^a Статья 29 Рабочая группа, Мнение 12/2011 по интеллектуальным счетам , Брюссель, 4 апреля 2011 г., 00671/11 / EN, WP 183.

^b Европейский надзорный орган по защите данных, Мнение о Рекомендации Комиссии по подготовке к развертыванию систем интеллектуального учета , Брюссель, 8 июня 2012 г.

^c Европейское агентство по сетевой и информационной безопасности (ENISA), Smart Grid Security. Рекомендации для Европы и государств-членов , 1 июля 2012 г .; idem, Соответствующие меры безопасности для интеллектуальных сетей. Руководство по оценке сложности реализации мер безопасности , 6 декабря 2012 г.

^d Статья 29 Рабочая группа, Мнение 04/2013 о шаблоне оценки воздействия на защиту данных для интеллектуальных сетей и интеллектуальных систем учета («Шаблон DPIA» ) подготовлено группой экспертов 2 Целевой группы Комиссии по интеллектуальным сетям, Брюссель, 22 апреля 2013 г. , 00678/13 / EN, WP205.

^e Статья 29 Рабочая группа, Заключение 07/2013 о шаблоне оценки воздействия на защиту данных для интеллектуальных сетей и интеллектуальных систем учета («Шаблон DPIA»), подготовленного группой экспертов 2 Целевой группы Комиссии по интеллектуальным сетям , Брюссель, 4 декабря 2013 г., 2064/13 / EN, WP209.

^f Европейская комиссия, Рекомендация от 10 октября 2014 г. о шаблоне оценки воздействия на защиту данных для интеллектуальных сетей и интеллектуальных систем учета , 2014/724 / EU, OJ L 300, 18.10.2014, стр. 63–68 (, далее : Рекомендация 2014 г.).

^g Европейская комиссия, Совместный вклад DG ENER и DG INFSO в цифровую повестку дня, действие 73: Набор общих функциональных требований интеллектуального счетчика , Брюссель, октябрь 2011 г. http: // ec. europa.eu/energy/gas_electricity/smartgrids/doc/2011_10_smart_meter_funtionalities_report_full. pdf

^h Европейская комиссия, Объединенный исследовательский центр, Институт энергетики и транспорта, Руководство по проведению анализа рентабельности проектов Smart Grid , Отчет 25246 евро EN, Петтен 2012.http://ses.jrc.ec.europa.eu/sites/ses.jrc.ec.europa.eu/files/publications/guidelines_for_conducting_a_cost-benefit_analysis_of_smart_grid_projects.pdf; idem, Руководство по анализу рентабельности развертывания интеллектуального измерения , отчет 25103 евро EN, Petten 2012. http://ses.jrc.ec.europa.eu/sites/ses/files/documents/guidelines_for_cost_benefit_analysis_of_smart_metering_deployment.pdf

3 9003 900 Что такое GDPR, его требования и факты?

Компании, которые собирают данные о гражданах в странах Европейского союза (ЕС), должны соблюдать новые строгие правила защиты данных клиентов.Общий регламент по защите данных (GDPR) устанавливает новый стандарт для прав потребителей в отношении их данных, но компании столкнутся с трудностями, поскольку они внедряют системы и процессы для обеспечения соответствия.

Соответствие вызовет некоторые опасения и новые ожидания групп безопасности. Например, GDPR широко рассматривает, что составляет личную идентификационную информацию. Компаниям потребуется такой же уровень защиты для таких вещей, как IP-адрес человека или данные cookie, что и для имени, адреса и номера социального страхования.

GDPR оставляет многое для интерпретации. В нем говорится, что компании должны обеспечивать «разумный» уровень защиты личных данных, например, но не определяется, что считается «разумным». Это дает руководящему органу GDPR большую свободу действий при оценке штрафов за утечку данных и несоблюдение требований.

Время на исходе, чтобы уложиться в срок, поэтому CSO собрал все, что нужно знать любому бизнесу о GDPR, а также рекомендации по соблюдению его требований. Многие из требований не относятся напрямую к информационной безопасности, но процессы и системные изменения, необходимые для выполнения, могут повлиять на существующие системы и протоколы безопасности.

Что такое GDPR?

Европейский парламент принял GDPR в апреле 2016 года, заменив устаревшую директиву о защите данных с 1995 года. В ней содержатся положения, требующие от предприятий защиты личных данных и конфиденциальности граждан ЕС при транзакциях, которые происходят в государствах-членах ЕС. GDPR также регулирует экспорт личных данных за пределы ЕС.

[ Связано: -> Как подготовиться к приближающемуся Общему регламенту защиты данных ]

Положения одинаковы во всех 28 странах-членах ЕС, что означает, что компании должны соблюдать только один стандарт в ЕС.Однако этот стандарт довольно высок, и для его соблюдения и управления большинством компаний потребуется вложить значительные средства.

Почему существует GDPR?

Краткий ответ на этот вопрос – общественное беспокойство по поводу конфиденциальности. В Европе в целом уже давно действуют более строгие правила использования компаниями личных данных своих граждан. GDPR заменяет Директиву ЕС о защите данных, которая вступила в силу в 1995 году. Это было задолго до того, как Интернет стал центром онлайн-бизнеса, которым он является сегодня.Следовательно, директива устарела и не затрагивает многие способы хранения, сбора и передачи данных сегодня.

Насколько реальна обеспокоенность общественности по поводу конфиденциальности? Это значительный показатель, и он растет с каждой новой серьезной утечкой данных. Согласно отчету RSA о конфиденциальности и безопасности данных, для которого RSA опросила 7500 потребителей во Франции, Германии, Италии, Великобритании и США, 80% потребителей заявили, что потеря банковских и финансовых данных является главной проблемой. Утерянная информация о безопасности (например,ж., пароли) и идентификационная информация (например, паспорта или водительские права) вызвали озабоченность 76% респондентов.

Тревожной статистикой для компаний, занимающихся данными о потребителях, является то, что 62% респондентов отчета RSA заявили, что в случае взлома они обвинят компанию в потере данных, а не хакера. Авторы отчета пришли к выводу, что «по мере того, как потребители становятся более информированными, они ожидают большей прозрачности и оперативности от управляющих их данными.”

Недоверие к тому, как компании обращаются со своей личной информацией, побудило некоторых потребителей принять собственные меры противодействия. Согласно отчету, 41% респондентов заявили, что намеренно фальсифицируют данные при подписке на услуги онлайн. Проблемы безопасности, желание избежать нежелательного маркетинга или риск перепродажи данных были среди их главных забот.

Отчет также показывает, что потребители не легко простят компанию, если произойдет нарушение, раскрывающее их личные данные.72% респондентов в США заявили, что они бойкотируют компанию, которая, по всей видимости, игнорирует защиту их данных. Пятьдесят процентов всех респондентов заявили, что они с большей вероятностью будут делать покупки в компании, которая может доказать, что серьезно относится к защите данных.

«По мере того, как компании продолжают свои цифровые преобразования, более широко используя цифровые активы, услуги и большие данные, они также должны нести ответственность за ежедневный мониторинг и защиту этих данных», – заключил отчет.

Какие типы данных конфиденциальности защищает GDPR?

• Основная идентификационная информация, такая как имя, адрес и идентификационные номера
• Интернет-данные, такие как местоположение, IP-адрес, данные файлов cookie и RFID-метки
• Медицинские и генетические данные
• Биометрические данные
• Расовые или этнические данные
• Политические взгляды
• Сексуальная ориентация

На какие компании влияет GDPR?

Любая компания, которая хранит или обрабатывает личную информацию о гражданах ЕС в странах ЕС, должна соблюдать GDPR, даже если у них нет бизнес-присутствия в ЕС.Конкретные критерии для компаний, которые должны соответствовать:

• Присутствие в стране ЕС.
• Нет присутствия в ЕС, но обрабатывает личные данные жителей Европы.
• Более 250 сотрудников.
• Менее 250 сотрудников, но его обработка данных влияет на права и свободы субъектов данных, не является случайной или включает определенные типы конфиденциальных личных данных. Фактически это означает почти все компании. Опрос PwC показал, что 92% компаний U.Компании S. считают GDPR главным приоритетом защиты данных.

В новом опросе, проведенном Propeller Insights при спонсорской поддержке Netsparker Ltd., руководители спрашивали, какие отрасли больше всего пострадают от GDPR. В большинстве случаев (53%) сектор технологий пострадал больше всего, за ним следовали интернет-магазины (45%), компании-разработчики программного обеспечения (44%), финансовые услуги (37%), онлайн-услуги / SaaS (34%) и розничные / потребительские товары. (33%).

Кто в моей компании будет отвечать за соблюдение нормативных требований?

GDPR определяет несколько ролей, которые несут ответственность за обеспечение соответствия: контроллер данных, обработчик данных и сотрудник по защите данных (DPO).Контроллер данных определяет, как обрабатываются личные данные и для каких целей. Контроллер также несет ответственность за соблюдение требований внешних подрядчиков.

[ Связано: -> Требования GDPR повышают глобальные ставки защиты данных ]

Обработчиками данных могут быть внутренние группы, которые ведут и обрабатывают записи личных данных, или любая аутсорсинговая фирма, которая выполняет все или часть этих действий. GDPR возлагает на обработчиков данных ответственность за нарушения или несоблюдение.Тогда возможно, что и ваша компания, и партнер по обработке, например поставщик облачных услуг, будут нести ответственность за штрафные санкции, даже если вина полностью ложится на партнера по обработке.

GDPR требует, чтобы контроллер и процессор назначили DPO для наблюдения за стратегией безопасности данных и соответствием GDPR. Компании должны иметь DPO, если они обрабатывают или хранят большие объемы данных граждан ЕС, обрабатывают или хранят специальные личные данные, регулярно контролируют субъектов данных или являются государственным органом.Некоторые государственные организации, такие как правоохранительные органы, могут быть освобождены от требования DPO.

Согласно исследованию Propeller Insights, 82% компаний-респондентов заявили, что у них уже есть штатные сотрудники, хотя 77% планируют нанять нового или заменяющего DPO до крайнего срока 25 мая. Этот наем не заканчивается на DPO. Около 55% респондентов сообщили, что наняли не менее шести новых сотрудников для обеспечения соответствия GDPR.

Как GDPR влияет на контракты с третьими сторонами и клиентами?

GDPR возлагает равную ответственность на контроллеры данных (организацию, владеющую данными) и обработчики данных (внешние организации, которые помогают управлять этими данными).Сторонний процессор, не соответствующий требованиям, означает, что ваша организация не соответствует требованиям. Новое постановление также содержит строгие правила сообщения о нарушениях, которые должен соблюдать каждый в цепочке. Организации также должны информировать клиентов об их правах в соответствии с GDPR.

Это означает, что все существующие контракты с обработчиками (например, поставщиками облачных услуг, поставщиками SaaS или поставщиками услуг по расчету заработной платы) и клиентами должны четко определять обязанности. В пересмотренных контрактах также необходимо определить последовательные процессы управления и защиты данных и сообщения о нарушениях.

«Самая большая работа связана с закупками внутри компании – вашими сторонними поставщиками, вашими поставщиками, которые обрабатывают данные от вашего имени», – говорит Мэтью Льюис, руководитель международной практики банковского дела и регулирования в компании Axiom, предоставляющей юридические услуги. «Существует целая группа поставщиков, которые имеют доступ к этим личным данным, и GDPR очень четко определяет, что вам необходимо убедиться, что все эти третьи стороны соблюдают GDPR и обрабатывают данные соответствующим образом».

Клиентские контракты также должны отражать нормативные изменения, – говорит Льюис.«Клиентские контракты принимают различные формы, будь то интерактивные переходы по ссылкам или официальные соглашения, в которых вы берете на себя обязательства в отношении того, как вы просматриваете, получаете доступ и обрабатываете данные».

Прежде чем эти контракты могут быть пересмотрены, руководители предприятий, ИТ-отделы и группы безопасности должны понять, как данные хранятся и обрабатываются, и согласовать соответствующий процесс отчетности. «Технологическим группам, директорам по информационным технологиям и группе управления данными требуется довольно масштабное упражнение, чтобы понять, какие данные подходят для компании, где они хранятся или обрабатываются и куда экспортируются за пределы компании.Как только вы поймете эти потоки данных и их влияние на бизнес, вы сможете начать определять поставщиков, на которых вам нужно больше всего сосредоточиться как с точки зрения информационной безопасности, так и с точки зрения управления этими отношениями в будущем и того, как вы запомните это в контракте. сам », – говорит Льюис.

GDPR может также изменить отношение бизнес-групп и специалистов по безопасности к данным. Большинство компаний рассматривают свои данные и процессы, которые они используют для добычи полезных ископаемых, как актив, но это восприятие изменится, говорит Льюис. «Учитывая явное согласие GDPR и компании, которым необходимо более детально разбираться в данных и потоках данных, теперь существует целый ряд обязательств, связанных с накоплением данных», – говорит Льюис. «Это совершенно другое мировоззрение как с точки зрения законодательства, так и с точки зрения соблюдения нормативных требований, но, возможно, более важно для того, как бизнес думает о накоплении и использовании этих данных, а также для групп информационной безопасности и того, как они думают об управлении этими данными».

«Данные уходят из фирмы разными способами, – говорит Льюис.«Хотя директора по информационным технологиям и технологические группы должны иметь возможность отслеживать все это, вам также необходимо установить защиту». Эти меры защиты должны быть прописаны в контракте, чтобы сторонние фирмы понимали, что они могут и не могут делать с данными.

Льюис отмечает, что, пройдя через процесс определения обязательств и ответственности, он подготавливает компанию к оперативному соблюдению GDPR. «Если один из ваших поставщиков скажет:« Вы были взломаны вчера вечером », знают ли они, кому звонить и как реагировать в рамках соблюдения нормативных требований», – говорит он.

72-часовое окно отчетности, которое требует GDPR, делает особенно важным, чтобы поставщики знали, как правильно сообщать о нарушении. «Если поставщик был взломан, а вы являетесь одним из тысяч клиентов, уведомляют ли они ваш отдел закупок, сотрудника по счетам или кого-то из счетов к получению? Это могло произойти разными способами », – говорит Льюис.

Вы хотите, чтобы в контракте был четко определен путь, по которому информация будет поступать к лицу в вашей организации, ответственному за сообщение о нарушении.«Регулирующий орган не собирается говорить, что у вас не должно было быть нарушения. Они скажут, что у вас должна быть политика, процедуры и структура реагирования, чтобы быстро решить эту проблему », – говорит Льюис.

Более крупным компаниям, возможно, придется обновить тысячи контрактов. Эта проблема усложняется тем, что это нужно делать на поздних этапах процесса соответствия. Прежде чем вы сможете определить обязанности и ответственность, вы должны точно знать, какие данные у вас есть, где и как они обрабатываются, а также потоки данных.«Это привело к тому, что многие учреждения стремятся к сроку, пытаясь решить технические и операционные проблемы, и вынуждены наверстывать упущенное, заключая правильный контракт, чтобы обеспечить выполнение этого. Многие фирмы не пересматривали условия контрактов ».

Возникает вопрос: что произойдет, если все контракты не будут заключены к майскому крайнему сроку? Льюис видит несколько рисков, связанных с невыполнением контрактов:

• Оперативный: Если вы не договорились с поставщиком о ваших процессах, неясно, как вы будете действовать в соответствии с GDPR.
• Управление поставщиками: согласно GDPR вам необходимо знать, как работают ваши поставщики, включая их структуру безопасности, и как они управляют данными. Без этого знания вы не знаете, какой риск они представляют.
• Нормативные штрафы: Льюис отмечает, что ЕС известен своей готовностью взимать высокие штрафы за несоблюдение нормативных требований. Если происходит нарушение, отсутствие контрактов вполне может сработать против компании. «Отсутствие контракта – признак того, что вы не знаете, что делают ваши поставщики, и это более серьезная проблема управления, связанная с тем, какую инфраструктуру вы используете и как обрабатываете данные», – говорит Льюис.«Это дает регулирующему органу представление о том, насколько вы организованы и насколько хорошо вы понимаете свои потоки данных».

12 причин, почему защита конфиденциальности данных приносит пользу для бизнеса

Мое выступление в первый день конференции Data Privacy Asia, проходящей 19 и 20 сентября в Маниле, Филиппины, называется «За пределами соответствия: этика, технологии и доверие». В своем выступлении я собираюсь объяснить, как конфиденциальность зависит от этики, доверия и технологий и влияет на них. Я также собираюсь предоставить дюжину способов, которые я определил за последние пару десятилетий, того, как решение и внедрение комплексной защиты конфиденциальности приносит пользу для бизнеса.

В то время как участники конференции получат пользу от моего полного выступления, я предоставляю здесь очень подробный список этих двенадцати причин, чтобы каждый мог извлечь выгоду из понимания того, что решение проблемы конфиденциальности в рамках любого типа организации и во всех службах и продукты, которые каким-либо образом касаются личных данных, приносят много бизнес-ценностей и не должны игнорироваться или преуменьшаться по важности.

1. Для соответствия требованиям

Это преимущество, о котором говорят чаще всего, поэтому я начну с него.Организации, которые не внедряют защиту конфиденциальности, сталкиваются с огромными штрафами в десятки миллионов долларов (теперь возможности даже выше в соответствии с GDPR ЕС) и до 20-летних штрафов за несоблюдение законов, постановлений, стандартов и их собственных опубликованных уведомления о конфиденциальности и безопасности. Организации также рискуют потерять ценные деловые отношения из-за несоблюдения договорных требований по защите конфиденциальности.

2. Для предотвращения нарушений, наносящих ущерб бизнесу

Принцип конфиденциальности, который является общим для всех международных принципов конфиденциальности, и требование всех юридических требований к защите данных и конфиденциальности заключается в реализации строгих мер безопасности для защиты личных данных.Организации, внедряющие такие средства контроля, в результате уменьшат количество инцидентов безопасности, которые приводят к нарушениям конфиденциальности. Меньшее количество нарушений означает, что бизнес не теряет доверие, а затем, как следствие, теряет клиентов или другие типы бизнеса. Это также означает, что бизнесу не нужно иметь дело со штрафами, многолетними штрафами или гражданскими исками в качестве последствий нарушений.

3. Для предотвращения нарушений, которые могут причинить вред субъектам данных / физическим лицам

Защита конфиденциальности включает обеспечение надежной безопасности личных данных и всех связанных действий, связанных со сбором, хранением, обработкой, доступом к передаче, совместным использованием и удалением данных.Исторически сложилось так, что в организациях не было комплексных и надежных средств управления безопасностью данных, реализованных на всем предприятии и на каждом конечном устройстве. Внедрение мер безопасности для личных данных позволит избежать нарушений, которые негативно влияют на субъектов данных. Рассмотрим, например, результаты всего одного решения безопасности, которое во втором квартале 2018 года заблокировало 962 947 023 атаки, запущенные с онлайн-ресурсов, расположенных в 187 странах по всему миру. Это могло привести к нарушениям личных данных, которые могли бы нанести вред связанным субъектам данных, действительно неограниченным образом, если бы они были успешными.У меня есть подруга, которая стала юристом по вопросам конфиденциальности в результате взлома ее личных данных в 1990-х годах, что привело к мошенничеству с использованием личных данных. Она до сих пор тратит время и деньги на противодействие последствиям этого мошенничества.

4. Поддерживать и повышать ценность бренда

В отчете Forbes Insights говорится, что 46% организаций понесли ущерб своей репутации и ценности бренда в результате нарушения конфиденциальности. Организации, которые прямо заявляют, что защита конфиденциальности своих потребителей является основной целью, заботятся о конфиденциальности своих потребителей и поддерживают достижение этой цели с помощью прозрачных и последовательно соблюдаемых практик конфиденциальности, которые демонстрируют эту заботу, будут создавать эмоциональные связи со своим брендом, что повысит ценность бренда.

5. Для укрепления и развития бизнеса

Отчет Pew показал, что для 93% американцев было важно иметь контроль над организациями и лицами, которым разрешено получать информацию о них, а 90% заявили, что хотели контролировать определенные типы информации, которая была собрана о них. . Похоже, что эти отношения во всем мире схожи. Компании, реализующие меры защиты конфиденциальности, обеспечивающие такой контроль, будут укреплять и развивать свой бизнес, поскольку потребители предпочитают их конкурентам, которые не обеспечивают такой контроль.

6. Поддерживать этику

Большинство организаций установили политику деловой этики или этический кодекс. Даже тем, кому еще не нужно следовать этическим нормам, если они планируют оставаться в бизнесе на какое-то время. Такая этическая политика обычно указывает на то, что конфиденциальная информация будет обрабатываться ответственно, не использоваться в деловой деятельности способами, которые в результате причиняют вред, и использоваться только в соответствии с указаниями в деловых целях. Но, тем не менее, у меня были отделы продаж, маркетинга и юриспруденции многих моих клиентов на протяжении всей моей карьеры, которые говорили мне, что если нет закона, запрещающего использование личных данных, то им не запрещается использовать их таким образом, который принесет им пользу. компании.Даже если это означает, что это может подвергнуть связанных субъектов данных нежелательной связи, по крайней мере, или привести к мошенничеству с личными данными или физическому ущербу из-за раскрытия местоположения, в худшем случае. Конечно, деловая этика, утверждающая, что они не хотят причинять вред, противоречит таким действиям.

7. Поддержание доверия общественности, инвесторов и клиентов

Согласно исследованию Ponemon, проведенному по заказу Centrify, 65% лиц, чьи личные данные были нарушены, потеряли доверие к организации, столкнувшейся с нарушением (либо напрямую, либо в результате нарушения работы одного из поставщиков, с которыми они заключили контракт).Каждый четвертый взломанный занялся бизнесом в другом месте. Организации, которые не применяют средства защиты конфиденциальности и впоследствии сталкиваются с нарушениями, потеряют доверие, что, в свою очередь, приведет к снижению прибыли и уменьшению числа клиентов.

8. Поддерживать пожелания клиентов

Сегодня широкая общественность гораздо больше осведомлена о конфиденциальности, чем когда-либо прежде. И по мере того, как наше самое молодое население узнает больше о конфиденциальности в начальных и средних школах, они все больше ожидают, даже до того, как вступят во взрослую жизнь, что у них есть все больше прав в отношении того, как их личные данные собираются, используются, анализируются и передаются.Широкая общественность становится все более осведомленной обо всех своих растущих правах сообщать тем, кто собирает их персональные данные, что они ожидают, что их персональные данные будут защищены, и что у них есть права на доступ и контроль над своими персональными данными. Каждый день я получаю по крайней мере одно сообщение от какой-либо группы по защите конфиденциальности, которая хочет, чтобы получатели сообщения знали и предпринимали действия, требующие соблюдения прав на конфиденциальность. Фактически, когда я писал эту статью, я получил электронное письмо от одной из этих групп с темой: «Скажите Google, чтобы он прекратил тайное отслеживание местоположения пользователей.”

9. Чтобы отличаться от конкурентов и получить конкурентное преимущество

Около 75% домашних хозяйств, использующих Интернет, в США в 2017 году испытывали серьезные опасения по поводу конфиденциальности и безопасности в Интернете, и 1/3 из них указали, что они предпочли не совершать действия в Интернете из-за этих опасений. Эти серьезные опасения по поводу конфиденциальности и того, как она влияет на действия общественности, демонстрируют, что, если ваша организация сможет показать, что вы действительно заботитесь о конфиденциальности личных данных, которые вы собираете и обрабатываете, у вас будет значительное преимущество перед вашими конкурентами, которые это делают. не ставить конфиденциальность в приоритет.

10. Для повышения физической безопасности

Отсутствие защиты конфиденциальности привело к трагическим физическим повреждениям связанных лиц. Один из первых государственных законов США о конфиденциальности, «Закон о защите личных данных водителей», который был введен в действие в Калифорнии в 1997 году, был создан в значительной степени как ответ на убийство в 1989 году Ребекки Шеффер, актрисы американского телешоу «Моя сестра Сэм». ее преследовала фанатка, которая узнала ее домашний адрес, просто обратившись в Департамент транспорта штата Калифорния, а затем пришла к ней домой и застрелила ее.Подобные инциденты продолжаются во всем мире и по сей день. Такая частая защита личных данных также защищает физическую безопасность субъектов данных.

11. Повышение лояльности клиентов

В 2017 году исследовательская компания Baringa Partners провела опрос об отношении потребителей к защите данных. Вот часть их выводов:

«Наши результаты показывают, что компании рискуют потерять до 55% клиентов в случае значительной утечки личных данных. Мы изучили отношение потребителей к компаниям в банковском, страховом, энергетическом, телевизионном, телефонном и интернет-секторах.Мы обнаружили, что в случае утечки данных 30% людей немедленно поменяют поставщика, а еще 25% будут ждать ответа в СМИ или того, что другие говорят и делают, прежде чем переключиться на другого поставщика ».

И риску подвергаются не только крупные корпорации. Организации любого размера потеряют клиентов в результате взлома. В США недавний отчет об исследовании Bank of America показал, что «почти у 40 процентов потребителей была украдена их кредитная или дебетовая карта, банковский счет или другая личная финансовая информация.И 20 процентов тех потребителей, у которых была украдена информация, заявили, что они не будут делать покупки в малом бизнесе, у которого произошла утечка данных ».

12. Поддерживать инновации

Слишком много людей утверждают, что встраивание средств контроля безопасности и конфиденциальности в новые технологии, продукты и услуги подавляет инновации. Это полная фигня! На самом деле, когда конфиденциальность целенаправленно рассматривается в рамках новых инноваций, она расширяет и улучшает инновации. Это не мешает им.Общественность требует защиты частной жизни. Конфиденциальность следует рассматривать не только как отличительный признак или что-то, что нужно сделать, если это требуется по закону, но как стандартное требование для любой новой технологии или услуги, связанной с персональными данными. Для создания безопасных устройств защиты конфиденциальности, которые снижают риск конфиденциальности, требуется больше инноваций, чем для того, чтобы просто исключить такие средства контроля.

Если у вас есть вопросы по этой теме, просто дайте мне знать. Если вы будете присутствовать на конференции Data Privacy Asia в Маниле, Филиппины, 19 и 20 сентября, это даст вам возможность заглянуть в мой доклад «Помимо соблюдения нормативных требований: этика, технологии и доверие» и позволит вам определить любые связанные с этим вопросы; если не во время моего выступления, то обязательно в какой-то момент во время перерывов на конференцию, обеда или других мероприятий.

Еще пару предварительных обзоров конференции Data Privacy Asia вы можете послушать:

Пожалуйста, свяжитесь с нами!

Я с нетерпением жду возможности осветить широкий спектр вопросов конфиденциальности, которые должны быть решены каждым бизнесом и каждым человеком в ближайшие месяцы в этой статье блога! Если у вас есть тема, которую вы можете предложить, просто дайте мне знать.Мне всегда приятно знать темы, которые волнуют наших читателей.

Законы о конфиденциальности данных: что нужно знать в 2021 году

Практически в каждой стране приняты какие-то законы о конфиденциальности данных, регулирующие порядок сбора информации, информирование субъектов данных и контроль субъекта данных над своей информацией после ее передачи. Несоблюдение применимых правил конфиденциальности данных может привести к штрафам, судебным искам и даже запрету использования сайта в определенных юрисдикциях.Навигация по этим законам и постановлениям может быть сложной, но все операторы веб-сайтов должны быть знакомы с законами о конфиденциальности данных, которые влияют на их пользователей.

Вот законы и постановления, о которых вы должны знать на 2021 год. Мы будем обновлять этот список по мере принятия новых законов.

Закон о Федеральной торговой комиссии (Закон FTC) имеет широкую юрисдикцию над коммерческими организациями, находящимися в его ведении, с целью предотвращения несправедливой или «вводящей в заблуждение торговой практики». Хотя FTC явно не регулирует, какая информация должна быть включена в политику конфиденциальности веб-сайтов, она использует свои полномочия для принятия нормативных актов, обеспечения соблюдения законов о конфиденциальности и принятия принудительных мер для защиты потребителей. Например, FTC может принять меры против организаций, которые:

• Несоблюдение и поддержание разумных мер безопасности данных.
• Несоблюдение каких-либо применимых принципов саморегулирования в отрасли организации.
• Несоблюдение опубликованной политики конфиденциальности.
• Передавать личную информацию способом, не раскрытым в политике конфиденциальности.
• Делать неточные заявления о конфиденциальности и безопасности (ложь) перед потребителями и в политике конфиденциальности.
• Не обеспечивает достаточную безопасность личных данных.
• Нарушать права на конфиденциальность данных потребителей путем сбора, обработки или передачи информации о потребителях.
• Заниматься вводящей в заблуждение рекламной практикой.

В дополнение к отраслевым законам о конфиденциальности, США испытывают массированный толчок к продвижению законодательства о конфиденциальности на уровне штатов. Это потому, что федеральное правительство не смогло прийти к консенсусу относительно того, как принимать законы в целом. Вместо того чтобы ждать, законодатели штата почувствовали давление со стороны потребителей, защитников прав потребителей и даже компаний установить свои собственные правила.Конечно, компании предпочли бы соблюдать единый федеральный стандарт, чем нанимать поверенного, который изучал бы каждый закон штата, который они должны соблюдать. Но государственные толчки – временный барьер. И если это то, что должны делать государства, то это то, что они должны делать.

В Калифорнии начался эффект домино. Хотя правда, что только одно государство смогло принять всеобъемлющий закон на сегодняшний день, многие штаты пытаются. Даже если их ранние законопроекты провалились на предыдущих сессиях законодательного собрания, они служат ориентиром для того, где республиканцы и демократы соглашаются и что необходимо исправить, прежде чем любая сделка достигнет своего конечного пункта назначения – стола губернатора.

Вот как обстоят дела.

Закон штата Калифорния о конфиденциальности потребителей (CCPA)

Закон Калифорнии о правах на неприкосновенность частной жизни (CPRA)

Затем, всего два очень коротких года спустя, Мактаггарт вернулся с тем, что было названо CCPA 2.0. Закон Калифорнии о правах на неприкосновенность частной жизни прошел голосование в ноябре 2020 года и основывается на CCPA, внося поправки в положения, которые Мактаггарт и его команда хотели включить в CCPA, но в то время не смогли преодолеть финишную черту.

CPRA добавила в CCPA следующее:

• Право на исправление: это обновляет и расширяет право потребителя на исправление неточной личной информации.
• Право на ограничение: Это дает потребителям право ограничивать использование и раскрытие своей конфиденциальной личной информации.
• Конфиденциальная информация, позволяющая установить личность: это обновляет определение личной информации. Определенные типы информации, такие как номер социального страхования потребителей, должны обрабатываться с особыми мерами защиты.

• Увеличивает штрафы за нарушение данных о детях в 3 раза.
• Расширяет ответственность за нарушение, помимо нарушения шифрования данных, до раскрытия учетных данных (например, адреса электронной почты или пароля), которые могут привести к доступу к учетной записи потребителя.
• Ограничивает продолжительность времени, в течение которого компания может хранить информацию о потребителях, только тем, что необходимо и «соразмерно» причине, по которой она была собрана в первую очередь.
• Требует, чтобы компании, использующие сторонних поставщиков, по контракту обязывали эти третьи стороны обеспечивать такой же уровень защиты конфиденциальности данных, которыми они делятся с первой стороной.

Калифорнийское агентство по защите конфиденциальности получит право штрафовать нарушителей, проводить слушания о нарушениях конфиденциальности и разъяснять правила конфиденциальности. Правление состоит из пяти человек, и его исполнение вступает в силу через шесть месяцев после вступления в силу CPRA 1 июля 2023 года.

В законе есть некоторые сходства с положениями Общего регламента ЕС по защите данных и Закона Калифорнии о конфиденциальности потребителей. Он применяется к организациям, которые ведут бизнес в Вирджинии или продают товары и услуги, ориентированные на жителей Вирджинии, а также выполняют одно из следующих действий:

• Управлять или обрабатывать персональные данные 100 000 и более.
• Управлять или обрабатывать персональные данные не менее 25 000 потребителей. и зарабатывают 50% своих доходов от продажи личной информации.

CDPA вступает в силу в тот же день, что и последний закон Калифорнии о конфиденциальности, CPRA, который заменяет его прежнюю версию, CCPA, 1 января 2023 г. Вполне вероятно, что законодатели внесут поправки в закон до этого, поэтому рекомендуется сохранить пристально следят за этим законом по мере его развития.

Закон о конфиденциальности штата Колорадо (CPA)

Хотя есть общие черты, такие как некоторая форма права на отказ, особые меры защиты конфиденциальных данных и принятие некоторых принципов конфиденциальности при разработке, существенные различия заключаются в деталях.

CPA применяется к предприятиям, которые собирают личные данные от 100 000 жителей Колорадо или собирают данные от 25 000 жителей Колорадо. и получают часть дохода от продажи этих данных.

В законе перечислено пять прав, предоставленных жителям Колорадо после вступления закона в силу. Их:

• Право отказаться от целевой рекламы, продажи своих личных данных или профилирования.
• Право на доступ к данным, которые компания собрала о них.
• Право на исправление собранных о них данных.
• Право запрашивать собранные данные о них удалено.
• Право на переносимость данных (то есть право забрать ваши данные и передать их другой компании).

• Если данные были собраны для целей закона о медицинском страховании штата Колорадо.
• Если организация, собирающая данные или собранные данные, уже подпадает под действие определенных отраслевых законов, включая Закон о защите конфиденциальности детей в Интернете или Закон о правах семьи на образование и неприкосновенность частной жизни.
• Если данные были обезличены или псевдонимизированы.
• Если данные хранятся и используются агентством по информированию потребителей.
• Если данные используются для целей трудовой книжки.
  

Закон Нью-Йорка о SHIELD

Другие законы о конфиденциальности данных на уровне штата

Как вы понимаете, улей государственных и федеральных законов о конфиденциальности в США слишком сложен, чтобы их можно было полностью описать. Вряд ли мы скоро увидим всеобъемлющий федеральный закон (хотя его поддержка растет).

Согласие

Уведомление об утечке данных

Права субъектов данных

1. Право на получение информации. Субъекты данных должны быть проинформированы о сборе и использовании их личных данных при их получении.
2. Право на доступ к своим данным. Субъект данных может запросить копию своих личных данных через запрос субъекта данных. Контроллеры данных должны объяснять средства сбора, что обрабатывается и кому они передаются.
3. Право на исправление. Если данные субъекта данных неточны или неполны, они имеют право попросить вас исправить их.
4. Право стирания. Субъекты данных имеют право потребовать удаления связанных с ними персональных данных по определенным основаниям в течение 30 дней.
5. Право на ограничение обработки. Субъекты данных имеют право требовать ограничения или подавления их личных данных (хотя вы все равно можете их хранить).
6. Право на переносимость данных. Субъекты данных могут безопасно и надежно передавать свои данные из одной электронной системы в другую в любое время, не нарушая ее удобство использования.
7. Право на возражение. Субъекты данных могут возражать против использования их информации в маркетинговых, коммерческих или не связанных с услугами целях.Право на возражение не применяется, если выполняются юридические или официальные полномочия, задача выполняется в общественных интересах или когда организации необходимо обработать данные, чтобы предоставить вам услугу, на которую вы подписались.

Общий закон Бразилии о защите личных данных (LGPD)

Компании и группы, не соблюдающие условия и директивы закона, могут получить штраф в размере 2% от их выручки от продаж или даже до 50 миллионов бразильских реалов (примерно 12 миллионов долларов США).

Согласие

• Он должен быть обработан в соответствии с юридическим обязательством.
• Государственная администрация должна выполнять государственную политику.
• Для исследовательских целей.
• Для защиты жизни или физической безопасности субъекта данных.

Уведомление об утечке данных

Права субъектов данных

• Подтвердите наличие лечения.
• Доступ к их данным.
• Исправьте неполные, неточные или устаревшие данные.
• Передать свои данные другому поставщику услуг или продукту (переносимость данных).
• Удалить их данные.
• Иметь сведения о любых государственных и частных организациях, с которыми контролер поделился своими данными.
• Получить информацию о том, что произойдет, если они не дадут согласие на обработку своих данных.
• Отозвать согласие на обработку своих данных.

Защита данных и конфиденциальность потребителей

По мере того, как потребители все больше внедряют цифровую технологию , данные, которые они генерируют, создают для предприятий как возможность улучшить взаимодействие с потребителями, так и ответственность за обеспечение безопасности данных потребителей.Эти данные, включая отслеживание местоположения и другие виды информации, позволяющей установить личность, чрезвычайно ценны для компаний: многие организации, например, используют данные, чтобы лучше понять болевые точки потребителя и неудовлетворенные потребности. Эти идеи помогают разрабатывать новые продукты и услуги, а также персонализировать рекламу и маркетинг (общая глобальная стоимость цифровой рекламы в настоящее время оценивается в 300 миллиардов долларов).

Потребительские данные явно трансформируют бизнес, и компании несут ответственность за управление данными, которые они собирают.Чтобы узнать, что потребители думают о конфиденциальности и сборе данных, McKinsey провела опрос 1000 потребителей в Северной Америке. Чтобы определить их взгляды на сбор данных, взломы и нарушения, правила, коммуникации и конкретные отрасли, мы задавали им конкретные вопросы об их доверии к бизнесу, которому они покровительствуют.

Ответы показывают, что потребители становятся все более сознательными в отношении того, какими типами данных они делятся и с кем. Они гораздо чаще делятся личными данными, которые являются необходимой частью их взаимодействия с организациями.По отраслям, потребители чувствуют себя наиболее комфортно при обмене данными с поставщиками медицинских и финансовых услуг, хотя ни одна отрасль не достигла рейтинга доверия 50 процентов для защиты данных.

Такое недоверие можно понять, учитывая недавнюю историю громких утечек данных потребителей. Респонденты были осведомлены о таких нарушениях, что повлияло на их ответы на вопросы о доверии. Масштаб данных о потребителях, обнаруженных в результате самых катастрофических нарушений, ошеломляет. В двух нарушениях в одной крупной корпорации более 3.Обнародовано 5 миллиардов записей. В результате взлома нескольких других были обнаружены сотни миллионов записей. Ставки высоки для компаний, обрабатывающих данные о потребителях: даже потребители, которые не были напрямую затронуты этими нарушениями, обратили внимание на то, как компании на них отреагировали.

Распространение нарушений и требование потребителей о конфиденциальности и контроле над своими данными побудили правительства принять новые правила, такие как Общий регламент по защите данных (GDPR) в Европе и Закон Калифорнии о конфиденциальности потребителей (CCPA) в этом штате США.Многие другие следуют этому примеру.

Взломы также способствовали более широкому использованию инструментов, которые дают людям больший контроль над своими данными. Каждый десятый пользователь Интернета во всем мире (и три из десяти пользователей в США) развертывает программное обеспечение для блокировки рекламы, которое может помешать компаниям отслеживать онлайн-активность. Подавляющее большинство респондентов – 87 процентов – заявили, что не стали бы вести дела с компанией, если бы у них были опасения по поводу ее методов обеспечения безопасности. Семьдесят один процент заявили, что прекратят вести дела с компанией, если она без разрешения разгласит конфиденциальные данные.

Поскольку ставки столь высоки – а осведомленность об этих проблемах растет, – то, как компании обрабатывают данные потребителей и конфиденциальность, может стать отличительной чертой и даже источником конкурентных преимуществ для бизнеса. Ниже представлены основные результаты нашего исследования. Затем мы предлагаем инструкции по отображению данных, операциям и инфраструктуре, а также передовые методы работы с клиентами. Это может помочь компаниям позиционировать себя, чтобы получить это конкурентное преимущество.

Доверие или его отсутствие

Ответы потребителей на наш опрос позволили сделать ряд важных выводов об управлении данными и конфиденциальности.Во-первых, уровень доверия потребителей в целом низкий, но зависит от отрасли. Два сектора – здравоохранение и финансовые услуги – получили наивысший балл за доверие: 44 процента. Примечательно, что при взаимодействии с клиентами в этих секторах используются личные и очень конфиденциальные данные. В других отраслях уровень доверия намного ниже. Лишь около 10 процентов респондентов заявили, что доверяют, например, компаниям, производящим товары широкого потребления или компаниям средств массовой информации и развлечений (Приложение 1).

Приложение 1

Около двух третей интернет-пользователей в Соединенных Штатах говорят, что «очень важно», чтобы содержание их электронной почты оставалось доступным только тем, кого они уполномочивают, и чтобы имена и личности их корреспондентов электронной почты оставались конфиденциальными (Приложение 2) .

Приложение 2

Около половины респондентов-потребителей заявили, что они с большей вероятностью будут доверять компании, которая запрашивает только информацию, относящуюся к ее продуктам, или которая ограничивает объем запрашиваемой личной информации. Эти маркеры явно сигнализируют потребителям о том, что компания применяет продуманный подход к управлению данными.

Половина наших респондентов-потребителей также с большей вероятностью доверяет компаниям, которые быстро реагируют на взломы и взломы или активно сообщают о таких инцидентах общественности.Эти методы становятся все более важными как для компаний, так и для потребителей, поскольку влияние нарушений растет, а сроки раскрытия информации о нарушениях данных регулируются все большим количеством нормативных актов.

Согласно исследованию, другие вопросы имеют меньшее значение для завоевания доверия потребителей: уровень регулирования в конкретной отрасли, есть ли у компании штаб-квартира в стране с надежным правительством или активно ли компания делится своими кибер-практиками на веб-сайты или в рекламе (Приложение 3).

Приложение 3

Расширение прав и возможностей потребителей и действия

Учитывая низкий общий уровень доверия, неудивительно, что потребители часто хотят ограничивать типы данных, которыми они делятся с предприятиями.Потребители имеют больший контроль над своей личной информацией благодаря множеству доступных в настоящее время инструментов обеспечения конфиденциальности, включая веб-браузеры со встроенными блокировщиками файлов cookie, программное обеспечение для блокировки рекламы (используемое более чем на 600 миллионах устройств по всему миру) и браузеры в режиме инкогнито ( используется более чем 40 процентами интернет-пользователей во всем мире). Однако, если предложение продукта или услуги – например, здравоохранение или управление деньгами – критически важно для потребителей, многие готовы отложить в сторону свои соображения конфиденциальности.

Потребители не желают делиться данными о транзакциях, которые они считают менее важными. Они могут даже «проголосовать ногами» и уйти от ведения бизнеса с компаниями, чьим методам обеспечения конфиденциальности данных они не доверяют, не согласны или не понимают. Кроме того, хотя общие знания о конфиденциальности потребителей растут, многие потребители все еще не знают, как защитить себя: например, только 14 процентов пользователей Интернета шифруют свои онлайн-коммуникации и только треть регулярно меняют свои пароли (Приложение 4).

Приложение 4

Новые правила

Правила конфиденциальности развиваются с заметным сдвигом в сторону защиты потребителей: например, GDPR, введенный в Европе в мае 2018 года, дает потребителям больше возможностей выбора и защиты в отношении использования их данных.GDPR предоставляет потребителям более легкий доступ к данным, которые компании хранят о них, и упрощает им обращение с просьбой к компаниям об удалении их данных.

Для компаний GDPR требует значительных изменений в способах сбора, хранения, обмена и удаления данных. Несоблюдение этого требования может привести к большим штрафам, которые потенциально могут стоить компании до 4 процентов ее глобального дохода. Одна компания была оштрафована на 180 миллионов долларов за утечку данных, в том числе информацию о входе в систему и платежах для почти 400 000 человек.Другой был оштрафован на 57 миллионов долларов за несоблюдение GDPR. Побочным эффектом этого регулирования является повышение осведомленности потребителей об их правах на конфиденциальность данных и средствах защиты. Примерно шесть из десяти потребителей в Европе теперь осознают, что правила регулируют использование их данных в их собственных странах, по сравнению с четырьмя из десяти в 2015 году.

GDPR считается лидером регулирования конфиденциальности данных.Даже в Европе политики стремятся принять дополнительные меры по обеспечению конфиденциальности потребителей, в том числе регламент ePrivacy (расширение GDPR), в котором основное внимание уделяется защите конфиденциальности данных, передаваемых в электронном виде. Его статус как правила (а не директивы) означает, что он может применяться единообразно во всех странах-членах ЕС. Регламент электронной конфиденциальности, вероятно, будет принят в 2020 году.

За пределами Европы

Правительства за пределами Европы также начали вводить в действие правила конфиденциальности данных.В Бразилии, например, Lei Geral de Proteção de Dados, или LGPD (Общий закон о защите данных), вступит в силу в августе 2020 года. Предыдущие правила Бразилии по защите данных были отраслевыми. LGPD – это всеобъемлющий общенациональный закон, централизующий и кодифицирующий правила, регулирующие сбор, использование, обработку и хранение персональных данных. Хотя штрафы менее высокие, чем GDPR, они по-прежнему огромны: несоблюдение LGPD может стоить компаниям до 2 процентов их доходов в Бразилии.

В США в январе 2020 года вступил в силу Закон о конфиденциальности потребителей Калифорнии (CCPA). Он дает жителям право знать, какие данные о них собираются, и предотвращать продажу их данных. CCPA – это широкая мера, применяемая к коммерческим организациям, ведущим бизнес в Калифорнии и отвечающим одному из следующих критериев: получение более половины своего годового дохода от продажи личной информации потребителей; получение валовой выручки более 50 миллионов долларов; или хранение личной информации о более чем 100 000 потребителей, домохозяйств или устройств.

CCPA – это самый строгий закон о конфиденциальности потребителей в США, в котором еще нет национального закона о конфиденциальности данных. Однако самый крупный штраф за неправильное обращение с данными наложила Федеральная торговая комиссия США (FTC).

Инвестиции в соответствие

Компании вкладывают огромные суммы, чтобы обеспечить соблюдение этих новых правил. Согласно оценке Международной ассоциации профессионалов в области конфиденциальности, к 2018 году компании из списка Fortune Global 500 потратили 7,8 млрд долларов на подготовку к GDPR.Компании наняли сотрудников по защите данных – это недавно определенная корпоративная позиция, предусмотренная GDPR для всех компаний, обрабатывающих большие объемы персональных данных. Несмотря на эти меры, немногие компании чувствуют себя полностью совместимыми, и многие все еще работают над масштабируемыми решениями.

Основная проблема – особенно для компаний, работающих на международном уровне, – это лоскутный характер регулирования. Требования сильно различаются в зависимости от юрисдикции или рынка. Чтобы решить проблему разнообразия нормативных требований и предвидеть будущие нормативные требования, многие компании начали систематизировать свой подход к соблюдению нормативных требований.Некоторые начали создавать регулирующие роли и обязанности в своих организациях. Многие пытаются реализовать перспективные решения. Вместо того, чтобы выполнять требования CCPA только в Калифорнии, Microsoft применяет их ко всем гражданам США, хотя в других штатах еще нет таких ограничительных политик, как CCPA. Эта практика, вероятно, станет более распространенной, поскольку многие компании используют самые строгие юридические требования в качестве своего собственного стандарта. Для большинства компаний в США это означает соблюдение правил CCPA.

Другой сложный аспект регулирования конфиденциальности связан с удалением и переносом данных: правила позволяют потребителям запрашивать удаление их данных или предоставление предприятиями пользовательских данных отдельным потребителям или другим службам. Для многих компаний эти задачи технически сложны. Корпоративные наборы данных часто фрагментированы в рамках разнообразной ИТ-инфраструктуры, что затрудняет восстановление всей информации об отдельных потребителях. Кроме того, некоторые данные могут находиться за пределами предприятия, в партнерских или сторонних сетях.По этим причинам компаниям может быть сложно идентифицировать все данные из всех источников для передачи или удаления.

Профилактические действия для предприятий

Некоторые эффективные меры были приняты для компаний, которые стремятся удовлетворить повышенные требования к конфиденциальности потребителей и защите данных. Они охватывают жизненный цикл корпоративных данных и включают этапы операций, инфраструктуры и взаимодействия с клиентами, а также активируются с помощью сопоставления данных.

Отображение данных

Ведущие компании создали карты данных или регистры для классификации типов данных, которые они собирают от клиентов.Решение лучше всего спроектировано с учетом увеличения объема и диапазона таких данных, которые обязательно поступят. Существующие инструменты каталогизации данных и отображения потоков данных могут поддержать этот процесс.

Компаниям необходимо знать, какие данные им на самом деле требуются для обслуживания клиентов. Большая часть собираемых данных не используется для аналитики и не понадобится в будущем. Компании будут снижать риск, собирая только те данные, которые им, вероятно, понадобятся. Еще один необходимый шаг – написать или пересмотреть политики хранения и безопасности данных.Лучшие подходы учитывают разные категории данных, для которых могут потребоваться разные политики хранения.

Не менее важным является растущий интерес к прикладной аналитике. Сегодня ведущим компаниям нужна надежная аналитическая политика. Учитывая распространение передовых инструментов машинного обучения, многие организации будут стремиться анализировать большие объемы данных, которые они собирают, особенно путем экспериментов с неконтролируемыми алгоритмами. Но если у компаний нет передовых подходов к проверке моделей и продуманных данных о потребителях, им следует действовать с особой осторожностью, возможно, сосредоточив особое внимание на алгоритмах контролируемого обучения для минимизации риска.

Операции

Ведущие организации разработали методы управления идентификацией и доступом для отдельных лиц в соответствии с их ролями с уровнями доступа, определенными для различных категорий данных. Около трети нарушений за последние годы были связаны с внутренними угрозами. Этот риск можно снизить, обеспечив доступ к наборам данных только тем, кто в них нуждается, и чтобы никто не имел доступа ко всем имеющимся данным. Даже самые надежные методы управления идентификацией и доступом могут дать сбой – некоторые нарушения могут быть вызваны лицами, имеющими утвержденный доступ, – поэтому дополнительный мониторинг активности может оказаться полезным.

Чтобы действовать быстро в случае возникновения нарушений, организациям необходимо заранее протестировать свои процессы реагирования на кризисные ситуации. Необходимо определить людей, которые будут участвовать в реагировании, и разработать сильную коммуникационную стратегию. Одним из наиболее важных факторов, влияющих на доверие потребителей, является скорость отчетности и реакции компании при возникновении нарушений. Действительно, большинство новых правил требует, чтобы компании очень быстро раскрывали нарушения; GDPR, например, требует объявления о нарушении в течение 72 часов с момента его обнаружения.

Компании должны разработать четкие стандартизированные процедуры для управления запросами на удаление или передачу данных. Они должны обеспечивать ускоренное соблюдение нормативных требований и охватывать запросы потребителей на идентификацию, удаление и передачу данных. Процессы должны поддерживать обнаружение данных во всех соответствующих инфраструктурных средах внутри компании и ее филиалов. Большинство компаний сегодня используют ручные процессы, что дает возможность их оптимизировать и автоматизировать, чтобы сэкономить время и ресурсы.Этот подход также подготавливает инфраструктуру для будущего развития процессов.

Компании должны разработать четкие стандартизированные процедуры для управления запросами на удаление или передачу данных.

Работая в тесном сотрудничестве с третьими сторонами, аффилированными лицами и поставщиками, компании могут получить представление о том, как и где хранятся их данные. Эти знания особенно важны, когда третьи стороны поддерживают разработку продуктов и функций и нуждаются в доступе к данным потребителей.Некоторые компании рассматривают возможность создания наблюдательных комиссий для поддержки решений о передаче данных третьим сторонам.

Инфраструктура

Организации работают над созданием инфраструктурных сред, которые могут легко приспособиться к растущим объемам собираемых данных, а также к технологическим инновациям. Лучшая практика – хранить данные в ограниченном количестве систем, в зависимости от типа данных или классификации. Меньшая занимаемая площадь системы снижает вероятность взлома.

Лучшие практики работы с клиентами

Ведущие компании встраивают «конфиденциальность по дизайну» в приложения, ориентированные на потребителей, с такими функциями, как автоматический выход из системы по времени и требования к надежным паролям. Безопасность и конфиденциальность становятся параметрами по умолчанию для потребителей, в то время как функции обеспечивают баланс с пользовательским интерфейсом.

Организациям важно вести прозрачную коммуникацию: клиенты должны знать, когда и почему собираются их данные. Многие компании добавляют конфиденциальность потребителей к своим ценностным предложениям и тщательно обрабатывают сообщения в своих политиках конфиденциальности и уведомлениях о файлах cookie, чтобы они соответствовали общему бренду.

Наше исследование показало, что наша выборка потребителей просто не доверяет компаниям в обработке их данных и защите их конфиденциальности. Таким образом, компании могут дифференцироваться, принимая целенаправленные позитивные меры в этой области. По нашему опыту, потребители реагируют на компании, которые обращаются с их личными данными так же тщательно, как и они сами.

Руководство по международной обработке персональных данных

Январь 2009

Назначение

Управление уполномоченного по вопросам конфиденциальности Канады (OPC) разработало эти руководящие принципы, чтобы объяснить, как Закон о защите личной информации и электронных документов (PIPEDA) применяется к передаче личной информации третьей стороне, в том числе третьей стороне, действующей за пределами Канада, для обработки.

ПРИМЕЧАНИЕ. Рекомендации не распространяются на передачу личной информации для обработки федеральными, провинциальными или территориальными организациями государственного сектора. Эти руководящие принципы также не касаются каких-либо конкретных правил, регулирующих передачу для обработки, которые могут быть найдены в провинциальных законах о конфиденциальности в частном секторе. Тем не менее, организации, не управляемые PIPEDA в отношении коммерческой деятельности в пределах провинции, должны знать, что PIPEDA применяется к трансграничным переводам.

Фон

Как указано в самом законодательстве, PIPEDA призвана «поддерживать и продвигать электронную торговлю путем защиты личной информации, которая собирается, используется или раскрывается при определенных обстоятельствах.«Это подтверждает, что надлежащая защита личной информации как облегчает, так и способствует развитию коммерции, укрепляя доверие потребителей. Сегодняшняя глобально взаимозависимая экономика полагается на международные потоки информации. Эти трансграничные передачи действительно вызывают некоторые законные опасения относительно того, куда идет личная информация, а также что с ним происходит во время транспортировки и после того, как он прибывает в какой-либо зарубежный пункт назначения. Доверие потребителей будет повышено, и доверие будет укреплено, если потребители будут знать, что передача их личной информации регулируется четкими и прозрачными правилами.

Существуют разные подходы к защите личной информации, передаваемой для обработки. Государства-члены Европейского Союза приняли законы, запрещающие передачу личной информации в другую юрисдикцию, если только Европейская комиссия не определила, что другая юрисдикция предлагает «адекватную» защиту личной информации.

В отличие от этого межгосударственного подхода, Канада через PIPEDA выбрала межорганизационный подход, который не основан на концепции адекватности.PIPEDA не запрещает организациям в Канаде передавать личную информацию организации в другой юрисдикции для обработки. Однако в соответствии с PIPEDA организации несут ответственность за защиту передачи личной информации в рамках каждого отдельного соглашения об аутсорсинге. OPC может расследовать жалобы и проверять практику обработки личной информации в организациях.

Ключевым моментом является Принцип 1 Типового кодекса CSA для защиты личной информации, который образует Приложение 1 PIPEDA.Принцип 1 устанавливает баланс между защитой личной информации физических лиц и деловой необходимостью передавать личную информацию по разным причинам, включая доступность поставщиков услуг, эффективность и экономичность.

Принцип 1 возлагает на организацию ответственность за защиту личной информации, находящейся под ее контролем. В принципе 4.1.3 Приложения 1 PIPEDA прямо признается, что личная информация может быть передана третьим лицам для обработки.Это также требует, чтобы организации использовали договорные или другие средства для «обеспечения сопоставимого уровня защиты, пока информация обрабатывается третьей стороной».

Принцип 1 гласит:

«Организация несет ответственность за личную информацию, находящуюся в ее владении или хранении, включая информацию, которая была передана третьей стороне для обработки. Организация должна использовать договорные или другие средства для обеспечения сопоставимого уровня защиты во время обработки информации. третьей стороной.”

Что означают эти термины в Принципе 1?

Передача

«Трансфер» – это использование организацией. Не следует путать с раскрытием. Когда организация передает личную информацию для обработки, ее можно использовать только в тех целях, для которых информация была изначально собрана. Простым примером является передача личной информации с целью обработки платежей клиентам. Или, используя другой пример, провайдер интернет-услуг может передавать личную информацию третьей стороне, чтобы обеспечить круглосуточную техническую поддержку.Все чаще организации передают процессы третьим сторонам. Во многих случаях это связано с передачей личной информации. В контексте этого документа, когда мы говорим об аутсорсинге, мы имеем в виду именно аутсорсинг, который включает в себя личную информацию.

PIPEDA не делает различий между внутренней и международной передачей данных.

Обработка

«Обработка» интерпретируется как включающее любое использование информации сторонним процессором в целях, для которых передающая организация может ее использовать.

Сопоставимый уровень защиты

«Сопоставимый уровень защиты» означает, что сторонний процессор должен обеспечивать защиту, сопоставимую с уровнем защиты, которую получит личная информация, если бы она не была передана. Это не означает, что средства защиты должны быть одинаковыми для всех, но это означает, что они должны быть в целом эквивалентными.

Что должны делать организации?

Согласно принципу, основным средством, с помощью которого организация может защитить личную информацию, отправляемую третьей стороне для обработки, является договор.

Независимо от того, где обрабатывается информация – в Канаде или в другой стране – организация должна принять все разумные меры для защиты ее от несанкционированного использования и раскрытия, пока она находится в руках стороннего обработчика. Организация должна быть удовлетворена тем, что у третьей стороны действуют политики и процессы, включая обучение ее персонала и эффективные меры безопасности, чтобы гарантировать, что информация, находящаяся в ее распоряжении, всегда надлежащим образом защищена.Он также должен иметь право проводить аудит и инспекцию того, как третья сторона обрабатывает и хранит личную информацию, а также пользоваться правом на аудит и инспекцию, когда это необходимо.

OPC осознает сложность электронного мира и понимает, что для организации часто невозможно точно знать, куда идет информация во время передачи. Но при этом в законе четко прописано, где лежит ответственность, и организации должны в своих собственных интересах, а также в интересах своих клиентов, делать все возможное для защиты информации.

Зачем соблюдать?

• Ваши клиенты ожидают, что вы будете прозрачны в своих действиях: они будут спрашивать.
• Это лучшие практики: их следование может дать вам конкурентное преимущество.
• Закон требует, чтобы вы защищали личную информацию, пока она находится в руках стороннего обработчика: несоблюдение требований может привести к жалобам и судебным искам.

То, что организация не может делать по контракту – или даже любыми другими средствами – так это отменять законы иностранной юрисдикции.

Итак, что может сделать организация для выполнения своих обязательств в соответствии с Принципом 4.1.3 Приложения 1 PIPEDA, когда дело доходит до переводов в иностранные юрисдикции в отношении вопроса доступа к личной информации для иностранных судов, правоохранительных органов и национальной безопасности власти?

В ходе расследования жалобы, касающейся передачи CIBC Visa на аутсорсинг американской фирме, OPC установил, что CIBC соблюдает требования PIPEDA. OPC полагался на руководящие принципы Офиса суперинтенданта финансовых учреждений для финансовых учреждений, регулируемых на федеральном уровне.Эти руководящие принципы рекомендуют организациям уделять особое внимание юридическим требованиям юрисдикции, в которой работает сторонний процессор, а также «потенциальным внешнеполитическим, экономическим и социальным условиям и событиям, которые могут сговориться с тем, чтобы ограничить способность иностранного поставщика услуг предоставлять услуги, а также любые дополнительные факторы риска, которые могут потребовать корректировки программы управления рисками ».

Хотя эти руководящие принципы устанавливают высокие стандарты защиты конфиденциальной финансовой информации финансовыми учреждениями, другим организациям, передающим конфиденциальную личную информацию, также рекомендуется принять их к сведению.

Мы предполагаем, что любая организация, рассматривающая аутсорсинг в другую юрисдикцию, примет во внимание ряд факторов – например, потенциальную экономию затрат, способность предоставлять более качественное обслуживание клиентов, наличие специализированного опыта за пределами компании и другие практические соображения.

В случае передачи на аутсорсинг в другую юрисдикцию, PIPEDA не требует мер по сравнению с зарубежными законами, проводимыми организациями, с канадскими законами.Но действительно требует, чтобы организации принимали во внимание все элементы, связанные с транзакцией. Результатом вполне может быть то, что некоторые переводы неразумны из-за неопределенного характера иностранного режима или что в некоторых случаях информация настолько конфиденциальна, что ее не следует отправлять в какую-либо иностранную юрисдикцию.

Организации должны проявлять осмотрительность во всех отношениях с иностранными сторонними обработчиками.

Чего следует ожидать людям?

Физические лица должны ожидать, что их личная информация будет защищена независимо от того, где она обрабатывается.Организации, передающие личную информацию третьим лицам, несут полную ответственность за защиту этой информации. Физические лица должны ожидать прозрачности со стороны организаций, когда дело доходит до перевода в иностранную юрисдикцию.

Советы потребителю

• Ожидайте прозрачности от организаций: но если сомневаетесь, спрашивайте
• Признать, что трансграничные потоки информации являются фактом жизни и очень распространены
• Будьте разумным потребителем в отношении конфиденциальности: не думайте, что, поскольку вам «нечего скрывать», вам не следует делать все возможное, чтобы контролировать информацию о себе
• Если вам неудобно, вы можете проверить политику конфиденциальности других организаций.Вы также можете обсудить свои проблемы с нашим офисом
.

Физические лица имеют право оценивать свои собственные риски, когда речь идет о потенциальном доступе к их личной информации со стороны иностранных властей. Некоторые люди более не склонны к риску, чем другие. Некоторые готовы пойти на определенный риск в обмен на удобство или доступ к определенной услуге.

Организации должны разъяснить физическим лицам, что их информация может обрабатываться в другой стране и быть доступной для правоохранительных органов и органов национальной безопасности этой юрисдикции.Они должны сделать это на ясном и понятном языке . В идеале они должны сделать это на момент сбора информации . После того, как информированный человек решил вести дела с определенной компанией, он не имеет дополнительного права отказаться от передачи своей информации.

Сводка основных выводов

OPC сделало ряд выводов, касающихся трансграничной передачи личной информации, в ходе расследования жалоб за последние несколько лет:

• PIPEDA не запрещает организациям в Канаде передавать личную информацию организации в другой юрисдикции для обработки.
• PIPEDA устанавливает правила, регулирующие переводы для обработки.
• Передача для обработки – это «использование» информации; это не разглашение. Если предположить, что информация используется для цели, с которой она была изначально собрана, дополнительное согласие на передачу не требуется.
• Передающая организация несет ответственность за информацию, находящуюся в распоряжении организации, которой она была передана.
• Организации должны защищать личную информацию в руках обработчиков.Основное средство, с помощью которого это достигается, – контракт.
• Никакой договор не может отменять уголовное законодательство, законы национальной безопасности или любые другие законы страны, в которую была передана информация.
• Организациям важно оценить риски, которые могут поставить под угрозу целостность, безопасность и конфиденциальность личной информации клиентов, когда она передается сторонним поставщикам услуг, работающим за пределами Канады.
• Организации должны быть прозрачными в отношении своих методов работы с личной информацией.Это включает в себя уведомление клиентов о том, что их личная информация может быть отправлена ​​в другую юрисдикцию для обработки и что, хотя информация находится в другой юрисдикции, к ней могут обращаться суды, правоохранительные органы и органы национальной безопасности.

Для получения дополнительной информации

OPC опубликовал ряд результатов расследования, связанных с трансграничной передачей личной информации. Во всех этих случаях мы обнаружили, что передача не нарушала PIPEDA.См. Следующие краткие описания случаев PIPEDA на веб-сайте OPC www.priv.gc.ca: