Сейчас, когда вся наша информация хранится в цифровом виде, защита данных — важная часть государственных регулирующих мер. Основное законодательство в этой области — Общий регламент по защите данных (GDPR), который устанавливает строгие правила обработки и контроля персональных данных. Сегодня мы объясним значение и основные принципы GDPR, а также рассмотрим, как и почему стоит соответствовать этим нормам.
Что такое Общий регламент по защите данных?
Чтобы контролировать использование персональных данных, европейские страны приняли Общий регламент по защите данных (GDPR). Этот закон о защите данных, включающий 99 статей, считается самым строгим руководящим принципом безопасности в мире.
С момента введения в 2018 году GDPR представляет собой современный подход к регулированию персональных данных. Закон применяется к каждой компании, работающей с информацией граждан ЕС, независимо от того, где находится компания или где происходит сбор данных.
Какие принципы защиты данных предусмотрены GDPR?
Регламент основан на семи основных принципах, которые представляют нормы управления персональными данными:
- Законность, справедливость и прозрачность в процессе сбора данных.
- Ограничение целей, для которых будут использоваться данные.
- Минимизация объема собираемых данных.
- Точность и актуальность всех собранных данных.
- Ограничение хранения данных и удаление всех персональных данных, когда они больше не нужны.
- Целостность и конфиденциальность процесса.
- Ответственность и способность демонстрировать соответствие GDPR.
Что контролирует Общий регламент по защите данных?
Широкий термин «защита данных» относится к любой информации, которая может быть использована для идентификации человека (субъекта данных), к которому она относится. Яркие примеры — имя, адрес, биометрические данные и номера документов. Кроме того, к персональным данным относятся информация о посещенных веб-сайтах, история поиска, IP-адреса и так далее.
Закон о конфиденциальности данных регулирует, как веб-сайты взаимодействуют с пользователями и их личной информацией, и обеспечивает требуемый уровень безопасности. Это включает несколько пунктов:
- Веб-сайты должны уведомлять посетителей о собираемой информации.
- Перед сбором данных веб-сайты должны получить согласие субъекта данных в любой активной форме, например, через нажатие кнопки.
- В случае утечки персональных данных веб-сайты обязаны информировать пользователей об этом.
- Третья сторона, контролер данных, оценивает уровень безопасности данных на веб-сайте.
- Каждая организация, работающая с персональными данными, должна иметь сотрудника или команду, ответственную за этот процесс.
Почему компании должны соответствовать требованиям GDPR?
Если вы работаете на европейском рынке, ваша компания должна соответствовать требованиям GDPR в соответствии с законом. За нарушение этих правил организация столкнется с штрафами, которые могут быть внушительными в зависимости от тяжести нарушения — до 4% от глобального дохода или 20 миллионов евро.
Однако получение соответствия GDPR также будет хорошей идеей для организаций, работающих в других частях мира. Внедрение таких строгих норм показывает клиентам вашу приверженность ответственной защите данных и создает доверие к вашему продукту.
Как получить соответствие GDPR?
На официальном сайте Общего регламента по защите данных вы можете найти чек-лист, который поможет вам оценить, насколько ваша организация соответствует этим требованиям. Среди них есть четыре основных.
Законная основа и прозрачность
Информация о собираемых данных, целях их использования и о том, кто имеет к ним доступ, должна быть ясной для субъекта данных и объяснена простым и понятным языком. Кроме того, организация должна уведомить, что произойдет с данными после того, как они больше не понадобятся: как и когда они будут стерты и кто за этот процесс ответственен.
Безопасность данных
Защита собранных конфиденциальных персональных данных должна быть приоритетом на каждом этапе их использования, включая правильное уничтожение впоследствии. Техническую безопасность можно обеспечить с помощью шифрования или псевдонимизации.
Когда данные больше не нужны, компания должна обеспечить невосстановимое уничтожение всех сведений. Для эффективного выполнения этой задачи можно использовать программное обеспечение, например, NSYS Data Erasure. Это передовое решение может безопасно уничтожить данные с устройств Android и iOS (iPhone и iPad). Оно соответствует требованиям GDPR и NIST SP 800-88.
В случае утечки персональных данных компания должна уведомить всех субъектов данных об этом.
Ответственность и управление
В организации должен быть человек или команда, ответственная за вопросы защиты данных. Для малых и средних предприятий может быть хорошей идеей назначить ответственным того, кто хорошо знаком с рабочим процессом компании. Но некоторые компании должны нанять уполномоченного по защите данных (DPO), что происходит, если компания соответствует хотя бы одному из этих критериев:
- Сбор и обработка персональных данных осуществляются государственными органами (хотя есть исключения из этого правила).
- Сбор и обработка персональных данных — основная деятельность компании, которая осуществляется в больших масштабах.
- Компания собирает и обрабатывает данные определенных категорий, которые указаны в GDPR.
Помимо наличия внутри компании контролеров данных, ответственных за процесс, в управлении данными должны быть задействованы сторонние организации, чтобы гарантировать безопасность информации.
Права на конфиденциальность
У пользователей есть восемь основных прав в отношении их безопасности данных. Вот они:
- Право быть проинформированным о том, какая информация собирается, с какой целью, как долго она будет собираться и как она будет уничтожена впоследствии.
- Право исправлять, обновлять и изменять информацию, которая не является точной или неполной.
- Право на исправление любой личной информации.
- Право на удаление любой личной информации.
- Право ограничить или полностью прекратить обработку персональных данных.
- Право получить свои персональные данные в удобном формате.
- Право возражать против обработки персональных данных.
- Право получить помощь в процессе принятия решений, включая человеческое вмешательство в автоматизированные процессы.
Хотя важно правильно настроить процесс, необходимо помнить, что обработка личной информации — это непрерывная деятельность. Вам нужно регулярно проводить аудиты, чтобы соответствовать этому высокому стандарту.
Заключение
Общий регламент по защите данных (GDPR) — это строгий набор правил контроля данных, направленных на сохранение безопасности персональных данных и управление их ответственным использованием. Эти законы о конфиденциальности данных применяются к компаниям, работающим с информацией граждан Европейского союза. Однако организации по всему миру могут получить соответствие GDPR, чтобы способствовать надежной обработке данных и повышению доверия клиентов.
Важная часть обработки персональных данных — их уничтожение после того, как информация больше не нужна. Попробуйте решение, соответствующее GDPR, NSYS Data Erasure, чтобы быть на 100% уверенным, что на устройствах не останется конфиденциальных данных. Нажмите кнопку ниже, чтобы организовать демонстрацию!
