Изменение облика соответствия и защиты данных

Опубликовано: 5 Апреля, 2023

Введение

GDPR, впервые опубликованный в январе 2012 года, после четырех лет европейского сотрудничества, обсуждений и переговоров, уже согласован. Постановление объемом более 200 страниц включает в себя существенные изменения и модели, пересматривающие европейский закон о защите данных.

Новый Регламент – заменит существующую Директиву 1995 года. Более того, теперь это регламент, который означает, что он будет немедленно применяться ко всем государствам-членам ЕС без предварительного условия для имплементации национального законодательства.

Законы, действующие с 1995 года, позволяют каждой стране ЕС применять законы по своему усмотрению. Это привело к несоответствию безопасности данных в ЕС. Новый регламент будет направлен на то, чтобы остановить расхождение и укрепить уверенность в онлайн-безопасности для организаций, их клиентов и клиентов, а также граждан.

Существующая производная от 1995 года не учитывает невероятно быстрые изменения, которые произошли и происходят в сфере Интернета. Они основаны на деятельности до 1995 года, но, естественно, с тех пор многое изменилось. Адаптированные и пересмотренные законы давно не приняты и необходимы для удовлетворения потребностей онлайн-сервисов и решения современных задач; им необходимо обеспечить защиту данных в областях, которых не существовало в 1995 году.

Если посмотреть на цели, для которых сегодня используется Интернет — от социальных сетей до облачных вычислений, — личные и корпоративные данные находятся в опасности. Каждый имеет право на защиту своих личных данных, поэтому правила необходимо пересматривать, адаптировать и добавлять новые, где это необходимо, чтобы гарантировать, что каждый получает защиту данных, на которую он имеет право, особенно в современную эпоху Интернета, когда так много персональные данные обрабатываются, передаются и хранятся онлайн.

Регламент сигнализирует о прорыве в законах о защите данных в ЕС; стремясь обеспечить соответствие для защиты данных во всем. Общий закон во всех странах ЕС заключается в поддержке безопасного либерального перемещения данных через границы ЕС.

Хотя новый регламент является европейским регламентом, он распространяется и на организации за пределами ЕС. GDPR включает изменения, которые затронут все организации, обрабатывающие персональные данные европейских граждан, независимо от того, находятся они в ЕС или нет. При этом регламент будет иметь глобальное влияние, и все организации должны пересмотреть свои процессы, политики, обработку данных и технологии, чтобы убедиться, что они соответствуют требованиям. Штрафы за несоблюдение будут значительными и превысят 4% годового мирового оборота, что приведет к значительно более высоким штрафам, чем раньше.

Значительные области воздействия GDPR

Изменения, которые выделены как наиболее примечательные, варьируются от крупных штрафов до требований сообщать об утечке данных в течение 72 часов. В настоящее время многие нарушения происходят незамеченными, но с введением принудительных мер по сообщению о таких нарушениях организации будут подвергаться тщательной проверке, в результате чего неприемлемая обработка данных и безопасность приведут к ярко выраженным последствиям, влияющим как на финансы, так и на репутацию.

Примечательные области включают в себя:

Регламент расширяет свою сферу действия, включая любую организацию как внутри, так и за пределами ЕС, при условии, что речь идет о данных, относящихся к субъекту ЕС. Это может включать предоставление услуг, товаров, а также мониторинг. Любая организация за пределами ЕС, нацеленная на субъекта ЕС, также должна соблюдать правила.

Уточнен термин персональные данные. Это делается для того, чтобы не было неправильного толкования того, что определяет персональные данные, а также для того, чтобы это определение было согласованным во всех странах ЕС и не входящих в ЕС, обрабатывающих данные, принадлежащие лицам из ЕС.

Согласие на обработку персональных данных субъекта данных должно быть дано субъектом данных добровольно. Согласие должно быть конкретным, информированным и недвусмысленным.

GDPR гарантирует, что контроллер данных (организация) берет на себя ответственность за демонстрацию соответствия, включая ведение документации, предоставление оценок воздействия на защиту данных и гарантию того, что защита данных выполняется по умолчанию и по замыслу.

Об утечке данных необходимо сообщать местному регулирующему органу в течение 72 часов после того, как стало известно об утечке. Организации необходимо будет проинформировать регулирующий орган о технических мерах защиты, которые у них есть, и об обстоятельствах, связанных с нарушением. Субъекты данных также должны быть уведомлены о нарушении.

Штрафы за несоблюдение могут составлять до 4% годового мирового оборота. Штрафы, связанные с новым регулированием, значительно возросли. Штраф будет зависеть от количества потерянных данных.

Процессы обработки данных в соответствии с новым GDPR несут прямые обязательства по обеспечению надлежащей защиты данных, сообщениям о нарушениях и принятию мер безопасности. Как процессы обработки данных (поставщик или лицо, обрабатывающее данные от имени организации), так и контролеры данных (организация, собирающая данные) несут одинаковую ответственность за безопасность данных и потерю любых данных, которые они обрабатывают.

Субъекты данных должны быть проинформированы о риске, связанном с передачей их данных за пределы ЕС. В новом регламенте разъясняются данные, которые могут быть переданы, с использованием стандартных положений о защите данных.

Физические лица могут требовать доступа к принадлежащим им данным — они также имеют право на удаление своих данных при определенных обстоятельствах.

Закон настоятельно рекомендует контролерам и обработчикам данных внедрять технологии шифрования для защиты данных.

Подготовка к Общему регламенту ЕС по защите данных (GDPR)

GDPR содержит конкретные предложения по соответствующим действиям по обеспечению безопасности, которые должны быть предприняты организациями, в том числе:

  • Псевдонимизация и шифрование личных данных.
  • Способность обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем обработки и услуг.
  • Возможность своевременного восстановления доступности и доступа к персональным данным в случае физического или технического инцидента (72-часовой обязательный срок для уведомления).
  • Процесс регулярного тестирования, анализа и оценки эффективности технических и организационных мер по обеспечению безопасности обработки.

8 рекомендаций по подготовке

  1. Крайне важно выяснить, распространяется ли GDPR на вас, скорее всего, так оно и есть. Все в ЕС, а также за пределами ЕС, которые обрабатывают или обрабатывают данные гражданина ЕС, должны соблюдать.
  2. Выясните, где вы не соответствуете требованиям, и начните вносить необходимые изменения.
  3. Оцените области риска, чтобы выявить, где персональные данные могут быть подвержены риску, чтобы можно было вносить изменения и внедрять политики там, где это необходимо.
  4. Внедрите четкие политики и процедуры безопасности для надлежащего реагирования на нарушения и своевременного уведомления.
  5. Включите конфиденциальность в дизайн и внедрите стратегию управления конфиденциальностью, чтобы можно было постоянно управлять и поддерживать политики безопасности.
  6. Защита физических помещений и окружающей среды по-прежнему имеет важное значение. Доступ к объектам, где хранятся данные, должен контролироваться и контролироваться.
  7. Защитите свои данные и контролируйте доступ к своим данным! Это должно быть достигнуто таким образом, чтобы управлять данными и потоками данных между несколькими процессами и местоположениями. Доступ к данным должен быть строго ограничен.
  8. Разработайте политику на случай утечки информации. Таким образом, нарушение может быть устранено надлежащим образом и гладко. Убедитесь, что ваша реакция на нарушение соответствует правилам.

Готовность имеет ключевое значение

Организации должны начать необходимую подготовку сейчас, чтобы избежать риска несоблюдения требований в мае 2018 года (когда правило вступит в силу). Важно, чтобы фундамент был взят сразу. При таком количестве сложных требований необходимо принять незамедлительные меры для достижения соответствия новым и обязательным правилам защиты данных. Интеграция займет время, поэтому не поддавайтесь ложному чувству безопасности, потому что соблюдение правил не является немедленным.

В настоящее время множество организаций переоценивают свои позиции в области безопасности и изучают свои методы, чтобы к дате вступления в силу можно было гарантировать предстоящее соответствие требованиям.

Пересмотренный регламент должен усилить безопасность данных и права отдельных лиц на неприкосновенность частной жизни, что приведет к повышению уверенности клиентов в безопасности данных. Улучшенная прозрачность, контроль и управление личными данными обеспечат обработку и хранение только необходимых данных, а также обеспечат безопасность данных и то, что их местонахождение всегда известно. Такие правила бесполезны, если они не соблюдаются. В связи с установленными значительными денежными штрафами за несоблюдение соблюдение правил будет приоритетом.

Очень важно убедиться, что ваша компания соответствует регламенту. Убедитесь, что вы знаете законы и в курсе изменений. В конце концов, вы будете нести ответственность за любое нарушение безопасности, которое произойдет, и вам придется иметь дело с последствиями.

В законе подчеркивается, что обработка данных и возможная потеря данных являются серьезной проблемой бизнеса и должны серьезно относиться к ним на всех уровнях и во всех организациях.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023