Содержание статьи
Что такое Общий регламент по защите данных (GDPR)
Общий регламент по защите данных (GDPR) предусматривает единый набор правил для защиты личных данных всех жителей и посетителей Европейского Союза (ЕС). Положения GDPR о конфиденциальности данных заменяют Директиву о защите данных 1995 года и любые законы о конфиденциальности данных, принятые отдельными государствами-членами ЕС, основные цели регламента GDPR заключаются в следующем:
Определение персональных данных GDPR
Определение персональных данных GDPR включает в себя любую информацию, которая может прямо или косвенно идентифицировать конкретный Субъект данных. Примеры:
Территориальный охват
Правила GDPR, вступившие в силу 25 мая 2018 года, применяются к любой организации, которая предоставляет товары и услуги или контролирует отдельных лиц в ЕС, независимо от того, имеет ли организация физическое присутствие в ЕС / ЕЭЗ. Несоблюдение требований может привести к штрафам до 20 000 000 евро или 4% от общих мировых доходов организации.
На какие компании влияет GDPR?
Руководящие принципы GDPR влияют на любую компанию, которая хранит или обрабатывает персональные данные, как определено выше, о гражданах Европейского Союза. Важно отметить, что сюда входят компании, которые не работают или не имеют офисов в ЕС.
На компанию распространяются правила защиты данных GDPR, если она соответствует одному из следующих критериев:
Кто отвечает за соблюдение GDPR в организации?
Согласно статье 39 законодательства, организация должна нанять сотрудника по защите данных GDPR (DPO), который отвечает за надзор за соблюдением организацией GDPR, включая стратегию защиты данных и ее реализацию.
В обязанности сотрудника по защите данных входят:
Ключевые термины
GDPR определяет различные роли и действия, необходимые для выполнения его требований, в том числе:
GDPR: каковы права субъекта данных?
Чтобы соответствовать GDPR, важно понимать права, которые законодатель решил защищать. GDPR предоставляет субъектам данных следующие основные права:
Требования GDPR
GDPR содержит 99 статей, описывающих правила защиты данных и обеспечения соблюдения. Ниже приведены основные требования к безопасности данных GDPR.
Статья 25 - Защита данных намеренно и по умолчанию. Контроллер данных должен применять технические и организационные меры, которые обеспечивают:
Статья 32 - Безопасность обработки данных. И контроллеры данных, и обработчики данных должны внедрять технические и организационные меры, которые позволяют:
Статья 33 - Уведомление надзорного органа о нарушении личных данных. В этой статье есть несколько ключевых положений:
Статья 34 - Сообщение субъекту данных о нарушении личных данных. Если нарушение данных ставит под угрозу права и свободы затронутых Субъектов данных, то Контроллер данных должен без неоправданной задержки уведомить каждое затронутое лицо. Уведомление должно быть составлено на ясном, понятном языке для передачи той же информации, которая требуется в статье 33.
Статья 35 - Оценка воздействия на защиту данных. Контроллеры данных должны выполнять оценку воздействия на защиту данных (DPIA) всякий раз, когда предлагается новая операция обработки - процесс или технология обработки. DPIA, как минимум, должно включать следующее:
Статья 44 - Общий принцип переводов. Передача личных данных за пределы ЕС / ЕЭЗ запрещена, если только Контроллер данных и Обработчик данных не соблюдают определенные условия защиты данных. Подробности приведены в GDPR - статья 44.
Что такое уведомление о нарушении GDPR?
Когда утечка данных происходит в организации, на которую распространяется GDPR, компания обязана сообщить о нарушении. Это относится к утечкам данных, которые:
Контрольный список соответствия GDPR
GDPR намеренно нечетко описывает конкретные технологические меры, которые необходимо реализовать, признавая, что существует множество способов защиты персональных данных. Однако существует несколько мер безопасности, ориентированных на данные, которые могут эффективно защитить данные в состоянии покоя и при передаче по сетям, серверам, приложениям или конечным точкам.
Решения GDPR
Imperva защищает все облачные хранилища данных, чтобы обеспечить соответствие GDPR и другим стандартам, а также сохранить гибкость и экономическую выгоду от инвестиций в облако.
Безопасность облачных данных - упростите защиту своих облачных баз данных, чтобы не отставать от DevOps. Решение позволяет пользователям облачных сервисов быстро получать доступ к облачным данным и контролировать их.
Безопасность баз данных - обеспечивают аналитику, защиту и реагирование на ваши информационные активы, как локально, так и в облаке, обеспечивая видимость рисков для предотвращения утечки данных и предотвращения нарушений нормативно-правового соответствия. Интегрируйтесь с любой базой данных, чтобы получить мгновенную видимость, внедрить универсальные политики и ускорить окупаемость.
Анализ рисков данных - автоматизируйте обнаружение несоответствующего, рискованного или злонамеренного поведения при доступе к данным во всех ваших базах данных в масштабе всего предприятия, чтобы ускорить восстановление.
- Что такое Общий регламент по защите данных (GDPR)
- GDPR: каковы права субъекта данных?
- Требования GDPR
- Что такое уведомление о нарушении GDPR?
- Контрольный список соответствия GDPR
- Решения GDPR
Что такое Общий регламент по защите данных (GDPR)
Общий регламент по защите данных (GDPR) предусматривает единый набор правил для защиты личных данных всех жителей и посетителей Европейского Союза (ЕС). Положения GDPR о конфиденциальности данных заменяют Директиву о защите данных 1995 года и любые законы о конфиденциальности данных, принятые отдельными государствами-членами ЕС, основные цели регламента GDPR заключаются в следующем:
- Установить защиту личных данных
- Усилить базовые требования и обязанности по обеспечению защиты персональных данных.
- Обеспечить стандартизированное применение правил защиты данных в ЕС, тем самым облегчая законный поток личных данных внутри и за пределами ЕС и Европейской экономической зоны (ЕЭЗ).
Определение персональных данных GDPR
Определение персональных данных GDPR включает в себя любую информацию, которая может прямо или косвенно идентифицировать конкретный Субъект данных. Примеры:
- Биометрические данные, включая физические характеристики, такие как рост или вес; физиологические характеристики, такие как ДНК, отпечатки пальцев или изображения распознавания лиц; и поведенческие характеристики, такие как походка или голос.
- Генетические характеристики, полученные при рождении, например этнические или расовые характеристики.
- Данные о состоянии здоровья, включая записи о физическом / психическом состоянии и коды здравоохранения.
- Другие данные, включая онлайн-идентификаторы, такие как IP-адреса, файлы cookie, геолокацию или радиочастотные метки; идентификаторы устройств, такие как MAC-адреса; личная идентификационная информация (PII), такая как имя, номер сотрудника, номер медицинской карты или номер социального страхования; электронные письма, мгновенные сообщения, фотографии, культурные, экономические или социальные данные.
Территориальный охват
Правила GDPR, вступившие в силу 25 мая 2018 года, применяются к любой организации, которая предоставляет товары и услуги или контролирует отдельных лиц в ЕС, независимо от того, имеет ли организация физическое присутствие в ЕС / ЕЭЗ. Несоблюдение требований может привести к штрафам до 20 000 000 евро или 4% от общих мировых доходов организации.
На какие компании влияет GDPR?
Руководящие принципы GDPR влияют на любую компанию, которая хранит или обрабатывает персональные данные, как определено выше, о гражданах Европейского Союза. Важно отметить, что сюда входят компании, которые не работают или не имеют офисов в ЕС.
На компанию распространяются правила защиты данных GDPR, если она соответствует одному из следующих критериев:
- Имеет бизнес в стране ЕС
- Не имеет представительства в стране ЕС, но обрабатывает личные данные жителей Европы.
- Имеет более 250 сотрудников
- Имеет менее 250 сотрудников, но регулярно обрабатывает данные таким образом, чтобы это могло повлиять на права европейских субъектов данных, или содержит конфиденциальные персональные данные, как это определено в законодательстве GDPR.
Кто отвечает за соблюдение GDPR в организации?
Согласно статье 39 законодательства, организация должна нанять сотрудника по защите данных GDPR (DPO), который отвечает за надзор за соблюдением организацией GDPR, включая стратегию защиты данных и ее реализацию.
В обязанности сотрудника по защите данных входят:
- Проведение обучения сотрудников их обязательствам по соблюдению GDPR
- Оценка и аудит организации на соответствие GDPR
- Записывает действия по обработке данных, выполняемые компанией
- Служит связующим звеном между компанией и соответствующим органом GDPR.
- Отвечает на запросы субъектов данных и информирует их о том, как личные данные используются и защищаются
- Получает запросы субъектов данных на просмотр или удаление их личных данных
Ключевые термины
GDPR определяет различные роли и действия, необходимые для выполнения его требований, в том числе:
| Ключевой термин | Определение |
| Контроллер данных | Лицо, определяющее цели и средства обработки персональных данных. Примеры: производственная компания, собирающая личные данные своих сотрудников. Поставщик облачных услуг, предлагающий хранилище данных. Интернет-провайдер, требующий пользовательских платежей. |
| Обработчик данных | Сущность, которая обрабатывает данные от имени контроллера данных. Примеры: компания по начислению заработной платы, обрабатывающая зарплаты сотрудников от имени производственной компании. Поставщик облачных услуг, хранящий личные данные. Банк, принимающий платежи от интернет-провайдеров. |
| Обработка данных | Любая автоматизированная или частично автоматизированная операция, выполняемая с персональными данными. Примеры: адаптация, изменение, сбор, объединение, консультирование, уничтожение, распространение, стирание, организация, запись, ограничение, извлечение, хранение, структурирование или использование. |
| Субъект данных | Физическое лицо, персональные данные которого обрабатываются контролером или процессором. Пример: сотрудник производственной компании. |
| Профилирование | Любая обработка данных, предназначенная для оценки, анализа или прогнозирования поведения Субъекта данных. Примеры: производительность на работе, экономическое положение, здоровье, личные предпочтения, интересы, надежность, поведение потребителей, местоположение / передвижения. |
GDPR: каковы права субъекта данных?
Чтобы соответствовать GDPR, важно понимать права, которые законодатель решил защищать. GDPR предоставляет субъектам данных следующие основные права:
- Право на получение информации о том, как компании собирают их личные данные, как долго они будут их хранить, как они будут их использовать и кому они будут ими делиться.
- Право доступа к личной информации, собираемой компаниями, включая возможность запрашивать копию данных.
- Право на исправление (исправление) данных, если они являются неполными или неточными.
- Право на удаление личных данных компанией, включая «право быть забытым». Есть некоторые исключения, в том числе когда компаниям нужны данные для выполнения юридических обязательств.
- Право ограничивать обработку персональных данных контроллерами данных, даже если физическое лицо не может запросить удаление.
- Право на переносимость данных, означающее, что субъекты данных могут получать и использовать свои личные данные, а также требовать, чтобы компании отправляли их в электронном виде третьим лицам.
- Право возражать против обработки персональных данных, например, для научных исследований, но компании могут продемонстрировать законность использования данных.
- Право не подвергаться автоматизированному принятию решений и не требовать проверки человеком, включая право быть проинформированным, когда решение принимается с помощью алгоритма.
Требования GDPR
GDPR содержит 99 статей, описывающих правила защиты данных и обеспечения соблюдения. Ниже приведены основные требования к безопасности данных GDPR.
Статья 25 - Защита данных намеренно и по умолчанию. Контроллер данных должен применять технические и организационные меры, которые обеспечивают:
- Персональные данные не могут быть отнесены к идентифицированному или идентифицируемому Субъекту данных.
- Могут быть обработаны только те личные данные, которые необходимы для конкретной цели.
Статья 32 - Безопасность обработки данных. И контроллеры данных, и обработчики данных должны внедрять технические и организационные меры, которые позволяют:
- Псевдонимизация или шифрование личных данных.
- Поддержание постоянной конфиденциальности, целостности, доступности, доступа и отказоустойчивости систем обработки и сервисов.
- Восстановление доступности и доступа к персональным данным в случае физического или технического нарушения безопасности.
- Тестирование и оценка эффективности технических и организационных мероприятий.
Статья 33 - Уведомление надзорного органа о нарушении личных данных. В этой статье есть несколько ключевых положений:
- Контроллеры данных должны уведомить соответствующий надзорный орган в течение 72 часов с момента обнаружения утечки личных данных. Если невозможно отправить уведомление в течение 72 часов, Контроллер данных должен указать причину задержки.
- Обработчики данных должны немедленно уведомить соответствующего Контроллера данных при обнаружении утечки личных данных.
- Уведомление, как минимум, должно описывать характер и последствия нарушения данных, тип и приблизительное количество затронутых Субъектов данных и записей данных, предпринятые или предлагаемые меры по исправлению положения, а также имя и контактную информацию лица, которое может предоставить дополнительную информацию.
- Если невозможно предоставить всю необходимую информацию одновременно, информация может предоставляться поэтапно по мере ее появления.
Статья 34 - Сообщение субъекту данных о нарушении личных данных. Если нарушение данных ставит под угрозу права и свободы затронутых Субъектов данных, то Контроллер данных должен без неоправданной задержки уведомить каждое затронутое лицо. Уведомление должно быть составлено на ясном, понятном языке для передачи той же информации, которая требуется в статье 33.
Статья 35 - Оценка воздействия на защиту данных. Контроллеры данных должны выполнять оценку воздействия на защиту данных (DPIA) всякий раз, когда предлагается новая операция обработки - процесс или технология обработки. DPIA, как минимум, должно включать следующее:
- Описание новой операции обработки, ее цели и необходимости относительно заявленной цели.
- Оценка потенциальных рисков для прав и свобод Субъектов данных.
- Описание предлагаемых мер по снижению рисков, включая меры предосторожности и безопасности.
Статья 44 - Общий принцип переводов. Передача личных данных за пределы ЕС / ЕЭЗ запрещена, если только Контроллер данных и Обработчик данных не соблюдают определенные условия защиты данных. Подробности приведены в GDPR - статья 44.
Что такое уведомление о нарушении GDPR?
Когда утечка данных происходит в организации, на которую распространяется GDPR, компания обязана сообщить о нарушении. Это относится к утечкам данных, которые:
- Привело к потере или раскрытию личных данных неавторизованным лицам
- Может привести к экономическим или социальным потерям для субъектов данных (например, к ущербу репутации, финансовым потерям, раскрытию конфиденциальной информации и т. д.)
Контрольный список соответствия GDPR
GDPR намеренно нечетко описывает конкретные технологические меры, которые необходимо реализовать, признавая, что существует множество способов защиты персональных данных. Однако существует несколько мер безопасности, ориентированных на данные, которые могут эффективно защитить данные в состоянии покоя и при передаче по сетям, серверам, приложениям или конечным точкам.
| Метод | Статья GDPR | |||||
| 25 | 32 | 33 | 34 | 35 | 44 | |
| Управление изменениями Мониторы, журналы и отчеты об изменениях структуры данных. Показывает аудиторам соответствия, что изменения в базе данных можно отследить до принятых заявок на изменение. | ✓ | ✓ | ✓ | |||
| Доступ к данным через границы управления ограничивает, какие данные могут быть доступны пользователям за пределами определенных границ. | ✓ | |||||
| Обнаружение и классификация данных обнаруживает и обеспечивает видимость расположения, объема и контекста данных в локальной среде, в облаке и в устаревших базах данных. Классифицирует обнаруженные данные в соответствии с типом данных личной информации (номер кредитной карты, адрес электронной почты, медицинские записи и т. д.) и уровнем риска для безопасности. | ✓ | ✓ | ✓ | |||
| Предотвращение потери данных отслеживает и защищает данные в движении по сети, в хранилище данных или при использовании на конечных устройствах. Блокирует атаки, злоупотребление привилегиями, несанкционированный доступ, вредоносные веб-запросы и необычную активность для предотвращения кражи данных. | ✓ | ✓ | ✓ | |||
| Маскирование данных анонимизирует данные с помощью шифрования / хеширования, обобщения, возмущения и т. д. Псевдонимизирует данные, заменяя конфиденциальные данные реалистичными вымышленными данными, которые поддерживают операционную и статистическую точность. | ✓ | ✓ | ||||
| Защита данных Обеспечивает целостность и конфиденциальность данных за счет согласования контроля изменений, контроля трансграничных данных, белых списков запросов и т. д. | ✓ | ✓ | ✓ | ✓ | ||
| Этические стены Поддерживает строгое разделение бизнес-групп для соблюдения требований слияний и поглощений, государственного разрешения и т. д. | ✓ | ✓ | ||||
| Мониторинг привилегированных пользователей Отслеживает доступ к базе данных привилегированных пользователей и их действия. При необходимости блокирует доступ или активность. | ✓ | ✓ | ||||
| Безопасное архивирование журнала аудита Защищает журнал аудита от подделки, модификации или удаления и обеспечивает криминалистический обзор. | ✓ | ✓ | ✓ | |||
| Аудит доступа к конфиденциальным данным Отслеживает доступ и изменения данных, защищенных законом, нормативными актами и договорными соглашениями. Запускает сигналы о несанкционированном доступе или изменениях. Создает контрольный журнал для судебной экспертизы. | ✓ | ✓ | ✓ | |||
| Управление правами пользователей определяет чрезмерные, несоответствующие и неиспользованные привилегии. | ✓ | ✓ | ||||
| Отслеживание пользователей Сопоставляет конечного пользователя веб-приложения с пользователем общего приложения / базы данных, а затем с конечными данными, к которым осуществляется доступ. | ✓ | ✓ | ✓ | ✓ | ||
| Конфиденциальность данных VIP. Обеспечивает строгий контроль доступа к очень конфиденциальным данным, включая данные, хранящиеся в многоуровневых корпоративных приложениях, таких как SAP и PeopleSoft. | ✓ | ✓ | ✓ |
Решения GDPR
Imperva защищает все облачные хранилища данных, чтобы обеспечить соответствие GDPR и другим стандартам, а также сохранить гибкость и экономическую выгоду от инвестиций в облако.
Безопасность облачных данных - упростите защиту своих облачных баз данных, чтобы не отставать от DevOps. Решение позволяет пользователям облачных сервисов быстро получать доступ к облачным данным и контролировать их.
Безопасность баз данных - обеспечивают аналитику, защиту и реагирование на ваши информационные активы, как локально, так и в облаке, обеспечивая видимость рисков для предотвращения утечки данных и предотвращения нарушений нормативно-правового соответствия. Интегрируйтесь с любой базой данных, чтобы получить мгновенную видимость, внедрить универсальные политики и ускорить окупаемость.
Анализ рисков данных - автоматизируйте обнаружение несоответствующего, рискованного или злонамеренного поведения при доступе к данным во всех ваших базах данных в масштабе всего предприятия, чтобы ускорить восстановление.
