Блог Статті 17/05/2023

Вимоги GDPR та стандарт ISO 27001

Авторка: Alexandra Balykina. Копірайтер в SIM-Networks

Зміст

Захист персональних даних став життєво необхідним у зв'язку зі зростаючою кількістю порушень даних у сучасному цифровому світі. У Європі з 2018 року почали діяти нові регуляції, які стосуються всіх компаній у всьому світі, що працюють із жителями Європейського Союзу (ЄС). Ці закони встановлюють нові стандарти безпеки даних та накладають високі штрафи за порушення.

Що таке GDPR?

Один із найважливіших законів у цій галузі – Загальний регламент із захисту даних (General Data Protection Regulation – GDPR), ухвалений в ЄС у 2016 році, що набрав чинності 25 травня 2018 року. GDPR визначає правила обробки та захисту персональних даних громадян ЄС.

Відповідно до GDPR, компанії, які збирають, зберігають, обробляють або передають персональні дані резидентів Європейського Союзу, повинні дотримуватися суворих вимог щодо обробки таких даних. Вони також зобов'язані надати зрозумілу та доступну політику конфіденційності, яка пояснює, які дані збираються, для яких цілей та на яких підставах вони обробляються, а також як довго вони зберігатимуться.

GDPR також зобов'язує, щоб компанії отримували явну згоду від користувачів на обробку їх персональних даних. Користувачі мають право відкликати свою згоду в будь-який час, і компанії повинні видалити всі дані, пов'язані з цим користувачем. Крім того, GDPR встановлює права користувачів на доступ до своїх персональних даних, їх зміну та видалення. Компанії також повинні гарантувати безпеку персональних даних та повідомляти про порушення протягом 72 годин після їх виявлення.

Учасники GDPR

У рамках захисту даних у контексті GDPR можна виділити дві сторони: що контролює та що обробляє. Контролююча сторона – це організації, які збирають та обробляють дані користувачів, сторона, що обробляє - включає ІТ-компанії, які надають технічні ресурси та інфраструктуру для обробки цих даних.

GDPR впливає на всі сторони, які працюють з персональними даними громадян ЄС, незалежно від місцезнаходження. Це означає, що онлайн-бізнеси та платформи, що приймають міжнародних клієнтів або учасників, також піддаються дії цього закону.

Із моменту введення GDPR контролюючі сторони зобов'язані обробляти персональні дані користувачів ЄС для певних цілей із повною прозорістю. Після досягнення мети та відсутності законної необхідності даних для конкретного користувача вони повинні бути видалені, щоб персональні дані не зберігалися нескінченно на серверах, які можуть бути зламані в будь-який момент.

Особисті дані за GDPR

Поняття особистих даних у Європейському Союзі отримало ширше визначення внаслідок введення GDPR у дію. Згідно з новим визначенням, інформація про ПК та місцезнаходження користувача, наприклад, за IP-адресою, вважається особистими даними. Також до цієї категорії входять фінансова, психологічна чи етнічна історія людини, а також будь-яка інформація, яка може бути використана для ідентифікації людини. Слід зазначити, що анонімні дані чи псевдоніми, якщо їх легко можна зіставити з конкретною людиною, то й така інформація вважається особистою. Крім того, все, що вже розглядається як особисті дані згідно із Законом про захист даних, також буде стосуватися категорії особистих даних відповідно до GDPR.

Згідно GDPR, люди мають право на доступ до своїх особистих даних, що зберігаються контролером. Контролери повинні реагувати на запити користувачів протягом 30 днів. Також сторони зобов'язані підтримувати політику прозорості щодо коштів, за допомогою яких збираються, використовуються та обробляються дані. Мова документів, що пояснюють ці процеси, має бути простою і зрозумілою.

GDPR та бізнес

Зміни в правилах обробки даних набули чинності в Європейському Союзі 25 травня 2018 року, і багато компаній були змушені переглянути свої методи збирання, використання та зберігання інформації про своїх клієнтів та користувачів.

Для деяких компаній процес оновлення систем, щоб відповідати правилам GDPR, може бути складним. Часто не вистачає інфраструктури, щоб виконати всі вимоги. У цьому випадку найкраще звернутися до сторонньої компанії, такої як консалтингова фірма або компанія із забезпечення безпеки, щоб допомогли у процесі повної відповідності систем.

Головний наслідок для організацій недотримання правил – це великі штрафи. Відповідальним за порушення даних може бути як зовнішній хакер, так і внутрішній порушник або невідоме джерело – це не має значення в рамках GDPR, який повністю покладає відповідальність на саму організацію.

Переваги дотримання GDPR для бізнесу

  • Скорочення ризиків порушення правил захисту даних та супутніх їм штрафів.
  • Підвищена безпека даних та запобігання кібератакам.
  • Покращена репутація – компанії демонструють свою відповідальність та турботу про конфіденційність даних клієнтів, що може позитивно позначитися на їхній репутації та залучити більше клієнтів.
  • Полегшення міжнародних торговельних відносин – легше вести бізнес з іншими компаніями, які дотримуються таких самих правил, що знижує ризики порушення міжнародних норм та правил захисту персональних даних.

Стандарт ISO 27001

Сертифікація за стандартом ISO 27001 – це процес перевірки того, що компанія відповідає вимогам міжнародного стандарту з управління інформаційною безпекою. Метою сертифікації є підтвердження наявності ефективної системи управління інформаційною безпекою, що сприяє захисту конфіденційної інформації та мінімізує ризик втрати даних.

Для отримання сертифіката компанія має пройти процес аудиту, що включає перевірку відповідності компанії вимогам ISO 27001. Аудит проводить незалежна третя сторона – організація сертифікації.

Сертифікація за стандартом ISO 27001 може допомогти компанії покращити свою інформаційну безпеку, підвищити довіру клієнтів та зацікавлених сторін, а також довести відповідність вимогам низки законодавчих актів, зокрема GDPR.

Чи може сертифікація ISO 27001 гарантувати відповідність GDPR?

Хоча ISO 27001 не охоплює деякі з областей, регульованих GDPR, таких як право суб'єкта даних на переміщення або видалення своїх особистих даних, цей стандарт все ж таки включає більшу частину вимог GDPR, завдяки тому, що особисті дані визнаються як активи інформаційної безпеки за стандартом ISO 27001. Сертифікація ISO 27001 не може гарантувати повну відповідність GDPR, але вона може бути важливим кроком у цьому напрямку.

Будь-яка компанія, яка працює з жителями ЄС, має відповідати вимогам GDPR. Для досягнення повної відповідності GDPR компанії, сертифіковані за стандартом ISO 27001, повинні проаналізувати різницю з GDPR, щоб виявити додаткові вимоги та додати їх у свою систему управління інформаційною безпекою. Для таких організацій забезпечення відповідності GDPR буде більш простим, оскільки при впровадженні стандарту ISO 27001 компанія вже зробила значний крок у напрямку максимальної відповідності.

Приватна Хмара

Приватна хмара

Ознайомтеся з індивідуальним хмарним рішенням SIM-Networks

Дізнатися більше

Підсумовуючи

GDPR має значний вплив на компанії у всьому світі, особливо на ті, що взаємодіють з громадянами ЄС. Усі компанії, які збирають, обробляють або зберігають персональні дані громадян ЄС, повинні дотримуватись правил GDPR, в іншому випадку вони будуть штрафувати до 20 мільйонів євро або 4% глобального обороту компанії, що може серйозно вплинути на фінансовий стан бізнесу. Тому організації по всьому світу, які працюють з ЄС, повинні переконатися, що вони мають відповідну політику безпеки, процеси та процедури для захисту персональних даних.

Важливо, що сертифікація за стандартом ISO 27001 дає значні переваги: зниження ризиків, покращена безпека та репутація. Крім того, дотримання вимог GDPR може допомогти компаніям краще захищати конфіденційність своїх клієнтів, що вкрай важливо для довіри клієнтів і конкурентоспроможності компанії на ринку.

Загалом дотримання вимог GDPR та сертифікація за стандартом ISO 27001 мають бути головними пріоритетами для компаній, які хочуть ефективно керувати інформаційною безпекою та захищати персональні дані своїх клієнтів.

IN
Авторка
Alexandra Balykina

Олександра Баликіна – професіонал у галузі IT з магістерським ступенем у галузі інформаційних керуючих систем та технологій. Вона ділиться ідеями та досвідом у своїх статтях, присвячених актуальним темам хмарних обчислень. Крім того, вона захоплена морем і всім, що пов'язане з водою, що приносить їй натхнення та радість. Олександра також практикує Кундаліні-йогу, яка допомагає їй досягати гармонії та балансу у роботі та особистому житті.

Інші статті авторки >
Чи була ця стаття корисною?

Сподобалася стаття?

Згода на використання файлів cookie

Натискаючи "Я згоден", ви даєте згоду на використання файлів cookie на нашому веб-сайті, щоб надати вам найбільш релевантний досвід, запам'ятовуючи ваші уподобання та повторні відвідування. Однак ви можете відвідати "Керування файлами cookie", щоб надати контрольовану згоду. Детальніше

Налаштування файлів cookie

Функціональні

Необхідні файли cookie мають важливе значення для основних функцій веб-сайту, і без них веб-сайт не буде працювати належним чином.

  Включити основні файли cookie Ці файли cookie не зберігають жодних особистих даних.
Аналітичні

Аналітичні файли cookie використовуються для розуміння того, як відвідувачі взаємодіють із веб-сайтом.

  Увімкнути аналітичні файли cookie Ці файли cookie допомагають надати інформацію про такі показники, як кількість відвідувачів, показник відмов, джерело трафіку тощо.
Рекламні

Рекламні файли cookie використовуються для надання відвідувачам релевантної реклами та маркетингових кампаній.

  Увімкнути рекламні файли cookie Ці файли cookie відстежують відвідувачів на веб-сайтах та збирають інформацію для надання персональної реклами.