Работаете ИТ-директором?
Здесь вы можете найти шпаргалку для ИТ-директоров, с помощью которой можно улучшить соответствие компании
требованиям GDPR.
Здесь вы можете найти шпаргалку для ИТ-директоров, с помощью которой можно улучшить соответствие компании требованиям GDPR.
-
Что такое GDPR?
Общий регламент по защите данных (GDPR) — это европейский регламент о конфиденциальности, вступивший в силу 25 мая 2018 года. GDPR, который заменяет Директиву ЕС о защите данных, направлен на консолидацию правил защиты данных в Европейском союзе (ЕС) путем принятия единого закона о защите данных, действующего во всех государствах-членах. Независимо от того, где находится ваша фирма, закон распространяется на европейские компании и любой бизнес, который нацелен на граждан Европы или собирает, использует или обрабатывает личные данные граждан ЕС. На практике это означает, что GDPR будет применяться к большинству предприятий, которые обрабатывают персональные данные граждан ЕС, независимо от того, где они базируются или где осуществляются их операции по обработке.
-
Что такое персональные данные?
Определение персональных данных в GDPR включает в себя то, что мы обычно считаем информацией, позволяющей установить личность (PII) — имена, номера паспортов, даты рождения и т. д., — а также данные, которые могут быть рассмотрены как не PII, например, адреса электронной почты или идентификаторы устройств. Полный список того, что GDPR считает персональными данными, см. в статье 4(1) GDPR. Подмножество данных, известное как «особые категории персональных данных», также включено в определение персональных данных. GDPR определяет специальные категории персональных данных как совокупность данных, включающих расовую и этническую принадлежность, религию, политические взгляды, информацию о состоянии здоровья и т. д.
-
Кого затрагивает GDPR?
GDPR имеет широкий географический охват. Это относится не только ко всем предприятиям в ЕС, которые обрабатывают персональные данные, но и к любой организации, не находящейся в ЕС, которая обрабатывает персональные данные лиц из ЕС.
В этот список входят также те предприятия, которые
а) предлагают товары или услуги без требования оплаты
б) производят любую деятельность в пределах ЕС
GDPR стремится защищать персональные данные на всех этапах обработки данных и проводит различие между контролерами данных и обработчиками данных, каждый из которых имеет свои обязательства. -
Каковы требования GDPR?
Согласно GDPR, компании должны принимать соответствующие меры по защите данных, чтобы защитить конфиденциальность данных потребителей (защитить данные от потери или раскрытия). Наиболее важные принципы и требования, регулирующие управление персональными данными, обобщены в статье 5 GDPR:
• Собранные личные данные должны обрабатываться честным, законным и прозрачным образом. Их не следует использовать в неожиданных целях и неожиданными способами.
• Личные данные следует собирать только для определенных целей. Их нельзя использовать каким-либо образом, несовместимым с этими целями. При сборе личных данных компании должны объяснять, зачем они им нужны.
• Персональные данные должны быть актуальными и точными. Сбор данных следует проводить только до тех пор, пока это необходимо для достижения цели.
• Граждане Европейского Союза имеют право просматривать свои «личные данные». Они также могут запросить копию, обновить, стереть, ограничить или передать их другой организации без ограничений.
• Личные данные должны обрабатываться таким образом, чтобы обеспечить их безопасность. Сюда входят меры защиты от незаконной обработки, а также от потери, уничтожения или повреждения в результате несчастных случаев.
• Персональные данные не должны храниться дольше, чем это необходимо. Они должны храниться только в течение срока достижения цели, для которой он обрабатывается. -
GDPR и Twake
Twake нацелен на защиту личных данных и конфиденциальность в Интернете. Мы приветствуем недавнее правило ЕС, которое усиливает и унифицирует гарантии для лиц, находящихся под его эгидой. Мы тщательно изучили юридические и технические стороны GDPR, чтобы обеспечить соответствие ему, и внесли все необходимые обновления в наши продукты, услуги и документацию. Клиенты Twake получают лучший контроль над своими данными. Мы также предоставляем посетителям нашего веб-сайта инструменты, необходимые им для защиты их информации. Twake на 100% соответствует требованиям GDPR.
-
Что делает Twake, чтобы соответствовать требованиям GDPR?
• Мы провели аудит безопасности, чтобы убедиться, что наша политика и меры безопасности соответствуют GDPR.
• GDPR регулируется организационной политикой Twake, включая политику безопасности и конфиденциальности данных. Вся наша команда понимает важность высоких стандартов безопасности данных и конфиденциальности по всем направлениям. Это непрерывный процесс, который мы считаем критически важным для успеха нашего проекта.
• Мы провели оценку воздействия на защиту данных, чтобы выявить и свести к минимуму любые риски, связанные с нашей деятельностью по обработке данных.
• Мы храним все наши данные на серверах OVH Cloud, расположенных во Франции.
• Мы позаботились о том, чтобы наша Политика конфиденциальности отражала приверженность Twake и Linagora GDPR, была прозрачной в отношении того, как мы используем персональные данные, и информировала людей о том, как реализовать свои права субъекта данных.
• Мы устанавливаем и создаем операционные процедуры, необходимые для поддержки прав человека на доступ, просмотр и удаление любых его данных, которые мы храним.
• Как обработчик и контролер персональных данных, мы ведем точные записи о нашей деятельности по обработке данных.
• Уведомления о файлах cookie могут быть адаптированы для удовлетворения юридических потребностей каждой страны или региона.
• Мы принимаем строгие меры для защиты ваших личных и профессиональных данных. Пароли хэшируются с использованием PBKDF2, а ваши данные шифруются перед отправкой в базу (шифрование при хранении). Для связи мы используем шифрование TLS (шифрование при передаче).
• Обеспечение безопасности данных — это скорее долгосрочное обязательство, чем разовый проект. В постоянно меняющемся ландшафте регулирования и реальных рисков Twake по-прежнему привержен безопасности и конфиденциальности данных, и мы обеспечим защиту данных наших клиентов. -
Как Twake может помочь вашей компании соответствовать
требованиям GDPR?Мы стараемся, чтобы наши продукты и услуги позволяли клиентам соблюдать требования GDPR. В том числе, мы:
• продолжаем улучшать функции безопасности в наших продуктах, а также структуру безопасности нашей компании и инфраструктуры (см. предыдущий раздел).
• убеждаемся в том, что договоры с нашими клиентами помогают им соблюдать стандарты GDPR в отношении назначения обработчиков данных, а также в том, что наши собственные договоры с обработчиками данных соответствуют требованиям GDPR.
• постоянно изучаем рекомендации по соблюдению требований GDPR в целом и по мере необходимости изменяем нашу стратегию.
Контрольный список соответствия GDPR для безопасности при работе с облаком
GDPR требует от компаний защищать личные данные клиентов и сотрудников на всех этапах жизненного цикла обработки данных.
Выполнять это обязательство со временем становится все труднее, поскольку все больше фирм внедряют и используют облачные решения для связи и совместной работы. Согласно недавно проведенному опросу, 60% предприятий планируют в ближайшие два года полностью отказаться от локальных решений в пользу облачных SaaS-инфраструктур.
Малые предприятия также переходят к облачному хранению данных: прогнозировалось, что в 2017 году среднее количество облачных приложений для малого и среднего бизнеса составит 7. Выбор облачных сервисов, которые помогают предприятиям обеспечивать и поддерживать соответствие GDPR - непростая задача.
При поиске поставщика услуг компании должны учитывать различные технологические и юридические факторы.
Наш "контрольный список" напомнит вам о 5 самых важных вещах.
