Политика по обработке персональных данных 2020 год: Политика AO «Интерфакс» в отношении обработки и защиты персональных данных

Разное 

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ (PRIVACY POLICY)

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ (PRIVACY POLICY)

Нижний Новгород 2020 год

1. ОБЩИЕ ПОЛОЖЕНИЯ

  • Настоящая Политика обработки персональных данных ИП Черников Евгений Александрович (далее — Политика) разработана в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
  • Настоящая Политика определяет правила, требования и принципы обеспечения безопасности персональных данных в ИП Черников Евгений Александрович (далее — ИП).
  • Настоящая Политика является внутренним документом ИП и подлежит размещению на официальном сайте.

2. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБРАБАТЫВАЕМЫХ ОБЩЕСТВОМ

  • Сведениями, составляющими персональные данные, в ИП является любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
  • ИП обрабатывает персональные данные следующих субъектов:
  • персональные данные Клиентов (потенциальных Клиентов, Контрагентов), а также персональные данные руководителя, сотрудника юридического лица, являющего Клиентом (потенциальным Клиентом, Контрагентом) ИП;;
  • персональные данные работников (сотрудников) ИП;
  • персональные данные Кандидатов на замещение вакантных должностей
  • персональные данные других субъектов переданные ИП другими лицами на основании заключенных договоров и поручения обработки персональных данных.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Цели обработки персональных данных:
  • исполнения условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством Российской Федерации;
  • принятия решения о трудоустройстве;
  • принятия решений по обращениям граждан Российской Федерации в соответствии с законодательством Российской Федерации;
  • заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством Российской Федерации;
  • выполнение требований законодательства Российской Федерации;
  • исполнения договорных обязательств Общества.
    • выполнения обязательств Общества перед Клиентом, связи с Клиентом, в том числе направление уведомлений, запросов, информационных сообщений в целях оказания услуг, участия в программе лояльности по сетям подвижной радиотелефонной связи на указанный при оформлении заказа абонентский номер телефона, а также для направления электронных писем и иных форм направления/получения информации по телефону либо электронному адресу Клиенту, а также в целях обработки запросов и заявок от Клиентов;
  • оценки и улучшения качества услуг, работы Общества, разработки новых услуг и блюд;
  • продвижения услуг и блюд;
  • статистических и маркетинговых исследований, в том числе касающихся работы Общества, качества продукции, качества обслуживания;
  • для проведения маркетинговых мероприятий, направления рекламных сообщений и предложений для участия в специальных акциях и мероприятиях.

4. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • При определении сроков хранения персональных данных субъектов персональных данных (Клиентов, Контрагентов, Кандидатов на замещение вакантных должностей) Общество руководствуется требованиями Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» и другими нормативными актами Российской Федерации.
  • При определении сроков хранения персональных данных Работников, Общество руководствуется Приказом Минкультуры РФ от 25.08.2010 N 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», требованиями трудового законодательства Российской Федерации и Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».
  • Прекращение обработки персональных данных Клиентов Общества осуществляется по достижении цели обработки персональных данных или периода, указанного в согласии на обработку персональных данных.
  • Прекращение обработки персональных данных других субъектов персональных данных осуществляется по достижении цели обработки персональных данных или периода, указанного в согласии на обработку персональных данных или по достижении сроков хранения персональных данных установленных нормативными актами Российской Федерации.
  • Прекращение обработки персональных данных субъектов персональных данных также производится по отзыву субъекта персональных данных согласия на обработку персональных данных в соответствии с требовании ст.21 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».

5. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • ИП в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5, 6 Федерального закона 152-ФЗ «О персональных данных».
  • ИП не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских убеждений, состояния здоровья.
  • ИП не принимает решения на основании исключительно автоматизированной обработки персональных данных, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы.
  • Передача персональных данных другим лицам может осуществляется только с согласия субъекта персональных данных, оформленного установленным законом порядке или других случаях, предусмотренных требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
  • ИП вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. В случае поручения обработки персональных данных Обществом другому лицу условием договора будет являться обязанность соблюдения принципов и правил обработки персональных данных. В поручении ИП определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Субъект персональных данных имеет право на получение сведений об обработке его персональных данных. Субъект персональных данных вправе требовать уточнения обрабатываемых персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  • Для реализации своих прав и защиты законных интересов, субъект персональных данных имеет право обратиться в Общество. Общество рассматривает обращения и жалобы со стороны субъектов персональных данных, расследует факты нарушений и принимает необходимые меры для их немедленного устранения и урегулирования спорных и конфликтных ситуаций.
  • Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

7. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Обработка персональных данных ИП осуществляется на основе принципов:
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
  • законности и справедливости целей и способов обработки персональных данных;
  • уничтожения персональных данных в случае определенных требованиями Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
  • иных принципов и условий, определенных законодательством Российской Федерации.
  • Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных.

8. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • При обработке персональных данных ИП принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий.
  • Обеспечение безопасности персональных данных достигается, в частности:
  • назначением ответственного за организацию обработки персональных данных;
  • издание ИП, настоящей Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • применением правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политики и локальным актам Общества;
  • оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • ознакомлением работников (сотрудников) оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политики, локальными актами по вопросам обработки персональных данных, и (или) обучение работников (сотрудников).

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

  • Настоящая Политика подлежит изменению, дополнению в случае изменения законодательства Российской Федерации в сфере обработки и защиты персональных данных.
  • Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в ИП.
  • Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.

Политика в отношении обработки персональных данных

2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://kadet-mvf-nn.ru.

2.4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств.

2.5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных.

2.6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://kadet-mvf-nn.ru.

2.9. Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее — персональные данные, разрешенные для распространения).

2.10. Пользователь – любой посетитель веб-сайта https://kadet-mvf-nn. ru.

2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

2.14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

Политика защиты данных и конфиденциальности

1. Личные данные

Instituto Pedro Nunes, Associação para a Inovação e Desenvolvimento em Ciência e Tecnologia, со штаб-квартирой на Rua Pedro Nunes, 3030-199 Coimbra, Portugal, VAT 9 502 (VAT 9 502) далее ИПН), в рамках своей деятельности собирает и обрабатывает персональные данные, такие как:

  • Имя
  • Адрес электронной почты


2. Обработка персональных данных

Обработка персональных данных осуществляется СПИ посредством автоматизированных и/или аналогичных средств (без ущерба для положений главы VIII), таких как:

  • Сбор
  • Регистрация и хранение
  • Организация
  • Персонализация
  • Поиск и использование
  • Распространение, независимо от средств раскрытия
  • Сравнение или соединение
  • Ограничение, удаление или уничтожение

3. Согласие субъекта данных

IPN требует от субъекта данных во всех случаях добровольного, конкретного, осознанного и недвусмысленного согласия на обработку его/ее персональных данных с использованием формальных шаблонов, разработанных в каждом конкретном случае, с учетом типа, объема и объема указанная обработка персональных данных.

Условия, применимые к согласию ребенка

В соответствии со статьей 8 GDPR, все персональные данные, принадлежащие детям, могут обрабатываться только при наличии явного согласия с соблюдением правил статьи 6, номер 1, пункт a) GDPR, связанных с к услугам информационного общества, когда указанным детям исполняется 13 лет.

Для детей в возрасте до 13 лет такая обработка будет законной только в том случае, если и в той степени, в которой согласие дано или разрешено носителем родительской ответственности в отношении ребенка, предпочтительно с использованием электронных средств сертификации, таких как Citizen. Карта или цифровой ключ аутентификации.

4. Соответствие GDPR

IPN полностью соответствует правилам ЕС в отношении защиты персональных данных, утвержденным РЕГЛАМЕНТОМ (ЕС) 2016/679 ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных (далее GDPR), а также в полном объеме внутреннего законодательства в случае его действия.

IPN несет ответственность за обработку персональных данных с помощью автоматизированных и аналогичных средств с момента их сбора, их организации и хранения до их удаления.

IPN ведет непрерывный и тщательный реестр всех своих действий по обработке персональных данных.

5. Законность обработки

Персональные данные обрабатываются только в соответствии с совокупностью законных целей, к которым относятся:

  • Выполнение уставных целей и деятельности IPN
  • Соблюдение действующего законодательства и общих правовых норм и обязательств
  • Правовые нормы бухгалтерского учета и целостности документов
  • Выполнение договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора
  • Роль IPN как субподрядчика, как определено в пункте 8 статьи 4 GDPR

6. Срок хранения данных

Персональные данные будут храниться в течение периода, установленного правовыми нормами, или, при их отсутствии, строго в течение времени, необходимого для достижения цели обработки, принимая во внимание правовую основу для указанного обработки, а также все остальные реквизиты и сроки, определенные законодательством, а именно сроки истечения юридических действий, основанных на взаимосвязанных правах.

Соответственно, во всех случаях, когда законом установлен обязательный срок хранения, право на удаление персональных данных, указанное в статье 17 GDPR, может быть реализовано субъектом данных только по истечении указанного периода.

IPN хранит персональные данные в течение строгого периода времени, необходимого для достижения цели обработки данных, а также их удаление (или анонимизацию, если и когда это применимо/необходимо) сразу после указанного периода и/или после получения данных запрос субъекта, всегда принимая во внимание вышеуказанные исключения и все юридически определенные термины.

7. Права субъекта данных

Субъект данных имеет право в любое время бесплатно потребовать от IPN:

  • Доступ к своим персональным данным
  • /ее персональные данные
  • Удаление его/ее персональных данных («право быть забытым») (могут применяться условия, определенные выше в разделе VI. о хранении персональных данных
  • Ограничение обработки его/ее данных (там же)
  • Возражение против обработки его/ее данных
  • Переносимость его/ее личных данных назначенному третьему лицу при условии, что указанные данные хранятся исключительно в электронной форме.
  • В каждом случае, если действует юридическая норма или юридическое обязательство, которое заменяет эти права субъекта данных, IPN оставляет за собой право отклонить запрос субъекта данных (и/или определить ограничения на указанный запрос, если и когда это применимо) , должным образом сообщив субъекту данных соответствующие основания указанного решения.

Субъект данных имеет право подавать жалобы в Национальную комиссию по защите дадосов (далее — CNPD), контролирующему органу Португалии, в соответствии с определениями, надлежащим образом указанными в пунктах 21 и 22 статьи 4 и статьи 51 GDPR.

8. Вмешательство процессора и третьей стороны

Вмешательство третьей стороны

IPN при выполнении своих обязательств может уполномочить третьи стороны (как определено в пункте 10 статьи 4 GDPR) на обработку персональных данных, которые находятся в домене IPN для выполнения юридических, предконтрактных или договорных обязательств и/или в качестве необходимого средства достижения уставных целей IPN.

Указанные третьи стороны могут быть государственными органами, а именно ответственными за аудиторские задачи, партнерами по проектам, мероприятиям или услугам.

Чтобы соответствовать требованиям GDPR, IPN требует предварительного и обязательного согласия субъекта данных для этой конкретной обработки.

Вмешательство процессора

IPN при выполнении своих обязательств может заключать субдоговоры с третьими лицами (как определено в пункте 8 статьи 4 GDPR) для обработки персональных данных от имени IPN. Чтобы соответствовать требованиям GDPR, IPN требует предварительного и обязательного согласия субъекта данных для этой конкретной обработки.

9. Куки-файлы

Без ущерба для всех остальных средств сбора данных, используемых IPN, IPN осуществляет сбор анонимной информации через свой веб-сайт, а именно связанную с типом браузера, операционных систем, а также временем и датой доступ к веб-сайту IPN с использованием файлов cookie. Полная политика IPN в отношении файлов cookie доступна по следующей ссылке: www. ipn.pt/cookies

10. Обязанность защиты IPN

IPN соблюдает правила разработки, утверждения и реализации всех необходимых формальных и технических процедур. для безопасности обработки данных, а также для обеспечения точного и своевременного учета всех действий по обработке. Кроме того, будет проведена предварительная оценка всех будущих действий по обработке данных, которые будут запущены IPN в будущем, чтобы убедиться, что они будут полностью соответствовать требованиям RGPD.

IPN приложит все усилия для обеспечения надлежащей работы всех доступных технических средств во избежание потери, ненадлежащего использования, несанкционированного доступа и незаконного присвоения персональных данных, независимо от вероятности отказа части действующих мер безопасности в Интернете. .

IPN не несет ответственности за любой ущерб и убытки, понесенные любыми лицами в результате незаконного доступа к персональным данным, переданным любым субъектом данных через Интернет-портал IPN и/или через оставшуюся информационную инфраструктуру IPN.

Тем не менее, IPN уведомляет CNPD в соответствии с правилами, определенными в статье 33º GDPR, если и когда признает любое событие, которое представляет собой нарушение персональных данных, как определено в пункте 12 статьи 4 GDPR.

11. Контакты

Субъект данных может воспользоваться своим правом на исправление, изменение или аннулирование своих персональных данных или запросить любую информацию, связанную с указанными данными, в письменной форме, направленной в IPN по адресу, указанному выше в I. или по следующему конкретному адресу электронной почты: [email protected].

12. Окончательные решения

IPN имеет право изменять настоящую Политику без предварительного уведомления, а именно в связи с необходимостью ее соответствия новому законодательству или рекомендациям CNPD. В случае внесения каких-либо изменений в данную Политику IPN немедленно опубликует такие изменения на своем общедоступном интернет-портале.

5 ключей к соблюдению требований к защите данных

Растущая обеспокоенность по поводу конфиденциальности потребителей и безопасности данных привела к появлению ряда законов, направленных на то, чтобы организации стали более ответственными за то, как они управляют и делятся информацией, которую они собирают о людях. Некоторые из новых мер основаны на таких законах, как Общий регламент по защите данных (GDPR) в Европе и Калифорнийский закон о конфиденциальности потребителей (CCPA) в США.

Требования, содержащиеся в GDPR, формируют правила конфиденциальности во всем мире, говорит Энца Яннополло, старший аналитик Forrester Research. Например, Закон штата Калифорния о конфиденциальности потребителей и новые бразильские правила защиты данных содержат требования, аналогичные требованиям GDPR.

«Это сложная задача, но по иронии судьбы GDPR упростил ее».
—Enza Iannopollo

Тем не менее, по большей части компании, которые ведут бизнес за пределами штатов или национальных границ, сталкиваются с лоскутным одеялом требований. Вот почему Яннополло предостерегает: «Организации должны постоянно следить за нормативно-правовой базой конфиденциальности и ссылаться на требования». Если их программа конфиденциальности имеет прочную основу, соблюдение дополнительных нормативных требований потребует меньше усилий.

Вот как выйти за рамки политики с помощью вашего подхода к защите данных.

Задержка недопустима

Однако тщательный мониторинг нормативно-правовой базы имеет свои проблемы, поскольку многие из новых законов могут быть расплывчатыми и не директивными. Что такое личная информация, как ею следует управлять, а также права субъектов данных часто плохо определены и открыты для интерпретации.

Джон Томашевски, адвокат по защите данных в юридической фирме Seyfarth Shaw, сказал, что в Европе, например, информация о профсоюзах считается конфиденциальной, а номер кредитной карты — нет.

«То, что считается личной информацией, меняется от закона к закону. Не только это, но и то, что считается конфиденциальной информацией, меняется от места к месту».
—Джон Томашевски

Компании могут считать, что неопределенность нормативно-правовой базы может быть хорошей причиной для того, чтобы тянуть время с программами обеспечения конфиденциальности и безопасности данных, но такие задержки могут дорого обойтись, говорит Йена Вальдетеро, партнер и соруководитель отдел конфиденциальности и безопасности данных в юридической фирме Брайана Кейва Лейтона Пейснера.

«Регулятор не снимет с вас ответственности за несоблюдение закона, который вы считаете расплывчатым.»
—Jena Valdetero

Вы никогда не должны проводить юридическую стратегию реактивным образом, сказал Эндрю Берт, главный юрисконсульт Immuta, компании, занимающейся автоматизированным управлением данными. «Если вы это сделаете и столкнетесь с проблемой, вас просто оштрафуют больше».

Ожидание, пока регулирующие органы примут окончательную стратегию конфиденциальности, чтобы объединить ваши действия, может привести к катастрофе, сказал Берт.

«Он посылает сигнал: эта компания не только должна быть оштрафована, но и должна получить максимальный штраф, который предусмотрен за небрежное поведение или такое поведение, которое сигнализирует о том, что нам все равно.»
—Эндрю Берт

Тем не менее, есть компании, которым нравится заигрывать с неопределенностью. Эрни Андерсон, директор по обслуживанию Kudelski Security, поставщика специализированных продуктов для кибербезопасности, сказал, что он видел, как компании задерживают соблюдение законов о конфиденциальности и безопасности данных. Они ждут, насколько строго регулирующие органы будут наказывать нарушителей закона и как их коллеги по отрасли реагируют на новый правовой режим.

«Я бы не рекомендовал выжидать. Но для меня дело не в соблюдении правил. Важно знать, что данные ваших клиентов важны и конфиденциальны, поэтому вы должны защищать их, независимо от того, что говорят правила и законы. . Вы обязаны защищать эти данные перед своими клиентами».
— Эрни Андерсон

Избегайте нормативных требований «Ударь крота»

Хотя разработка программы конфиденциальности и защиты данных, отвечающей требованиям сумасшедшего набора законов и правил, является сложной задачей, это не невозможно, сказала Пейдж Бартли, старший аналитик по данным, искусственному интеллекту и аналитике в 451 Research.

«Организациям необходимо сосредоточиться на общих чертах и ​​основных принципах, прежде чем они сосредоточатся на контрольных списках и требованиях, специфичных для нормативных актов».
— Пейдж Бартли

Если организация сосредоточится на архитектуре управления данными, которая поддерживает наиболее распространенные требования, «большая часть битвы уже выиграна», — сказала она. Оттуда могут быть решены весьма специфические технические потребности.

Ключевым моментом является то, что организации «не могут пытаться играть в «Ударь крота» с каждым новым правилом», — сказала она. Стратегия конфиденциальности корпоративных данных должна быть всеобъемлющей и последовательной, а очень специфические требования должны рассматриваться как приукрашивание.

Пять ключей к соответствию

Какие общие принципы и требования должны лежать в основе гибкой программы конфиденциальности и защиты данных? В недавнем официальном документе Micro Focus определены пять ключевых требований к такой программе.

Грег Кларк, международный директор Micro Focus по безопасности, управлению рисками и государственной продукцией, сказал, что в отчете определены пять вещей, которые помогут вашей организации соблюдать нормативные требования и обеспечат сохранение вашей репутации, бренда и ценности для акционеров, а также риск санкции и штрафы снижены.

«Это основные принципы, которые помогут вам добиться большего соответствия, если вы будете им следовать.»
—Greg Clark

 

1. Идентификация личной информации, которая создается, получается и передается другим лицам

Идентификация личной информации является общим требованием всех законов. Он включает в себя отслеживание рабочего процесса личной информации через приложения и между ними, а также место хранения личной информации и то, с кем передается информация о конфиденциальности.

Асаф Ашкенази, главный операционный директор Verimatrix, разработчика программных продуктов для защиты контента, аутентификации, водяных знаков и кибербезопасности, сказал, что это легче сказать, чем сделать.

«Многие компании даже не знают, что считается частной информацией, не говоря уже о том, как ее защитить».
— Асаф Ашкенази

Например, сказал он, мало кто знает, что даже простой адрес электронной почты может считаться личной информацией. «Вы не можете предпринять надлежащие действия для защиты данных, если не знаете, что вам нужно защищать», — сказал он.

Томашевски из Seyfarth Shaw объяснил, что многие ИТ-системы растут естественным образом. На предприятиях это может привести к большому количеству движущихся частей, которые не взаимодействуют друг с другом.

«Таким образом, вам нужен не только список имеющихся у вас данных, но и список того, почему они у вас есть и что вы с ними делаете».
—John Tomaszewski

2. Защитите личные данные на предприятии — и за его пределами — от утечек данных и непреднамеренного раскрытия

Блокировка централизованных баз данных — это простая часть защиты личных данных. По словам Джона Пескаторе, директора по новым тенденциям в Институте SANS, информация о клиентах на периферии может стать настоящей проблемой.

«Одно дело знать, где находятся ваши большие базы данных конфиденциальной информации, но у вас могут быть резервные копии в облаке, данные в электронной почте Office 365 и списки клиентов на ноутбуках сотрудников».
— Джон Пескаторе

Многие компании не знают, где находятся их конфиденциальные данные, поэтому происходит много утечек, добавил он.

Безопасность должна распространяться на доступ, а также на базы данных и плоские файлы, говорит Амея Талвалкар, директор по продукту и соучредитель Cequence Security, производителя продуктов для обеспечения безопасности приложений.

«Поскольку API являются ключевым фактором цифровой трансформации, большая часть утечки данных происходит через небезопасные API или злоупотребление автоматизированной бизнес-логикой».
—Ameya Talwalkar

Это происходит не только потому, что API-интерфейсы имеют меньше защиты, но и потому, что они обеспечивают быстрый доступ и эксфильтрацию в массовом масштабе.

Серьезная проблема с защитой личной информации на предприятии заключается в том, что многие приложения предназначены для обмена данными. Вмешательство в этот обмен может привести к снижению производительности.

Так что не блокируйте совместное использование, — сказал Салах Нассар, вице-президент по маркетингу в CipherCloud, создателе платформы облачной безопасности».


— Salah Nassar

Защита данных клиентов также не может ограничиваться рамками предприятия. Она также должна охватывать сторонние компании и партнеров. Слишком много «Организации не спрашивают своих третьих лиц, как они защищают информацию о клиентах, и недостаточно глубоко вникают в ответы, которые они получают о конфиденциальности данных от потенциальных и нынешних партнеров», — сказала Хлоя Мессдаги, вице-президент по стратегии в Point3 Security, поставщик обучающих и аналитических инструментов для индустрии безопасности.

3. Настройте систему для ответа на запросы людей о данных, которые у вас есть о них, и о том, с кем вы делитесь ими

Эта система должна иметь возможность собирать информацию со всей вашей организации, а не только из приложений обслуживания клиентов, и он должен быть масштабируемым.

«Когда кто-то спрашивает компанию: «Какую личную информацию обо мне вы храните?» компания может обратиться ко всем своим системам, найти номер счета этого человека и другие личные данные и через пару недель ответить на их запрос», — сказал Кларк из Micro Focus.

Но это ручной процесс, сказал он. Проблема возникает, когда этот запрос делают 10 человек, или 100 человек, или 1000 человек.

«Бизнес не может соблюдать требования вручную, и это может привести к серьезному нарушению работы бизнеса».
— Грег Кларк

Талвалкар из Cequence сказал, что прозрачность и автоматизация — две самые большие проблемы, с которыми сталкиваются организации при работе с запросами пользователей. По его словам, организациям не хватает информации о том, какие системы могут содержать пользовательские данные и в какой форме.

«Поэтому им также не хватает автоматизации для ответа на эти запросы. Это приводит к большому количеству ручных усилий, что приводит к высоким затратам и риску ошибок при выполнении, что в конечном итоге приводит к штрафам и санкциям. »
—Ameya Talwalkar

4. Создать процесс составления отчетов о личной информации

В дополнение к предоставлению потребителям права видеть, какие данные о них есть у компании и с кем она ими делится, большинство законов о конфиденциальности и безопасности данных позволяют потребителям получить копию этих данных.

Таким образом, система, созданная для сбора данных, также должна быть способна помещать их в единый пакет для удовлетворения запросов на копирование данных в масштабе.

5. Создайте соответствующий процесс для удаления информации

Другим общим принципом большинства законов о конфиденциальности и защите данных является право человека на удаление личной информации или, в некоторых случаях, на обезличивание. Однако организации должны быть осторожны, чтобы не удалить данные, которые необходимо сохранить в соответствии с законами, нормативными актами или юридическим запретом.

Кроме того, они должны позаботиться о том, чтобы любое шифрование или деидентификация, используемые для выполнения запроса потребителя, не нарушали ссылочную целостность какой-либо базы данных, которую они используют.

Бриттани Руш, директор Crypsis Group, фирмы, занимающейся реагированием на инциденты, управлением рисками и цифровой криминалистикой, сказала, что перед удалением данных необходимо ответить на два вопроса: во-первых, нужны ли организации данные для успешной работы? Во-вторых, что должно быть сохранено в соответствии с политиками хранения данных? «Если они смогут ответить на эти вопросы, то смогут легко определить, что можно удалить или обезличить».

Получить ответы на эти вопросы не всегда легко, признал Руш , но это можно сделать с помощью опытных специалистов.

«Работа с опытными юрисконсультами и командами по управлению информацией для понимания потребностей организации в хранении данных имеет решающее значение для обеспечения того, чтобы этот процесс не подвергал организацию риску».
— Бриттани Руш

Держите свои данные в чистоте

Конечно, чем меньше данных вы храните, тем меньше вам нужно беспокоиться об их удалении.

Независимо от конкретных требований текущих или будущих законов о конфиденциальности, «вы можете уменьшить уязвимость вашей организации, ограничив получаемые личные данные и срок их хранения», — сказала Николь Киллен, вице-президент и главный специалист по конфиденциальности в Neustar. поставщик облачных услуг по продвижению и защите.

По мере того, как расходы на хранение данных снижались, у многих организаций появилась более сильная склонность хранить личную информацию за пределами ее предназначения — и значительно позже срока годности — на случай, если она может быть использована для какой-то неизвестной цели в какой-то момент в будущее, объяснила она.

Это уже не так. Дискуссии, которые когда-то были сосредоточены на рисках, связанных с обширным сбором и бессрочным хранением персональных данных, теперь сместились к тому, как достичь желаемого результата или удовлетворить потребность с использованием как можно меньшего количества персональных данных, хранящихся в течение как можно более короткого времени.

No related posts.

Автор записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *