обучающегося третьей стороне без письменного согласия одного из родителей (законного представителя), кроме случаев, когда в соответствии с федеральными законами такого согласия не требуется.

2. Использовать персональные данные обучающегося, полученные только от него лично или с письменного согласия одного из родителей (законного представителя).

3. Обеспечить защиту персональных данных обучающегося от их неправомерного использования или утраты, в порядке, установленном законодательством Российской Федерации.

4. Ознакомить родителя (родителей) или законного представителя с настоящим Положением и их правами и обязанностями в области защиты персональных данных, под роспись.

5. Соблюдать требование конфиденциальности персональных данных учащегося.

6. Исключать или исправлять по письменному требованию одного из родителей (законного представителя) обучающегося его недостоверные или неполные персональные данные, а также данные, обработанные с нарушением требований законодательства.

7. Ограничивать персональные данные учащегося при передаче уполномоченным работникам правоохранительных органов или работникам департамента (управления) образования только той информацией, которая необходима для выполнения указанными лицами их функций.

8. Запрашивать информацию о состоянии здоровья учащегося только у родителей (законных представителей).

9. Обеспечить учащемуся или одному из его родителей (законному представителю) свободный доступ к персональным данным обучающегося, включая право на получение копий любой записи, содержащей его персональные данные.

10. Предоставить по требованию одного из родителей (законного представителя) учащегося полную информацию о его персональных данных и обработке этих данных.

Данные должны храниться в недоступных местах всеобщего пользования (например, в сейфе) на бумажных носителях и (или) на электронных носителях с ограниченным доступом.

Существуют Приказы Министерства образования, которые также содержат некоторые вопросы, касающиеся личных данных обучающегося.

  • Приказ Министерства образования и науки РФ от 22 января 2014 г. № 32 «Об утверждении Порядка приема граждан на обучение по образовательным программам начального общего, основного общего и среднего общего образования».
  • Приказ Министерства образования и науки РФ от 12 марта 2014 г. N 177 «Об утверждении Порядка и условий осуществления перевода обучающихся из одной организации, осуществляющей образовательную деятельность по образовательным программам начального общего, основного общего и среднего общего образования, в другие организации, осуществляющие образовательную деятельность по образовательным программам соответствующих уровня и направленности».

Личные/персональные данные ребенка содержатся в основном в личном деле ребенка. На каждого ребенка, зачисленного в организацию, осуществляющую образовательную деятельность, заводится личное дело, в котором хранятся все сданные документы. Таким образом, на начальном этапе обучения ребенка в общеобразовательной организации его личное дело будет состоять из следующих данных: фамилия, имя, отчество, дата и место рождения ребенка, адрес места жительства родителей, контактные телефоны.

В процессе обучения личное дело будет пополняться документами о состоянии здоровья ребенка, данными о результатах промежуточной и итоговой аттестаций, какими-либо персональными данными, документами, подтверждающими достижения в учебе, спорте, иных видах деятельности, а также иными документами.

Личное дело обучающегося подлежит выдаче ему или его законным представителям в случае перевода в другую организацию, осуществляющую образовательную.

Если родители отказываются подписывать согласие на обработку персональных данных, то в этом случае школа действует в рамках законодательства и предполагается, что минимум персональных данных для обработки родитель предоставить обязан.

Страхи родителей, связанные с обработкой персональных данных ребенка и семьи чаще всего необоснованны. Ребенок все равно будет находиться школьной базе, и школа будет получать на него финансирование. Но учета его участия в школьной жизни может не быть. Обработка персональных данных нередко подразумевает ведения учета успеваемости в электронном журнале, передача данных ребенка для участия в олимпиадах и конкурсах.

Нарушением закона о защите персональных данных может стать рассылка персональных данных по общедоступным сетям, поскольку такие виды обработки данных не предусмотрены законодательством, в данном случае требуется желание субъектов данных, подкрепленное письменным согласием.

Документы школы, регламентирующие обработку и защиту персональных данных

Вы действительно хотите удалить папку?

Связь с близкими в сложных жизненных ситуациях

Политика ООО «Защищенные Телекоммуникации» в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. В процессе осуществления уставной деятельности Общество с ограниченной ответственностью «Защищенные Телекоммуникации» (далее – Общество) обрабатывает персональные данные. В процессе обработки персональных данных основными принципами Общества являются соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных. Общество несет ответственность за соблюдение конфиденциальности и безопасности обрабатываемых персональных данных.

1.2. Настоящая Политика Общества в области обработки и защиты персональных данных (далее – Политика) обеспечивает реализацию требований действующего законодательства РФ в области обработки персональных данных субъектов персональных данных. В Политике раскрываются основные категории персональных данных, обрабатываемых Обществом, цели, способы и принципы обработки Обществом персональных данных, права и обязанности Общества при обработке персональных данных, права субъектов персональных данных, а также меры, применяемые Обществом в целях обеспечения безопасности персональных данных при их обработке.

1.3. Настоящая Политика распространяется на все случаи обработки персональных данных Обществом, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную либо автоматически.

1.4. Настоящая Политика является внутренним локальным нормативным актом Общества и является обязательной для исполнения всеми подразделениями и работниками Общества.

1.5. Каждый работник, вновь принимаемый на работу в Общество, до момента начала выполнения своих должностных обязанностей должен быть ознакомлен с настоящей Политикой.

1.6. Настоящая Политика утверждается Генеральным директором Общества, который осуществляет контроль соблюдения Политики в Обществе.

1.7. Настоящая Политика действует бессрочно. Политика подлежит пересмотру не реже одного раза в два года. Новая версия переработанной Политики утверждается Генеральным директором Общества.

1.8. Ответственность за актуализацию настоящей Политики и текущий контроль над выполнением норм Политики возлагается на назначаемого приказом по Обществу уполномоченного сотрудника, ответственного за организацию обработки и защиты персональных данных.

1.9. Общество на основании требований настоящей Политики разрабатывает все иные внутренние локальные акты и иные документы Общества, связанные с обработкой персональных данных.

1.10. Настоящая Политика является общедоступным документом. Для обеспечения неограниченного доступа к документу, текст настоящей Политики размещен на общедоступном неопределенному кругу лиц официальном сайте Общества в сети «Интернет» www.zonatelecom.ru.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1. Политика – утвержденный Генеральным директором Общества локальный нормативный акт – «Политика Общества с ограниченной ответственностью «Защищенные Телекоммуникации» в отношении обработки персональных данных в области обработки и защиты персональных данных».

2.2. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу – субъекту персональных данных. Обработка персональных данных – любое действие с персональными данными, совершаемое с использованием средств автоматизации или без использования таких средств.

2.3. Субъект персональных данных – идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных.

2.4. Партнер – юридическое лицо или индивидуальный предприниматель, оператор персональных данных, с которым у Общества имеются договорные отношения, во исполнение обязательств по которым Партнер поручает Обществу в качестве третьего лица обработку персональных данных Клиентов.

2.5. Клиент – физическое лицо, субъект персональных данных, контрагент Общества и/или Партнера Общества, которому Обществу оказывает услуги, выполняет работы или реализует товар.

2.6. Посетитель – не связанное с Обществом договорными отношениями физическое лицо, субъект персональных данных, совершающее действия, направленные на заключение договора с Обществом.

2.7. Уполномоченный сотрудник – работник Общества, назначенный приказом Генерального директора Общества ответственным за обеспечение информационной безопасности и защиту персональных данных.

2.8. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.9. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.10. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. ФОРМАТИВНОЕ РЕГУЛИРОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Правовые основания обработки персональных данных:

  • Общество обязано осуществлять обработку персональных данных только на законной и справедливой основе.
  • Политика Общества в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ;
  • Конституцией Российской Федерации;
  • Трудовым кодексом Российской Федерации;
  • Гражданским кодексом Российской Федерации;
  • Налоговым кодексом Российской Федерации;
  • Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральным законом № 2300-1 от 07.02.1992 года «О защите прав потребителей»;
  • Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральным законом от 16.07.1999 года № 165-ФЗ «Об основах обязательного социального страхования»;
  • Федеральным законом № 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью»;
  • Постановлением Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

3.2. Обработка персональных данных не может быть использована Обществом или его работниками в целях причинения имущественного и морального вреда субъектам персональных данных, затруднения реализации их прав и свобод.

3.3. Обработка персональных данных в Обществе должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.

3.4. Все принимаемые в Обществе локальные нормативные акты, регламентирующие обработку в Обществе персональных данных, разрабатываются на основании настоящей Политики.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Общество проводит обработку персональных данных исключительно в целях:

а) осуществления предусмотренных действующим законодательством РФ и уставом Общества функций;

б) организации учета работников и участников Общества в соответствии с требованиями законов и иных нормативно-правовых актов, содействия им в карьерном росте и трудоустройстве, в обучении, для осуществления медицинского страхования и для предоставления им иных льгот и компенсаций;

в) принятия решения о заключении с соискателем трудового договора;

г) исполнения обязательств Общества и осуществление прав Общества по заключенным договорам, стороной которых либо выгодоприобретателем или поручителем по которым является Клиент, а также для заключения договоров по инициативе Клиента или договоров, по которым Клиент будет являться выгодоприобретателем или поручителем;

д) исполнения обязательств Общества и осуществление прав Общества по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами ГК РФ;

е) предоставления Клиентам, Партнерам, Посетителям персонализированных сервисов Общества;

ж) автозаполнение формы для использования такой формы в случае повторного обращения Клиентов, Партнеров, Посетителей к сервисам Общества;

з) связи с Клиентами, Партнерами, Посетителями, в том числе направления уведомлений, запросов и информации, касающихся использования сервисов Общества, а также обработка запросов и заявок от Клиентов, Партнеров, Посетителей;

и) улучшения качества сервисов Общества, удобства их использования, разработки новых сервисов Общества;

к) проведения статистических и иных исследований, на основе обезличенных данных;

л) исполнения обязательств Общества и осуществления прав Общества в процессе судопроизводства по спорам работников, Клиентов или Партнеров с Обществом или споров Общества с работниками, Клиентами или Партнерам в рамках ГПК РФ, АПК РФ, КоАП РФ;

м) обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен работником или Клиентом либо по их просьбе;

н) выполнения маркетинговых и рекламных действий в целях установления и дальнейшего развития отношений с Клиентами и Партнерами;

о) разработка новых программных продуктов;

п) осуществления пропускного и внутриобъектового режима на территории Общества.

4.2. В Обществе обработке подлежат только те персональные данные, которые отвечают указанным выше целям их обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.

Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости.

5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Персональные данные в Обществе могут обрабатываться только уполномоченными в установленном порядке работниками. Работники Общества допускаются к обработке персональных данных только по решению Генерального директора Общества. Работники, допущенные в Обществе к обработке персональных данных, имеют право приступать к работе с персональными данными только после ознакомления под личную роспись с локальными нормативными актами, регламентирующими в Обществе обработку персональных данных.

Работники, осуществляющие в Обществе обработку персональных данных, должны действовать в соответствии со своими должностными инструкциями и локальными актами Общества, соблюдать требования Общества по соблюдению режима конфиденциальности.

5.2. Получение персональных данных, их категории, сроки хранения. Общество получает персональные данные только на основании того, что субъект персональных данных принимает решение о предоставлении Обществу своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей, в соответствии с требованиями действующего законодательства РФ подтвердить факт его получения, включая заключение с Обществом договоров, условием исполнения которых является согласие контрагента с настоящей Политикой.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

5.3. В Обществе обрабатываются следующие категории персональных данных:

а) Персональные данные работников и участников Общества. Источники получения: от субъектов персональных данных, на основании заключенных трудовых договоров и Федерального закона № 14-ФЗ от 08.02.1998 года «Об обществах с ограниченной ответственностью».

б) Персональные данные Клиентов. Источники получения: от субъектов персональных данных или от Партнеров, на основании заключенных договоров.

в) Персональные данные Партнеров и их представителей. Источники получения: от субъектов персональных данных или от Партнеров, на основании заключенных договоров.

г) Персональные данные Посетителей. Источники получения: от субъектов персональных данных.

д) Персональные данные Соискателей. Источники получения: от субъектов персональных данных.

5.4. Сроки обработки и хранения персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения документов, установленными Приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 «Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», иными требованиями законодательства и нормативными документами, а также сроком предоставленного субъектом согласия на обработку персональных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями действующего законодательства РФ.

5.5. Передача персональных данных осуществляется Обществом исключительно для достижения целей, указанных в настоящей Политике.

5.6. Передача персональных данных третьим лицам осуществляется либо с письменного согласия субъекта персональных данных, которое оформляется по установленной действующим законодательством РФ форме, либо для исполнения договора, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, либо в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных; либо в иных случаях, установленных действующим законодательством РФ.

5.7. Передача персональных данных третьим лицам осуществляется Обществом только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

5.8. Общество не осуществляет трансграничную передачу персональных данных.

5.9. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Общество в ходе своей деятельности предоставляет персональные данные ниже следующим третьим лицам.

а) Персональные данные работников и участников Общества на основании трудового договора и/или письменного согласия передаются в ниже следующие организации:

  • Банку – для оформления безналичного счета, на который Обществом будет перечисляться заработная плата и иные доходы работников и участников Общества, при условии, что Общество заранее сообщит работникам и участникам Общества наименование и адрес данного банка.
  • Кредитным организациям, в которые работники и участники Общества обращались для оформления кредитов, ссуд либо получения иных услуг, при условии, что работники и участники Общества заранее сообщат Обществу наименования указанных кредитных организаций.
  • Страховой компании – для оформления полиса добровольного медицинского страхования, при условии, что Общество заранее сообщит работникам наименование и адрес данной страховой компании.
  • Полиграфической организации или типографии – для изготовления визитных карточек работников и участника Общества, при условии, что Общество заранее сообщит им наименование и адрес данного полиграфического предприятия.
  • Арендодателю – для оформления работникам и участникам Общества пропуска на территорию и в здание, в котором размещается офис Общества, при условии, что Общество заранее сообщит им наименование и адрес данного Арендодателя.
  • Частному охранному предприятию, осуществляющему охрану помещений, в которых расположен офис Общества, при условии, что Общество заранее сообщит работникам и участникам Общества наименование и адрес данного частного охранного предприятия.
  • Партнерам – для исполнения обязательств, возложенных на Общество договорами и иными законными сделками, исполнение которых предусмотрено должностными обязанностями работника, при условии, что Общество заранее сообщит работникам наименования и адреса данных организаций.
  • Налоговым органам, подразделениям Пенсионного фонда Российской Федерации, центрам занятости населения – для исполнения обязательств, возложенных на Общество требованиями действующего законодательства РФ, а также исполнения законных официальных запросов, касающихся работников.

б) Иным третьим лицам для исполнения договора между Обществом и Клиентом.

5.10. Получение персональных данных Клиентов от Партнеров – операторов персональных данных – осуществляется Обществом исключительно для достижения целей, заявленных для обработки персональных данных в настоящей Политике, и на основании заключенных с Партнерами письменных договоров.

5.11. В тексте договоров с Партнерами могут быть указаны цели обработки персональных данных, перечень операций с ними, и устанавливается обязанность Общества соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных. В случае отсутствия в договорах соответствующих условий, в полном объеме применяются положения настоящей Политики.

5.12. Общество, осуществляя обработку персональных данных по поручению Партнера, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В этом случае ответственность перед субъектом персональных данных за действия Общества несет Партнер. Общество, осуществляя обработку персональных данных по поручению Партнера, несет ответственность перед Партнером.

6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

6.1. До начала обработки персональных данных Обществом предприняты правовые, технические и организационные меры к защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

  • вводом в Обществе режима конфиденциальности персональных данных, когда все документы и сведения, содержащие информацию о персональных данных, являются в Обществе конфиденциальными;
  • организацией режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • утверждением полного перечня персональных данных и иных объектов, подлежащих защите в Обществе;
  • обеспечением нераспространения документов и сведений, содержащих информацию о персональных данных, без согласия субъекта персональных данных, либо наличия иного законного основания;
  • назначением уполномоченного сотрудника, ответственного за организацию обработки персональных данных;
  • введением персональной ответственности руководителей Общества и его подразделений за обеспечение режима безопасности персональных данных при их обработке;
  • утверждением перечня лиц, осуществляющих в Обществе обработку персональных данных либо имеющих к ним доступ;
  • определение типа угроз безопасности персональных данных, актуальных для информационных систем Общества с учетом оценки возможного вреда, который может быть причинен субъектам персональных данных;
  • разработкой и утверждением локальных нормативных актов, регламентирующих в Обществе обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, их ответственность за компрометацию персональных данных;
  • осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с указанным законом нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
  • запретом для работников, осуществляющих обработку персональных данных, проводить несанкционированное или нерегистрируемое копирование персональных данных, в том числе с использованием сменных носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото и видеосъемки;
  • обеспечением сохранности носителей персональных данных;
  • использованием средств защиты информации, прошедших процедуру оценки соответствия требованиям действующего законодательства РФ в области обеспечения безопасности информации;
  • ознакомлением работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников;
  • выделением конкретных мест хранения персональных данных (материальных носителей), обработка которых осуществляется Обществом и организацией режима обеспечения безопасности помещений и мест хранения материальных носителей персональных данных;
  • обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется без использования средств автоматизации и в различных целях;
  • осуществлением учета документов по обработке персональных данных без использования автоматизированных систем отдельным делопроизводством, хранением документов с отметкой «Персональные данные» в надежно запираемых шкафах и сейфах, ключи от которых хранятся только у ответственных за данную деятельность работников;
  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

7. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект персональных данных имеет право:

  • на получение сведений об Обществе, о месте его нахождения, о наличии у Общества персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;
  • требовать от Общества уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • требовать прекращения обработки своих персональных данных;
  • получать информацию, касающуюся обработки своих персональных данных, в том числе содержащую: подтверждение факта обработки персональных данных Обществом, а также цель такой обработки; способы обработки персональных данных, применяемые Обществом; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

7.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:

  • если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
  • при условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
  • если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
  • если обработка персональных данных осуществляется в случаях, предусмотренных действующим законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

7.3. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Обществу. Общество рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

7.4. Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

7.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

7.6. Субъект персональных данных обязан предоставлять только достоверные и полные персональные данные, которые при необходимости должны быть документально подтверждены.

8. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИИ СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

8.2. Общество сообщает субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

8.3. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

8.4. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом КоАП РФ.

8.5. Клиенты, Посетители и Партнеры, предоставляя Обществу свои персональные данные и совершая при этом конклюдентные действия по заказу услуг и их оплате, выражают свое согласие и дают своей волей разрешение на обработку своих персональных данных в порядке, предусмотренном настоящей Политикой. В случае несогласия с положениями настоящей Политики, Клиенты, Посетители и Партнеры должны воздержаться от использования официального сайта Общества и от передачи Обществу своих персональных данных.

9. ОТВЕТСТВЕННОСТЬ ЗА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Общество несет ответственность за разработку, введение и действенность соответствующих требованиям действующего законодательства РФ норм, регламентирующих получение, обработку и защиту персональных данных. Общество закрепляет персональную ответственность работников за соблюдением установленного в Обществе режима конфиденциальности.

9.2. Руководители подразделений несут персональную ответственность за соблюдение работниками возглавляемых ими подразделений норм, регламентирующих получение, обработку и защиту персональных данных. Руководители, разрешающие доступ сотрудника к документам и сведениям, содержащим персональные данные, несут персональную ответственность за данное разрешение.

9.3. Каждый работник Общества, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.4. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством РФ.

9.5. Общество не несет ответственности за убытки и иные затраты, понесенные субъектами персональных данных в результате предоставления ими недостоверных и неполных персональных данных.

Apple заботится о приватности пользователей, но не собственных сотрудников

The Verge: Apple заботится о приватности пользователей, но не собственных сотрудников

Apple не только не прилагает усилий для защиты персональных данных, но и активно нарушает конфиденциальность в целях безопасности.

Американский техногигант Apple известен стойкой позицией в отношении защиты конфиденциальности пользователей, но, похоже, в самой компании с правом на приватность далеко не все так гладко.

Как утверждают некоторые сотрудники корпорации, Apple не только не прилагает усилий для защиты персональных данных, но и активно нарушает конфиденциальность в целях безопасности. По словам источников The Verge, бывали ситуации, когда сотрудников просили установить на свои телефоны сборки ПО для тестирования новых функций и эти сборки раскрывали личные сообщения, или при испытании новых продуктов, таких как Face ID, оказывалось, что изображения записываются всякий раз при открытии телефона.

Кроме того, сотрудникам Apple не разрешается использовать рабочий почтовый адрес для входа в iCloud, поэтому многие вынуждены использовать личные аккаунты. Хотя компания предоставляет корпоративные телефоны для работы, пользоваться и корпоративным и личным телефоном непрактично, например, для инжинеров, которые должны участвовать в так называемой программе “live-on”, в рамках которой ежедневно выпускаются сборки с исправленными уязвимостями.

«Невозможно поддерживать успешную программу “live-on” без того, чтобы люди не использовали эти устройства так же, как личные телефоны», – отметил один из собеседников The Verge.

Издание пишет, что проблема кроется в соглашении о найме, предоставляющем Apple право осуществлять обширное наблюдение за сотрудниками, включая «физическое, видео- или электронное наблюдение», а также возможность «обыскивать рабочие места, в том числе шкафы с документами, столы и офисы (даже если они заперты), проверять записи телефонных разговоров или обыскивать не принадлежащую Apple собственность (такую как рюкзаки или сумки) на территории компании».

Более того, сотрудников информируют о том, что они не должны «ожидать приватности при использовании собственных или чьих-то персональных устройств для дел Apple при использовании корпоративных систем или сетей или на территории Apple».

Хотя многие сотрудники компании готовы к вторжению в частную жизнь, для некоторых смешивание рабочих и персональных данных уже повлекло реальные последствия. Например, в одном из случаев, связанным с судебным иском в отношении компании, адвокаты попросили одну из сотрудниц, работавших над проектом, предоставить документы с рабочего компьютера и рабочего телефона, который использовался и для личных целей, так как наличие двух отдельных телефонов – рабочего и личного – не поощрялось. При этом женщине запретили удалять личные сообщения (в том числе фривольного характера) с устройства, хотя они и не имели никакого отношения к судебному иску.

Казалось бы, компания, одержимая секретностью, должна с пониманием относиться к желанию своих работников сохранить конфиденциальность, но на деле Apple поступает наоборот, жестко контролируя и собирая обширные сведения о своем персонале, отмечает The Verge.

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на

Что такое личная информация | Безопасность данных PII

Что такое личная информация (PII)

Личная информация (PII) – это юридический термин, относящийся к средам информационной безопасности. Хотя PII имеет несколько формальных определений, в целом это информация, которая может использоваться организациями сама по себе или вместе с другой информацией для идентификации, установления контакта или определения местонахождения отдельного человека или для идентификации человека в контексте.

Нечувствительные PII могут передаваться в незащищенной форме, не причиняя вреда человеку. Конфиденциальная PII должна передаваться и храниться в защищенной форме, например, с использованием шифрования, поскольку в случае раскрытия она может причинить вред человеку.

Организации используют концепцию PII, чтобы понять, какие данные они хранят, обрабатывают и управляют, которые идентифицируют людей и могут нести дополнительную ответственность, требования безопасности, а в некоторых случаях юридические или нормативные требования.

Личная информация (PII) в Законе о конфиденциальности

PII и аналогичные термины существуют в законодательстве многих стран и территорий:

  • В США Руководство Национального института стандартов и технологий (NIST) по защите конфиденциальности информации, позволяющей установить личность, определяет «личную информацию» как такую ​​информацию, как имя, номер социального страхования и биометрические записи, которые могут использоваться для идентификации или отслеживания личности человека.
  • В Европейском Союзе директива 95/46 / EC определяет «персональные данные» как информацию, которая может идентифицировать человека по идентификационному номеру или факторам, специфичным для физической, физиологической, умственной, экономической, культурной или социальной идентичности.
  • В Австралии Закон о конфиденциальности 1988 г. определяет «личную информацию» как информацию или мнение, истинное или нет, о человеке, личность которого очевидна или может быть обоснованно установлена ​​- гораздо более широкое определение, чем в большинстве других стран.
  • В Новой Зеландии Закон о конфиденциальности определяет «личную информацию» как любую часть информации, которая относится к живому, идентифицируемому человеку, включая имена, контактные данные, финансовое состояние и записи о покупках.
  • В Канаде Закон о защите личной информации и электронных документов (PIPEDA) и Закон о конфиденциальности определяют «личную информацию» как данные, которые сами по себе или в сочетании с другими данными могут идентифицировать человека.
×

Что считается PII?

Согласно NIST PII Guide, следующие элементы определенно квалифицируются как PII, потому что они могут однозначно идентифицировать человека: полное имя (если не общее), лицо, домашний адрес, адрес электронной почты, идентификационный номер, номер паспорта, номерной знак транспортного средства, водительские права, отпечатки пальцев или почерк, номер кредитной карты, цифровая идентификация, дата рождения, место рождения, генетическая информация, номер телефона, логин или псевдоним.

Что считается PII?

Помимо этих четких идентификаторов, существуют «квазиидентификаторы» или «псевдоидентификаторы», которые вместе с другой информацией могут использоваться для идентификации человека. Например, согласно исследованию правительства США, 87% населения США можно однозначно идентифицировать по комбинации пола, почтового индекса и даты рождения. Псевдоидентификаторы не могут считаться PII согласно законодательству США, но, вероятно, будут рассматриваться как PII в Европе.

Кто отвечает за сохранение PII?

С юридической точки зрения ответственность за защиту PII возлагается не только на организации; ответственность может быть разделена с отдельными владельцами данных.Компании могут нести или не нести юридическую ответственность за принадлежащую им PII.

Однако, согласно исследованию Experian, 42% потребителей считают, что ответственность за защиту их личных данных лежит на компании, а 64% потребителей заявили, что они не захотят пользоваться услугами компании после утечки данных. В свете общественного мнения о том, что организации несут ответственность за PII, широко распространена передовая практика защиты PII. Распространенный и эффективный способ сделать это – использовать структуру конфиденциальности данных.

Узнайте, как Imperva Data Masking может помочь вам в обеспечении безопасности личной информации.

Создание структуры конфиденциальности данных

Структура конфиденциальности данных – это документированная концептуальная структура, которая может помочь предприятиям защитить конфиденциальные данные, такие как платежи, личная информация и интеллектуальная собственность. Структура определяет, как определять конфиденциальные данные, как анализировать риски, влияющие на данные, и как внедрять средства контроля для их защиты.

Несмотря на то, что существуют установленные рамки конфиденциальности данных, такие как Стандарт безопасности данных индустрии платежных карт (PCI DSS), семейство стандартов ISO 27000 и Общий регламент ЕС по защите данных (GDPR), создание индивидуальной структуры для ваша организация.

Custom Data Protection Framework поможет вам сосредоточить внимание на наиболее конфиденциальных и ценных данных в вашей организации и разработать элементы управления, которые подходят для вашей организационной структуры, культуры, нормативных требований и бюджета безопасности.

Выполните следующие действия, чтобы создать настраиваемую структуру конфиденциальности данных.

Классификация

Определите, оцените и классифицируйте PII, которую ваша организация получает, хранит, управляет или передает. Для каждого типа PII укажите:

  • Требуемый уровень конфиденциальности
  • Насколько важна целостность данных – что произойдет, если они будут потеряны или повреждены
  • Насколько важно, чтобы данные всегда были доступны
  • Какой уровень согласия организация получила в отношении данных

Оценка

Проведите оценку воздействия на конфиденциальность (PIA), чтобы определить для каждого типа или классификации или PII, как они собираются, где они хранятся и как они удаляются, а также потенциальные риски безопасности для каждого типа PII.

Соответствие окружающей среде

  • Определите свои законодательные обязательства по соблюдению PII на территориях, на которых работает ваша организация.
  • Определите добровольные стандарты, которым вы должны соответствовать, например PCI DSS
  • .
  • Определите политику безопасности и ответственности вашей организации в отношении сторонних продуктов и услуг, например, услуг облачного хранения.

PII Контроль безопасности

Структура конфиденциальности данных должна определять, какие меры безопасности необходимо использовать в организации для предотвращения потери или утечки данных:

  • Управление изменениями – отслеживание и аудит изменений в конфигурации ИТ-систем, которые могут иметь последствия для безопасности, такие как добавление / удаление учетных записей пользователей.
  • Data Loss Prevention – внедрение систем, которые могут отслеживать конфиденциальные данные, передаваемые внутри организации или за ее пределами, и выявлять неестественные закономерности, которые могут указывать на нарушение.
  • Маскирование данных – обеспечение того, чтобы данные сохранялись или передавались с минимально необходимыми деталями для конкретной транзакции, при этом другие детали были замаскированы или опущены.
  • Этические стены – внедрение механизмов проверки для предотвращения просмотра некоторыми отделами или отдельными лицами внутри организации PII, которая не имеет отношения к их работе или может создать конфликт интересов.
  • Мониторинг привилегированных пользователей – мониторинг всего привилегированного доступа к файлам и базам данных, создания пользователей и вновь предоставленных привилегий, блокирование и предупреждение при обнаружении подозрительной активности.
  • Аудит доступа к конфиденциальным данным – параллельно с мониторингом действий привилегированных пользователей, мониторинг и аудит всего доступа к конфиденциальным данным, блокирование и предупреждение о подозрительных или аномальных действиях.
  • Безопасное архивирование контрольного журнала – обеспечение того, чтобы любая деятельность, проводимая в отношении PII или в отношении PII, проверялась и сохранялась в течение 1-7 лет для юридических целей или соблюдения нормативных требований, а также для обеспечения возможности судебного расследования инцидентов безопасности.
  • Управление правами пользователей – выявление чрезмерных, несоответствующих или неиспользованных привилегий пользователей и принятие корректирующих мер, таких как удаление учетных записей пользователей, которые не использовались в течение нескольких месяцев.
  • Отслеживание пользователей – реализация способов отслеживания активности пользователей в сети и при использовании организационных систем для выявления небрежного раскрытия конфиденциальных данных, взлома учетных записей пользователей или злонамеренных инсайдеров.

Руководство по конфиденциальности данных: определения, пояснения и законодательство

Конфиденциальность данных или конфиденциальность информации – это раздел безопасности данных, связанный с надлежащим обращением с данными – согласием, уведомлением и нормативными обязательствами.В частности, практические проблемы конфиденциальности данных часто вращаются вокруг:

  1. Передаются ли данные третьим сторонам и каким образом.
  2. Как данные собираются или хранятся на законных основаниях.
  3. Нормативные ограничения, такие как GDPR, HIPAA, GLBA или CCPA.

В этом руководстве мы рассмотрим, почему конфиденциальность данных важна и как она связана с безопасностью данных. Затем мы рассмотрим законодательство, регулирующее конфиденциальность данных в нескольких ключевых странах и в нескольких ключевых отраслях.Наконец, мы дадим вам несколько способов улучшить конфиденциальность ваших данных как в личной, так и в деловой среде.

Получите бесплатное основное руководство по соответствию и нормативным требованиям США по защите данных

Как мы увидим, безопасность и конфиденциальность данных тесно связаны, и поэтому обеспечение конфиденциальности данных означает использование полного решения безопасности, подобного тому, что предлагает Varonis.

Почему важна конфиденциальность данных?

Существует два фактора, объясняющих, почему конфиденциальность данных является одной из самых серьезных проблем в нашей отрасли.

Данные – один из важнейших активов компании. С развитием экономики данных компании находят огромную ценность в сборе, совместном использовании и использовании данных. Такие компании, как Google, Facebook и Amazon, построили империи на вершине экономики данных. Прозрачность в том, как компании запрашивают согласие, соблюдают свою политику конфиденциальности и управляют собранными данными, имеет жизненно важное значение для укрепления доверия и подотчетности с клиентами и партнерами, которые рассчитывают на конфиденциальность. Многие компании осознали важность конфиденциальности на собственном горьком опыте из-за получивших широкую огласку неудач в отношении конфиденциальности.

Во-вторых, конфиденциальность – это право человека быть свободным от незваного наблюдения. Безопасное существование в своем пространстве и свободное выражение своего мнения за закрытыми дверями имеет решающее значение для жизни в демократическом обществе.

«Конфиденциальность – основа нашей свободы. У вас должны быть моменты сдержанности, размышлений, близости и уединения », – говорит доктор Энн Кавукян, бывший комиссар по информации и конфиденциальности Онтарио, Канада.

Доктор Кавукян кое-что знает о конфиденциальности данных.Она наиболее известна своим лидерством в разработке концепции Privacy by Design (PbD), которая теперь служит краеугольным камнем для многих современных законов о конфиденциальности данных.

Конфиденциальность данных и безопасность данных

Организации обычно считают, что защита конфиденциальных данных от хакеров означает, что они автоматически соблюдают правила конфиденциальности данных. Это не тот случай.

Безопасность данных и конфиденциальность данных часто используются как взаимозаменяемые, но есть явные различия:

  • Data Security защищает данные от взлома внешними злоумышленниками и злоумышленниками.
  • Data Privacy управляет тем, как данные собираются, передаются и используются.

Рассмотрим сценарий, в котором вы приложили все усилия для защиты информации, позволяющей установить личность (PII). Данные зашифрованы, доступ ограничен, имеется несколько перекрывающихся систем мониторинга. Однако, если эта PII была собрана без надлежащего согласия, вы могли нарушить правила конфиденциальности данных, даже если данные находятся в безопасности.

Защита данных – сила нашего права на конфиденциальность

Несмотря на недавние достижения в законодательстве и практике конфиденциальности данных, конфиденциальность потребителей регулярно нарушается или нарушается компаниями и правительствами.Это заставило некоторых утверждать, что потребители уже проиграли войну за конфиденциальность.

В то время как вы можете получить защиту данных без конфиденциальности данных, вы не можете обеспечить конфиденциальность данных без защиты данных.

Обеспечение конфиденциальности данных означает, что вы не та жуткая компания, которая жадно собирает все личные данные ваших клиентов – будь то пассивное отслеживание местоположения, приложения, тайно поглощающие вашу личную адресную книгу, или веб-сайты, записывающие каждое нажатие вашей клавиши.

Вместо этого сотрудники должны регулярно проходить обучение по защите данных, чтобы они понимали процессы и процедуры, необходимые для обеспечения надлежащего сбора, совместного использования и использования конфиденциальных данных как части портфеля безопасности данных.

Конфиденциальность информации также включает правила, необходимые компаниям для защиты данных. И по мере того, как во всем мире растет количество правил защиты данных, глобальные требования и требования к конфиденциальности также будут расширяться и меняться. Однако неизменной является адекватная защита данных: это лучший способ гарантировать, что компании соблюдают закон и гарантируют конфиденциальность информации.

Продукты

Varonis являются одними из самых передовых доступных средств защиты данных. По этой причине наши системы используются для защиты конфиденциальности потребителей во всем мире.

Различные определения конфиденциальности данных

Хотя большинство людей согласны с важностью конфиденциальности данных, и все согласны с тем, что защита данных лежит в основе обеспечения конфиденциальности, само определение «конфиденциальности данных» является общеизвестно сложным.

Ни один из упомянутых в этой статье законов – GDPR, CCPA или HIPAA – не определяет точно, что они подразумевают под конфиденциальностью данных. Вместо этого содержащиеся в них положения предлагают ряд передовых методов и разъясняют права потребителей и предприятий.Поскольку все законодательные акты индивидуальны, попытка точно определить, что подразумевается под «конфиденциальностью», может быть чрезвычайно сложной.

Ситуация не улучшится, если мы ограничим нашу сферу действия одним законодательным актом. Европейский GDPR, возможно, является наиболее обширным и всеобъемлющим законодательным актом о конфиденциальности данных. К сожалению, это также сбивает с толку: New York Times еще в мае 2018 года назвала это «большим запутанным беспорядком». Закон предоставляет гражданам ряд прав, включая право на переносимость данных (что позволяет людям перемещать свои данные между платформами) и право не подчиняться решениям, основанным на автоматизированной обработке данных (запрещая, например, использование алгоритм отклонения соискателей на работу или ссуды).

Проблема в том, что практические последствия этих правил невероятно сложны. GDPR – как и многие другие законы ЕС – стремится представить компромисс между различными системами и ценностями многих различных национальных государств. Из-за этого «многие ученые и менеджеры данных, которые будут подчиняться закону, считают его непонятным» и сомневаются, что его полное соблюдение вообще возможно.

Для предприятий в США это может стать огромной проблемой. Подчинение как GDPR, так и CCPA является проблемой, потому что определение конфиденциальности данных, используемое в этих двух законодательных актах, и способ, которым они определяют «добросовестное использование» данных, сильно различаются.Вот основные отличия:

  • Во-первых, вы должны признать, что CCPA применяется к резидентам Калифорнии (хотя и несколько странно), независимо от того, где находится ваша компания. Аналогичным образом GDPR защищает права граждан ЕС, независимо от того, где находится ваша компания. Если вы имеете дело с гражданами ЕС или Калифорнии, вы застрахованы.
Раздел 1798.140 (7) G CCPA, показывающий определение жителя Калифорнии
  • CCPA защищает права жителей Калифорнии не продавать свои данные компаниями.Компании, работающие с калифорнийцами (то есть все компании с веб-сайтом), должны включать ссылку «не продавать мою личную информацию» на своих домашних страницах, чтобы дать потребителям право отказаться от продажи своей информации. GDPR, с другой стороны, не рассматривает эту проблему.
  • Еще одно ключевое отличие заключается в том, что в соответствии со статьей 6 GDPR компании должны продемонстрировать, что у них есть правовая основа для обработки информации о клиентах. CCPA, с другой стороны, не требует от вас обоснования сбора или обработки личных данных.
Статья 6 GDPR, показывающая правовые основы обработки данных.
  • GDPR также содержит конкретные правила о том, как данные о состоянии здоровья могут быть собраны и сохранены. GDPR определяет «биометрические данные» и «генетические данные» как два отдельных типа персональных данных, тогда как в соответствии с CCPA такая информация относится к единой категории «персональная информация».
  • GDPR применяется ко всем компаниям, работающим с данными, тогда как CCPA применяется только к коммерческим предприятиям.
  • В некотором смысле GDPR строже, когда речь идет об управленческих процессах, необходимых для достижения соответствия. Законодательство требует, чтобы в компаниях назначались «сотрудники по защите данных». CCPA не требует этого, пока соблюдаются другие положения нормативного акта.
  • Что касается штрафов, которые могут быть наложены в соответствии с обоими законодательными актами, также существуют огромные различия. Статья 83 GDPR гласит, что компании могут быть подвергнуты штрафам в размере до 20 миллионов евро или 4% от общего мирового оборота.Для некоторых компаний это может быть огромная сумма, и Google уже оштрафован на 50 миллионов евро за нарушение конфиденциальности данных во Франции. CCPA, с другой стороны, гораздо более снисходительный: компаниям дается льготный период в 30 дней для устранения нарушения, а затем штрафуют только 2500 долларов за нарушение.

Короче говоря, разные определения конфиденциальности данных, используемые только в этих двух законодательных актах (не говоря уже о HIPAA или других законодательных актах), крайне сбивают с толку. То, что считается «разумным», значительно различается в каждом законе, как и штрафы за их нарушение.

На практике это означает, что компании, работающие с частными данными, должны выходить за рамки закона, чтобы гарантировать, что их методы обработки данных намного превосходят требования, предусмотренные законодательством. Мы скоро поговорим о том, как это сделать, но сначала давайте подробнее рассмотрим уже упомянутые законодательные акты.

Законы и законы о конфиденциальности данных

К счастью, законодатели признали важность регулирования конфиденциальности данных и необходимость возложения на компании ответственности за данные конечных пользователей.

Компании теперь должны определять, какие законы и законы о конфиденциальности данных влияют на их пользователей. Например, вы должны знать, откуда поступают данные (страна и штат), какую личную информацию они могут содержать и методологию использования.

Давайте подробнее рассмотрим, как последние правила конфиденциальности данных влияют на пользователей и компании. Вот четыре наиболее важных законодательных акта о конфиденциальности данных.

GDPR: законы ЕС о конфиденциальности данных

Вступивший в силу в мае 2018 года, GDPR направлен на защиту личных данных граждан ЕС и уже оказывает серьезное влияние на компании в Европе.GDPR имеет множество аспектов и множество задач, которые компании должны выполнять для достижения и поддержания соответствия GDPR. К ним относятся, но не ограничиваются:

  • Явное согласие пользователей на подписку
  • Право запрашивать данные у компаний
  • Право на удаление ваших данных

GDPR дает потребителям определенные права на их данные, а также возлагает обязательства по безопасности на компании, хранящие их данные. Для компаний одним из сложных аспектов законодательства является требование отвечать на запросы о доступе к темам.

Реальность такова, что большинство организаций не могут легко найти, предоставить или удалить личные данные человека по запросу. Многие ИТ-директора и сотрудники по вопросам конфиденциальности данных полагаются на программное обеспечение, отвечающее требованиям GDPR, которое автоматически обнаруживает и классифицирует личные данные, чтобы обеспечить их защиту и ускорить запросы доступа к данным.

Конфиденциальность данных в здравоохранении

Несмотря на то, что в ЕС действует GDPR, одним из наиболее важных законов США о защите данных и конфиденциальности на федеральном уровне является HIPAA – положение о конфиденциальности данных, которое было введено для защиты личной информации о здоровье пациентов.

Поставщики медицинских услуг всегда были привлекательной мишенью для утечки данных. На самом деле медицинские записи чрезвычайно ценны – примерно в 10-20 раз более ценны, чем номера кредитных карт. Вот почему они должны убедиться, что соответствуют требованиям HIPAA.

Несмотря на то, что Конгресс принял HIPAA в 1996 году, призывы к еще большей защите конфиденциальности данных усилились: количество утечек данных стало рекордным, а скорость, с которой компании используют и продают собранные ими данные о своих пациентах, быстро растет.

К счастью, в декабре 2000 года Министерство здравоохранения и социальных служб США (HHS) издало Правило конфиденциальности, чтобы выполнить мандат HIPAA по защите конфиденциальности индивидуально идентифицируемой медицинской информации.

Если вам интересно, как соотносятся GDPR и HIPAA, имейте в виду, что GDPR охватывает даже более широкий охват, чем HIPAA, и не фокусируется исключительно на данных о здоровье. GDPR призывает к защите «конфиденциальных личных данных», включая защиту данных о здоровье. Итог: GDPR сопоставим с нормативными требованиями HIPAA.

Конфиденциальность данных для финансовых учреждений

Еще одним нормативным актом, который должен быть в вашем распоряжении, является Закон Грэмма-Лича-Блайли (GLBA). GLBA требует от финансовых учреждений защиты финансовых данных потребителей. Для этого воспользуйтесь классификацией, чтобы быстро определить, где хранятся ваши конфиденциальные финансовые данные.

Достижение соответствия GLBA дает множество преимуществ. Это снижает возможные штрафы и репутационный ущерб из-за несанкционированного обмена или потери конфиденциальных финансовых данных.Конечно, GLBA – это не то же самое, что GDPR ЕС, но скоро Америка получит свою собственную.

Новаторские законы США о конфиденциальности данных

В США конфиденциальность данных также регулируется рядом других законов. Некоторые из них действуют на государственном уровне, а некоторые распространяются на всю страну. Эти законы представляют собой новаторский подход к обеспечению конфиденциальности данных в стране и в некоторых случаях идут намного дальше, чем действующее законодательство, которое касается отдельных секторов.

Например, CCPA – это закон в Калифорнии, который расширяет защиту конфиденциальности данных в этом штате.Компании, работающие в штате Калифорния, должны быть готовы к 1 января 2020 г., чтобы CCPA выявлял и обнаруживал личную информацию, выполнял запросы на доступ к данным и защищал данные потребителей. CCPA дает потребителям право контролировать, как компании собирают и используют их личные данные. Это означает, что компании должны иметь возможность быстро и точно находить и классифицировать конфиденциальные данные, чтобы они могли идентифицировать данные, подпадающие под действие CCPA, и выполнять запросы доступа к данным (DSAR).

Точно так же COPPA, Закон о защите конфиденциальности детей в Интернете, направленный на защиту конфиденциальности детей младше 13 лет, был принят еще в 1998 году. Этот закон предусматривает, что компании должны запрашивать разрешение родителей на сбор данных о детях, а также уточняет способ хранения и обработки этих данных.

Несколько штатов рассматривают законы, аналогичные законам Калифорнии, и, похоже, законодатели заинтересованы в повышении безопасности и конфиденциальности данных в других секторах.Некоторые даже предлагали создать Федеральный департамент кибербезопасности для стандартизации этих законов по всей стране, но на данный момент ситуация по-прежнему представляет собой лоскутное одеяло из различных нормативных актов.

Другие законы о конфиденциальности данных

Хотя упомянутые выше законы являются наиболее важной нормативно-правовой базой, когда речь идет о конфиденциальности данных, вы также должны знать, что существуют законы о конфиденциальности данных, которые применяются к определенным типам компаний или к определенным типам данных.

Что из этого применимо к вашему бизнесу, будет зависеть как от вашего сектора, так и от того, как вы храните и обрабатываете данные, но стоит проверить положения о соответствии ISO 27001, FISMA и Sox.

Varonis может помочь вам добиться соответствия всем этим фреймворкам, предоставив решения для полной защиты данных, которые обеспечат безопасность ваших данных и полное соответствие с действующим законодательством. Если вы хотите обсудить свои требования к конфиденциальности данных, позвоните нам сегодня.

Советы по защите данных

Если вы прочитали вышесказанное, вы, вероятно, задаетесь вопросом, как обеспечить конфиденциальность данных. В этом разделе мы дадим вам несколько советов о том, как это сделать, независимо от того, являетесь ли вы бизнесом или просто заинтересованным потребителем.

Советы по обеспечению конфиденциальности данных, ориентированных на бизнес

Ранее мы писали о том, как предприятия могут обеспечить безопасность данных, и из-за связи между безопасностью данных и конфиденциальностью данных наши советы также помогут вам обеспечить конфиденциальность данных, которые вы храните как компания.

Эти методы включают:

  • Обеспечение осведомленности о проблемах и методах безопасности и конфиденциальности данных для каждого сотрудника вашей компании. Вам следует интегрировать обучение по вопросам конфиденциальности данных в свою общую программу обучения, и оно должно быть частью процесса адаптации новых сотрудников.
  • Убедитесь, что вы пользуетесь бесплатными инструментами безопасности, которые есть. Сюда входят решения для зашифрованного хранилища, менеджеры паролей и VPN. Эти небольшие инструменты могут значительно снизить вашу уязвимость для атак, их легко использовать и устанавливать.
  • Контролируйте свою сеть на предмет подозрительной активности, чтобы вы могли вовремя поймать атаку и уменьшить ущерб.
  • Не стоит недооценивать интерес хакеров к вашей компании, потому что она небольшая или только начинающая – взломы и атаки затрагивают организации любого размера, включая начинающие и малые предприятия.
  • Внедрить модель нулевого доверия. Как сказал нам Сиван Техила, основатель компаний Leading Cyber ​​Ladies и Cyber19w, «Zero Trust ограничивает доступ ко всей сети, изолируя приложения и сегментируя доступ к сети на основе разрешений пользователей, аутентификации и проверки пользователей.С помощью политики Zero Trust можно легко реализовать политику и защиту для всех пользователей, устройств, приложений и данных, независимо от того, откуда пользователи подключаются. Этот ориентированный на пользователя подход делает проверку авторизованных объектов обязательной, а не необязательной. Этот образ мышления «доверяй, но проверяй» абсолютно необходим для сегодняшних организаций ».

Советы по конфиденциальности данных, ориентированные на потребителей

Как потребитель, вы не можете полностью контролировать, как компании хранят ваши данные и насколько хорошо они хранят их в тайне.Тем не менее, вы можете предпринять ряд простых шагов, которые могут улучшить конфиденциальность ваших данных. Хороший первый шаг – ознакомиться с доступными инструментами обеспечения конфиденциальности. Это означает как минимум VPN для шифрования вашего интернет-соединения и менеджер паролей для повышения безопасности ваших онлайн-аккаунтов.

  • Используйте многофакторную аутентификацию для дополнительных уровней безопасности и убедитесь, что важные учетные записи не могут быть легко взломаны в случае взлома паролей. Предпочтительно использовать параметры MFA, не основанные на SMS.Многие онлайн-компании теперь предлагают многофакторную аутентификацию бесплатно, поэтому попросите их внедрить ее в вашу учетную запись.
  • Знайте, что шпионское ПО в IoT означает для конфиденциальности данных: это была одна из самых больших историй о кибербезопасности за последний год, и она указывает на важность обновления всех ваших IoT-устройств с помощью новейшего программного обеспечения безопасности.
  • Часто выполняйте резервное копирование данных. Если хранилище данных когда-либо будет взломано, у вас будет больше шансов сохранить эти данные, если у вас есть безопасная резервная копия.
  • Следите за странными запросами, орфографическими и грамматическими ошибками, ярким контентом с клик-приманкой и прочими вещами, которые могут показаться «неуместными».

Как Varonis помогает обеспечить конфиденциальность данных

Для достижения нирваны конфиденциальности данных организациям необходимо решение для обеспечения безопасности данных, которое защищает корпоративные данные, предотвращает утечки данных, снижает риски и помогает обеспечить соответствие нормативным требованиям. В Varonis наш подход к безопасности данных, связанный с повышением конфиденциальности данных, включает:

Управление доступом к конфиденциальным и регулируемым данным

Вы никогда не услышите, чтобы кто-то жаловался на слишком большой доступ.Вот почему регулярные проверки прав с помощью DatAdvantage и DataPrivilege гарантируют, что только нужные люди имеют доступ к нужным данным: неограниченный доступ подвергает компании риску утечки данных, кражи или неправомерного использования. Если вы хотите быстрее достичь минимальных привилегий и соответствия требованиям, Automation Engine поможет вам в этом, чтобы вы могли автоматически исправлять глобальный доступ и исправлять разрешения файловой системы.

Соблюдайте соответствующие требования

Любите вы это или ненавидите, но нормативные требования являются базовым уровнем, который обеспечивает достижение целей конфиденциальности данных для обеспечения свободы, близости и уединения.С помощью Data Classification Engine вы найдете и классифицируете регулируемый и конфиденциальный контент. После этого у вас будет возможность автоматически переносить данные туда, где они должны быть, а также выполнять запросы доступа к данным по мере необходимости.

Мониторинг и обнаружение подозрительного поведения в отношении конфиденциальных данных

Вооружение вашей организации с помощью DatAlert означает, что у вас будет постоянный мониторинг и оповещение обо всех данных вашей организации. Это означает, что компании могут выявлять и отслеживать личные данные потребителей, отслеживать, кто к ним обращается, выделять необычные действия и сообщать о странных действиях, которые регулируются и являются конфиденциальными.В конечном счете, знание того, что ваши данные всегда в безопасности, также обеспечивает конфиденциальность данных.

Новости и ресурсы о конфиденциальности данных

Конфиденциальность данных стала основной проблемой за последний год, и эта проблема появилась во всех крупных газетах. Однако, если вы хотите быть в курсе последних новостей в области конфиденциальности данных, также стоит проверить специализированные СМИ: WIRED часто публикует статьи о конфиденциальности данных, как это делают HackerNoon и InfoSecurity Magazine.

Вот некоторые из самых значительных событий в области конфиденциальности данных на данный момент:

CCPA в Калифорнии вступает в силу

По мере того, как 2019 год подходит к концу, все взоры прикованы к следующему году, когда в штате Калифорния вступит в силу CCPA. Этот закон представляет собой самые строгие меры защиты конфиденциальности данных в США на данный момент, и компании готовились к его внедрению в течение многих лет. Ключевой вопрос заключается в том, сможет ли такой закон в конечном итоге применяться по всей стране.

Google Project Nightingale вызывает опасения по поводу конфиденциальности данных

Что касается потребительской стороны уравнения, то в последнее время в большинстве дискуссий доминировало разоблачение «проекта соловья», соглашения о совместном использовании данных между Google и Ascension, вторым по величине поставщиком медицинских услуг в США.Хотя этот обмен данными был полностью законным, он дал людям новую информацию о том, сколько личных данных они делятся и как они обрабатываются.

Индия вводит новый закон о конфиденциальности данных

Согласно новостям из дальних стран, Индия в настоящее время принимает национальное законодательство, контролирующее, что компании могут делать с личными данными. Новый закон основан на аналогичных рамках ЕС и США и потенциально окажет огромное влияние на растущий технологический сектор страны.

Часто задаваемые вопросы о конфиденциальности данных

Даже после получения всей этой информации у вас могут возникнуть вопросы о конфиденциальности данных.Мы здесь, чтобы помочь.

Q: Существует ли глобальный закон о конфиденциальности данных?

A: Нет. Законы о конфиденциальности данных в любом случае относительно новы, и для них нет всемирного стандарта. Тем не менее, многие компании обращаются к GDPR – европейскому закону о защите данных – как к руководству по правильному хранению и управлению конфиденциальностью данных, даже если они не ведут бизнес в ЕС. В зависимости от сектора и местоположения к вашему бизнесу будут применяться разные законы, поэтому обязательно проверьте свои обязанности.

Q: Можем ли мы защитить наши данные в других странах?

A: Опять же, из-за фрагментарного характера законов о конфиденциальности данных может быть чрезвычайно сложно обеспечить безопасность ваших данных, если вы отправляете их за границу.Ключевым моментом для заинтересованного потребителя является обмен информацией только с компаниями, которые открыто и честно заявляют о своей политике конфиденциальности и не будут продавать вашу информацию тому, кто предложит самую высокую цену.

Вопрос: Как компании могут обеспечить конфиденциальность данных при использовании публичных облаков?

Выберите правильного облачного провайдера. По правде говоря, у большинства компаний не будет времени или ресурсов, чтобы нанять специального специалиста по облачной безопасности. Поэтому лучшим решением для большинства будет выбор поставщика облачных услуг, который также предоставит вам функции безопасности и может проконсультировать вас о ваших юридических обязанностях.

Последнее слово

Конфиденциальность данных важна по ряду причин. Как потребитель, вы должны знать, что ваши данные хранятся и используются целым рядом компаний, и убедитесь, что вы не делитесь больше, чем должны. В конце концов, конфиденциальность – это фундаментальное право.

Конфиденциальность данных для компании еще более важна. Возможно, вам придется выполнить юридические обязательства в отношении того, как вы собираете, храните и обрабатываете личные данные, а несоблюдение требований может привести к огромному штрафу.Если вы станете жертвой взлома, последствия с точки зрения потери дохода и доверия клиентов могут быть еще хуже.

Вот почему мы создали комплексное решение безопасности, которое обеспечивает расширенные функции защиты данных. DatAdvantage и DataPrivilege гарантируют, что доступ к вашим данным имеют только те люди, которые должны иметь доступ к вашим данным, и вы сможете легко и эффективно работать над соблюдением конфиденциальности данных.

Что это такое и как это повлияет на мой бизнес?

Сводка сообщения:

  • Что такое GDPR и что он обозначает? Новое постановление ЕС повлияло на бизнес по всему миру.В этой статье мы объясняем, что, как и почему вступает в силу новый закон ЕС о конфиденциальности.
  • Каковы последствия GDPR для бизнеса? Как ваш бизнес, независимо от того, находится он в ЕС или нет, будет соответствовать длинному списку «статей» GDPR?
  • GDPR повлияет на то, как вы общаетесь, но как? Теперь способ обработки личных данных изменился, и это относится как к данным потенциальных клиентов, так и к данным клиентов.

Интернет кардинально изменил способ общения и решения повседневных задач.

Мы отправляем электронные письма, обмениваемся документами, оплачиваем счета и покупаем товары, вводя свои личные данные онлайн и не задумываясь.

Вы когда-нибудь задумывались, сколько личных данных вы передали в Интернете?

Или что происходит с этой информацией?

Мы говорим о банковской информации, контактах, адресах, сообщениях в социальных сетях и даже о вашем IP-адресе и посещенных вами сайтах, которые хранятся в цифровом виде.

Компании сообщают вам, что они собирают этот тип информации, чтобы лучше обслуживать вас, предлагать вам более целенаправленные и актуальные коммуникации, и все это для того, чтобы обеспечить вам лучшее обслуживание клиентов.

Но действительно ли для этого они используют данные?

Это вопрос, который задали и на который ответил ЕС, и почему в мае 2018 года было введено в действие новое европейское постановление о конфиденциальности под названием GDPR , которое навсегда изменило способ сбора, хранения и использования данных клиентов в вашей компании.

В результате исследования более 800 ИТ-специалистов и бизнес-специалистов, отвечающих за конфиденциальность данных в компаниях с европейскими клиентами, AIIM обнаружила, что более 50% предприятий мало или совсем ничего не знают о GDPR .

Совсем недавно TrustArc обнаружил, что только 20% предприятий считают, что теперь они соответствуют требованиям GDPR.

Худшая часть?

Более чем 1 из 4 компаний (27%) еще не начали работу по приведению своей организации в соответствие с GDPR – более чем через 2 года после истечения крайнего срока 25 мая!

легко понять, если небольшому обычному магазину было трудно подготовиться к GDPR, но исследование Ponemon Institute показало, что 60% технологических компаний также не были готовы.

Значит, GDPR отстают не только от малых предприятий!

Итак, независимо от того, работаете ли вы в сфере технологий, путешествий, розничной торговли или являетесь предпринимателем, мы объясним, что такое GDPR, как он повлияет на ваш бизнес, и дадим практические советы о том, как подготовиться к соблюдению GDPR.

Что такое GDPR?

25 мая 2018 года вступили в силу новые европейские правила конфиденциальности.

GDPR означает Общий регламент по защите данных .

Это положение реализовано во всех местных законах о конфиденциальности во всем регионе ЕС и ЕЭЗ. Он будет применяться ко всем компаниям, продающим и хранящим личную информацию о гражданах в Европе, включая компании на других континентах.

GDPR означает, что граждане ЕС и ЕЭЗ теперь имеют больший контроль над своими личными данными и уверенность в том, что их информация надежно защищена по всей Европе.

Согласно директиве GDPR, персональные данные – это любая информация, относящаяся к человеку, такая как имя, фотография, адрес электронной почты, банковские реквизиты, обновления на веб-сайтах социальных сетей, данные о местонахождении, медицинская информация или IP-адрес компьютера.

Нет различий между личными данными о лицах в их личных, общественных или рабочих ролях – человек есть человек. Кроме того, в среде B2B все связано с людьми, которые взаимодействуют и обмениваются информацией друг с другом и друг о друге. Клиенты на рынке B2B, очевидно, являются компаниями, но отношения, которые затрагивают деловые темы, – это люди или отдельные лица.

8 основных прав GDPR

Согласно GDPR, физические лица имеют:

  1. Право на доступ – это означает, что люди имеют право запрашивать доступ к своим личным данным и спрашивать, как их данные используются компанией после того, как они были собраны.Компания должна предоставить копию личных данных бесплатно и в электронном формате по запросу.
  2. Право на забвение – если потребители больше не являются клиентами или если они отозвали свое согласие от компании на использование своих личных данных, они имеют право на удаление своих данных.
  3. Право на переносимость данных – Физические лица имеют право передавать свои данные от одного поставщика услуг другому. И это должно происходить в широко используемом и машиночитаемом формате.
  4. Право на получение информации – это касается любого сбора данных компаниями, и физические лица должны быть проинформированы до сбора данных. Потребители должны дать согласие на сбор своих данных, и согласие должно быть дано свободно, а не подразумевается.
  5. Право на исправление информации – это гарантирует, что люди могут обновлять свои данные, если они устарели, неполны или неверны.
  6. Право на ограничение обработки – Физические лица могут потребовать, чтобы их данные не использовались для обработки.Их запись может оставаться на месте, но не может быть использована.
  7. Право на возражение – это включает право отдельных лиц прекратить обработку своих данных для прямого маркетинга. Из этого правила нет исключений, и любая обработка должна прекращаться, как только запрос будет получен. Кроме того, это право должно быть разъяснено людям в самом начале любого общения.
  8. Право на уведомление – Если произошла утечка данных, которая ставит под угрозу личные данные человека, это лицо имеет право быть проинформированным в течение 72 часов после того, как впервые стало известно о нарушении.

GDPR – это способ ЕС предоставить отдельным лицам, потенциальным клиентам, клиентам, подрядчикам и сотрудникам больше власти над своими данными и меньше – организациям, которые собирают и используют такие данные для получения денежной выгоды.

Значение GDPR для бизнеса

Этот новый закон о защите данных ставит потребителя на место водителя, и задача соблюдения этого правила ложится на предприятия и организации. В противном случае вы не подчинитесь.

Что подпадает под соответствие GDPR?

Что ж, GDPR применяется ко всем предприятиям и организациям, созданным в ЕС, независимо от того, происходит ли обработка данных в ЕС или нет. Даже организации, не зарегистрированные в ЕС, будут подпадать под действие GDPR. Если ваш бизнес предлагает товары и / или услуги гражданам ЕС, то он подпадает под действие GDPR.

Все организации и компании, работающие с персональными данными, должны назначить сотрудника по защите данных или контролера данных, который отвечает за соблюдение GDPR.

Существуют жесткие штрафы для тех компаний и организаций, которые не соблюдают требования GDPR в размере до 4% от годовой выручки или 20 миллионов евро , в зависимости от того, что больше.

Насколько серьезно ЕС относится к GDPR?

Чрезвычайно серьезно .

Например, British Airways и Marriott International сталкиваются с огромными штрафами в размере сотен миллионов евро за несоблюдение.

  • British Airways грозит штраф на сумму до 200 миллионов евро за утечку данных, произошедшую в сентябре 2018 года
  • Ожидается, что
  • Marriott International будет оштрафована на в районе 99 миллионов евро за нарушение данных в период с 2014 по 2018 год

Многие люди могут подумать, что GDPR – это просто проблема ИТ, но это далеко от истины.Это имеет широкие последствия для всей компании, включая то, как компании осуществляют маркетинговую и коммерческую деятельность.

Влияние GDPR на взаимодействие с клиентами

Условия получения согласия более строгие в соответствии с требованиями GDPR, поскольку физическое лицо должно иметь право отозвать согласие в любое время, и существует презумпция, что согласие не будет действительным, если не будут получены отдельные согласия для различных операций обработки.

Это означает, что вы должны быть в состоянии доказать, что человек согласился на определенное действие, например, для получения информационного бюллетеня.Не разрешается предполагать или добавлять отказ от ответственности, и предоставления возможности отказа недостаточно.

GDPR изменил многие вещи для компаний, в том числе то, как работают ваши команды продаж или как управляется маркетинговая деятельность. Компаниям пришлось проверять бизнес-процессы, приложения и формы на соответствие правилам двойного согласия и лучшим практикам электронного маркетинга. Чтобы подписаться на общение, потенциальные клиенты должны будут заполнить форму или поставить галочку в поле, а затем подтвердить, что это были их действия, в следующем электронном письме.

Организации должны доказать, что согласие было дано в случае, если физическое лицо возражает против получения сообщения. Это означает, что любые хранимые данные должны иметь контрольный журнал с отметками времени и отчетную информацию, в которой подробно описывается, что и как выбрало контактное лицо.

Если вы приобретаете маркетинговые списки, вы все равно несете ответственность за получение надлежащей информации о согласии, даже если поставщик или внешний партнер отвечал за сбор данных.

В мире B2B продавцы встречаются с потенциальными клиентами на выставке, они обмениваются визитными карточками, а когда они возвращаются в офис, они добавляют контакты в список рассылки компании.В 2020 году это уже невозможно.

Компаниям придется искать новые способы сбора информации о клиентах.

Подготовка к соблюдению GDPR

Ключевым компонентом законодательства GDPR является конфиденциальность.

Конфиденциальность по дизайну требует, чтобы все отделы компании внимательно изучали свои данные и то, как они их обрабатывают. Компания должна сделать много вещей, чтобы соответствовать GDPR. Если вам еще предстоит сделать следующий шаг к соблюдению требований, вот несколько способов, которые помогут вам начать работу.

1. Сопоставьте данные своей компании

Укажите, откуда берутся все личные данные всего вашего бизнеса, и задокументируйте, что вы делаете с этими данными. Определите, где находятся данные, кто может получить к ним доступ и есть ли какие-либо риски для данных. Это важно не только для GDPR, но и поможет улучшить управление взаимоотношениями с клиентами.

2. Определите, какие данные вам нужно хранить

Не храните больше информации, чем необходимо, и удаляйте все данные, которые вы не используете.Если ваш бизнес собрал много данных без какой-либо реальной выгоды, сейчас самое время подумать, какие данные важны для вашего бизнеса. GDPR поощряет более дисциплинированное обращение с личными данными.

В процессе очистки спросите себя:

  • Почему именно мы архивируем эти данные, а не просто стираем их?
  • Почему мы сохраняем все эти данные?
  • Чего мы пытаемся достичь, собирая все эти категории личной информации?
  • Является ли удаление этой информации более выгодным, чем ее шифрование?

3.Принятие мер безопасности

Разработайте и внедрите меры безопасности во всей своей инфраструктуре, чтобы помочь предотвратить любые утечки данных. Это означает принятие мер безопасности для защиты от утечки данных и принятие быстрых мер для уведомления отдельных лиц и органов власти в случае нарушения.

К сожалению, юридическая фирма EMW обнаружила, что количество жалоб на нарушение данных увеличилось на 160% после вступления в силу GDPR ( Tweet this! )

Обязательно уточняйте у своих поставщиков.Аутсорсинг не освобождает вас от ответственности, и вам необходимо убедиться, что они принимают правильные меры безопасности. Например, недавняя утечка данных для компаний, использующих стороннего поставщика опросов Typeform.

Typeform быстро сообщила об утечке данных и включила шаблон для своих клиентов, которые использовали их программное обеспечение для сбора личной информации (как показано ниже).

4. Изучите свою документацию

Согласно GDPR, физические лица должны дать явное согласие на получение и обработку своих данных.Предварительно отмеченные поля и подразумеваемое согласие больше не принимаются. Вам нужно будет просмотреть все свои заявления о конфиденциальности и раскрытия информации и при необходимости скорректировать их.

5. Установить порядок работы с персональными данными

Как мы упоминали ранее, физические лица имеют 8 основных прав в соответствии с GDPR.

Теперь вам необходимо разработать политику и процедуры для решения каждой из этих ситуаций.

Например:

  1. Как физические лица могут давать согласие на законных основаниях?
  2. Каков процесс, если человек хочет, чтобы его данные были удалены?
  3. Как вы гарантируете, что это будет сделано на всех платформах и действительно будет удалено?
  4. Если человек хочет, чтобы его данные были переданы, как вы это сделаете?
  5. Как вы подтвердите, что лицо, запросившее передачу его данных, является тем человеком, которым он себя назвал?
  6. Каков план связи в случае утечки данных?

Заключение

Данные – ценная валюта в этом новом мире.

И хотя GDPR действительно создает проблемы и боль для нас, как компаний, он также создает возможности.

Компании, которые демонстрируют, что ценят частную жизнь человека (помимо простого соблюдения правовых норм), которые прозрачны в отношении использования данных, разрабатывают и внедряют новые и улучшенные способы управления данными клиентов на протяжении всего их жизненного цикла, укрепляют доверие и удерживают более лояльных клиентов .

Когда впервые было объявлено в 2016 году, казалось, что у новых предприятий было достаточно времени, чтобы предпринять необходимые шаги.Но это время пролетело незаметно, и многие компании все еще борются с трудностями даже после того, как истек срок. Итак, если вы еще не начали свой путь к соблюдению требований, мы настоятельно рекомендуем вам начать прямо сейчас.

Выделите время, чтобы понять, что вам нужно сделать, чтобы соответствовать требованиям, и воспользуйтесь практическими советами, изложенными в этой статье, чтобы начать работу. Затем составьте план действий на пути к GDPR, чтобы вы и ваш бизнес подали жалобу раньше, чем позже.

Как GDPR повлиял на ваш бизнес?

Дайте мне знать в разделе комментариев ниже.

П.С. Если вам интересно узнать больше о том, как GDPR влияет на данные ваших клиентов, свяжитесь с нами сегодня.

Заявление об ограничении ответственности : Содержимое этого сообщения в блоге (включая все ответы на комментарии) не следует рассматривать как юридическую консультацию и должно использоваться только в информационных целях.

CRM

Вернуться к статьям

GDPR: как я могу безопасно отправлять данные по электронной почте в соответствии с новыми правилами? | Технологии

Как внештатный специалист по СМИ, мои работодатели часто просят меня прислать копии моего паспорта, заполненные визовые формы и другие конфиденциальные данные в виде вложений электронной почты.Я недавно задавал этот вопрос и не получил удовлетворительного ответа. Я попытался загрузить эти документы в свой аккаунт на Google Диске и дать им ссылку, хотя не знаю, безопаснее ли этот метод. Однако я не понимаю, как компании должны получать такие конфиденциальные данные в свете новых правил GDPR, вступающих в силу в мае. Роберт

Общие правила защиты данных Европейского Союза (GDPR), вступающие в силу 25 мая, будут регулировать хранение и обработку данных, а не их сбор.Он также включает некоторые очень важные права потребителей. Наиболее важными из них являются право на получение информации, право доступа, право исправлять ошибки, право удалять данные, право ограничивать обработку и право использовать их в другом месте (переносимость данных). Насколько они будут полезны на практике, еще предстоит увидеть.

Вопросы и ответы
Что такое GDPR?
Show

Общий регламент по защите данных (GDPR), вступивший в силу 25 мая 2018 года, заменил лоскутное одеяло из национальных законов о защите данных во всем ЕС единой системой, которая значительно увеличила размер штрафов, которые регулирующие органы могли наложить, и усилила требования для получения согласия обработки данных и создал новый общеевропейский регулятор данных под названием Европейский совет по защите данных.

Регламент регулирует обработку и хранение данных граждан ЕС, независимо от того, ведет ли компания операции в ЕС. Чтобы обеспечить соблюдение требований компаниями, GDPR также дает регуляторам данных право штрафовать до 20 миллионов евро, или 4% от годового мирового оборота. В Великобритании предыдущий максимальный штраф составлял 500 000 фунтов стерлингов; запись пост-GDPR в настоящее время составляет более 180 миллионов фунтов стерлингов за утечку данных, о которой сообщила British Airways в 2018 году.

Об утечках данных необходимо сообщить в течение 72 часов в регулирующий орган, и пострадавшие лица должны быть уведомлены, если только данные не были украдены. нечитаемый.Штрафы также могут быть наложены на компании, которые действуют в отношении данных без явного и осознанного согласия пользователя или не могут гарантировать, что согласие может быть отозвано в любое время.

GDPR также доработал и закрепил в законе понятие «право на забвение», переименовав его в «право на стирание», и предоставил гражданам ЕС право на переносимость данных, позволяя им брать данные из одной организации и предоставлять это к другому.

Спасибо за отзыв.

«Персональные данные» включают имена, адреса, номера телефонов и IP-адреса, а также то, что GDPR называет «факторами, специфичными для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица».Сюда входят биометрические данные, такие как распознавание лица, отпечатков пальцев и радужной оболочки глаза, а также генетическая информация. Другими словами, у вас могут быть личные данные, позволяющие идентифицировать кого-то, даже если вы не знаете его имени.

GDPR применяется к компаниям и организациям, особенно с более чем 250 сотрудниками. Домашние и домашние пользователи освобождены от уплаты. Однако, как фрилансер, вы храните и обрабатываете данные, даже если «обработка» означает просто ввод имени в адресной книге и его поиск. Поэтому вам следует провести аудит устройств и программного обеспечения, которые вы используете, чтобы убедиться, что личные данные других людей защищены.Это может потребовать использования резервных копий данных, паролей, шифрования, защиты от вредоносных программ и VPN при использовании общедоступных точек доступа. GDPR также обязывает вас сообщать людям, есть ли какие-либо нарушения безопасности.

Вам также следует проверить свои данные, чтобы убедиться, что вы храните только те данные, которые необходимы для вашей работы или которые вы обязаны хранить по закону, например, для целей налогообложения.

Управление комиссара по информации Великобритании (ICO) имеет полезный план из 12 шагов (PDF), хотя, как и большинство вещей, связанных с GDPR, он нацелен на компании.Лиз Хендерсон из IBM дает хорошее резюме в двух сообщениях на LinkedIn, GDPR Plan – у вас есть свой? и начальные шаги GDPR, что дальше …?

Примечание: GDPR модифицируется и внедряется в Великобритании в соответствии с законопроектом о защите данных, который все еще находится на рассмотрении парламента. Он должен включать некоторые исключения для журналистики, аналогичные тем, которые были в предыдущем DPA, поэтому проверьте, относятся ли они к вам.

Проблемы с электронной почтой

Вы правы, когда беспокоитесь об отправке сообщений по электронной почте.Электронные письма больше похожи на открытки с простым текстом, потому что теоретически их можно прочитать на любом из множества серверов, через которые они проходят, или если кто-то коснется линии. Конечно, «прочитано» вряд ли означает «прочитано человеком». Однако программное обеспечение может искать такие вещи, как пароли и номера кредитных карт.

Более вероятной проблемой является отправка электронных писем на неправильный адрес либо из-за того, что пользователи неправильно указали свои адреса электронной почты (это случается на удивление часто), либо из-за человеческой ошибки.Выберите неправильный адрес из списка предложений автозаполнения, и вы можете отправить личные данные не тому получателю. Это будет нарушение данных, о котором, возможно, придется сообщить.

Очевидно, было бы хорошо, если бы все электронные письма были зашифрованы по умолчанию, чтобы их мог прочитать только предполагаемый получатель. Три десятилетия истории говорят, что это произойдет не скоро, если вообще произойдет. Шифрование с открытым ключом слишком сложно для людей, которые просто хотят отправлять обычные электронные письма. Электронные письма

больше похожи на открытки с обычным текстом, потому что теоретически их можно прочитать на любом из множества серверов, через которые они проходят, или если кто-то коснется линии.Фотография: Roger Tooth / The Guardian

Некоторые крупные организации действительно имеют службы зашифрованной электронной почты, такие как NHS, но остальным это не помогает.

Некоторые люди выбирают безопасные почтовые службы, такие как ProtonMail в Швейцарии и Тутанота в Германии. Однако вы также должны отправить внешним получателям пароль – например, в текстовом SMS-сообщении – для расшифровки электронного письма.

Пользователи Tutanota получают электронное письмо с сообщением «у вас есть зашифрованное электронное письмо», и вы щелкаете ссылку, чтобы прочитать его и ответить на нее в браузере.Вы должны экспортировать электронное письмо, если хотите сохранить копию.

Существуют также подключаемые модули для Gmail и программы электронной почты Microsoft Outlook, которые предоставляют безопасные почтовые службы. Если один из ваших работодателей использует безопасную систему, он может позволить вам присоединиться.

Если нет другой альтернативы, вам следует зашифровать и защитить паролем свои изображения и документы, прежде чем отправлять их в виде вложений электронной почты. Опять же, вы должны отправить пароль отдельно либо через другую службу обмена сообщениями, либо по почте.

Интернет-хранилища

Рекомендуется загрузить вложения, а затем отправить людям ссылку. Однако имейте в виду, что вы загружаете документы в компанию, которая, вероятно, проводит самую большую операцию по слежке на планете. Зашифруйте свои документы перед их загрузкой.

Шифрование защищает данные в случае взлома службы онлайн-хранилища – это уже произошло – или взлома вашей электронной почты.

К сожалению, использование Google Диска вызывает дополнительные сложности.Если вы используете Gmail, вы можете предположить, что ваши данные хранятся, проходят через США или доступны из США.

GDPR не обязывает пользователей хранить данные на серверах внутри ЕС. Однако существуют дополнительные требования, если серверы находятся за пределами ЕС. Во-первых, у вас должна быть законная причина для передачи личных данных за пределы ЕС. Во-вторых, у вас должно быть согласие лица, данные которого экспортируются. В-третьих, вы должны дать этому человеку возможность отказаться.

В другом посте вышеупомянутая Лиз Хендерсон объясняет, как создать Уведомление о конфиденциальности GDPR, и вы можете адаптировать ее образец для охвата хранилища Gmail за пределами ЕС.

Вы можете переключиться на использование почтовой службы, которая полностью работает на территории ЕС (см. Выше), если только для тех, кто откажется от нее, или вы можете перейти на платную службу Google.

Google утверждает, что его сервисы G Suite и Google Cloud Platform (GCP) полностью соответствуют GDPR, поскольку предлагает подписать положения типового контракта ЕС и Поправку в отношении обработки данных. Мелким шрифтом отмечается, что «стороны признают и соглашаются с тем, что неевропейское законодательство о защите данных может также применяться к обработке персональных данных клиентов» и что «Google не будет обрабатывать персональные данные клиентов в рекламных целях или показывать рекламу в Сервисах».

Я не думаю, что GDPR действительно остановит обработку персональных данных на основе рекламы. Просто ждите, когда вы нажмете “Я согласен”, чтобы ознакомиться с множеством условий, которые вы даже не станете читать.

IANAL!

Имейте в виду, что GDPR – это юридический вопрос, и я не юрист. Я тоже не специалист по GDPR. Компании, которые могут быть оштрафованы на сумму до 20 миллионов евро или 4% от их годового оборота, должны серьезно отнестись к этому и следовать советам ICO. Многие консультанты также предлагают руководства, обучение, программные инструменты и другие услуги.

Фрилансеры, подобные нам, не являются целью, но мы должны работать, чтобы соответствовать нашим требованиям. В частности, не храните ненужные личные данные, а храните и используйте их безопасно. В самом деле, вы должны делать это, даже если GDPR не существует.

Есть вопросы? Отправьте его по адресу [email protected]

Эта статья содержит партнерские ссылки, что означает, что мы можем заработать небольшую комиссию, если читатель перейдет по ссылке и совершает покупку.Вся наша журналистика независима и никоим образом не зависит от рекламодателей или коммерческих инициатив. Нажимая на партнерскую ссылку, вы соглашаетесь с установкой сторонних файлов cookie. Больше информации.

Cisco и GDPR – Cisco

Политики и стандарты

Все начинается с определения четкой стратегии и правил обработки Персональных данных. Мы обновили наши существующие политики конфиденциальности и защиты данных, а также внутренние стандарты и управление, уделяя особое внимание жизненному циклу личных данных, индивидуальным правам, нарушениям данных, доступу к данным и безопасности.Это помогает обеспечить прозрачность, точность, доступность, полноту, безопасность и согласованность данных. Основные принципы нашей политики отражены в нашем заявлении о конфиденциальности.

Идентификация, классификация и сопоставление
Знание того, какие данные мы храним, является ключом к правильному и последовательному управлению данными. На основе кросс-функциональных усилий в масштабах всей компании мы составляем инвентаризацию и картируем данные, которые обрабатывает каждая организация в рамках Cisco. Мы также проводим инвентаризацию наших облачных продуктов и услуг.Это позволяет нам идентифицировать и понимать, что происходит с данными, включая то, что у нас есть, как мы их защищаем, что мы делаем с ними, где они находятся, куда они передаются, у кого есть доступ к ним и почему . Это также позволяет нам классифицировать данные на основе риска и чувствительности в контексте. Мы считаем, что сосредоточение внимания на результате и цели обработки ведет к более полному и более целостному профилю риска.

Для обеспечения ясности и согласованности этого процесса Cisco поддерживает руководства по стилю идентификации и классификации данных.Идентификация, классификация и сопоставление – это непрерывный итеративный процесс, который является основой усилий Cisco по обеспечению кибербезопасности и конфиденциальности.

Риск данных и организационная зрелость
Управление рисками данных требует понимания угроз, субъектов угроз, уязвимостей и рисков, связанных с обработкой (например, сбором, обменом, хранением, удалением и т. Д.) Конкретных типов данных, которые мы обрабатываем. Мы измеряем эффективность политик, процессов и средств контроля, которые мы применяем для защиты информации.

Наша зрелость в области управления рисками оценивает текущие сильные стороны и возможности в практике защиты данных Cisco как предприятия и наших отдельных бизнес-единиц. Мы выявляем риски и управляем ими до приемлемого уровня.

Cisco использует сопоставление данных как инструмент для определения того, где находятся данные, кто их использует, а также как и где они обрабатываются. Способность ответить на эти вопросы является фундаментальным требованием любой оценки воздействия на конфиденциальность (PIA). Cisco применяет эту дисциплину к нашим внутренним бизнес-процессам, и мы применяем ее на этапе разработки предложений Cisco, которые обрабатывают личные данные клиентов (см. Примечания о конфиденциальности для Cisco WebEx, Jabber и других в дополнительной информации о конфиденциальности).

В дополнение к картам данных Cisco выполняет специальную форму оценки рисков, адаптированную для использования в контексте конфиденциальности. Эта оценка риска конфиденциальности является технической в ​​том смысле, что она выявляет уязвимости, которые могут привести к раскрытию личных данных. Оценка риска данных объединяет классы или типы данных с разными стадиями использования данных. Классификация или типизация данных и использование данных (то есть данные в состоянии покоя, данные в движении и данные в использовании) определяются во время сопоставления данных. Объединение типов данных и этапов позволяет нам определить соответствующие уязвимости, связанные с каждым этапом.В нашем анализе используются четыре высокоуровневые категории оцененных уязвимостей:

  • Политика
  • Внутренние процессы
  • Технический
  • Внешние (например, третьи стороны, правила и т. Д.)

В каждой категории используются разные стратегии реагирования, смягчения, контроля и / или мониторинга.

После завершения сопоставления и оценки рисков вы можете назначить уровень зрелости рисков технических данных для бизнес-единицы.Текущий уровень погашения также имеет следующие факторы:

  • Управление и управление данными, принадлежащими бизнес-единице
  • Технические средства контроля защиты данных, включая метрики
  • Оценка защиты данных
  • Управление инцидентами и расследованиями
  • Стороннее управление (определение соответствия сторонних партнеров Cisco тем же стандартам, что и мы)

Соответствие бизнес-требованиям, определенным в разделе «Надзор и исполнение», является минимально допустимым уровнем зрелости.

Реагирование на инциденты
Мы внедрили тщательный процесс реагирования на инциденты с данными в масштабе всего предприятия, который интегрирован с нашими процессами обеспечения непрерывности бизнеса. Наша межфункциональная группа реагирования на инциденты состоит из сотрудников нескольких отделов. Члены предоставляют рекомендации и берут на себя ответственность за корректирующие действия в зависимости от их бизнес-функции и роли. Подгруппа группы реагирования на инциденты занимается обработкой утечек данных, что требует других процессов управления из-за возможных юридических / нормативных последствий.

Надзор и исполнение
Cisco развертывает централизованную модель управления защитой данных, которая контролирует, контролирует и обеспечивает соблюдение политик и стандартов, включая сторонние средства контроля, надзор поставщиков, мониторинг, аудит и исправление. Мы разработали нашу модель надзора и правоприменения на основе бизнес-требований клиентов, партнеров и регулирующих органов, а также нашей бизнес-стратегии, конкурентной дифференциации и целей управления рисками.

Правоприменение включает регулярную отчетность о соответствующих показателях и обзорах рисков, а также внутренние и внешние аудиты. Мы обеспечиваем соблюдение политик защиты данных во всех наших бизнес-подразделениях и поставщиках цепочек поставок Cisco. Мы призываем поставщиков цепочек поставок соблюдать строгие стандарты кибербезопасности, защиты данных и конфиденциальности, соответствующие стандартам, установленным для всех бизнес-подразделений Cisco.

Обеспечение конфиденциальности и безопасности
Cisco интегрирует требования к защите данных, конфиденциальности и безопасности в методологии проектирования и разработки продуктов от идеи до запуска с помощью Cisco Secure Development Lifecycle (CSDL).CSDL постоянно развивается и продвигается при разработке продуктов в Cisco. Мы интегрировали принципы конфиденциальности по дизайну / по умолчанию в разработку Cisco, обновив CSDL, чтобы включить эти принципы. Короче говоря, мы используем методы инженерии конфиденциальности, чтобы оценивать и создавать лучшие предложения, чтобы превратить конфиденциальность по принципам дизайна / по умолчанию в действия и ощутимые улучшения продукта. Разработка конфиденциальности начинается с концепции проекта с учетом принципов конфиденциальности данных, чтобы максимизировать ценность предложения при одновременном управлении рисками с учетом технических и бизнес-требований к предложению.В процессе разработки мы оцениваем, обрабатывает ли предложение персональные или другие конфиденциальные данные, и проверяем, встроены ли средства контроля конфиденциальности в технологии и процессы продуктов и приложений. Мы проверяем наличие средств управления и обновляем инвентарь перед выпуском предложения. Во время операций с использованием предложения Cisco или заказчик управляет запросами субъектов данных и любыми инцидентами с данными. Любые существенные изменения в данных или их использовании проходят тот же цикл CSDL по мере развития продукта.

Защита данных и информирование сотрудников о конфиденциальности
Cisco проводит различные мультимедийные мероприятия (онлайн, печать, видео, 3-D и т. Д.)) в течение года проводятся кампании по повышению осведомленности и обучению сотрудников вопросам защиты данных и конфиденциальности. Мы также поддерживаем активную интранет для совместной работы и общения на всех уровнях внутри компании. К ним относятся деловое поведение, защита данных, безопасность, конфиденциальность и специализированное обучение по GDPR и другим законам. Помимо базового информационного обучения, Cisco поощряет сотрудников к продолжению обучения во всех этих областях, с различными вариантами, от веб-сайтов, мультимедиа, курсов для самостоятельного обучения и соответствующих внешних сертификатов (например.g., Certified Information Privacy Professional (CIPP) / Europe for GDPR training). Мы считаем, что осведомленность сотрудников и их навыки в этих дисциплинах жизненно важны для долгосрочного успеха Cisco.

Защита данных в Канаде: все, что вам нужно знать о PIPEDA

Проблемы защиты персональных данных находятся в центре внимания во всем мире. В последние годы были приняты или предложены более всеобъемлющие законы о конфиденциальности данных, включая CCPA, GDPR Европейского Союза, PIPEDA Канады, LGPD Бразилии и Австралийскую схему обнаружения утечек данных.

Канада долгое время находилась на переднем крае защиты данных, приняв в 2000 г. Закон о защите личной информации и электронных документах (PIPEDA). Первоначальный закон основывался на 10 принципах, изложенных в Типовой модели защиты личной информации. еще в 1996 году, который включал, среди прочего, подотчетность, согласие и ограничение сбора данных. Сегодня эти принципы также можно найти в Общем регламенте ЕС по защите данных (GDPR).В соответствии с требованиями Управления уполномоченного по вопросам конфиденциальности Канады (OPC), PIPEDA регулирует порядок обработки личной информацией организациями частного сектора.

PIPEDA фактически получил печать одобрения Европейской комиссии на основании постановления о соответствии, вынесенного в пользу ее коммерческих организаций в конце 2001 года. С приближением GDPR правительство Канады было одним из первых, кто осознал необходимость обновления свое законодательство о конфиденциальности, чтобы обеспечить бесперебойную передачу данных между их страной и европейским блоком.Закон Канады о конфиденциальности данных, поправка к PIPEDA, предшествовал окончательному тексту GDPR на шесть месяцев и был принят 18 июня 2015 года. Однако его новые требования вступили в силу только 1 ноября 2018 года, что дало канадским компаниям достаточно времени для подготовки на соответствие.

Кому применяется PIPEDA?

Есть причина, по которой постановление об адекватности, полученное Канадой, было ограничено коммерческими организациями: PIPEDA применяется только к сбору, использованию или раскрытию личной информации в ходе коммерческой деятельности.Под его действие также подпадают регулируемые на федеральном уровне предприятия, такие как банки, авиакомпании и телекоммуникационные компании.

По сути, это означает, что некоммерческие организации, политические партии и ассоциации, а также образовательные учреждения и больницы, если они не занимаются какой-либо коммерческой деятельностью, находятся вне юрисдикции канадского закона о конфиденциальности данных. Сбор средств, сбор членских взносов и пожертвований, а также составление списков членов или доноров для целей общения не считаются коммерческой деятельностью, но продажа, обмен или сдача в аренду этих списков.

PIPEDA не распространяется на департаменты и агентства федерального правительства, поскольку их методы обработки личной информации подпадают под действие Закона о конфиденциальности.

Организации, действующие исключительно в провинциях, где местные законы о частном секторе были сочтены достаточно похожими на PIPEDA, также освобождаются от уплаты налогов. В настоящее время в эту категорию попадают провинции Альберта, Британская Колумбия и Квебек, а данные о состоянии здоровья в четырех других, Онтарио, Нью-Брансуике, Ньюфаундленде и Лабрадоре и Новой Шотландии, также защищены местным законодательством.Однако, как только данные пересекают провинциальные или национальные границы, применяется PIPEDA.

Хотя PIPEDA не указывает свою территорию, Федеральный суд Канады постановил, что PIPEDA действительно применяется к предприятиям, находящимся в других юрисдикциях, если существует существенная связь между деятельностью организации и Канадой. Это означает, что канадский закон о конфиденциальности данных может иметь разветвления для американских и международных организаций, ориентированных на канадских клиентов.

Что такое личные данные в PIPEDA?

PIPEDA защищает личные данные, которые содержат любую фактическую или субъективную информацию, записанную или нет, об идентифицируемом лице.Сюда входит не только личная информация (PII), такая как имя, возраст, идентификационный номер и этническая принадлежность или медицинские записи, файлы сотрудников, кредитные записи и т. Д., Но также мнения, оценки, комментарии, социальный статус и дисциплинарные меры.

Конфиденциальные данные, не охватываемые PIPEDA, включают, среди прочего, личную информацию, обрабатываемую федеральными правительственными организациями, подпадающими под действие Закона о конфиденциальности, деловую контактную информацию, используемую для общения с человеком в связи с его работой или профессией, личную коллекцию, использование или раскрытие личной информации исключительно в личных целях или сбор, использование или раскрытие личной информации организацией в журналистских, художественных или литературных целях.

10 принципов PIPEDA

Эти десять критериев, которые называются принципами честной информации, представляют собой основу PIPEDA и подробно описаны в Приложении 1 Закона о защите личной информации и электронных документах . Помимо них, организации несут ответственность за защиту и справедливое обращение с личной информацией в любое время и обязаны гарантировать, что любой сбор, использование или раскрытие личной информации осуществляется только в целях, которые разумное лицо сочтет подходящими с учетом обстоятельств.

10 принципов честной информации:

  1. Подотчетность : Организация несет ответственность за личную информацию, находящуюся под ее контролем. Он должен назначить сотрудника по вопросам конфиденциальности, цель которого – обеспечить соблюдение закона Канады о защите данных.
  2. Цели идентификации : Организации должны определить цели, для которых собираются личные данные, до или во время сбора.
  3. Согласие : согласие физического лица необходимо для сбора, использования или раскрытия личной информации.К этому принципу применяются некоторые исключения, например, в случаях, когда юридические, медицинские соображения или соображения безопасности делают получение согласия невозможным или непрактичным.
  4. Ограничение сбора : Информация должна собираться справедливым и законным способом и должна ограничиваться данными, необходимыми для целей, определенных организацией.
  5. Ограничение использования, раскрытия и хранения : Личная информация может быть использована или раскрыта только для тех целей, для которых она была собрана, и должна храниться исключительно в течение срока, необходимого для достижения этих целей, если только лицо не согласится на иное или этого не требует закон.
  6. Точность : Личная информация должна быть максимально точной, полной и актуальной, чтобы должным образом соответствовать целям, для которых она будет использоваться.
  7. Меры предосторожности : Личная информация должна быть защищена соответствующими мерами безопасности от потери или кражи, а также от несанкционированного доступа, раскрытия, копирования, использования или модификации.
  8. Открытость : Организации должны открыто рассказывать о своих политиках и практиках, касающихся управления личными данными, и обеспечивать легкий доступ к такой информации для физических лиц в общепринятом формате.
  9. Индивидуальный доступ : По запросу физическое лицо должно быть проинформировано о существовании, использовании и раскрытии его личной информации и получить к ней доступ. Физические лица имеют право оспаривать точность и полноту этой информации и вносить в нее соответствующие поправки. Организации могут отказать в доступе к личным данным, если информация не может быть раскрыта по юридическим причинам, соображениям безопасности или коммерческой собственности, либо является предметом привилегии адвоката-клиента или судебного разбирательства.
  10. Проблемы с соблюдением нормативных требований : человек может оспорить соблюдение организацией принципов PIPEDA и обратиться с проблемой к сотруднику компании по конфиденциальности, отвечающему за соблюдение требований PIPEDA.

Обязательные уведомления об утечке данных

Одним из основных новых требований, выдвинутых обновлением PIPEDA, было введение обязательных уведомлений об утечке данных. Начиная с 1 ноября st 2018, организации, подпадающие под действие PIPEDA, должны уведомить Уполномоченного по конфиденциальности Канады, если им станет известно о любых нарушениях мер безопасности, касающихся личной информации, которые представляют реальный риск нанесения значительного вреда людям.Компании также должны информировать лиц, пострадавших от таких нарушений.

Организации теперь должны вести записи обо всех нарушениях гарантий безопасности в течение двух лет, независимо от того, сообщалось ли об этих нарушениях Уполномоченному по конфиденциальности Канады или нет.

Компаниям необходимо будет разработать структуру для оценки реального риска значительного ущерба. Комиссар по конфиденциальности Канады предлагает организациям учитывать такие факторы, как конфиденциальность личной информации, связанной с нарушением, и вероятность того, что личная информация может быть использована неправомерно.Последнее можно оценить, задав вопросы, касающиеся характера нарушения, например, было ли оно результатом злонамеренного намерения или были ли утерянные данные надлежащим образом зашифрованы или анонимизированы.

Если организация сознательно игнорирует новые требования PIPEDA в отношении уведомлений о взломе данных и ведения документации, ей грозит штраф в размере 100 000 канадских долларов.

В заключение

Канадский закон о конфиденциальности направлен на защиту частной жизни людей и предоставление им права доступа к собранной о них информации.Канада продолжает лидировать в области защиты данных, и ее улучшения PIPEDA обязательно получат одобрение Европейской комиссии и сохранят ее в списке стран, подходящих для трансграничных переводов, эффективно гарантируя, что канадские предприятия продолжат одинаково обслуживают европейских и канадских клиентов, сохраняя при этом их личные данные в безопасности.

Часто задаваемые вопросы

Сколько законов о конфиденциальности в Канаде?

Канада имеет два федеральных закона о конфиденциальности:

  • Закон о конфиденциальности, который регулирует, как федеральные правительственные организации обрабатывают личную информацию;
  • Закона о защите личной информации и электронных документов (PIPEDA), который регулирует, как организации частного сектора обрабатывают личную информацию.

Законы Канады о конфиденциальности данных соблюдаются Управлением уполномоченного по конфиденциальности Канады.

Ознакомьтесь с 10 правилами защиты данных, которые вам необходимо знать о

В чем основные различия между PIPEDA и GDPR?

PIPEDA и GDPR согласованы по нескольким аспектам, но между двумя законами о конфиденциальности также есть заметные различия.Например, в отличие от GDPR, PIPEDA применяется только к организациям частного сектора и не применяется к государственным органам.
Различия между двумя законами включают аспекты, связанные с:

  • Критерии применимости;
  • Согласие на обработку данных;
  • штрафов;
  • Экстерриториальность;
  • Переносимость данных.

Узнайте больше о ключевых различиях между GDPR и PIPEDA

Применим ли GDPR к Канаде?

GDPR гласит, что организации, которые обрабатывают или хранят персональные данные, относящиеся к людям, живущим на территории ЕС, должны соблюдать правила, изложенные в постановлении.Это означает, что GDPR затрагивает канадские организации, которые:

  • Иметь офисы и сотрудников в ЕС;
  • Предлагать товары и услуги физическим лицам в ЕС через их веб-сайты или приложения;
  • Использовать файлы cookie для сбора IP-адреса или другой личной информации от граждан ЕС;
  • Обработка персональных данных физических лиц из ЕС.

Узнайте больше о соблюдении GDPR.

Чем PIPEDA отличается от HIPAA?

Закон о переносимости и подотчетности медицинского страхования (HIPAA) – это федеральный закон США, регулирующий конфиденциальность и безопасность личной медицинской информации (PHI) в отрасли здравоохранения, включая такие организации, как поставщики медицинских услуг и медицинские страховые компании.Субподрядчики и деловые партнеры организаций здравоохранения также должны соблюдать HIPAA.

В Канаде PIPEDA охватывает все организации частного сектора, которые обрабатывают любые личные данные, включая информацию о здоровье. Цель и сфера применения PIPEDA больше похожи на Общие правила защиты данных ЕС (GDPR), чем на HIPAA.

Подробнее о HIPAA

объяснитель-c_compliant-industry

Подробное руководство для всех предприятий о том, как обеспечить соответствие GDPR и как Endpoint Protector DLP может помочь в этом процессе.

Что такое защита данных и почему это важно? Определение с сайта WhatIs.com

Защита данных – это процесс защиты важной информации от повреждения, компрометации или потери.

Важность защиты данных возрастает по мере того, как объем создаваемых и хранимых данных продолжает расти беспрецедентными темпами. Также мало терпимости к простоям, которые могут сделать невозможным доступ к важной информации.

Следовательно, большая часть стратегии защиты данных заключается в том, чтобы гарантировать быстрое восстановление данных после любого повреждения или потери. Защита данных от компрометации и обеспечение конфиденциальности данных – другие ключевые компоненты защиты данных.

Пандемия коронавируса заставила миллионы сотрудников работать из дома, что привело к необходимости удаленной защиты данных. Компании должны адаптироваться, чтобы обеспечить защиту данных, где бы они ни находились, от центрального центра обработки данных в офисе до портативных компьютеров дома.

В этом руководстве вы узнаете, что влечет за собой защита данных, ключевые стратегии и тенденции, а также нормативные требования, чтобы избежать множества проблем, связанных с защитой критически важных рабочих нагрузок.

Принципы защиты данных

Ключевыми принципами защиты данных являются защита и предоставление данных при любых обстоятельствах. Термин защита данных используется для описания как оперативного резервного копирования данных, так и непрерывности бизнеса / аварийного восстановления (BCDR).Стратегии защиты данных развиваются по двум направлениям: доступность данных и управление данными.

Доступность данных гарантирует, что пользователи будут иметь данные, необходимые для ведения бизнеса, даже если данные повреждены или утеряны.

При защите данных используются две ключевые области управления данными: управление жизненным циклом данных и управление жизненным циклом информации. Управление жизненным циклом данных – это процесс автоматизации перемещения критически важных данных в оперативное и автономное хранилище. Управление жизненным циклом информации – это комплексная стратегия оценки, каталогизации и защиты информационных активов от ошибок приложений и пользователей, вредоносных программ и вирусных атак, сбоев компьютеров или простоев и сбоев в работе оборудования.

В последнее время управление данными стало включать в себя поиск способов раскрыть ценность бизнеса из бездействующих копий данных для отчетности, тестирования / разработки, аналитики и других целей.

Эта диаграмма от Enterprise Strategy Group описывает дополнительные, но отличные друг от друга ветви генеалогического древа защиты данных.

Какова цель защиты данных?

Технологии хранения, которые организации могут использовать для защиты данных, включают резервное копирование на диск или на магнитную ленту, которое копирует указанную информацию на дисковый массив хранения или ленточный картридж, чтобы ее можно было безопасно хранить.Резервное копирование на магнитную ленту – отличный вариант защиты данных от кибератак. Несмотря на то, что доступ к лентам может быть медленным, они портативны и по своей сути отключены, когда не загружены на накопитель, и, таким образом, защищены от угроз по сети.

Организации могут использовать зеркалирование для создания точной копии веб-сайта или файлов, чтобы они были доступны из более чем одного места.

Моментальные снимки

Storage могут автоматически генерировать набор указателей на информацию, хранящуюся на ленте или диске, обеспечивая более быстрое восстановление данных, в то время как непрерывная защита данных (CDP) выполняет резервное копирование всех данных на предприятии всякий раз, когда вносятся изменения.

Перенос данных

Переносимость данных – возможность перемещать данные между различными прикладными программами, вычислительными средами или облачными службами – представляет собой еще один набор проблем и решений для защиты данных. С одной стороны, облачные вычисления позволяют клиентам переносить данные и приложения между поставщиками облачных услуг или между ними. С другой стороны, это требует защиты от дублирования данных.

Так или иначе, облачное резервное копирование становится все более распространенным.Организации часто перемещают свои данные резервного копирования в общедоступные облака или облака, поддерживаемые поставщиками резервного копирования. Эти резервные копии могут заменить локальные дисковые и ленточные библиотеки или могут служить дополнительными защищенными копиями данных.

Резервное копирование традиционно было ключом к эффективной стратегии защиты данных. Данные периодически копировались, обычно каждую ночь, на ленточный накопитель или ленточную библиотеку, где они находились до тех пор, пока что-то не пошло не так с основным хранилищем данных. Именно тогда можно будет получить доступ к резервным данным и использовать их для восстановления потерянных или поврежденных данных.

Резервное копирование больше не является отдельной функцией. Вместо этого они сочетаются с другими функциями защиты данных для экономии места для хранения и снижения затрат.

Резервное копирование и архивирование, например, рассматривались как две отдельные функции. Резервное копирование предназначалось для восстановления данных после сбоя, в то время как архив предоставлял доступную для поиска копию данных. Однако это привело к избыточным наборам данных. Сегодня существуют продукты, которые выполняют резервное копирование, архивирование и индексирование данных за один проход. Такой подход экономит время организаций и сокращает объем данных в долгосрочном хранилище.

Конвергенция аварийного восстановления и резервного копирования

Еще одна область, в которой технологии защиты данных объединяются, – это объединение возможностей резервного копирования и аварийного восстановления (DR). Виртуализация сыграла здесь важную роль, сместив акцент с копирования данных в определенный момент времени на непрерывную защиту данных.

Исторически резервное копирование данных заключалось в создании дубликатов данных. DR, с другой стороны, сосредоточился на том, как резервные копии используются в случае аварии.

Моментальные снимки и репликация сделали возможным восстановление после сбоя намного быстрее, чем в прошлом. Когда сервер выходит из строя, данные из резервного массива используются вместо основного хранилища, но только если организация принимает меры для предотвращения изменения этой резервной копии.

Эти шаги включают использование моментального снимка данных из массива резервных копий для немедленного создания разностного диска. Исходные данные из резервного массива затем используются для операций чтения, а операции записи направляются на разностный диск.При таком подходе исходные данные резервной копии остаются неизменными. И пока все это происходит, хранилище отказавшего сервера восстанавливается, и данные реплицируются из массива резервных копий в заново построенное хранилище отказавшего сервера. После завершения репликации содержимое разностного диска объединяется в хранилище сервера, и пользователи снова начинают работать.

Дедупликация данных, также известная как дедупликация данных, играет ключевую роль в резервном копировании на диск. Dedupe устраняет избыточные копии данных, чтобы уменьшить объем хранилища, необходимый для резервного копирования.Дедупликация может быть встроена в программное обеспечение резервного копирования или может быть программной функцией в дисковых библиотеках.

Приложения

Dedupe заменяют избыточные блоки данных указателями на уникальные копии данных. Последующие резервные копии включают только те блоки данных, которые изменились с момента предыдущего резервного копирования. Дедупликация зародилась как технология защиты данных и перешла на первичные данные как ценная ключевая функция, позволяющая сократить объем емкости, необходимой для более дорогих флэш-носителей.

CDP играет ключевую роль в аварийном восстановлении и обеспечивает быстрое восстановление данных из резервных копий.CDP позволяет организациям вернуться к последней исправной копии файла или базы данных, уменьшая количество информации, теряемой в случае повреждения или удаления данных. CDP начинался как отдельная категория продуктов, но постепенно превратился в встроенную в большинство приложений репликации и резервного копирования. CDP также может избавить от необходимости хранить несколько копий данных. Вместо этого организации сохраняют единственную копию, которая постоянно обновляется по мере появления изменений.

Время отклика непрерывной защиты данных находится где-то между репликацией и резервным копированием.

Стратегии защиты корпоративных данных

Современная защита данных для основного хранилища предполагает использование встроенной системы, которая дополняет или заменяет резервные копии и защищает от потенциальных проблем, описанных ниже.

Сбой носителя. Цель состоит в том, чтобы сделать данные доступными даже в случае сбоя устройства хранения. Синхронное зеркальное отображение – это один из подходов, при котором данные записываются на локальный диск и удаленный сайт одновременно. Запись не считается завершенной до тех пор, пока с удаленного сайта не будет отправлено подтверждение, гарантирующее, что два сайта всегда идентичны.Зеркалирование требует 100% накладных расходов на емкость.

Защита RAID

– это альтернатива, которая требует меньших накладных расходов. С помощью RAID физические диски объединяются в логическую единицу, которая представляется операционной системе как один жесткий диск. RAID позволяет хранить одни и те же данные в разных местах на нескольких дисках. В результате операции ввода-вывода сбалансированно перекрываются, улучшая производительность и повышая защиту.

Защита RAID

должна вычислять четность, метод, который проверяет, были ли данные потеряны или перезаписаны при перемещении из одного места хранения в другое, и это вычисление потребляет вычислительные ресурсы.

Стоимость восстановления после сбоя носителя – это время, необходимое для возврата в защищенное состояние. Зеркальные системы могут быстро вернуться в защищенное состояние; Системы RAID занимают больше времени, потому что они должны пересчитывать всю четность. Усовершенствованным RAID-контроллерам не нужно читать весь диск для восстановления данных при восстановлении диска, им нужно только восстановить данные, которые находятся на этом диске. Учитывая, что емкость большинства дисков составляет около одной трети емкости, интеллектуальный RAID может значительно сократить время восстановления.

Erasure coding – альтернатива расширенному RAID, который часто используется в масштабируемых средах хранения. Как и в случае с RAID, кодирование со стиранием использует системы защиты данных на основе четности, записывая как данные, так и данные с четностью в кластере узлов хранения. При кодировании со стиранием все узлы в кластере хранения могут участвовать в замене отказавшего узла, поэтому процесс восстановления не ограничивается ЦП и происходит быстрее, чем в традиционном массиве RAID.

Replication – еще одна альтернатива защиты данных для горизонтально масштабируемого хранилища, когда данные зеркалируются с одного узла на другой или на несколько узлов.Репликация проще, чем кодирование со стиранием, но она потребляет как минимум вдвое больше емкости защищенных данных.

При кодировании со стиранием данные хранятся на разных дисках для защиты от любой единственной точки отказа.

Повреждение данных. Когда данные повреждены или случайно удалены, для настройки можно использовать моментальные снимки. Большинство систем хранения сегодня могут отслеживать сотни снимков без какого-либо значительного влияния на производительность.

Системы хранения

, использующие моментальные снимки, могут работать с ключевыми приложениями, такими как Oracle и Microsoft SQL Server, для захвата чистой копии данных во время создания моментального снимка.Такой подход позволяет делать частые снимки, которые можно хранить в течение длительного времени.

При повреждении данных или их случайном удалении можно смонтировать моментальный снимок и скопировать данные обратно в производственный том, или моментальный снимок может заменить существующий том. При использовании этого метода потери данных минимальны, а время восстановления практически мгновенно.

Сбой системы хранения. Для защиты от сбоев нескольких дисков или других серьезных событий центры обработки данных полагаются на технологию репликации, построенную на основе моментальных снимков.

При репликации моментальных снимков только измененные блоки данных копируются из первичной системы хранения во внешнюю вторичную систему хранения. Репликация моментальных снимков также используется для репликации данных во вторичное хранилище на месте, доступное для восстановления в случае отказа основной системы хранения.

Полный отказ центра обработки данных. Для защиты от потери центра обработки данных требуется полный план аварийного восстановления. Как и в случае с другими сценариями сбоя, существует несколько вариантов.Репликация моментальных снимков, при которой данные реплицируются на вторичный сайт, является одним из вариантов. Однако стоимость обслуживания вторичного сайта может быть непомерно высокой.

Облачные сервисы – еще одна альтернатива. Организация может использовать репликацию вместе с продуктами и услугами облачного резервного копирования для хранения самых последних копий данных, которые, скорее всего, потребуются в случае серьезной аварии, и для создания образов приложений. Результат – быстрое восстановление в случае потери центра обработки данных.

Тенденции в области защиты данных

Хотя исследования показывают недостаток навыков защиты данных, важно оставаться в тени последних тенденций в политике и технологиях защиты данных.

Гиперконвергенция. С появлением гиперконвергенции поставщики начали предлагать устройства, обеспечивающие резервное копирование и восстановление для физических и виртуальных сред, которые являются гиперконвергентными, негиперконвергентными и смешанными. Возможности защиты данных, интегрированные в гиперконвергентную инфраструктуру, заменяют ряд устройств в центре обработки данных.

Cohesity, Rubrik и другие поставщики предлагают гиперконвергенцию для вторичного хранилища, обеспечивая резервное копирование, аварийное восстановление, архивирование, управление копированием данных и другие функции неосновного хранилища.Эти продукты объединяют программное и аппаратное обеспечение и могут служить целью резервного копирования для существующих приложений резервного копирования в центре обработки данных. Они также могут использовать облако в качестве цели и обеспечивать резервное копирование виртуальных сред.

Программы-вымогатели. Этот тип вредоносного ПО, которое удерживает данные в заложниках за плату за вымогательство, представляет собой растущую проблему. Для защиты данных от программ-вымогателей использовались традиционные методы резервного копирования. Однако более сложные программы-вымогатели адаптируются к традиционным процессам резервного копирования и обходят их.

Последняя версия вредоносной программы постепенно проникает в данные организации, поэтому организация создает резервную копию вируса-вымогателя вместе с данными. Эта ситуация затрудняет, если не делает невозможным, откат к чистой версии данных.

Чтобы противостоять этой проблеме, поставщики работают над адаптацией продуктов и методологий резервного копирования и восстановления, чтобы препятствовать появлению новых возможностей программ-вымогателей.

Кроме того, предприятия должны обеспечивать защиту данных, хранящихся удаленно, поскольку угрозы программ-вымогателей усиливаются, когда сотрудники становятся более уязвимыми и работают в менее защищенных сетях.

Управление копированием данных. CDM сокращает количество копий данных, которые организация должна сохранять, сокращая накладные расходы, необходимые для хранения и управления данными, и упрощая защиту данных. CDM может ускорить циклы выпуска приложений, повысить производительность и снизить административные расходы за счет автоматизации и централизованного управления.

Следующий шаг с CDM – добавить больше интеллекта. Такие компании, как Veritas Technologies, объединяют CDM со своими интеллектуальными платформами управления данными.

Аварийное восстановление как услуга. Использование DRaaS расширяется по мере того, как предлагается больше опций и снижаются цены. Он используется для критически важных бизнес-систем, в которых растущий объем данных реплицируется, а не выполняется резервное копирование.

Защита мобильных данных

Среди распространенных проблем защиты данных резервное копирование и восстановление для мобильных устройств является сложной задачей. Извлечение данных с этих устройств может быть затруднительным, а несогласованное подключение затрудняет планирование резервного копирования, а то и делает его невозможным.Защита мобильных данных еще больше усложняется необходимостью хранить личные данные на мобильных устройствах отдельно от бизнес-данных.

Выборочная синхронизация и совместное использование файлов – один из подходов к защите данных на мобильных устройствах. Хотя это не настоящее резервное копирование, продукты для синхронизации и обмена файлами обычно используют репликацию для синхронизации файлов пользователей с репозиторием в общедоступном облаке или в сети организации. Затем необходимо создать резервную копию этого места. Синхронизация и совместное использование файлов действительно дает пользователям доступ к нужным им данным с мобильного устройства, синхронизируя любые изменения, которые они вносят в данные, с исходной копией.Однако он не защищает состояние мобильного устройства, которое необходимо для быстрого восстановления.

Различия между защитой данных, безопасностью и конфиденциальностью

Хотя компании могут использовать термины защита данных, безопасность данных и конфиденциальность данных как синонимы, и они связаны друг с другом, у них разные цели:

  • Защита данных защищает информацию от потери посредством резервного копирования и восстановления.
  • Безопасность данных относится конкретно к мерам, принятым для защиты целостности самих данных от манипуляций и вредоносных программ.Обеспечивает защиту от внутренних и внешних угроз.
  • Конфиденциальность данных относится к управлению доступом к данным. Организации должны определить, у кого есть доступ к данным. Понятно, что нарушение конфиденциальности может привести к проблемам с безопасностью данных.
Безопасность данных относится к мерам, принятым для защиты целостности данных от манипуляций и вредоносных программ, в то время как конфиденциальность относится к контролю доступа к данным.

Законы о защите данных и конфиденциальности

Законы и постановления о защите данных и конфиденциальности различаются от страны к стране и даже от штата к штату – и появляется постоянный поток новых.Закон Китая о конфиденциальности данных вступил в силу 1 июня 2017 года. Общий регламент Европейского Союза о защите данных (GDPR) вступил в силу в 2018 году. В Соединенных Штатах Калифорнийский закон о конфиденциальности данных поддерживает право отдельных лиц контролировать свою личную информацию. . Соблюдение какого-либо одного набора правил сложно и сложно.

Персональные данные могут состоять из чего угодно: от имени, фотографии, адреса электронной почты или реквизитов банковского счета до сообщений на веб-сайтах социальных сетей, биометрических данных или IP-адреса компьютера человека.

Координация между всеми разрозненными правилами и положениями – сложная задача. Несоблюдение требований может означать большие штрафы и другие санкции, включая необходимость прекращения ведения бизнеса в стране или регионе, на которые распространяется действие закона или нормативного акта.

Для глобальной организации эксперты рекомендуют иметь политику защиты данных, которая соответствует самому строгому набору правил, с которыми сталкивается бизнес, и в то же время использовать структуру безопасности и соответствия, которая покрывает широкий набор требований.Руководящие принципы защиты данных и конфиденциальности применяются повсеместно и включают следующее:

  • защита данных;
  • получение согласия от лица, данные которого собираются;
  • с указанием правил, применимых к данной организации, и собираемых ею данных; и
  • обеспечивает полное обучение сотрудников нюансам конфиденциальности и безопасности данных.

Защита данных в соответствии с GDPR

Европейский Союз обновил свои законы о конфиденциальности данных директивой, которая вступила в силу 25 мая 2018 г.GDPR заменяет Директиву ЕС о защите данных 1995 года и направлен на повышение прозрачности бизнеса. Это также расширяет права на неприкосновенность частной жизни в отношении личных данных.

GDPR охватывает данные всех граждан ЕС, независимо от того, где находится организация, собирающая данные. Это также относится ко всем людям, данные которых хранятся в Европейском Союзе, независимо от того, являются они гражданами ЕС или нет.

Требования

GDPR включают следующее:

  • Запрещение предприятиям хранить или использовать личную информацию, позволяющую установить личность, без явного согласия этого лица.
  • Требование к компаниям уведомить всех затронутых людей и контролирующий орган в течение 72 часов с момента утечки данных.
  • Для предприятий, которые обрабатывают или контролируют данные в больших масштабах, имея сотрудника по защите данных, который отвечает за управление данными и обеспечивает соблюдение компанией GDPR.

Организации должны соблюдать GDPR или рисковать штрафами до 20 миллионов евро или 4% от мирового оборота за предыдущий финансовый год, в зависимости от того, что больше.

GDPR может побудить предприятия применять методы, обеспечивающие долгосрочные конкурентные преимущества.

GDPR в Части 1 отмечает, что защита личных данных является фундаментальным правом. Тем не менее, в Рекитале 4 говорится, что это право должно быть сбалансировано с другими правами.

Изложение 1 гласит: «Защита физических лиц в связи с обработкой персональных данных является основным правом. Статья 8 (1) Хартии основных прав Европейского Союза (« Хартия ») и статья 16 (1) ) Договора о функционировании Европейского Союза (TFEU) предусматривают, что каждый имеет право на защиту личных данных, касающихся его или ее.«

Recital 4 гласит: «Обработка персональных данных должна быть направлена ​​на служение человечеству. Право на защиту персональных данных не является абсолютным правом; его следует рассматривать в связи с его функцией в обществе и уравновешивать его с другими основными правами. , в соответствии с принципом соразмерности. Настоящий Регламент уважает все основные права и соблюдает свободы и принципы, признанные в Хартии, закрепленные в Договорах, в частности уважение частной и семейной жизни, жилища и общения, защита личных данных , свобода мысли, совести и религии, свобода выражения мнений и информации, свобода ведения бизнеса, право на эффективные средства правовой защиты и справедливое судебное разбирательство, а также культурное, религиозное и языковое разнообразие.