Чинний з травня 2016 року, впроваджений з травня 2018 року - Загальний регламент ЄС про захист персональних даних (GDPR) все ще залишає багато компаній здивованими: Чи зачіпає він нас? І якщо так: як досягти правової визначеності? І що ми можемо зробити для дотримання вимог щодо захисту даних?

Loading...

З травня 2018 року компанії, які обробляють персональні дані - а таких досить багато - повинні бути готові заплатити чималий штраф. Штрафи за витік даних можуть бути значними. І так завжди буває, якщо вони не повністю відповідають вимогам нового GDPR. Крім того, нова версія Федерального закону про захист даних Німеччини(BDSG) доповнює та обґрунтовує GDPR. Тут, однак, всюди панує невизначеність:

  • Що таке "персональні дані"?
  • Чи є ми "відповідальним суб'єктом" згідно з GDPR?
  • Хто є "суб'єктом даних"?
  • Що саме означає "автоматизована обробка" персональних даних?
  • Чи повинні ми призначити відповідального за захист даних?

Які заходи повинні бути впроваджені

Перелік питань щодо дотримання законодавства про захист даних, які потребують вирішення, є довгим.

Це правда, що визначення термінів, які використовуються в регламенті, можна знайти в списках поширених запитань і відповідей. Однак це не обов'язково гарантує ясність щодо конкретного значення для окремої компанії. Принаймні, коли йдеться про впровадження та дотримання необхідних (оскільки вони вимагаються) заходів та обов'язків працівниками, мають бути правильні відповіді на такі питання, як, наприклад, такі

  • Що таке "техніко-організаційні заходи"?
  • Коли вони необхідні?
  • Як щодо "пропорційності"?
  • Як щодо численних "засобів контролю", які вимагає GDPR, таких як "контроль доступу або розкриття"?
  • Як можна забезпечити дотримання вимог щодо захисту даних?

Захист даних проти інформаційної безпеки

У будь-якому випадку, правильним кроком для постраждалої компанії є створення ефективної системи управління захистом даних - пристосованої до її індивідуальних потреб, за необхідності вже з метою акредитованої сертифікації.

Що тут часто плутають: Захист даних та інформаційна безпека - це дві різні речі, навіть якщо вони частково перетинаються (наприклад, різні заходи контролю). Наприклад, компанії, які мають повністю комплексну систему управління інформаційною безпекою (СУІБ) відповідно до ISO 27001 певною мірою охоплюють тему захисту даних.

Але навіть тут залишається дельта, яку можна виявити і закрити з СУІБ або без неї за допомогою аналізу прогалин.

"Фундаментальна різниця між цими двома темами: Інформаційна безпека захищає дані компанії від неправомірного використання третіми особами; захист даних спрямований на захист персональних даних".

У серпні 2019 року за допомогою ISO 27701 був опублікований новий стандарт, який формулює вимоги до захисту даних в управлінні інформаційною безпекою. Таким чином, ISO 27701 визначає систему управління захистом даних на основі ISO 27001, ISO 27002 (настанови щодо заходів інформаційної безпеки) та ISO 29100 (фреймворк для захисту даних). ISO 27701 є доповненням до ISO 27001. Сертифікація тільки за новим стандартом неможлива.

 

Відповідність вимогам щодо захисту даних - переваги

Ви отримуєте

  • Достовірна інформація про напрямки діяльності
  • Знання про прихований потенціал
  • Більшу безпеку дій та правову визначеність в обробці даних після впровадження відповідних заходів

 

На безпечній стороні - з аудитом захисту даних від DQS

Таким чином, компанії, які прагнуть відповідати вимогам щодо захисту даних, повинні зробити дві речі: якомога швидше ознайомитися з цією темою для себе або своїх відповідальних за відповідність та отримати оцінку стану справ від незалежного органу, такого як DQS, у формі аналізу прогалин.

У центрі уваги такого аудиту захисту даних - самооцінка з перевіркою документів. Потім компанію перевіряють на місці, щоб визначити, чи відповідає вона основним аспектам захисту даних. Звіт показує, чи є потреба в діях, і якщо так, то які саме дії необхідно вжити.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Захист даних DQS Gap Analysis

Який обсяг роботи потрібно виконати для проведення GAP-аналізу? Дізнайтеся безкоштовно та без зобов'язань.

Автор
Герт Крюгер

Експерт і менеджер проектів з інформаційної безпеки, BSI-KrititisV та захисту даних у DQS. Крім того, багаторічний аудитор з управління якістю та навколишнім середовищем.

Loading...