Забезпечте відповідність нормам GDPR з Microsoft

1. Як GDPR вплине на ваш бізнес?
2. Ключові зміни згідно GDPR
3. Механізми управління та повідомлення
4. прозорість
5. ІТ та навчання
6. Чотири кроки щодо забезпечення відповідності GDPR, які можна зробити вже сьогодні
7. Управління: контролюйте використання персональних даних
8. Захист: використовуйте механізми безпеки і контролю для захисту ваших даних.
9. Звітність: керуйте даними і зберігайте необхідну документацію
10. Питання та відповіді
11. Ще про безпеку
12. З Microsoft 365 ви готові до GDPR
13. Оцініть свою готовність
14. Вебінар: Що потрібно знати про GDPR
15. Веб-трансляція: процвітання в епоху GDPR і роль Microsoft 365
16. Три швидких кроки до дотримання вимог GDPR
17. Знайдемо рішення разом!

Як GDPR вплине на ваш бізнес?

Загальні норми захисту даних (GDPR) - це новий закон Європейського союзу про захист даних. Відповідно до цього нормативного акта фізичні особи отримують більш повний контроль над персональними даними, а на організації, які збирають, обробляють і аналізують ці дані, накладаються нові зобов'язання, в тому числі за межами Європейського союзу.

Норми GDPR вступили в чинності 25 травня 2018 року. Виконайте рекомендовані нижче дії, щоб швидше забезпечити відповідність нормам GDPR, і знайдіть відповіді на ключові питання про GDPR і значенні цих норм для вас.

ЧИТАТИ ОФІЦІЙНИЙ ДОКУМЕНТ

Ключові зміни згідно GDPR

Персональна конфіденційність

Фізичні особи отримують наступні права:

• Експорт своїх персональних даних та доступ до них
• Видалення своїх персональних даних
• Виправлення помилок в своїх персональних даних
• Незгода на обробку своїх персональних даних

Механізми управління та повідомлення

Підприємства та молодіжні організації повинні:

• Захищати персональні дані з належним рівнем безпеки
• Повідомляти офіційні інстанції про витік персональних даних
• Отримувати згоду на збір і обробку персональних даних
• Зберігати записи з докладними відомостями про операції по обробці даних

прозорість

Компанії та організації зобов'язані впровадити політики, які:

• Забезпечують прозоре повідомлення про збір даних
• Пояснюють, навіщо і коли обробляються персональні дані
• Визначають політики зберігання та видалення даних

ІТ та навчання

Підприємства та молодіжні організації повинні будуть:

• Навчити персонал передовим практикам в області конфіденційності та безпеки
• Оновлювати політики даних і проводити їх аудит
• Заснувати посаду фахівця із захисту даних (при необхідності)
• Скласти відповідні вимогам контракти з постачальниками і управляти цими контрактами

Чотири кроки щодо забезпечення відповідності GDPR, які можна зробити вже сьогодні

Виявлення: визначте, якими персональними даними ви володієте і де вони зберігаються

Виконайте аудит своїх даних і процесів, щоб оцінити, в якій мірі норми GDPR актуальні для вашої організації.

Управління: контролюйте використання персональних даних

Створіть прозорі політики, які чітко характеризують як, коли і навіщо ваша організація збирає та обробляє персональні дані.

Захист: використовуйте механізми безпеки і контролю для захисту ваших даних.

Захищати персональні дані - ваш обов'язок. Складіть план управління ризиками і використовуйте захищену хмарну інфраструктуру та інші сучасні функції безпеки Microsoft.

Звітність: керуйте даними і зберігайте необхідну документацію

GDPR встановлює нові стандарти щодо прозорості, відповідальності та ведення записів. Використовуйте інтегровані в хмарні сервіси Microsoft інструменти аудиту для виконання вимог нових стандартів.

Питання та відповіді

Загальні норми захисту даних (GDPR) - це новий закон Європейського союзу про захист даних, що заміняє собою Директиву про захист даних, яка діяла з 1995 року. Незважаючи на збереження в GDPR багатьох принципів, викладених у Директиві, Загальні норми захисту даних є набагато більш розгорнутий нормативний акт з більш високими вимогами. Серед найбільш примітних змін можна назвати наступні: фізичні особи отримують більш повний контроль над своїми персональними даними, а на організації, які займаються збором, обробкою і аналізом персональних даних, накладаються численні нові зобов'язання. Крім того, відповідно до GDPR національні регулюючі органи отримують повноваження щодо накладення серйозних штрафів на організації, що порушують цей закон.

Норми GDPR регулюють збір, зберігання, використання та надання персональних даних. В контексті GDPR персональні дані трактуються дуже широко як будь-які дані, які відносяться до ідентифікованого або ідентифікованому фізичній особі. До персональних даних належать IP-адреси, бази даних про продажі, дані про обслуговування клієнтів, форми зворотного зв'язку і багато іншого.

Згідно з нормами GDPR, ви зобов'язані інтегрувати функції конфіденційності в свої продукти і сервіси на етапі розробки. При розробці функціональних компонентів необхідно враховувати такі фактори, як особливості обробки і пов'язані з ними ризики конфіденційності; потреба в захисті і вартість впровадження. Необхідно також реалізувати заходи, що гарантують обробку мінімально необхідного обсягу даних.

Максимальний штраф за серйозні порушення буде перевищувати 20 млн євро або чотири відсотки від річної глобальної виручки організації в залежності від того, що більше. Крім того, GDPR дозволяє споживачам (і організаціям, що виступають від їх імені) ініціювати громадянські процеси проти організацій, що порушують GDPR.

• • Контролер - це фізична або юридична особа, орган влади, агентство або іншу установу, яка самостійно або за сприяння інших осіб визначає, як і навіщо обробляються дані.
• • Відповідально за обробку даних особа. - це фізична або юридична особа, орган влади, агентство або іншу установу, яка обробляє персональні дані від імені контролера.
• • Персональні дані. - це будь-яка інформація, пов'язана з ідентифікованим або які можуть бути ідентифіковані фізичною особою, яка також називається "суб'єкт даних". Особа можна ідентифікувати безпосередньо або побічно, посилаючись на такий ідентифікатор, як ім'я, ідентифікаційний номер, дані про місце розташування, онлайн-ідентифікатор, або на фактори, що характеризують фізичну, психологічну, генетичну, ментальну, економічну, культурну або соціальну сутність.
• • Обробка. - це будь-яка операція або набір операцій, які виконуються з персональними даними або наборами персональних даних з використанням автоматичних або механічних інструментів. Ці операції можуть включати збір, запис, організаційне структурування, збереження і т. Д.
• • Псевдонімізація. - це дія з обробки персональних даних таким чином, щоб їх більше не можна було співвіднести з певним суб'єктом даних, не використовуючи додаткову інформацію (за умови, що така інформація зберігається окремо).

Відповідно до Загальних нормами захисту даних ваша організація зобов'язана вживати заходів щодо забезпечення безпеки персональних даних. Сюди відносяться "організаційні заходи", такі як обмеження кількості людей в організації, що мають доступ до персональних даних, і "технічні заходи", такі як шифрування.
Загальні норми захисту даних не наказують будь-яких конкретних заходів безпеки, які повинні робити організації. Необхідно самостійно визначити перелік цих заходів з урахуванням таких факторів, як природа зібраних персональних даних, рівень їх конфіденційності і ризики, пов'язані з їх обробкою.
Необхідно враховувати кілька типів ризиків безпеки. Типові ризики включають фізичне вторгнення, шахраїв серед персоналу, випадкову втрату і дії інтернет-хакерів. Забезпечити відповідність допоможуть ефективні плани управління ризиками та вжиття заходів щодо зниження ризиків, наприклад захист паролем, журнали аудиту та шифрування.

У GDPR "витік даних" визначається як "порушення безпеки, яке тягне за собою випадкове або незаконне знищення, втрату, зміна, несанкціоноване розголошення переданих, збережених або оброблюваних персональних даних, а також здійснення доступу до них".
У разі подібної витоку необхідно повідомити регулюючі органи протягом 72 годин з моменту виявлення. Можливо, вам також буде потрібно повідомити своїх клієнтів (або "суб'єктів даних"), якщо вони піддаються високому ризику в зв'язку з зазначеним порушенням.

Ще про безпеку

Безпека, відповідність та захист даних - це питання, актуальні для всіх підрозділів організації. Дізнайтеся більше про ІТ-безпеки і про те, як краще захистити своїх клієнтів і свій бізнес.

З Microsoft 365 ви готові до GDPR

Дізнайтеся, як досягти своїх цілей в області відповідності вимогам GDPR за допомогою Microsoft 365.

Оцініть свою готовність

Наскільки ви просунулися в дотриманні норм GDPR? Дайте відповідь на це запитання, скориставшись нашим інструментом самостійної оцінки.

Вебінар: Що потрібно знати про GDPR

Підготуйтеся до виконання вимог GDPR і дізнайтеся, ніж Microsoft може вам допомогти.

Веб-трансляція: процвітання в епоху GDPR і роль Microsoft 365

Дізнайтеся, як Microsoft може допомогти вам забезпечити відповідність нормам GDPR, запропонувавши інтелектуальні рішення Microsoft 365 і послуги експертного співтовариства партнерів.

Три швидких кроки до дотримання вимог GDPR

У Microsoft є все необхідне, щоб допомогти вам у виконанні вимог GDPR. Подивіться цю інфографіку, щоб дізнатися, які три кроки слід зробити на шляху до GDPR.

Знайдемо рішення разом!

Ми хочемо допомогти вам зрозуміти свої зобов'язання відповідно до норм GDPR і прискорити виконання відповідних вимог. Зв'яжіться з нами, щоб почати!

Зверніть увагу, що інформація на цій сторінці не містить правових висновків або юридичних рекомендацій. Відповідальність за аналіз правил GDPR і забезпечення відповідності повністю лежить на клієнті.