Блог Статьи 17/05/2023

Требования GDPR и стандарт ISO 27001

Автор: Alexandra Balykina. Копирайтер в SIM-Networks

Содержание

Защита персональных данных стала жизненно необходимой в связи с растущим количеством нарушений данных в современном цифровом мире. В Европе с 2018 года начали действовать новые регуляции, которые затрагивают все компании по всему миру, работающие с жителями Европейского Союза (ЕС). Эти законы устанавливают новые стандарты безопасности данных и налагают высокие штрафы за нарушения.

Что такое GDPR

Один из наиболее важных законов в этой области – Общий регламент по защите данных (General Data Protection Regulation – GDPR), принятый в ЕС в 2016 году и вступивший в силу 25 мая 2018 года. GDPR определяет правила обработки и защиты персональных данных граждан ЕС.

Согласно GDPR, компании, собирающие, хранящие, обрабатывающие или передающие персональные данные резидентов Европейского Союза, должны соблюдать строгие требования к обработке таких данных. Они также обязаны предоставить ясную, понятную и доступную политику конфиденциальности, объясняющую, какие данные собираются, для каких целей и на каких основаниях они обрабатываются, а также как долго они будут храниться.

GDPR также обязывает, чтобы компании получали явное согласие от своих пользователей на обработку их персональных данных. Пользователи имеют право отозвать свое согласие в любое время, и компании должны удалить все данные, связанные с этим пользователем. Кроме того, GDPR устанавливает права пользователей на доступ к своим персональным данным, их изменение и удаление. Компании также должны гарантировать безопасность персональных данных и уведомлять о нарушениях в течение 72 часов после их выявления.

Участники GDPR

В рамках защиты данных в контексте GDPR можно выделить две стороны: контролирующую и обрабатывающую. Контролирующая сторона – это организации, которые собирают и обрабатывают данные пользователей, в то время обрабатывающая сторона включает в себя ИТ-компании, которые предоставляют технические ресурсы и инфраструктуру для обработки этих данных.

GDPR влияет на все контролирующие и обрабатывающие стороны, работающие с персональными данными граждан ЕС, независимо от местонахождения. Это означает, что онлайн-бизнесы и платформы, принимающие международных клиентов или участников, также подвержены действию этого закона.

С момента введения GDPR контролирующие стороны обязаны обрабатывать персональные данные пользователей ЕС для определенных целей с полной прозрачностью. После достижения цели и отсутствия законной необходимости данных для конкретного пользователя, они должны быть удалены, чтобы персональные данные не хранились бесконечно на серверах, которые могут быть взломаны в любой момент.

Личные данные по GDPR

Понятие личных данных в Европейском Союзе получило более широкое определение в результате введения в действие GDPR. Согласно новому определению, информация о ПК и местоположении пользователя, например, по IP-адресу, считается личными данными. Также в эту категорию входят финансовая, психологическая или этническая история человека, а также любая информация, которая может быть использована для идентификации человека. Следует отметить, что анонимные данные или псевдонимы, в случае если их легко можно соотнести с конкретным человеком, то и такая информация считается личной. Кроме того, все, что уже рассматривается как личные данные согласно Закону о защите данных, также будет относиться к категории личных данных в соответствии с GDPR.

Согласно GDPR, люди имеют право на доступ к своим личным данным, хранящимся контроллером. Контроллеры должны реагировать на запросы пользователей в течение 30 дней. Также участвующие стороны обязаны поддерживать политику прозрачности относительно средств, с помощью которых собираются, используются и обрабатываются данные. Язык документов, объясняющих эти процессы, должен быть простым и понятным.

GDPR и бизнес

Изменения в правилах обработки данных вступили в силу в Европейском Союзе 25 мая 2018 года, и многие компании были вынуждены пересмотреть свои методы сбора, использования и хранения информации о своих клиентах и пользователях.

Для некоторых компаний процесс обновления систем, чтобы соответствовать правилам GDPR, может быть сложным. Часто может не хватать инфраструктуры, чтобы выполнить все требования. В этом случае лучше всего обратиться к сторонней компании, такой как консалтинговая фирма или компания по обеспечению безопасности, чтобы помочь в процессе полного соответствия систем.

Главное последствие несоблюдения правил для организаций – это крупные штрафы. Ответственным за нарушение данных может быть как внешний хакер, так и внутренний нарушитель или неопознанный источник – это не имеет значения в рамках GDPR, который полностью возлагает ответственность на саму организацию.

Преимущества соблюдения GDPR для бизнеса

  • Сокращение рисков нарушения правил по защите данных и сопутствующих им штрафов.
  • Повышенная безопасность данных и предотвращение кибератак.
  • Улучшенная репутация – компании демонстрируют свою ответственность и заботу о конфиденциальности данных клиентов, что может положительно сказаться на их репутации и привлечь больше клиентов.
  • Облегчение международных торговых отношений – легче вести бизнес с другими компаниями, соблюдающими такие же правила, что снижает риски нарушения международных норм и правил по защите персональных данных.

Стандарт ISO 27001

Сертификация по стандарту ISO 27001 – это процесс проверки того, что компания удовлетворяет требования международного стандарта по управлению информационной безопасностью. Целью сертификации является подтверждение наличия эффективной системы управления информационной безопасностью, которая способствует защите конфиденциальной информации и минимизирует риски потери данных.

Для получения сертификата компания должна пройти процесс аудита, включающий проверку соответствия компании требованиям ISO 27001. Аудит проводит независимая третья сторона – организация по сертификации.

Сертификация по стандарту ISO 27001 может помочь компании улучшить свою информационную безопасность, повысить доверие клиентов и заинтересованных сторон, а также доказать соответствие требованиям ряда законодательных актов, в том числе GDPR.

Может ли сертификация по ISO 27001 гарантировать соответствие GDPR?

Хотя ISO 27001 не охватывает некоторые из областей, регулируемых GDPR, такие, как право субъекта данных на перемещение или удаление своих личных данных, этот стандарт все же охватывает большую часть требований GDPR благодаря тому, что личные данные признаются как активы информационной безопасности по стандарту ISO 27001. Сертификация ISO 27001 не может гарантировать полное соответствие GDPR, но она может быть важным шагом в этом направлении.

Любая компания, работающая с жителями ЕС, должна соответствовать требованиям GDPR. Для достижения полного соответствия GDPR, компании, сертифицированные по стандарту ISO 27001, должны проанализировать разницу с GDPR, чтобы выявить дополнительные требования и внести их в свою систему управления информационной безопасностью. Для таких организаций обеспечение соответствия GDPR будет проще, поскольку при внедрении стандарта ISO 27001 компания уже сделала значительный шаг в направлении максимального соответствия.

Частное Облако

Частное облако

Ознакомьтесь с индивидуальным облачным решением SIM-Networks

Узнать больше

В заключении

GDPR имеет значительное влияние на компании по всему миру, особенно на те, которые взаимодействует с гражданами ЕС. Все компании, которые собирают, обрабатывают или хранят персональные данные граждан ЕС, должны соблюдать правила GDPR, в противном случае они будут подвергаться штрафам до 20 миллионов евро или 4% глобального оборота компании, что может серьезно повлиять на финансовое состояние бизнеса. Поэтому организации по всему миру, работающие с ЕС, должны убедиться, что они имеют соответствующую политику безопасности, процессы и процедуры для защиты персональных данных.

Важно отметить, что сертификация по стандарту ISO 27001 дает значительные преимущества: снижение рисков, улучшенная безопасность и репутация. Кроме того, соблюдение требований GDPR может помочь компаниям лучше защищать конфиденциальность данных своих клиентов, что крайне важно для доверия клиентов и конкурентоспособности компании на рынке.

В целом, соблюдение требований GDPR и сертификация по стандарту ISO 27001 должны быть главными приоритетами для компаний, которые хотят эффективно управлять информационной безопасностью и защищать персональные данные своих клиентов.

IN
Автор
Alexandra Balykina

Александра Балыкина – профессионал в области ИТ с магистерской степенью в области информационных управляющих систем и технологий. Она делится идеями и опытом в своих статьях, посвященных актуальным темам облачных вычислений. Кроме того, она увлечена морем и всем, что связано с водой, что приносит ей вдохновение и радость. Александра также практикует Кундалини-йогу, которая помогает ей достигать гармонии и баланса в работе и личной жизни.

Другие статьи автора >
Эта статья была полезной?

Понравилась статья?

Согласие на использование файлов cookie

Нажимая «Я согласен», вы даете согласие на использование файлов cookie на нашем веб-сайте, чтобы предоставить вам наиболее релевантный опыт, запоминая ваши предпочтения и повторные посещения. Однако вы можете посетить «Управление файлами cookie», чтобы предоставить контролируемое согласие. Подробнее

Настройки файлов cookie

Функциональные

Необходимые файлы cookie имеют решающее значение для основных функций веб-сайта, и без них веб-сайт не будет работать должным образом.

  Включить основные файлы cookie Эти файлы cookie не хранят никаких личных данных.
Аналитические

Аналитические файлы cookie используются для понимания того, как посетители взаимодействуют с веб-сайтом.

  Включить аналитические файлы cookie Эти файлы cookie помогают предоставить информацию о таких показателях, как количество посетителей, показатель отказов, источник трафика и т. д.
Рекламные

Рекламные файлы cookie используются для предоставления посетителям релевантной рекламы и маркетинговых кампаний.

  Включить рекламные файлы cookie Эти файлы cookie отслеживают посетителей на веб-сайтах и ​​собирают информацию для предоставления персонализированной рекламы.