Персональные данные организации: Что такое персональные данные в организации: все о защите персональных данных

что важно знать об этом

В компаниях ежедневно происходит работа с персональными данными сотрудников: информацию собирают, обрабатывают, хранят. Если это делать неправильно, то при проверке Роскомнадзор оштрафует, а суммы штрафов внушительные. Из статьи узнаете, что входит в персональные данные, как правильно обращаться с ними, чтобы избежать претензий ведомства и какие изменения учесть с сентября 2022 года.

Содержание   Что относится к персональным данным Как строится работа с персональными данными Изменения в Законе о персональных данных 2022 Персональные данные в организации. Алгоритм работы с ними

Что относится к персональным данным

Персональные данные — это сведения о человеке, которые помогают его идентифицировать.

Согласно Федеральному закону 152-ФЗ — это любая информация, прямо или косвенно связанная с конкретным физическим лицом.

Является ли ФИО персональными данными, по закону да, хотя на основании только этих сведений идентифицировать человека бывает сложно. Помимо однофамильцев встречаются и полные тезки, поэтому только ФИО без привязки к другой информации суды не считают персональными данными. Также как и абстрактный номер телефона или адрес электронной почты.

Работодатели при приеме на работу используют не только ФИО, но и другую информацию о работнике: дата рождения, домашний адрес и номер телефона, семейное положение и сведения об образовании, и даже биометрические данные. Поэтому такой комплекс сведений уже входит в определение персональных данных. 

В законе не закреплен какой-либо определенный перечень персональных данных, но чтобы их классифицировать, выделяют несколько категорий.

Согласно Постановлению Правительства РФ №1119 от 01. 11.2012 г. определяют следующие категории персональных данных:

Название категории	Виды персональных данных
Общие	Сюда относят базовые данные: ФИО, домашний адрес, место работы, номер телефона, e-mail. Эти сведения могут публиковаться в интернете
Специальные	Раса и национальность, политические взгляды, приверженность к той или иной религии, сведения о здоровье и интимной жизни, судимости. Эти данные — личное дело человека и сообщать их кому-то он не обязан
Биометрические	Это биологические и физиологические сведения: группа крови, отпечатки пальцев, фото.   Фотография считается биометрическими персональными данными, если служит для идентификации человека, например, если в компании для допуска установлена система распознавания лиц. Если фото просто прикрепили к личному делу работника, то это не персональные данные
Иные	Сюда входит то, что нельзя отнести к предыдущим группам. Например, бухгалтерская информация по зарплате

Важно! До марта 2021 года существовали общедоступные персональные данные в РФ. После внесли поправку в закон, теперь они называются «персональные данные, разрешенные субъектом для распространения». То есть даже если сам субъект разместит где-то свои данные публично, брать их и публиковать можно только с его согласия.

Как строится работа с персональными данными

Когда организация получает персональные данные работника, корректирует их, систематизирует, использует, хранит — это называется обработка, а сама организация является оператором персональных сведений. 

Работодатель обязан разработать и утвердить локальный акт, который устанавливает порядок сбора и использования персональной информации трудоустроенных и потенциальных сотрудников. В акте нужно закрепить перечень сведений, которые будут запрашивать при приеме на работу, и внести данные о тех, кто будет иметь доступ персональным данным.

Обратите внимание! Работодатель может осуществлять сбор только тех персональных данных, которые требуются для трудовой деятельности. При этом, даже если компания обрабатывает персданные сотрудников в соответствии с трудовым законодательством, необходимо подавать в Роскомнадзор уведомление об обработке персональных данных. Это новое требование закона.

Изменения в Законе о персональных данных 2022

В июле 2022 года вступил в силу Федеральный закон № 266-ФЗ от 14.07.2022 г., который вносит поправки в Закон о персональных данных. Некоторые из них применяют с сентября 2022 года. 

Новый закон о персональных данных внес изменения, большая часть которых касается обработки персональной информации:

• вводится принцип экстерриториальности. Это означает, что если иностранная компания заключила договор с гражданином России, то она становится оператором персональных данных и обязана соблюдать Закон 152-ФЗ наравне с российскими организациями. А если российский работодатель поручил обрабатывать личные данные работника иностранной компании, то отвечать перед ним обязаны и оператор персональных данных и компания-обработчик;
• все операторы персональных данных теперь обязаны сообщать об утечках информации в госсистему обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА). Если произойдет утечка личной информации, то компания обязана в течение 24 часов сообщить об этом в Роскомнадзор и в течение 72 часов провести расследование, найти виновных и доложить о результатах в ГосСОПКА;
• уменьшится срок взаимодействия компании и сотрудника по вопросу персональных данных. Если ранее работник просил предоставить информацию об обработке его личных данных или прекратить их обрабатывать, то компания давала ответ в течение 30 дней. Теперь этот срок равняется 10 рабочим дням. Столько же дней отводится на то, чтобы отреагировать на запрос Роскомнадзора. 

Подробнее, какие изменения внес закон о персональных данных с 1 сентября 2022 года и как действовать работодателям в связи с этим, узнайте в нашем экспресс-курсе.

Персональные данные в организации. Алгоритм работы с ними

Правильно организовать работу с персональной информацией поможет следующая инструкция:

Шаг 1. Сформируйте Положение о персональных данных, в котором зафиксируйте правила обработки и хранения персональных сведений. По новому закону теперь компания должна для каждой цели обработки указывать:

• какие категории персональных данных она будет обрабатывать и их перечень;

• категории субъектов, данные которых обрабатываются;

• как и сколько будут обрабатываться и храниться данные;

• как будут уничтожаться данные, если достигли цели обработки и информация больше не нужна.

Шаг 2. Издайте приказ об утверждении Положения и ознакомьте с ним всех сотрудников под подпись.

Шаг 3. Назначьте ответственного за работу с персональной информацией и составьте допсоглашение к трудовому договору с этим сотрудником, где пропишите новые обязанности.

Также определите, у кого из сотрудников будет доступ к персональным сведениям. Выбранные работники должны подписать соглашение о неразглашении данных.

Шаг 4. Попросите всех сотрудников компании дать согласие на обработку персональных данных. Согласно изменениям в законе теперь согласие на обработку персональных данных помимо конкретного, сознательного и информированного должно быть еще предметным и однозначным. (ст. 9 Закона № 152-ФЗ). Это означает, что из текста документа должно быть понятно, зачем компания собирает персональные сведения, а работник должен ясно выразить, что он не против.

Важно! Если работник молчит или бездействует, это не считаются согласием на обработку персональной информации. Согласие обрабатывать личные сведения, разрешенные для распространения, нужно оформлять отдельно. В нем можно запретить передачу данных неограниченному кругу лиц.

Как правильно составить согласие на распространение персональных данных читайте в статье.

Шаг 5. Храните данные так, чтобы к ним имели доступ только уполномоченные сотрудники. Если персональная информация на бумаге, то хранить стоит в сейфах, несгораемых шкафах или специальном помещении. 

Какие особенности учесть при хранении персональных данных читайте в статье. 

Шаг 6. Обратитесь в Роскомнадзор, если еще этого не сделали. По новым правилам не сообщать ведомству о том, что вы оператор персональных данных можно теперь только в двух случаях: 

• если личные сведения включаются в государственные информационные системы персданных, созданные в целях защиты безопасности государства и общественного порядка;
• когда компания обрабатывает персональную информацию вручную, без автоматизации.

Чтобы уверенно работать с персональными данными узнайте о новых требованиях 2022–2023 года в нашем курсе.

Персональные данные | О персональных данных (ПДн)

Персональные данные (ПДн), согласно №152-ФЗ «О персональных данных», это  — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Кроме отечественного регулирования некоторые персональные данные у нас в стране подпадают под действие экстерриториальных регламентов по защите персданных, например, европейского GDPR (General Data Protection Regulation).

В большинстве случаев персональные данные включают в себя фамилию, имя, отчество субъекта, дату его рождения, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта, адрес и т.п. Однако, существуют особенности и ограничения, определенные в законодательстве.

Персональные данные: какими они бывают?

Документы ФСТЭК, Роскомназдора и положения №152-ФЗ разделяют персональные данные на несколько групп: общие, специальные, биометрические, обезличенные и общедоступные.  персональные данные Особо выделяются   персональные данные несовершеннолетних.

• Общие персональные данные включают в себя ФИО, место регистрации, информацию о месте работы, номер телефона, email. Эта группа информации о человеке описывает его базовые данные, которые могут быть частично известны другим людям, например, родственникам;
• Специальные персональные данные перечисляются в п.1 статьи 10 №152-ФЗ: расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, а также информация о состоянии здоровья и интимной жизни;
• Биометрические персональные данные, согласно п.1 статьи 11 №152-ФЗ, представляют собой сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
• Обезличенные персональные данные — это данные, из которых невозможно установить конкретное лицо. Методические рекомендации по применению приказа Роскомнадзора №996 «Об утверждении требований и методов по обезличиванию персональных данных» предлагают несколько методик этого процесса. Обезличенные персданные сейчас активно используются для обучения искусственного интеллекта.
• Общедоступные персональные данные согласно статье 8 №152-ФЗ могут использоваться, например, для создания справочников или адресных книг. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и т.д. Сюда же относятся данные, которые субъект сам распространил на неопределённый круг лиц. Однако Московский Арбитражный суд в определении по делу №А40-5250/17 в 2017 году указал, что персональные данные, публикуемые в социальных сетях не являются общедоступными, а социальные сети не являются источником общедоступных сведений.

Права же несовершеннолетних детей согласно ч. 1 ст. 64 Семейного кодекса защищают родители и законные представители. Эти лица, давая свое согласие, подтверждают, что обработка персональных данных несовершеннолетнего является законной и не нарушает права ребенка.

Родители и законные представители имеют право на получение исчерпывающей информацию о том, каков точный объем собираемых данных и будут ли они передаваться в другие организации. Однако, если родитель лишен родительских прав, то он не имеет возможности доступа к персональным данным несовершеннолетних детей.

Третья глава №152-ФЗ «Права субъекта персональных данных» устанавливает набор прав, благодаря которым физическое лицо имеет возможность оперировать своими данными. Например, субъект вправе запросить у оператора, осуществляющего обработку персональных данных, сведения, касающиеся его данных, и оператор обязан в срок до 30 дней предоставить такую информацию.

Есть и исключения. Например, если в сети Интернет обнаружены персданные, не соответствующие действительности, администрация ресурса, в чьи обязанности входит обработка персональных данных данного субъекта, по его запросу должна либо их отредактировать, либо удалить. Это должно произойти, как указано в статье 20 №152-ФЗ, в срок не более 7 дней с даты получения запроса.

Кроме этого, субъект вправе запросить у оператора ПДн сведения, подтверждающие факт обработки персданных оператором, а также правовые основания и цели обработки персональных данных. Они должны быть конкретными, заранее определёнными, законными и соответствующими деятельности, ради которой такая обработка осуществляется. Цели оператор определяет заранее, при подаче заявления на разрешение в Роскомнадзор.

Оператор, осуществляющий на законных основаниях обработку персональных данных, может отказать субъекту в ответ на его запрос. Эти случаи детально прописаны законодателем, и как правило, связаны с требованиями силовых ведомств при проведении ими оперативно-розыскной, разведывательной или контрразведывательной деятельности.

Доступ к ПДн может быть ограничен, если в отношении субъекта возбуждено уголовное дело или если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем. Ограничение доступа к персданным может возникнуть, если нарушаются права и законные интересы третьих лиц.

Персональные данные и их Обработка и защита

Обработка персональных данных может быть автоматизированной, т.е. с применением средств вычислительной техники и неавтоматизированной или смешанной. Причем цели для разных способов обработки персональных данных одного и того же человека могут быть разными.

После обработки персональных данных, они хранятся в архиве. Документы в бумажной форме помещаются в отдельное специализированное помещение, а цифровые документы — в электронное хранилище. В обоих случаях необходимо предусмотреть возможность оперативно найти ПДн, уничтожить их по требованию субъекта или передать третьим лицам.

Обработка персональных данных может включать в себя:

1. сбор;
2. передачу;
3. запись;
4. хранение;
5. извлечение;
6. изменение;
7. обезличивание;
8. анализ;
9. удаление.

Оператор при обработке персональных данных обязан принимать все необходимые меры для защиты ПДн. В их число входят: правовые, организационные и технические меры. Их комплексное использование должно обеспечить защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и утечек вследствие деятельности инсайдеров. Обязанность по установлению требований по защите персданных возложена на ФСТЭК РФ, а в финансовой сфере на Банк России.

Постановлением Правительства №1119 от 1 ноября 2012 года описаны критерии отнесения ПДн к одному из четырех уровней защищенности (перечислены выше), различающихся перечнем требований по защите информационных систем по обработке персональных данных (ИСПДн). Кроме того, в документе приведены меры по профилактике несанкционированного доступа к конфиденциальным сведениям.

По форме отношений между организацией и субъектами обработка ПДн подразделяется на два вида: обработка персональных данных работников организации и не являющихся её работниками.

Типы актуальных угроз определены следующим образом:

1. Угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
2. Угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
3. Угрозы 3-го типа не связаны с наличием недекларированных возможностей в ПО, используемом в ИСПДн.

Конкретный набор действий по внедрению средств ИБ для нейтрализации данных угроз для защиты персональных данных базируется на требованиях Постановления Правительства №1119 и Приказа ФСТЭК №21 от 18 февраля 2013 года.

Персональные данные Перспективы развития регулирования

Жизнь не стоит на месте. Одним из драйверов перемен стала пандемия COVID-19. В ряде стран во благо людей, подвергшихся опасности заражения, власти пренебрегали нормами местных законов, защищающих персональные данные.

Кроме того, самоизоляция и массовый переход в онлайн привычных процессов, вызвали всплеск интереса общества к проблеме массовой утраты персональными данными своей конфиденциальности на волне бума кибермошенничества, включая социальную инженерию. Несовершенство законодательства обсуждается всё чаще.

Кроме того, в №152-ФЗ имеются изъятия, позволяющих передавать ПДн значительному списку получателей, и ничто не гарантирует того, что они будут эти данные использовать не в ущерб субъектам. Часть проблем исходит из-за недостаточной проработанности в Законе понятий «конфиденциальность» и «персональные данные». Эксперты говорят и том, что в Законе не предусмотрена ответственность за разглашение персданных, а также за преднамеренные хищения и утечки данных. Очевидно, что по этим по пунктам следует ожидать активизации деятельности юристов.

Часть методологических проблем №152-ФЗ, связанных с процессом обработки персональных данных, также, возможно, требует доработок, связанных с уточнением состава данных, целей обработки и сроков. Причем в конкретной IT-системе этот этот стандартный набор должен определять свой собственный набор данных, что позволит однозначно обозначить, в какой системе какие ПДн должны защищаться. Не бывает персональных данных вообще, а только в контексте конкретной области их применения.

Министерство цифрового развития, связи и массовых коммуникаций РФ ожидает изменений в №152-ФЗ, которые будут направлены на введение регулирования оборота обезличенных персональных данных, необходимых для работы сервисов с использованием ИИ.

Что касается финансовой сферы, то здесь можно ожидать более радикальных изменений в связи с ростом мошенничества и массовыми случаями социальной инженерии. В частности, обсуждается инициатива Ассоциации банков России (АБР), заключающаяся в том, что персональные данные банковских мошенников могут начать передавать их жертвам, чтобы клиенты банков могли вернуть свои деньги. Однако требуются изменения в регулирование банковской тайны.

Кроме того, развитие открытого банкинга в России и связанных с ним технологий Open API и соответствующие положения GDPR, уже привели к тому, что в России на портале «Госуслуги» появился сервис по просмотру согласий субъектов на дачу и обработку своих персональных данных. Существующий курс Банка России на активное развитие Open API позволяет предполагать некоторого сближения положений №152-ФЗ и GDPR в будущем.

Как организациям следует выполнять свои требования к конфиденциальности данных?

Image

Данные относятся к наиболее ценным активам, которые необходимо защищать любой ценой. Но в мире бизнеса, управляемом цифровыми технологиями, преобладают киберпреступления, поэтому защита данных и конфиденциальность данных находятся в центре внимания. Растущее использование технологий и растущая подверженность эволюционирующим киберугрозам резко изменили ситуацию с безопасностью данных и конфиденциальностью. По этим причинам международные регулирующие органы по всему миру разработали строгие законы о конфиденциальности данных для предприятий.

Законы о конфиденциальности данных направлены на защиту данных отдельных лиц, а также на предоставление им контроля над своими данными. При наличии множества правил конфиденциальности данных предприятия теперь обязаны соблюдать законы о конфиденциальности данных и обеспечивать соблюдение требований. Для того чтобы организация наилучшим образом соответствовала этим правилам, важно ознакомиться с некоторыми популярными международными законами о конфиденциальности данных, действующими во всем мире. Необходимость глобального обзора обусловлена ​​глобальным присутствием всех компаний, ведущих онлайн-бизнес. Кроме того, многие правила основаны на прецедентах, установленных в других странах.

Международные законы о конфиденциальности данных

Конфиденциальность данных стала очень приоритетной, особенно после того, как многие глобальные регулирующие и руководящие органы приняли и обеспечили соблюдение различных законов о конфиденциальности данных. Эти законы были приняты для регулирования и обеспечения безопасности деятельности организаций, занимающихся обработкой персональных данных, по обработке данных. В настоящее время 128 стран имеют действующее законодательство о безопасности и конфиденциальности данных для защиты персональных данных. К наиболее известным из них относятся следующие:

• GDPR EU — Общий регламент Европейского Союза о защите данных — один из самых популярных и всеобъемлющих международных законов о конфиденциальности данных. Он регулирует обработку персональных данных граждан ЕС. Организации, обрабатывающие персональные данные граждан ЕС, должны соблюдать GDPR ЕС. Регламент защищает права на конфиденциальность данных физических лиц Европейского Союза.
• GDPR UK — Закон об общем регулировании защиты данных Соединенного Королевства — это довольно новый и недавно принятый закон о конфиденциальности данных в Великобритании. После Brexit 1 января 2021 года вступило в силу Регламент GDPR Великобритании. Согласно новому закону, организации, обрабатывающие персональные данные граждан Великобритании, обязаны соблюдать GDPR Великобритании. Это закон о конфиденциальности данных, который отражает GDPR ЕС с несколькими поправками, характерными для требований Великобритании.
• CCPA . Закон штата Калифорния о конфиденциальности потребителей направлен на защиту личных данных жителей Калифорнии. Это единственный в своем роде закон в Соединенных Штатах, который регулирует обработку данных потребителей и дает потребителям полный контроль над использованием их данных.
• HIPAA — Закон о переносимости и подотчетности медицинского страхования (HIPAA) разработан для защиты конфиденциальной информации о здоровье пациента (PHI). Организации, обрабатывающие PHI, должны соответствовать требованиям HIPAA. Это закон о защите данных, который организации должны соблюдать, применяя необходимые административные, технические и физические меры безопасности для защиты PHI и электронных данных PHI.
• PIPEDA . Закон об электронных документах о защите личной информации (PIPEDA) – это канадский закон о конфиденциальности данных, который защищает способы обработки личной информации организациями частного сектора. Закон регулирует коммерческую деятельность по обработке и применяется ко всем организациям частного сектора в Канаде, которые обрабатывают личные данные граждан для коммерческого использования.
• PDPA (Сингапур) . Основная цель Закона Сингапура о защите персональных данных (PDPA) состоит в том, чтобы «регулировать сбор, использование и раскрытие персональных данных организациями таким образом, который признает как права отдельных для защиты своих личных данных и необходимости организаций собирать, использовать или раскрывать личные данные для целей, которые разумный человек счел бы целесообразными в данных обстоятельствах».
• PDPA Malaysia . Закон Малайзии о защите персональных данных (PDPA) регулирует обработку персональных данных коммерческими организациями. Закон вступил в силу 15 ноября 2013 года и был введен в действие для обеспечения соблюдения определенных обязательств в отношении конфиденциальности данных и защиты прав субъекта данных в отношении предоставления персональных данных. Закон усиливает практику защиты данных и конфиденциальности, тем самым расширяя возможности субъектов данных контролировать свои данные.
• Закон Австралии о конфиденциальности . Закон о конфиденциальности — это законодательство Австралии. Созданный для защиты личной информации граждан Австралии, он является одним из первых в мире законодательных актов о конфиденциальности. Закон, принятый в 1988 году, регулирует порядок обработки личной информации частными и государственными организациями. Закон, в который постоянно вносились изменения с момента его первоначального принятия, способствует обеспечению безопасности и конфиденциальности отдельных лиц, а также регулирует порядок обращения организаций с личной информацией.
• Новая Зеландия Privacy Ac t . Одним из законов о конфиденциальности, который часто упускают из виду, является Закон Новой Зеландии о конфиденциальности. Что делает этот закон заслуживающим упоминания, так это то, что он содержит любопытный раздел, который позволяет агентству оставлять за собой «решение не подтверждать и не опровергать личную информацию». Это несколько необычно по сравнению со всеми другими законами о конфиденциальности.

Технологии защиты данных

Ожидается, что организации во всем мире будут соблюдать различные правила конфиденциальности данных, в которые они входят. Несоблюдение таких законов может привести к штрафам, санкциям, финансовым потерям и возможной потере репутации. Организации должны внедрять передовые методы и решения для максимальной защиты данных. Внедрение технологий может помочь компании ограничивать и контролировать доступ, а также реагировать на угрозы. Для предотвращения подобных инцидентов и обеспечения защиты данных должны быть реализованы следующие меры:

• Предотвращение потери данных (DLP) — Предотвращение потери данных — это программное обеспечение, которое обнаруживает, отслеживает и контролирует действия, связанные с конфиденциальными данными. Передовая технология может предотвратить серьезные инциденты, такие как утечка данных, случайное удаление данных и эксфильтрация данных.
• Управление идентификацией и доступом (IAM) — IAM — это метод проверки учетных данных и разрешений для всех входов в систему в выбранных системах. Технология гарантирует, что правильный объект получит привилегированный доступ на основе управления доступом на основе ролей. Эта технология обеспечивает гибкие процессы аутентификации, многофакторную аутентификацию, а также безопасность, регистрацию сеансов и управление ими, а также аналогичные функции, предотвращающие несанкционированный доступ.
• Шифрование — Шифрование — это метод защиты данных, который гарантирует, что только пользователь с правильным ключом шифрования может расшифровать данные. Таким образом, данные защищены от разглашения. Это один из самых безопасных способов защиты и обеспечения конфиденциальности данных, поскольку даже в случае кражи данных информация не может быть прочитана неавторизованным пользователем.
• Токенизация . Токенизация — это метод, который включает замену конфиденциальных данных случайными строками символов, известными как токены. Без хранилища токенов пользователь не может отменить или получить доступ к данным. Это еще один способ защиты конфиденциальных данных от несанкционированного доступа.
• Платформа защиты конечных точек (EPP) . Программное обеспечение для защиты конечных точек развертывается на устройствах для предотвращения нарушений безопасности, таких как вредоносное ПО, вторжение, потеря данных и другие вредоносные действия. Программное обеспечение помогает обнаруживать и предотвращать угрозы на конечных точках, таких как серверы, сети, настольные компьютеры, мобильные устройства, принтеры, маршрутизаторы и подключенные устройства. Сетевые порты также могут быть защищены. EPP отслеживает сетевой периметр и фильтрует трафик для обеспечения максимальной безопасности.
• Брандмауэры — Брандмауэры — это сетевые объекты, которые могут состоять как из аппаратного, так и из программного обеспечения. Они предназначены для мониторинга входящего и исходящего сетевого трафика, а также для его фильтрации в соответствии с установленным набором правил.
• Программное обеспечение для удаления данных — Удаление данных — это программное обеспечение, которое можно использовать для удаления электронных данных с любого устройства хранения таким образом, чтобы их нельзя было восстановить. Как только данные будут сочтены неактуальными, они могут быть уничтожены с помощью этой технологии. Таким образом, организации снимут ответственность за хранение ненужных данных. На самом деле удаление данных является требованием многих правил конфиденциальности данных.

Передовой опыт обеспечения конфиденциальности данных

Конфиденциальность и безопасность данных — это принятие и внедрение передового опыта. Следование передовым практикам может помочь организации оптимизировать свои процессы для реализации наилучших мер по обеспечению конфиденциальности данных. Некоторые передовые отраслевые практики включают:

Политики конфиденциальности данных

Политики конфиденциальности данных являются важными документами в процессе обеспечения соответствия требованиям. Это юридический документ, который помогает сотрудникам организации следовать определенным правилам и рекомендациям в соответствии с различным законодательством. Организация должна четко определить сферу своей политики, а также установить четкие правила, направленные на обеспечение конфиденциальности и безопасности данных. Это включает в себя определение процессов и методов, обеспечивающих эффективную реализацию.

Минимальный сбор данных

Лучший способ обеспечить безопасность и конфиденциальность данных — ограничить сбор данных. Организации должны обеспечить сбор и хранение только данных, необходимых для ведения бизнеса, до тех пор, пока в них больше нет необходимости. После этого организация должна обеспечить безопасное удаление данных. Сведение к минимуму сбора данных также может снизить затраты на хранение и уменьшить степень соответствия требованиям.

Обеспечение прозрачности

Клиенты всегда ценят прозрачность, когда речь идет об обработке и хранении их данных. Поэтому важно, чтобы клиенты были включены и предлагали свое согласие в процессе конфиденциальности, включая согласие, уведомление и варианты, позволяющие им изменить свой выбор при сборе данных. Это включает в себя возможность для клиентов отказаться от сбора данных.

Инвентаризация данных

Одним из способов обеспечения конфиденциальности данных является создание реестра данных и их классификация на основе их конфиденциальности. Как только организация узнает о хранимых данных, о том, как они обрабатываются и как они хранятся, становится легче реализовать меры безопасности и конфиденциальности вокруг них. Политики могут быть определены на основе того, как информация собирается, хранится и обрабатывается для обеспечения максимальной безопасности.

Конфиденциальность по дизайну

Конфиденциальность данных по дизайну имеет решающее значение для обеспечения того, чтобы системы и процессы соответствовали стандартам и правилам конфиденциальности и безопасности данных. Конфиденциальность по замыслу должна быть основой, на которой заложены жизненный цикл разработки или бизнес-процессы. Организация должна стремиться к внедрению конфиденциальности в качестве важного компонента на каждом этапе разработки и процесса.

Обучение и осведомленность

Конфиденциальность и безопасность данных должны быть неотъемлемой частью деловой культуры и рабочего процесса. С этой целью каждый сотрудник должен пройти надлежащее обучение передовому опыту в отрасли, преобладающим киберугрозам, требованиям к конфиденциальности данных, руководствам и соответствующим принципам безопасности данных. Кроме того, сотрудники должны быть осведомлены о деловой практике и нести ответственность за признание внутренних политик безопасности и лучших практик кибербезопасности в организации.

Заключение

Конфиденциальность данных важна не только с точки зрения соответствия, но и с точки зрения защиты прав потребителей. В мире, управляемом данными, потребители часто признают и высоко ценят приоритизацию конфиденциальности данных. Это повышает их уверенность в бизнесе и рабочем процессе в отношении их личных данных. Установка конфиденциальности в качестве основы бизнес-процессов и политик поможет организациям успешно выполнять требования конфиденциальности данных в соответствии с различными отраслевыми стандартами и правилами.

---

Об авторе: Нарендра Саху (PCI QSA, PCI QPA, CISSP, CISA и CRISC) является основателем и директором VISTA InfoSec , глобальной консалтинговой фирмы по информационной безопасности, базирующейся в США. , Сингапур и Индия. Г-н Саху имеет более чем 25-летний опыт работы в ИТ-индустрии, специализируясь на консультировании по вопросам информационных рисков, оценке и предоставлении услуг по соблюдению нормативных требований. VISTA InfoSec специализируется на аудите информационной безопасности, консалтинге и услугах по сертификации, которые включают GDPR, HIPAA , CCPA, NESA, MAS-TRM, PCI DSS Compliance and Audit, PCI PIN, SOC2, PDPA и PDPB, и это лишь некоторые из них. С 1994 года VISTA InfoSec сотрудничает с организациями по всему миру для решения проблем нормативно-правовой базы и информационной безопасности в их отрасли. VISTA InfoSec сыграла важную роль, помогая ведущим многонациональным компаниям обеспечить соответствие требованиям и защитить свою ИТ-инфраструктуру.

Примечание редактора:   Мнения, выраженные в этой статье приглашенного автора, принадлежат исключительно автору и не обязательно отражают точку зрения Tripwire, Inc.

Топ-6 глобальных правил конфиденциальности данных и организации, о которых следует знать в 2023 году

Конфиденциальность данных является глобальной проблемой, поскольку сбор и использование личной информации затрагивает людей во всем мире. Конфиденциальность данных клиентов важна, потому что люди должны контролировать свою личную информацию и то, как она используется. Когда компании собирают и используют данные клиентов, они несут ответственность за защиту этих данных от несанкционированного доступа или неправомерного использования.

Существует несколько причин, по которым важна конфиденциальность данных клиентов:

1. Личная безопасность: Данные клиентов часто включают конфиденциальную информацию, такую ​​как номера социального страхования, финансовую информацию и медицинские записи. Даже неконфиденциальная информация, которая идентифицирует интересы и предпочтения клиентов, по-прежнему должна быть защищена как частная и личная. Если эта информация попадет в чужие руки, она может быть использована для кражи личных данных или других мошеннических действий, которые могут иметь серьезные последствия для человека.
2. Доверие: Клиенты доверяют компаниям ответственно обращаться с их личной информацией. Если компания не сможет защитить данные клиентов, это может подорвать доверие клиентов к компании и привести к потере бизнеса.
3. Этическая ответственность: Компании несут моральную ответственность за защиту конфиденциальности своих клиентов. Сбор и использование данных клиентов в законных деловых целях допустимы, но использование их в гнусных целях или неспособность защитить данные от других лиц, которые намереваются использовать их во вред, недопустимы.

В ответ на это многие страны приняли законы и правила для защиты прав своих граждан на неприкосновенность частной жизни и обеспечения этического использования организациями личных данных.

Топ-6 глобальных правил конфиденциальности и организации, о которых следует знать в 2023 году ) в 2018 году. GDPR распространяется на любую организацию, которая обрабатывает персональные данные граждан ЕС, независимо от того, где находится организация. В нем изложены строгие требования к сбору, использованию и защите персональных данных, в том числе необходимость явного согласия отдельных лиц и право на забвение. Это также дает людям право доступа, исправления и удаления своих личных данных, а также право на переносимость данных.

В дополнение к GDPR ЕС также внедрил директиву ePrivacy Directive , которая регулирует использование электронных коммуникационных услуг и технологий, таких как файлы cookie и прямой маркетинг.

Еще одна важная система конфиденциальности данных за пределами Соединенных Штатов — это Закон Калифорнии о конфиденциальности потребителей (CCPA), который был подписан в Калифорнии в 2018 году и вступил в силу в 2020 году. CCPA применяется к предприятиям, которые собирают и продают персональные данные жителей Калифорнии и устанавливает требования к прозрачности и правам потребителей, включая право отказаться от продажи персональных данных и право запрашивать доступ к собранным персональным данным.

Азиатско-Тихоокеанское экономическое сотрудничество (АТЭС) также разработал ряд принципов конфиденциальности данных, известных как Конфиденциальность АТЭС. Конфиденциальность АТЭС представляет собой добровольный набор руководящих принципов, направленных на обеспечение конфиденциальности данных и поощрение трансграничной торговли и экономического роста в регионе АТЭС.

В дополнение к этим региональным структурам существует также несколько глобальных организаций, которые разработали руководящие принципы и передовые методы обеспечения конфиденциальности данных. Международная ассоциация профессионалов в области конфиденциальности (IAPP) разработал набор принципов конфиденциальности, известный как концепция конфиденциальности по дизайну, целью которой является включение аспектов конфиденциальности в дизайн продуктов и услуг. Организация экономического сотрудничества и развития (ОЭСР) также разработала руководство по защите персональных данных, которое обеспечивает основу для сбора, использования и защиты персональных данных в глобальном контексте.

Важно отметить, что законы и положения о конфиденциальности данных могут значительно различаться в разных странах, и организациям может быть сложно ориентироваться в этих различиях. Чтобы соответствовать глобальным требованиям к конфиденциальности данных, организациям необходимо иметь четкое представление о соответствующих законах и правилах и внедрять надежные политики и методы обеспечения конфиденциальности данных. Это включает в себя регулярный пересмотр и обновление политик и процедур конфиденциальности данных для обеспечения соответствия меняющимся законам и правилам.

Конфиденциальность данных является глобальной проблемой, и все организации должны знать и соблюдать соответствующие законы и правила, чтобы обеспечить этичное использование личных данных. Для организаций важно иметь четкое представление о различных структурах и рекомендациях по обеспечению конфиденциальности данных, которые применяются к их операциям, и регулярно пересматривать и обновлять свои политики и методы обеспечения конфиденциальности данных для обеспечения соответствия. Предпринимая эти шаги, организации могут защитить права на неприкосновенность частной жизни отдельных лиц и укрепить доверие своих клиентов и заинтересованных сторон.

Для получения дополнительной информации о том, как включить глобальные правила конфиденциальности данных в свою бизнес-стратегию и укрепить отношения с клиентами, ознакомьтесь с нашей последней электронной книгой «Данные, которым мы доверяем: ваше руководство по установлению доверия клиентов через конфиденциальность».

Автор сообщения

DJ Landreneau

DJ Landreneau является директором по стратегии, политике и соблюдению конфиденциальности данных в Tealium.

Подпишитесь на наш блог

Отправляя эту форму, вы соглашаетесь с Условиями использования и Политикой конфиденциальности Tealium.

Назад к блогу

Управление данными и конфиденциальность

6 февраля 2023 г.

Советы по использованию инициатив по обеспечению конфиденциальности для создания цифрового доверия и стимулирования роста

Цифровое доверие в наши дни является необходимостью: оно нужно вашему бренду. Это основа, построенная вместе с вашими клиентами. Все очень просто: если клиенты не доверяют вашему бренду, они не будут пользоваться вашим сервисом.

Управление данными и конфиденциальность

31 января 2023 г.

Подготовка к потребительскому долгу Принцип

Полномочия FCA в отношении потребительских пошлин становятся все более масштабными — до предполагаемой реализации осталось менее шести месяцев, однако многие компании, предоставляющие финансовые услуги, остаются плохо подготовленными.