10 июл. 2017 г.

GDPR Евросоюза - относится ли это законодательство к вам?

Short intro: here you can find info about how Oracle Security products can enable GDPR regulatory compliance and who the GDPR affects...

Как известно, 25 мая 2018 года (меньше чем через год) вступит в силу постановление Еврокомиссии  GDPR (General Data Protection Regulation), "REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)". Цель этого постановления - обеспечить адекватную защиту персональных данных граждан Евросоюза. Почему это может относиться к организациям за пределами Евросоюза (в частности, в России),  и как технологии безопасности Oracle могут помочь с соответствием этим требованиям - под катом.



В рамках этого постановления введены следующие понятия:
- Субъект ("Subject", граждане Евросоюза, чьи данные должны быть защищены);
- Контроллер ("Controller", организация, определяющая цели и способы обработки персональных данных);
- Процессор ("Processor", организация, обрабатывающая персональные данные от имени контроллера);

Так, Банк, собирающий и хранящий данные своих клиентов, является контроллером, тогда как подрядчик банка, обрабатывающий персональные данные, является процессором. При этом требованиям GDPR в этом случае должен соответствовать сам банк, дело которого уже убедиться, что подрядчик обеспечивает адекватные меры по защите данных. Штрафы за несоответствие предусмотрены большие - до 20 млн. евро или 4% от мирового оборота группы компаний.

Есть ошибочное мнение, что это не касается российских организаций, но это не так. Так, даже если у вас нет отделений в Евросоюзе, но на ваших серверах находятся персональные данные граждан Евросоюза, то вы должны соответствовать этим требованиям (например, у вас есть сайт на английском языке, где люди, в том числе и граждане Евросоюза, могут купить билеты и т.д.). Требования определяют ряд мероприятий, которые должны быть выполнены - шифрование данных, их обезличивание, ограничение в доступе, оценка рисков и уведомления об утечке данных. Недавно мне попалась на глаза общедоступная презентация, как технологии Oracle могут помочь.




Комментариев нет:

Отправить комментарий