Коротко про актуальне: GDPR – що варто знати та як бізнесові підготуватись до 25.05.2018
Сьогодні наш перший випуск рубрики #data_expert розпочинає матеріал від Валерія Яцківського – спеціаліста відділу хмарних рішень, а говоримо ми про “Загальний регламент захисту даних”. GDPR — це збірка правил, згідно яких Євпопейський Союз має намір посилити та уніфікувати захист персональних даних. Під дію GDPR підпадає і експорт персональних даних за межі ЄС. Регламент був прийнятий 27 квітня 2016 року і після дворічного перехідного періодунабуває чинності вже з 25 травня цього року.

 

Для міжнародного бізнесу за межами ЄС знати про GDPR та дотримуватись його важливо, насамперед тому, що запропонований новий режим захисту даних поширює дію на всі іноземні компаній, що обробляють дані резидентів ЄС, а дотримання регламенту досягається за рахунок суворих санкцій, що можуть складати до 2 % загального світового річного обороту компанії. (Детальніше ознайомитись з текстом GDPR Ви можете тут.)

Основне, що варто знати про GDPR

 
Три ключові положення, на яких базується регламент (Art. 1 GDPR):
 
 
 

  • Захист персональних даних,
  • Захист прав і свобод людей у намірі захистити свої дані
  • Обмеження переміщення персональних даних у рамках Євросоюзу

 

Якщо у Вашої компанії є клієнти з Європи(хоча б один), чиї персональні дані ви зберігаєте, ви потрапляєте під дію GDPR автоматично.
Зі вступом Регламенту у дію серйозно обмежиться трансфер даних до “третіх” країн і Європейська комісія самостійно визначатиме, у які саме “треті” країни, або у які сектори та організації в межах цих країнах буде дозволений трансфер персональних даних (Art. 45 GDPR).
Система захисту даних Вашої компанії має бути обов’язково задокументована, аби відповідати вимогам GDPR. (Art. 24 GDPR)
 

Зі вступом Регламенту у дію серйозно обмежиться трансфер даних до “третіх” країн і Європейська комісія самостійно визначатиме, у які саме “треті” країни, або у які сектори та організації в межах цих країнах буде дозволений трансфер персональних даних (Art. 45 GDPR).
 
Система захисту даних Вашої компанії має бути обов’язково задокументована, аби відповідати вимогам GDPR. (Art. 24 GDPR)

  

Організація безпеки даних

 
Обов’язковою має бути проведена розробка відповідних політик та документів, таких як:
 

  • Personal Data Protection Policy” – політика захисту особистої інформації (Art. 24 (2) GDPR)
  • Inventory of Processing Activities” – інвентаризація діяльності з обробки інформації (Art. 30 GDPR)
  • Security incident response policy” – політика щодо реагування на інциденти, пов’язані з безпекою. Протягом 72 годин необхідно повідомити свій наглядовий орган про витік (Art. 33 GDPR), а також потрібно повідомити власника персональної інформації про те, що мав місце витік його даних  (Art. 34 GDPR)
  • Data Breach Notification Form to the Supervisory Authority” – форма сповіщення про порушення справи до контролюючого органу (Art. 33 GDPR)
  • Data Breach Notification Form to the Data Subjects”- форма сповіщення про порушення спірних даних для власника персональних даних (Art. 34 GDPR)
  • Data Retention Policy” – політика збереження даних (Articles 5 (1) (e), 13 (1), 17, 30)
     
Додаткові політики, які рекомендовані для прописування:
 
  • Політика видалення даних
  • Бекап політика
  • Політика контролю доступу до системи
  • SLA та процедури ескалації
  • Криптографічний контроль
  • Політика аварійно-відновлювальної діяльність та безперервності бізнесу
  • Норми кодування та процедура розгортання
  • Політика та процеси служби зайнятості

 

Технічні заходи для захисту даних
 

 Архітектура має бути побудована за принципом: “Data protection by design and by default” тобто – захист персональних даних як основа розробки за замовчуванням (Art. 25 GDPR)

Система має містити наступні елементи:
 
  • Брандмауери та доступ до VPN
  • Шифрування неактивних даних
  • Шифрування даних під час транзиту (HTTPS, IPSec, TLS, PPTP, SSH)
  • Контроль доступу (фізичний та технічний)
  • Інструменти виявлення вторгнень та їх профілактики, моніторинг “здоров’я” системи.
  • Шифрування резервних копій
  • 2-х факторна аутентифікація, сувора авторизація
  • Антивіруси

 
 

На практиці технічні заходи, що забезпечать Вашому бізнесові відповідність вимогам GDPR можна реалізувати за допомогою готових продуктів. “Датагруп” вже сьогодні пропонує готові рішення, релізовані за допомогою хмарних сервісів.
 
Не зважаючи на велику кількість нюансів, стати GDPR compliant можна досить легко, якщо звернутись до експертів, котрі допоможуть вашому бізнесові відповідати вимогам, котрі висуває Європейський Союз щодо захисту даних на міжнародному рівні.
 

Поінформований – значить озброєний! Читайте #data_expert на сторінці “Датагруп” щосереди і тримайте руку на пульсі сучасних бізнес тендецій.

 
 
Читати докладніше:
https://www.facebook.com/