Клиенты
  • НПФ ВТБ Пенсионный фонд
  
print

Общий регламент по защите персональных данных (GDPR)

GDPR (General Data Protection Regulation) является самым актуальным и наиболее требовательным набором нормативных актов по работе с персональными данными граждан Евросоюза. Новые правила вступили в силу 25 мая 2018 года, и теперь не важно, где находится компания и в какой юрисдикции она зарегистрирована. Согласно требованиям закона, любая организация должна соблюдать GDPR, если она обслуживает клиентов или даже просто хранит данные пользователей из Евросоюза.

Требования GDPR формировались на протяжении нескольких лет, и после тщательной проработки в 2015 году были окончательно приняты Парламентом и Советом ЕС. После публикации в мае 2016 года у компаний было два года, чтобы выполнить их.

Больше отсрочек в выполнении требований не будет, и надзорные органы (а они сформированы в каждой европейской стране) уже следят за исполнением регламента. В случае невыполнения требований новый пакет законов предусматривает внушительные штрафы – вплоть до 20 миллионов евро или 4% от годового оборота компании по всему миру (в зависимости от того, какая сумма больше).

Zecurion DLP для выполнения требований GDPR

Выявление объекта защиты

Для выполнения требований закона необходимо категорировать информацию, выделяя персональные данные граждан Евросоюза. Сегодня многие компании не разделяют данные клиентов и не всегда знают, где именно они хранятся. Это типично для современного бизнеса, ведь в эпоху облачных ресурсов проще всего загрузить информацию на сервера Amazon или Azure и работать с ними из любой точки подключения к Интернету. Но с появлением GDPR возникает необходимость дифференцировать данные, обеспечить их защиту от несанкционированного доступа и неправомерного использования самим оператором.

Простой способ решения этой задачи предлагает Zecurion Discovery, входящий в состав Zecurion DLP. Zecurion Discovery позволяет категорировать данные и выявлять места хранения конфиденциальной информации в корпоративной среде.

Хранение данных на территории Евросоюза

Одним их важных отличий новых требований можно считать изложенный в статье 3 принцип экстерриториальности, который расширяет юрисдикцию GDPR за пределы Евросоюза. До 2016 года требования нормативных актов ЕС по защите данных распространялись только на процессы, происходящие внутри соответствующих стран, но теперь место обработки данных не имеет значения – GDPR действует за пределами ЕС, включая компании, вообще не ведущие деятельность в ЕС, но обслуживающих клиентов из Евросоюза (предлагая товары и услуги), а также при проведении исследований, включающих в себя субъекты из ЕС.

Эти задачи успешно решаются современными DLP-системами, которые следят за любыми перемещениями данных, обеспечивая контроль их местонахождения. С помощью политик Zecurion DLP можно настроить уведомление о попытках переместить информацию в неподходящие хранилища либо превентивно блокировать такие попытки, чтобы не допустить нарушения требований GPDR.

Уведомление об утечках

По правилам GDPR уведомление об утечках становится обязательным, причем оператору необходимо оценить возможные риски, связанные с «нарушением прав и свобод граждан». На уведомление отводится всего 72 часа. При этом сообщить об утечке необходимо и субъектам персональных данных, и надзорным органам. Подробнее процесс информирования описан в 33 акте GDPR.

В случае нарушения правил обработки данных, Zecurion DLP заблокирует нелегитимные действия и уведомит о них офицера безопасности, останавливая потенциальную утечку на самом раннем этапе. DLP-система также В случае возникновения инцидента вы будете располагать самой подробной информацией о ней. Этого будет достаточно для информирования регулятора, а также для проведения расследований и выявления виновных в каждом конкретном случае.

Отчёты об использовании

GDPR значительно расширяет права субъектов данных, а также их представителей. Они имеют право требовать от оператора персональных данных информацию о том, какие данные были собраны и использованы, где и для каких целей. Кроме этого компания должна предоставлять по запросу копии данных, причем бесплатно. О правах субъектов данных и возникающих в связи с ними обязательствах написано в Статье 12.

DLP-система позволяет отслеживать операции с данными на серверах, рабочих станциях и ноутбуках, а также во время их передачи по каналам связи, обеспечивая защиту и пресекая попытки нелегитимного использования. Архив и консоль Zecurion DLP позволяют быстро выстраивать цепочки событий, связанных с перемещением и обработкой данных.

Право на забвение

По первому обращению субъекта или его представителя, оператор должен обеспечить удаление данных, а также предотвратить их дальнейшее распространение, включая остановку их обработки и потребовать также их удаления. Согласно статье 17 данные также нужно удалять, если они не требуются больше для тех целей, ради которых были собраны.

Zecurion DLP позволяет контролировать распространение персональных данных, чтобы в случае необходимости удалить из всех мест хранения. При этом во время хранения данные могут быть зашифрованы Zecurion Storage Security, чтобы предотвратить несанкционированный доступ к информации и безвозвратно удалить данные после окончания периода их обработки.

Передача данных

GDPR создает новую возможность – получение данных от одного оператора в цифровом формате для передачи другой компании. Таким образом, каждый человек (субъект персональных данных) или его представитель может запросить свои данные для дальнейшего использования другими компаниями. Эти требования изложены в статье 20. Важно понимать, что сам человек не всегда знает, какие именно данные обрабатывает компания. Персональные данные — это не только анкета, которую заполняет пользователь. К примеру, сведения о предпочтениях пользователя, собранные в процессе работы с сервисом — это тоже персональные данные, подлежащие защите.

DLP-система Zecurion может вести учёт всех данных, связанных с субъектом. Используя архив и web-консоль Zecurion DLP, в любой момент можно узнать, кто и что делал с данными, и где они сейчас находится и выгрузить копию в машиночитаемом формате.

Офицер по защите данных

От компании, работающей с данными граждан Евросоюза, требуется наличие ответственного лица – офицера по защите данных (DPO – Data Protection Officer, статья 37). В обязанности DPO входит регулярный и систематический мониторинг действий с данными разных субъектов — задачи, описанные в статье 39. Среди прочих, от DPO требуется наличие экспертных знаний в области защиты информации и соответствия профессиональных качеств занимаемой должности.

Для работы офицера по защите данных необходимо наличие инструментов ИБ, которые позволят ему контролировать процесс хранения, использования и передачи информации, а также реагировать на возможные нарушения в реальном времени. В современных условиях система DLP является неотъемлемым инструментом для работы DPO.

DLP-система Zecurion может вести учёт всех данных, связанных с субъектом. Используя архив и web-консоль Zecurion DLP, в любой момент можно узнать, кто и что делал с данными, и где они сейчас находится и выгрузить копию в машиночитаемом формате.

DLP – важнейший инструмент для выполнения требований GDPR


Из основных требований GDPR вытекает необходимость использования инструментов ИБ и глубокой их интеграции в свою инфраструктуру — как на уровне потоков данных, так и на уровне бизнес-процессов. Преимущество современных DLP-систем заключается в широком наборе функций, позволяющих выполнить большинство требований по защите данных и работе с ними.Выбирая Zecurion DLP, компания получает готовый инструмент для выполнения требований регулятора. Удобный интерфейс управления, архив событий, широкий набор технологий для выявления возможных утечек персональных данных и контроля перемещения данных, а также простая настройка и готовые шаблоны — всё это позволяет любому квалифицированному сотруднику выполнять обязанности офицера по защите данных.

Требования GDPR уже действуют, и, если в компании до сих пор нет контроля над процессом обработки и использования персональных данных, внедрение Zecurion DLP поможет решить задачи их идентификации и защиты в кратчайшие сроки.


Новый функционал
Отмена

												
														
																				
							
							
							
							
в формате +7 (987) 654-32-10
обзор удалить

Отправляя данные формы, я соглашаюсь на обработку моих персональных данных АО «СекьюрИТ», указанных в форме, в целях и пределах, установленных законодательством РФ о персональных данных, в течение неопределенного срока.