LV RU
info@csc.lv

67 78 0000

/

sales@csc.lv

8844

/

support@csc.lv

80 20 0900

info@csc.lv 67 78 0000

sales@csc.lv 8844

support@csc.lv 80 20 0900

Соблюдение GDPR

1 ШАГ

ЧТО ТАКОЕ ОБЩИЙ РЕГЛАМЕНТ ПО ЗАЩИТЕ ДАННЫХ (GDPR)?

Общий регламент по защите данных это новая ступень эволюции законов ЕС, которая применяется как в ЕС, так и вне, включая в себя новые требования по оформлению и процедурам ИТ документации и оценки рисков, сообщений о нарушениях, и уменьшении  объема используемых данных.  Создается единый закон по защите данных, который подразумевает защиту данных физических лиц.

Регламент является правовым обоснованием принципов защиты данных, особенно тех, которые являются основой интегрированной модели конфиденциальности: сократить количество персональных данных, которые необходимо сохранить, удалить ненужные персональные данные, ограничить доступ к данным и обеспечить постоянную защиту во время использования данных.

Какие данные нуждаются в защите?

Защищаются данные физических лиц или так называемые сенситивные данные (PII — personally identifiable information,) по которым можно распознать физическое лицо, в том числе имя/фамилия, номер телефона, клиентский номер, е-майл, IP- адрес.

Какие предприятия подчиняются  Общему регламенту по защите данных ЕС?

Регламент актуален для всех предприятий ЕС и для тех предприятий, которые обрабатывают данные граждан ЕС, независимо от местонахождения этих компаний.

Какие новые требования подлежат соблюдению?

Интегрированная защита конфиденциальности

Общий регламент по защите данных включает в себя принципы интегрированной защиты конфиденциальности, в том числе уменьшая объем хранимых данных и получая разрешение от клиентов обрабатывать их данные.

Право на удаление личных данных

Предыдущая Директива по защите данных включала право потребителей запрашивать удаление своих личных данных. Новый регламент расширяет права потребителей на удаление опубликованных данных в Интернете. Это неоднозначный шаг, который позволяет вам изолировать себя от общественной среды.

Экстерриториальный охват

Регламент применяется также к компаниям, расположенным за пределами ЕС, но собирает данные о гражданах ЕС (например, используя свои веб-сайты). Таким образом, новое законодательство распространяется также на компании, действующие за пределами ЕС. Это особенно актуально для компанийив области электронной коммерции и облачных сервисов.

Сообщения о нарушениях

Предприятия должны уведомить компетентные органы о нарушениях безопасности данных в течение 72 часов с момента выявления этих нарушений. Лица, чьи данные скомпрометированы, должны быть проинформированы в случаях, когда их права и свобода подвергаются высокому риску.

Штраф

За несоблюдение законодательства могут быть применены значительные штрафы: до 4% годового оборота компании, если нарушены принципы интегрированной защиты конфиденциальности и до 2% годового оборота, если документация компании не соответствует требованиям,  а также если ответственные органы и частные лица не информированы в случае нарушения.

Подчеркивается, что понятие о частных данных (где они хранятся, у кого есть доступ, и кто должен иметь доступ) в настоящее время является актуальной проблемой.

2 ШАГ

Интегрированная защита конфиденциальности и защита данных по умолчанию (Privacy by Design and by Default)

Интегрированная модель защиты конфиденциальности основана на принципах доброй воли, которая позволяет проанализировать отношение руководства компании к данным клиента и его безопасности. Эта модель имеет консультативную цель. Общий регламент по защите данных отличается от рекомендуемых модели несоблюдения стандартов конфиденциальности данных ЕС от рекомендуемых моделей отличает юридическая ответственность за несоблюдение законов о конфиденциальности данных.

Интегрированная конфиденциальность рекомендует предприятиям сосредоточить внимание на уменьшении объема данных, которые они хранят. Необходимо уменьшить объем данных о клиентах, количество сотрудников, имеющих доступ к этим данным, должно быть сокращено, а минимальный период хранения данных должен быть как можно короче. Чем меньше количество данных, находящихся под угрозой, тем выше безопасность данных. Итак, если эти шаги предприняты, компания находится на правильном пути для реализации Общего регламента по защите данных

Являются ли совместимыми понятиями большие данные и безопасность данных?

В рамках интегрированной защиты частной жизни — определенно; Для обеспечения безопасности данных можно предпринять следующие шаги:

• Уменьшить количество сохраняемыхданных клиента (особенно конфиденциальных данных)

• Хранить данные только для определенной цели

• Позволять клиентам получать доступ к данным и управлять ими

3 ШАГ

Право на удаление личных данных

У права удалять частные данные нет юридической силы в  ЕС. В большинстве компаний клиенты имеют право удалять свои личные данные. Общий регламент по защите данных распространяется на это право. Теперь указано, что держатели частных данных должны информировать третьи стороны о просьбе об удалении частных данных. В пункте 17 Регламента говорится, что «частные  лица, данные которых сохраняются или субъекты данных имеют право запрашивать у ответственных учреждений, которые хранят данные, удаление своих данных в случаях, когда эти данные больше не используются для их первоначальной цели. Если частное лицо не разрешает обрабатывать свои данные, это должно учитываться, и, если данные доступны в публичной среде, они должны быть удалены ».

 

 

 

 

 

 

Итак, те социальные медиа, которые публикуют личные данные в веб-среде, должны удалять не только данные, опубликованные с их стороны, но и обязательно передать информацию об удалении данных другим веб-сервисам, которые скопировали эти данные , чтобы они были удалены с других ресурсов.

Что произойдет, если держатель данных передал данные третьей стороне, например, компании по предоставлению облачных сервисов для хранения или обработки?

 

Регламент применяется также в том случае, когда компания по предоставлению облачных сервисов обрабатывает эти данные, в связи с чем на нее тоже распространяются требования регламента и данные должны быть удалены по запросу.

Внимание!

Клиент или субъект данных может в любой момент запросить удаление своих личных данных. в ЕС собственником данных является житель.

 

4 ШАГ

Какие предриятия подчиняются  Общему регламенту по защите данных ЕС?

Наиболее важным условием, обозначенным в правиле, является экстерриториальная применимость. В соответствии со статьей 3 Регламента это правило распространяется на любые частные данные, переданные за пределы ЕС.

Таким образом, американская компания, обрабатывающая частные данные для граждан Европейского Союза, подчиняется этому регулированию, как и любая другая компания во Франции, Великобритании или Германии, даже если серверы и филиалы расположены за пределами ЕС.

Юристы могут оспаривать применение этого правила для компаний за пределами ЕС, но следует учитывать, что если крупная интернациональная компания отказывается соблюдать положения регламента, например, сообщать о нарушениях безопасности, вполне вероятно, что эта компания будет подвергнута санкциям со стороны Регулятора  ЕС.

Принцип экстерриториальности особенно актуален для веб-компаний, таких как поисковые систем, социальные сети, поставщики электронной коммерции и поставщиков электронных объявлений и т. д.

Вы можете применить это описание к вашим используемым услугам, чтобы вы могли понять, какие из них относятся к недавно введенным требованиям.

 

 

 

 

Двойные стандарты

Предыдущая Директива по защите данных допускала различные манипуляции с законом, которые позволяли держателям данных не соблюдать требования по безопасности данных. Одним из самых популярных способов было размещение данных за пределами ЕС со следующей целью: если сервер находится за пределами ЕС, директива может быть проигнорирована.

Такие компании, как Google, Facebook и лр. социальные сети часто прибегали к этому методу.

Конечно, до поры до времени.

Испанское агентство по защите данных подало в суд на Google за удаление результата поиска. Верховный суд Европейского союза признал иск против Google оправданным. Законодательство ЕС на этот раз выиграло : Google был вынужден удалить ресурсы из результатов поиска.

Территориальные интересы за пределами ЕС указаны в пункте 3 регламента. Регламент применяется к компаниям и компаниям ЕС, которые обрабатывают данные граждан ЕС независимо от их местонахождения.

 

5 ШАГ

Что происходит при несоблюдении Регламента?

В случае несоблюдения Регламента налагается штраф, который составляет значительную часть бюджета; Это правило применяется как к держателям данных, так и к компаниям, которые обрабатывают эти данные, а это означает, что поставщики облачных услуг также подчиняются положениям Регламента.

Несоблюдение правил могут стоить компании до 4% годового оборота. Штраф в размере до 2% годового оборота может быть применен в случаях, когда не приведена в порядок документация  (пункт 30 Регламента),ответственным органам и частным лицам не сообщается о нарушениях безопасности (пп. 33 и 34) и если не проводится оценка рисков  (33 . точка.)

Следует иметь в виду, что уведомления о нарушениях безопасности обычно не являются обычными информационными сообщениями об инциденте. Отчет должен включать информацию о категории данных, записях и примерном количестве лиц, чьи данные были скомпрометированы.

 

 

 

 

 

 

 

Итак, вам нужна подробная информация о данных, которые стали доступными и действиях, которые были выполнены в системе извне.

За более серьезные нарушения может быть наложен штраф в размере до 4% годового оборота. Эти нарушения включают в себя несоблюдение основополагающих принципов безопасности (пункт 5) и игнорирования о получении разрешения клиента (п. 7) — то есть, в случаях несоответствования интегрированной модели защиты конфиденциальности.

Одним из способов, с помощью которого Регулятор будет контролировать соблюдение компанией Регламента, является введение должности  инспектора по защите данных в компании. Этот сотрудник отвечает за обеспечение контроля доступа к данным, уменьшение рисков безопасности данных, соответствие процессов в компании Регламенту, обработке обращений, уведомлений о нарушениях безопасности в течение 72 часов после их обнаружения и реализацию политики безопасности компании.

6 ШАГ

Что Вам делать дальше?

Рассмотрим наиболее сложные препятствия Регламента и способы их преодоления:

25. пункт: Интегрированная защита данных по умолчанию

Что это значит: подотчетность и конфиденциальность как основы деловой культуры

Что делать:   Пересмотреть контроль доступа к данным

30. пункт: Учет действий по обработке данных

Что это значит: введение технических и организационных процедур для обработки личных данных

Что делать: Создать систему отслеживания частных данных; понять, кто имеет доступ к данным такого типа; понять, кто имеет доступ к этим данным; определить, могут ли эти данные быть удалены из системы и когда.

17. пункт: Право на удаление личных данных

Что это значит: Возможность быстро находить и автоматически удалять данные по заданным критериям

Что делать: Найти, пометить по критерию и удалить данные. Налагается штраф за несоблюдение Регламента, которое составляет значительную часть бюджета; Этт регламент применяется как к держателям данных, так и к компаниям, которые обрабатывают эти данные, а это означает, что поставщики облачных услуг также подчиняются положениям Регламента.

32.пункт: Безопасность обработки данных

Что это значит: Нужно обеспечить минимальные права на выполнение обязательств; необходимо ввести систему учета, чтобы понять, какие данные принадлежат сотрудникам; отразить в отчетах, какие правила и процессы успешно применяются для обеспечения безопасности данных.

Что делать: Aвтоматизировать и обеспечить соблюдение минимальных прав пользователей при выполнении  ревизии обязанностей и внедрить этические барьеры

33. пункт: Уведомления ответственных органов о нарушениях безопасности персональных данных

Что это значит: Предотвращать и сообщать о нарушениях данных; внедрить ранее установленный плана действий

Что делать: Определите ненормальное использование данных, отслеживайте и получайте уведомления в случае несоблюдения правил.

35. пункт: Оценка риска безопасности данных

Что это значит: Определить количество рисков

Что делать: Оценить безопасность обработки конфиденциальных данных с высоким уровнем риска

Каковы основные условия, обеспечивающие соблюдение компанией правил Регламента ЕС?

Классификация данных

Вам нужно знать, где именнов вашей системе хранятся личные данные,  особенно в неструктурированных форматах — в документах, презентациях и таблицах. Это важно для защиты данных, а также для выполнения запросов на удаление данных.

Метаданные

Чтобы уменьшить количество личных данных и сократить время хранения данных, необходима информация о времени накоплении данных и о целях, для которых это было сделано. Время от времени необходимо проверять личные данные, хранящиеся в ИТ-системах, для определения того, нужны ли они в дальнейшем.

Управление

Регламент вынуждает оценить, соблюдаются ли процедуры по обеспечению безопасности данных. Предприятия должны определять, какие сотрудники имеют доступ к конфиденциальным данным, кто должны иметь этот доступ, и кто должен иметь ограниченный доступ в зависимости от прямых обязанностей сотрудника, таким образом контролируя права доступа.

Мониторинг

Обязательные уведомления о нарушении безопасности — новый вызов для бизнеса. Регламент предусматривает непрерывный мониторинг ИТ-систем с точки зрения безопасности. Необходимо постоянно следить за аномалиями доступа к конфиденциальным данным и уведомлять компетентные органы о любых нарушениях. Несоблюдение этого требования может нанести существенный ущерб компании, особенно для интернациональных корпораций с высоким годовым оборотом.

Varonis помогает любому предприятию соблюдать регламент ЕС. Программное обеспечение автоматизирует сложные и трудоемкие задачи, упрощая реализацию положений регламента. Воспользуйтесь возможностью получить бесплатную консультацию о соблюдении вашей компанией нового регламента ЕС, чтобы устранить все препятствия для его реализации.