Regulamentul general privind protecția datelor, (GDPR)

Introducere:

La 25 mai 2018, în întreaga Europă, a început să intre în vigoare Regulamentul general privind protecția datelor sau GDPR. GDPR a modernizat legile care protejează informațiile cu caracter personal ale persoanelor fizice în Uniunea Europeană (UE) și în afara acesteia. Având în vedere că trăim într-un stil de viață cu un volum mare de date și că oamenii (mai ales copiii și adolescenții) își împărtășesc în mod obișnuit informațiile personale în mod liber online, nevoia de GDPR era iminentă.

GDPR a fost conceput pentru a „armoniza” legile privind confidențialitatea datelor în toate țările membre ale Uniunii Europene (UE), precum și pentru a oferi o protecție și drepturi mai mari persoanelor fizice. A fost creat GDPR
pentru a stabili reglementări privind modul în care întreprinderile și alte organizații tratează datele personale și nepersonale ale oricărei persoane care interacționează cu ele. Implicațiile unor potențiale amenzi mari și daune de reputație au făcut ca eficiența GDPR să devină realitate. În cazul întreprinderilor care respectă normele GDPR, există multă încredere și încredere în rândul utilizatorilor săi.

GDPR: pe scurt

GDPR este în prezent cel mai puternic set de norme de protecție a datelor din lume, care îmbunătățește modul în care oamenii pot avea acces la informațiile despre ei și limitează ceea ce pot face organizațiile cu privire la datele personale. Textul integral al GDPR este foarte cuprinzător și conține 99 de articole individuale.

GDPR a intrat în vigoare la 25 mai 2018. Țărilor din Europa li s-a oferit posibilitatea de a face propriile mici modificări pentru a se adapta nevoilor lor. Punctul forte al GDPR, ca instrument puternic de protecție a datelor, a fost o abordare progresivă a securizării datelor cu caracter personal ale oamenilor și a modului în care ar trebui să fie tratate datele în general.

În centrul GDPR se află datele cu caracter personal. Datele cu caracter personal sunt acele informații care permit identificarea directă sau indirectă a unei persoane în viață, de exemplu: numele unei persoane, datele de localizare sau un nume de utilizator online clar, sau ceva mai puțin evident, cum ar fi adresele IP și identificatorii cookie-urilor, pot fi considerate date cu caracter personal. În conformitate cu GDPR, datele cu caracter personal includ, de asemenea, informații despre rasă, etnie, opinii politice, convingeri religioase, apartenența la sindicate, date genetice și biometrice, informații despre sănătate și date despre viața sau orientarea sexuală a unei persoane.

Pe scurt, datele cu caracter personal permit identificarea unei persoane, astfel că datele pseudonimizate pot fi incluse în definiția datelor cu caracter personal. Datele cu caracter personal sunt importante în cadrul GDPR, deoarece persoanele, organizațiile și companiile care sunt fie „operatori”, fie „procesatori” de date sunt acoperite de lege.

Principiile cheie ale GDPR

GDPR stabilește șapte principii-cheie la articolul 5. Aceste principii sunt concepute pentru a ghida modul în care pot fi tratate datele oamenilor. Aceste principii acționează ca un cadru general conceput pentru a prezenta obiectivele generale ale GDPR. Cele șapte principii ale GDPR sunt: legalitate, corectitudine și transparență; limitarea scopului; minimizarea datelor; acuratețe; limitarea stocării; integritate și confidențialitate (securitate); și responsabilitate.

Minimizarea datelor:

Principiul reducerii la minimum a datelor este important, deoarece în noua eră a internetului în bandă largă și a accesului tot mai mare la internet în zonele rurale și semi-urbane, există un volum atât de mare de date.
de creare a informațiilor. Cerința este ca organizațiile să nu colecteze de la utilizatori mai multe informații personale decât este necesar. Astfel, minimizarea datelor reprezintă identificarea cantității minime de date cu caracter personal necesare pentru îndeplinirea unui scop.

Principiul este conceput pentru a se asigura că organizațiile nu depășesc limitele în ceea ce privește tipul de date pe care le colectează despre oameni. De exemplu, este foarte puțin probabil ca un comerciant cu amănuntul online să aibă nevoie să colecteze opiniile politice ale oamenilor atunci când aceștia se înscriu pe lista de e-mail a comerciantului pentru a fi notificați atunci când au loc reduceri.

Integritate și confidențialitate:

Datele cu caracter personal trebuie să fie protejate împotriva prelucrării neautorizate sau ilegale, precum și împotriva
ca pierdere, distrugere sau deteriorare accidentală. GDPR impune instituirea unor măsuri adecvate de protecție a securității informațiilor și protecția informațiilor în general, pentru a se asigura că informațiile nu sunt accesate de hackeri sau divulgate accidental în cadrul unei încălcări a securității datelor.

GDPR nu spune care sunt bunele practici de securitate, deoarece acestea sunt diferite pentru fiecare organizație. De exemplu, o bancă va proteja informațiile financiare într-un mod mai robust decât o băcănie locală. GDPR evidențiază controalele de acces adecvate care trebuie puse în aplicare. Există o corelație directă între măsurile bune de securitate cibernetică care trebuie implementate și dimensiunea și utilizarea rețelei și a sistemelor de informații ale cuiva.

Responsabilitate:

Responsabilitatea este singurul principiu nou din cadrul GDPR – a fost adăugat pentru a se asigura că societățile pot dovedi că depun eforturi pentru a respecta celelalte principii care formează regulamentul. Principiul responsabilității înseamnă documentarea modului în care sunt gestionate datele cu caracter personal și a măsurilor luate pentru a se asigura că numai persoanele care trebuie să aibă acces la informații au acces la acestea. Responsabilitatea include formarea personalului în ceea ce privește măsurile de protecție a datelor și evaluarea periodică a proceselor de tratare a datelor.

„distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la” datele persoanelor trebuie să
să fie raportată autorității de reglementare a unei țări în materie de protecție a datelor, în cazul în care ar putea avea un impact negativ asupra celor despre care este vorba. Acestea pot include: pierderi financiare, încălcări ale confidențialității, afectarea reputației și multe altele. Pentru companiile care au mai mult de 250 de angajați, este necesar să existe o documentație care să explice de ce sunt colectate și procesate informațiile despre oameni, descrieri de
informațiile care sunt păstrate și pentru cât timp sunt păstrate, precum și descrieri ale măsurilor tehnice de securitate puse în aplicare. Articolul 30 din GDPR prevede că majoritatea organizațiilor trebuie să țină evidența prelucrării datelor, a modului în care datele sunt partajate și a stocării acestora.

Principiul responsabilității este esențial pentru ca organizațiile să investigheze atunci când se produce o potențială încălcare cibernetică. O evidență exactă a tuturor sistemelor, a prelucrării informațiilor și a măsurilor luate pentru a atenua erorile este un bun indicator pentru autoritățile de reglementare că organizația își ia în serios obligațiile GDPR.

Povestea de succes a GDPR: 4,3 milioane de cetățeni și întreprinderi au consultat portalul online al Comisiei Europene privind GDPR în ultimii doi ani. Aceste cifre din decembrie 2020 arată că o mare parte din populația UE a auzit despre GDPR și că a existat un impuls din partea autorității naționale de protecție a datelor respective pentru ca întreprinderile lor să se conformeze la încălcările privind protecția datelor. S-au depus multe eforturi în ceea ce privește instrumentele de comunicare la nivelul UE și la nivel național, precum și pentru a face procedurile naționale conforme cu orientările GDPR.

Următoarea etapă a GDPR:

GDPR se află încă într-o fază incipientă și multe țări vor continua să monitorizeze progresele înregistrate în timp ce se gândesc cum să elaboreze și să aplice în mod eficient propriile legi privind protecția datelor. Democrații din întreaga lume, precum Australia, Japonia, Coreea de Sud, Brazilia și India, au modelat deja o parte din legislația lor privind confidențialitatea datelor cu caracter personal și nepersonal pe baza GDPR, ceea ce vorbește deja despre succesul GDPR în context global. Trei ani este o perioadă relativ scurtă, dar succesul GDPR va consta în posibilitatea de a asigura aplicarea legii și în soluționarea și sancționarea mai rapidă a celor care au comis erori.

Următoarea etapă a punerii în aplicare a GDPR în UE trebuie să abordeze următoarele provocări:

Crearea unui nou instrument de comunicare și colaborare pentru autoritățile naționale de protecție a datelor.
Crearea unor orientări suplimentare care să servească drept clarificare și soluție unică pentru întrebări.
clarificarea și creșterea utilizării procedurii de urgență; și
Creșterea resurselor UE și naționale pentru autoritățile de protecție a datelor.

2023-03-13

OCTACSIRT

Guvernanță, risc și conformitate

CISO ca serviciu

DPO ca serviciu

Audituri și consultanță privind conformitatea securității

Servicii de testare a penetrării

SOC ca serviciu

Servicii de conformitate cu Directiva NIS2

Consultanță în domeniul combaterii mitei și corupției

Securitatea IoT

SIEM, NDR și securitate unificată

Securitate Endpoint

Securitate și protecție cibernetică

Gestionarea vulnerabilităților și a patch-urilor

Securitate mobilă

Soluții de gestionare a accesului și gestionarea parolelor

Criptare

Sistem de detectare a intruziunilor (IDS)

Back-up/ continuitatea activității și recuperarea în caz de dezastru

Clasificarea datelor, audit și DLP

Instruire în domeniul securității informațiilor ISO/IEC 27001

Cursuri de formare și certificare ISO/IEC 27002

Cursuri de formare în domeniul securității cibernetice ISO/IEC 27032

Hacking etic - Cursuri de instruire Certificare

ISO 31000 Managementul riscului - Curs de formare și certificare

ISO 22316 Formări în domeniul rezilienței organizaționale

ISO 37001 Anti-mită - Curs de formare profesională Certificare

Curs de sistem de management al conformității ISO 37301

Cursuri de formare privind sistemul de management al continuității activității ISO 22301

Formări de recuperare în caz de dezastru

Cursuri de formare și certificare ISO/IEC 27701

GDPR - Formare și certificare pentru Regulamentul privind protecția datelor

ISO 9001 Managementul calității Formări în domeniul managementului calității

ISO/IEC 20000 - Cursuri de formare și certificare

INSTRUIRI DE CONȘTIENTIZARE A SECURITĂȚII

TRAININGURI PERSONALIZATE

Consolidarea securității digitale cu ISO/IEC 27032

ISO/IEC 27005 Managementul riscurilor în domeniul securității informațiilor - Training