promo solutions eugdpr

EU General Data Protection Regulation, EU GDPR

Нормы общей защиты данных ЕС

Нормы общей защиты данных ЕС (EU General Data Protection Regulation, EU GDPR)

Один небольшой, но важный элемент GDPR: Соблюдайте совместимость с USB-накопителями с шифрованием компании Kingston

Ликвидирует угрозы и снижает риски

Компания предлагает продукты для персональных, корпоративных и государственных пользователей.

  • 100% соответствующий требованиям USB-накопитель с шифрованием
  • Простой, удобный в использовании, не требует программного обеспечения или драйверов
  • Может быть быстро и эффективно введен в эксплуатацию
EUGDPR Compliance Logos
Keep Compliant with Kingston

EU GDPR: 5 главных областей, о которых следует знать

  1. Шифрование - Обеспечение соблюдения стандартов на обработку данных (Статья 32, Безопасность обработки)
  2. Назначение ответственных за защиту данных (DPO)
  3. Создание и введение в действие программы обеспечения киберзащиты
  4. Документированный учет
  5. Сознательное согласие

Предусмотрены ли какие-либо санкции за несоблюдение норм?

Are there any penalties for non-compliance?
  • Согласно GDPR, на организации, нарушающие положения GDPR, могут налагаться штрафы в размере до 4% от годового валового оборота или примерно 21 952 миллиона долларов США (20 миллионов евро - в зависимости от того, какая из этих сумм больше).
  • Компанию могут оштрафовать на 2% за отсутствие должного учета (статья 28), неуведомление контролирующего органа и субъекта данных о нарушении или непроведении оценки воздействия./li>
  • Важно отметить, что эти правила распространяются как на "управленцев", так и на "обработчиков", что означает, что облачные сервисы не будут исключением для применения положений GDPR.

Что мне нужно знать?

Как это повлияет на мой бизнес?

  • Любая компания, работающая с информацией, связанной с гражданами ЕС, должна будет соблюдать нормы
  • Важно отметить, что эти правила распространяются как на "управленцев", так и на "обработчиков", что означает, что облачные сервисы не будут исключением для применения положений GDPR.
  • Распространяется на все организации (в пределах и за пределами ЕС), которые обрабатывают данные граждан ЕС
  • От организаций, которые обрабатывают персонально идентифицируемую информацию или располагают такой информацией, требуется применение адекватных мер обеспечения безопасности для защиты от утери персональных данных.

Что должно сделать мое предприятие, чтобы соответствовать нормам?

  • Выполнить самооценку - В тех компаниях, где работает 250 сотрудников и более, требуется Ответственный за защиту данных. Организациям нужно провести внутреннюю проверку обращения с персонально идентифицируемыми данными своих сотрудников и клиентов
  • Установить и зафиксировать все внутренние и внешние программные продукты/устройства, которые хранят данные - Зарегистрировать используемое оборудование компании и потребовать, чтобы на него распространялась ваша политика защиты данных, и обеспечить применение шифрования данных. В частности, такие устройства, как: серверы, жесткие диски, SSD-накопители, USB-накопители, компьютеры и мобильные устройства
  • Анализ хранящихся материалов - Оцените общий объем персональных данных
  • Очистка - Ликвидируйте архивы ненужной персонально идентифицируемой информации (ПИИ)
  • Контролеры информации - Проверьте оценки риска нарушения конфиденциальности и последствий этого нарушения
  • Контракты - Заранее обезопасьте свой бизнес, немедленно введя в действие политики, которые станут обязательными после фактической даты вступления в силу новых норм в мае 2018 г.
  • Случаи несанкционированного доступа к данным - Нормы требуют уведомления в течение 72 часов

Решение - Применять соответствующие меры защиты, технические стандарты и политики, такие как шифрование персональных данных / персонально идентифицируемой информации (ПИИ), для снижения риска несоблюдения норм (Подробнее – Стандарты USB-накопителей с шифрованием. Передовые методы)

Шифрование данных

  • USB-накопитель с шифрованием IronKey компании Kingston - это одно из решений по стандартизации соблюдения шифрования данных
  • Реализуйте “соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая ... шифрование персональных данных" (Статья 32, Безопасность обработки)
  • Законопроект требует от организаций шифрования данных как при пересылке, так и при хранении.
  • От организаций, которые обрабатывают персональную идентифицируемую информацию резидентов ЕС или располагают такой информацией, требуется применение адекватных мер обеспечения безопасности для защиты от утери персональных данных.
  • Организациям потребуется включить эти расширенные стандарты обработки данных в свои контракты со сторонними провайдерами услуг.

Расширенная территориальная сфера действия (экстерриториальная применимость)

Вероятно, крупнейшее изменение регулятивного ландшафта в области конфиденциальности данных.

  • Расширенная юрисдикция GDPR относится ко всем компаниям, обрабатывающим персональные данные субъектов данных, проживающих в ЕС, независимо от местонахождения компании.

Уведомление о несанкционированном доступе

Уведомления о несанкционированном доступе к данным должны выдаваться в течение 72 часов после установления факта несанкционированного доступа, когда это выполнимо, хотя уведомлять DPA не нужно, если маловероятно, что несанкционированный доступ повлечет за собой риск нарушения прав и свобод отдельных лиц.

Новые права потребителей

Выгоды для потребителя

Consumer Benefits

  • Повышение уровня защиты соблюдением GDPR и больше возможностей сохранения анонимности
  • Дает полномочия потребителю, предоставляя ему права в случае его нежелания делиться данными
  • Новые расширенные права для потребителя - право быть забытым" - право на переносимость данных", позволяющее требовать от компаний прекращения использования их данных
  • Компании, не соблюдающие эти права потребителей, подлежат более серьезным преследованиям со стороны потребителей и юридических лиц

Согласие

Условия получения согласия сделаны более строгими, и компании больше не смогут использовать длинные неудобочитаемые положения и условия, полные специальных юридических терминов, поскольку запрос согласия должен подаваться в понятной и легкодоступной форме, вместе с прилагаемым к этому согласию разъяснением цели обработки данных.

  • Согласие должно быть четко изложенным и отличимым от других вопросов и подаваться в понятной и легкодоступной форме с использованием ясного и простого языка. Отменить согласие должно быть так же легко, как и дать его.

Право на забвение

Также называемое удалением данных, право на забвение дает субъекту данных право на то, чтобы контролер данных удалил его/ее персональные данные, прекратил распространение этих данных и возможную их обработку третьими сторонами. Условия удаления, как изложено в (статье 17), включают в себя тот факт, что данные больше не имеют отношения к первоначальным целям.

Следует также отметить, что это право требует от контролеров при рассмотрении таких запросов сопоставления прав субъектов с "заинтересованностью общества в доступности этих данных".

Что такое персонально идентифицируемая информация (ПИИ)?

Персонально идентифицируемая информация (ПИИ) относится к сведениям, которыми имеются в отношении граждан ЕС и раскрытие которых может нанести ущерб тем, чья информация была несанкционированно разглашена. ПИИ может включать в себя медицинские документы, биометрические данные, номера паспортов и персонально идентифицируемую финансовую информацию (ПИФИ), такую как реквизиты карточек социального страхования и кредитных карт. Информация, которая может не считаться ПИИ, такая как имя и фамилия, может стать ПИИ, если будет связана с другими данными.

  • Ресурсы данных организации должны идентифицироваться как часть оценки рисков, включая способ хранения данных и получения к ним доступа, определение уровня риска, которому они подвергаются, и содержат ли они ПИИ. Ресурсы данных могут храниться в базах данных приложений, серверных файловых системах и в устройствах конечных пользователей.
What is Personal Identifiable Information (PII)?

Выделенные сегменты

  • Единый свод правил в масштабах ЕС — приблизительно подсчитано, что единый в масштабах ЕС закон по защите данных будет давать экономию примерно 2,3 миллиарда евро в год
  • Должностное лицо, ответственное за защиту данных, будет назначаться органами государственной власти и коммерческими предприятиями, производящими широкомасштабную обработку данных
  • Принцип "единого окна" – коммерческим предприятиям нужно будет иметь дело только с одним контролирующим органом (в стране ЕС, в которой они, по большей части, базируются)
  • Правила ЕС для компаний, зарегистрированных за пределами ЕС – компании, базирующиеся за пределами ЕС, должны придерживаться тех же правил при оказании услуг или предложении товаров или контроле поведения отдельных лиц на территории ЕС
  • Дружественные по отношению к инновациям правила – гарантия того, что средства защиты данных встраиваются в изделия и услуги, начиная с самого раннего этапа разработки (защита данных по изначальному проекту и по умолчанию)
  • Дружественные по отношению к конфиденциальности методы, такие как псевдонимизация (когда идентифицирующие поля в записи данных заменяются одним или несколькими искусственными идентификаторами) и шифрование (когда данные кодируются таким образом, что их могут прочитать только уполномоченные стороны)
  • Оценки последствий – коммерческим предприятиям придется выполнять оценки последствий, если в результате обработки данных может создаваться высокий риск для прав и свобод отдельных лиц
  • Ведение записей – не требуется, чтобы SME вели учет деятельности по обработке данных, если только обработка не является регулярной или не существует высокой вероятности создания в результате ее риска для прав и свобод лица, чьи данные обрабатываются

Подробнее

Контрольные даты по Нормам общей защиты данных ЕС (GDPR)

  • 31 января 2018 г. PCI-DSS v3.2 – Требование по многофакторной аутентификации (8.3.1) - Касается глобальных организаций
  • 30 июня 2018 г. PCI-DSS v3.2 – Требования по модернизации SSL-шифрования (2.2.3, 2.3, 4.1) - Касается глобальных организаций
  • Апрель 2018 г. PSD2 – Директива о платежных услугах 2 - Касается европейских коммерческих предприятий
  • Май 2018 г. GDPR – Нормы общей защиты данных - Касается глобальных организаций