הגנת נתונים שומרת על פרטיות הנתונים, הזמינות והשלמות של הנתונים שלך על ידי אימוץ אסטרטגיות ותהליכים שונים להגנה על נתונים.
פרטיות היא חיונית ליצירת קשר בין אנשים וארגונים, אבל היא באמת עוסקת בשמירה על זכויות יסוד. אסטרטגיה טובה יכולה לסייע במניעת אובדן נתונים, גניבה או שחיתות ולמזער נזקים במקרה של הפרה או אסון. ארגון שמטפל, מאחסן או אוסף נתונים רגישים חייב לפתח אסטרטגיית הגנה על נתונים.
יש לשקול הגנת מידע בשלב התכנון של כל מערכת, שירות, מוצר או תהליך ולאורך כל חייו.
ניתן לחלק מידע אישי לקטגוריות שונות, כולן עשויות להעלות חששות בפרטיות. אלו הם:
ביסודו של דבר, עקרונות הגנת המידע מסייעים לארגונים להגן על הנתונים ולהפוך אותם לזמינים בכל מקרה לאדם. הגנה על נתונים מתייחסת הן לפעולות גיבוי נתונים והן להמשכיות עסקית/שחזור מאסון (BCDR), כגון:
מידע אישי מכונה כל מידע שיכול להתייחס לאדם חי מזוהה או מזוהה. ניתן לזהות אדם על ידי חיבור פיסות מידע שונות, אשר, כאשר נאספים יחד, מהווים נתונים אישיים.
כמה דוגמאות לנתונים אישיים כוללים; שמות פרטיים ושמות משפחה, כתובות, כתובת דוא"ל ניתנת לזיהוי (זה יכול להיות firstname.lastname@company.com), נתוני מיקום ו-IP (פרוטוקול אינטרנט) כתובת.
ארגונים מסתמכים בדרך כלל על נתונים אישיים לפעילויות יומיומיות.
ה-ICO קובע כי:
"כשלעצמו, השם ג'ון סמית' אולי לא תמיד הוא מידע אישי מכיוון שיש הרבה אנשים עם השם הזה. עם זאת, כאשר השם משולב עם מידע אחר (כגון כתובת, מקום עבודה או מספר טלפון) זה בדרך כלל יספיק כדי לזהות בבירור אדם אחד".
ה-ICO גם מציין ששמות אינם בהכרח המידע היחיד הנדרש לזיהוי אדם:
"עצם העובדה שאינך יודע את שמו של אדם אינו אומר שאינך יכול לזהות [אותו]. רבים מאיתנו לא יודעים את שמות כל השכנים שלנו, אבל אנחנו עדיין מסוגלים לזהות אותם".
פרטיות נתונים מתייחסת לאופן שבו יש לאסוף או לטפל במידע רגיש וחשוב. מידע בריאותי אישי (PHI) ו מידע אישי מזהה (PII) הן שתי דוגמאות לנתונים הכפופים לחוקי פרטיות הנתונים. קטגוריה זו כוללת מידע פיננסי, רשומות רפואיות, תעודת זהות או מספרי תעודת זהות, שמות, תאריכי לידה ופרטים ליצירת קשר.
נתונים רגישים צריכים להיות נגישים רק לגורמים מורשים, כך שפרטיות הנתונים מסייעת להבטיח שפושעים אינם יכולים להשתמש בנתונים בזדון ומבטיחה שארגונים עומדים בדרישות הרגולטוריות.
רוב המשתמשים המקוונים רוצים לשלוט או למנוע סוגים מסוימים של איסוף נתונים אישיים, בדיוק כפי שמישהו עשוי לרצות להוציא אנשים משיחה פרטית.
עסקים חייבים להעמיד את פרטיות הנתונים בראש סדר העדיפויות. אי ציות לתקנות פרטיות הנתונים עלולה להוביל להפסדים משמעותיים. חשבו על תביעות משפטיות, קנסות כספיים משמעותיים ונזק למותג.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
כל מה שאתה עושה עם נתונים נחשב לעיבוד; בין היתר איסוף, אחסון, הקלטה, ניתוח, שילוב, חשיפה או מחיקה שלו.
כל פעולה על נתונים מכונה עיבוד נתונים. מכיוון שהנתונים הגולמיים אינם מוכנים לניתוח, בינה עסקית, לדיווח או למידת מכונה, יש לאסוף אותם, לשנות, להעשיר, לסנן ולנקות אותם.
ארגונים צריכים לעבד נתונים כדי ליצור אסטרטגיות עסקיות טובות יותר ולשפר את היתרון התחרותי שלהן.
ה"למה" ו"איך" הנתונים האישיים מעובדים נקבעים על ידי בקר נתונים. בסופו של דבר בקרי הנתונים הם מקבלי ההחלטות העיקריים בקביעת הסיבה והתכלית לאיסוף הנתונים והשיטה והאמצעים לכל עיבוד נתונים.
בקרי נתונים יכולים להיות:
מעבד נתונים הוא אדם, רשות ציבורית, סוכנות או גוף אחר המעבד מידע אישי מטעם הבקר.
A מעבד מידע פועל בשם המבקר ובסמכותו. בכך הם משרתים את האינטרסים של הבקר ולא את שלהם.
במצבים מסוימים, ישות יכולה להיות בקר נתונים, מעבד נתונים או שניהם.
מכונות המעבדות נתונים, כגון מחשבונים או מחשבים, נחשבות למעבדי נתונים. גם ספקי שירותי ענן מסווגים כיום כמעבדי נתונים. מעבד נתונים של צד שלישי אינו מחזיק או שולט בנתונים שהוא מעבד. לא ניתן לשנות את הנתונים כדי לשנות את המטרה שלשמה הם משמשים. אם אתה מעבד נתונים אישיים, אתה תהיה מעבד נתונים.
אדם שהוא הנושא של נתונים אישיים מסוימים מכונה נושא נתונים או נושאי נתונים.
אין פתרון יחיד שעובד עבור כל חברה. תקנות הגנת מידע אינן קובעות כללים נוקשים רבים; במקום זאת, הם נוקטים בגישה מבוססת סיכונים, תוך הקפדה על כמה עקרונות מפתח. הוא רב תכליתי וניתן להשתמש בו במגוון ארגונים ומצבים; לכן, הוא אינו מעכב גישות חדשניות.
עם זאת, גמישות זו אכן פירושה שעליך לשקול - ולהיות אחראי - כיצד אתה משתמש במידע אישי. לעתים קרובות ישנן גישות מרובות למילוי ההתחייבויות שלך, תלוי בדיוק מדוע וכיצד אתה משתמש בנתונים.
אתה יכול לקבוע אילו תשובות הן הטובות ביותר עבור הארגון שלך, אבל אתה חייב להיות מסוגל להצדיק אותן. עקרון האחריות של חוק הגנת מידע הוא היבט קריטי.
ארגונים, עסקים והממשלה חייבים לדבוק ב חוק הגנת נתונים משנת 2018 בעת טיפול במידע אישי. חוק הגנת הנתונים 2018 החליף ועדכן את חוק הגנת הנתונים 1998 ונכנס לתוקף ב-25 במאי 2018.
ה-DPA הוא העיגון של בריטניה של תקנת הגנת המידע הכללית (עוד על GDPR בהמשך המאמר שלהלן) בחוק הבריטי. בפשטות:
חוקים נוקשים שנקראים 'עקרונות הגנת נתונים' קובעים את אופן השימוש במידע אישי. המעורבים באיסוף ושימוש בנתונים חייבים לציית לכללים המחמירים הבאים:
ככל שהמידע רגיש יותר, כך יש יותר הגנה משפטית. מידע זה יהיה; גזע, מוצא אתני, אמונות פוליטיות, אמונות דתיות, חברות באיגוד מקצועי, גנטיקה, ביומטריה לזיהוי, מצב בריאותי ונטייה מינית.
אל האני תקנה כללית להגנה על נתונים (GDPR) היא תקנת הפרטיות ואבטחת הנתונים המחמירה ביותר בעולם. למרות שהוא פותח ואושר על ידי האיחוד האירופי (האיחוד האירופי), ארגונים ברחבי העולם חייבים לציית אם הם אוספים או משתמשים בנתונים על תושבי האיחוד האירופי.
ה-GDPR נכנס לתוקף ב-25 במאי 2018. מי שלא יעמוד בתקני הפרטיות והאבטחה שנקבעו על ידי ה-GDPR עלולים לעמוד בפני קנסות משמעותיים.
ה-GDPR מחליף את הוראת הגנת המידע של האיחוד האירופי משנת 1995. על פי ההנחיה החדשה, עסקים חייבים להיות שקופים יותר ולספק לנושאי מידע הגנת פרטיות גדולה יותר. כאשר התרחשה הפרת מידע חמורה, החברה חייבת להודיע לכל הצדדים המושפעים ולרשות המפקחת בתוך 72 שעות.
למרות שה-GDPR מעוגן בחוק הבריטי כ-DPA מאז הפרידה מהאיחוד האירופי, UK-GDPR ו-EU-GDPR הן תקנות נפרדות ומובדלות. בעוד שהתקנות זהות כרגע, מאז הברקזיט, בריטניה חופשית לתקן את תקנת בריטניה-GDPR כפי שהפרלמנט יראה צורך.
בקר או מעבד הממוקמים מחוץ לבריטניה חייבים לציית ל-GDPR של בריטניה אם העיבוד שלהם מתייחס ליחידים בבריטניה.
ISO 27701 הוא הרחבה של ISO 27001 (עוד על כך בהמשך), העדכון האחרון בתקני פרטיות וניהול מידע בינלאומיים.
מטרת הן GDPR והן ISO 27701 היא לקבוע תקני פרטיות נתונים אתיים כדי להגן על הצרכנים. הם עובדים יחד ומשלימים זה את זה על מנת להשיג את אותן מטרות.
להלן סיכום של המשותף ביניהם:
אנחנו לא יכולים לחשוב על אף חברה שהשירות שלה יכול להחזיק נר ל-ISMS.online.
חוקי הגנת מידע ונתונים שונים מרחבי העולם נמצאים בטבלה למטה.
חוקים | אזור שיפוט |
---|---|
חוק הגנת מידע אישי כללי (ידוע גם בשם LGPD ו-Lei Geral de Proteção de Dados Pessoais) | ברזיל |
חוק פרטיות הצרכן בקליפורניה (CCPA) | קליפורניה |
חוק פרטיות | קנדה |
חוק הפרטיות 1988 | אוסטרליה |
הצעת חוק הגנת מידע אישי לשנת 2019 | הודו |
חוק אבטחת סייבר בסין (CCSL) | סין |
חוק הגנת מידע אישי (PIPL) | סין |
חוק הגנת נתונים, 2012 | גאנה |
חוק הגנת מידע אישי משנת 2012 | סינגפור |
חוק הרפובליקה מס' 10173: חוק פרטיות הנתונים משנת 2012 | הפיליפינים |
החוק הפדרלי הרוסי בנושא נתונים אישיים (מס' 152-FZ) | רוסיה |
חוק הגנת מידע אישי (PDPL) | בחריין |
סעיף 32 של GDPR מגדיר את הנדרש בכל הנוגע להבטחת אבטחת מידע אישי מעבד.
הרגולציה מחייבת אותך לנקוט באמצעים טכניים וארגוניים מתאימים כדי להתמודד עם הסיכונים העומדים בפניך. הוא גם מתאר כמה מהאמצעים האופייניים בהקשר זה, כולל:
ISO 27001 מכסה גם היבטים אלה. אתה חייב לבצע הערכות סיכונים מקיפות לזהות את הסכנות העומדות בפני החברה שלך. זה בדיוק מה שאתה צריך להבין כאמצעי אבטחה 'מתאימים' תחת GDPR.
הוא קובע סטנדרטים מתי וכיצד להפעיל את הצפנת הנתונים, כמו גם להבטחת הסודיות והזמינות של הנתונים שלך. זה גם מגדיר מה נדרש מבחינת "ניהול המשכיות עסקית," ובכך לכסות את דרישת ה-GDPR ליישם אמצעי שחזור וזמינות נתונים.
אם לעמוד ולשמור על תאימות ל-ISO 27001, למעשה, דרישות האבטחה של עיבוד הנתונים GDPR שלך מכוסות, הודות לבדיקות לחץ ועד להכשרת צוות.
בין אם אתה רק מתחיל לבחון את פרטיות הנתונים או מומחה המבקש לשלב תקנות ותקנים מרובים, התכונות שלנו פשוטות לשימוש. אתה תגיע לאן שאתה רוצה להיות מיד.
את העתיד פתרון PIMS מפשט את מיפוי הנתונים. קל להקליט ולסקור הכל ולהוסיף את פרטי הארגון שלך לכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות.
יעיל PIMS דורש ניהול סיכונים. לסייע בכל שלב של הערכת סיכונים וניהול, יצרנו בנק סיכונים מובנה וכלים מעשיים אחרים.
בין אם אתה עובד על תקני פרטיות נתונים או תקנות, עליך להוכיח את יכולתך לעשות זאת לטפל בבקשות זכויות נושא נתונים (DRR). מרחב ה-DRR המאובטח שלנו שומר הכל במקום אחד, ועוזר לך לדווח ולקבל תובנות באופן אוטומטי.
למידע נוסף על ידי הזמנת הדגמה מעשית.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך