Киберкрепость: всестороннее руководство по компьютерной безопасности - Пётр Юрьевич Левашов
Согласно GDPR, организации должны назначить ответственного за защиту данных, если они являются государственными органами, осуществляют крупномасштабный систематический мониторинг или обрабатывают специальные категории данных. Организации также должны в течение 72 часов уведомить об утечке данных своего сотрудника по защите данных и соответствующий надзорный орган, а в некоторых случаях — и лиц, пострадавших от нарушения.
Организации обязаны применять технические и организационные меры для обеспечения безопасности персональных данных и быть в состоянии продемонстрировать соответствие GDPR. Это подразумевает оценку воздействия, проектируемую защиту персональных данных, а также ведение записей о деятельности по обработке данных.
Кроме того, GDPR предоставляет физическим лицам права на доступ к своим персональным данным, их исправление, удаление и переносимость, а также право возражать против обработки своих данных. Организации должны получать явное и информированное согласие на обработку персональных данных, также им требуется упростить для физических лиц возможность отозвать свое согласие в любое время.
Соответствие требованиям GDPR
Общий регламент по защите данных — это всеобъемлющее положение о конфиденциальности данных, принятое Европейским союзом в 2016 году. Он вступил в силу 25 мая 2018 года и заменил Директиву ЕС о защите данных 1995 года. GDPR применяется к любой организации, которая обрабатывает персональные данные физических лиц в ЕС, независимо от ее местонахождения.
Соответствие GDPR требует от организаций выполнения ряда требований, включая:
• получение от физических лиц четкого и информированного согласия на сбор их персональных данных;
• предоставление физическим лицам определенных прав, таких как право на доступ к своим личным данным и право требовать их удаления;
• внедрение технических и организационных мер для защиты персональных данных от несанкционированного доступа, использования, раскрытия, изменения или уничтожения;
• уведомление отдельных лиц и соответствующего надзорного органа об определенных видах утечки данных;
• назначение сотрудника по защите данных в определенных обстоятельствах.
В качестве контролера или обработчика данных организации должны назначить представителя в ЕС, если они не созданы в Евросоюзе, но обрабатывают персональные данные его граждан. Они также должны вести учет своей деятельности по обработке данных и назначить сотрудника по защите данных, если их основная деятельность предполагает регулярный и систематический мониторинг субъектов данных в больших масштабах или если они обрабатывают специальные категории данных.
GDPR требует от организаций в определенных обстоятельствах оценки воздействия на защиту персональных данных (data protection impact assessment, DPIA) до их обработки. Они также должны при определенных обстоятельствах назначить ответственного за защиту данных.
Организации, не соблюдающие GDPR, могут быть подвергнуты значительным штрафам — до 20 млн евро или 4 % от общегодового дохода компании в зависимости от того, какая сумма больше. Организациям важно серьезно отнестись к соблюдению GDPR и предпринять шаги по его соблюдению.
Оценки воздействия на защиту данных GDPR
Это процесс, который организации должны реализовать для выявления и смягчения потенциальных рисков, связанных с обработкой персональных данных. DPIA обязательны для определенных видов деятельности по обработке данных и используются для того, чтобы помочь организациям соблюдать принцип проектируемой защиты персональных данных. Это важный инструмент для обеспечения того, чтобы соображения защиты данных были заложены в проекты и процессы с самого начала и чтобы были приняты меры для защиты персональных данных. DPIA должны проводиться до начала любой новой деятельности по обработке данных, а также пересматриваться и обновляться по мере необходимости на протяжении всего жизненного цикла проекта или процесса.
GDPR. Права субъектов данных
Общий регламент по защите данных предоставляет определенные права физическим лицам, известным как субъекты данных, в отношении их персональных данных. Вот эти права:
1. Право доступа. Субъекты данных имеют право запрашивать доступ к своим личным данным и получать информацию о том, как они обрабатываются.
2. Право на исправление. Субъекты данных имеют право потребовать исправления своих персональных данных, если они неточные или неполные.
3. Право на стирание. Субъекты данных имеют право потребовать удаления своих персональных данных (известно также как право на забвение). Оно применяется в определенных обстоятельствах, например когда данные больше не нужны для целей, для которых они были собраны.
4. Право на ограничение обработки. Субъекты данных имеют право требовать ограничения дальнейшей обработки своих персональных данных, например когда они оспаривают их точность.
5. Право на переносимость данных. Субъекты данных имеют право на получение своих персональных данных в структурированном, общепринятом и машиночитаемом формате, а также на их передачу другому ответственному за обработку данных (контролеру).
6. Право на возражение. Субъекты данных имеют право возражать против обработки их персональных данных, в том числе в целях прямого маркетинга.
7. Право не быть объектом автоматизированного принятия решений. Субъекты данных имеют право не исполнять решение, основанное исключительно на автоматизированной обработке, включая профилирование, которое влечет за собой юридические последствия для них или аналогичным образом существенно влияет на них.
Будучи обработчиком данных, важно понимать и соблюдать эти права, чтобы соответствовать требованиям GDPR.
Стандарты и технические меры безопасности GDPR
Общий регламент по защите данных — это всеобъемлющее положение о конфиденциальности, которое применяется к организациям, действующим на территории Евросоюза, и к тем, кто обрабатывает персональные данные граждан ЕС. Один из ключевых элементов GDPR — требование к организациям применять технические и организационные меры для обеспечения безопасности персональных данных. Эти меры предназначены для защиты персональных данных от несанкционированных доступа, изменения, уничтожения и других форм обработки.
Для того чтобы соответствовать требованиям GDPR, организации должны оценить риски с целью выявления потенциальных угроз безопасности и уязвимостей. На основании результатов оценки они должны внедрить меры безопасности, призванные снизить эти риски. Ими могут быть шифрование, контроль доступа и планы реагирования на инциденты. Организации должны регулярно проверять и тестировать свои меры безопасности, чтобы убедиться в их эффективности.
В дополнение к техническим мерам организации должны применять организационные меры для обеспечения безопасности персональных данных. К ним могут относиться политики и процедуры обработки персональных данных, обучение сотрудников и подрядчиков, а