Добро пожаловать в Центр методических рекомендаций Dropbox по ГРЗД

Данный центр методических рекомендаций предлагает некоторые полезные сведения и практические советы, которые могут быть использованы организациями при подготовке к обеспечению соответствия требованиям Генерального регламента о защите данных, известного также под названием ГРЗД, до 25 мая 2018 года.

Конечно, каждая организация будет достигать этого соответствия требованиям ГРЗД по-разному. Это будет зависеть, помимо прочих факторов, от размера компании, типов и количества данных, которые она обрабатывает, а также от применяемых в компании мер обеспечения безопасности и конфиденциальности.

Подготовка к соблюдению требований ГРЗД

Организации, учрежденные в  ЕС и обрабатывающие персональные данные лиц, базирующихся в ЕС, почти во всех случаях, будут обязаны обеспечить соблюдение ГРЗД до 25 мая 2018 года. В ГРЗД обновляются и согласовываются общие принципы обработки персональных данных в Европейском союзе, а также ГРЗД создает новые обязательства для организаций и новые права для физических лиц. Многие организации, как большие, так и малые, сейчас занимаются подготовкой к новому регламенту. 

Dropbox имеет многолетний опыт в завоевании доверия наших пользователей. Мы сертифицированы в соответствии с самыми распространенными в мире стандартами обеспечения безопасности и конфиденциальности, такими как ISO 27001/2, ISO 27018/17 и SOC 2. Наша рабочая группа по защите данных, включающая специалистов разного профиля,  обобщила ряд идей и ресурсов, которые помогут вам обеспечить соответствие требованиям ГРЗД.

Введение

Что такое Генеральный регламент по защите данных (ГРЗД)?

Генеральный регламент о защите данных — это регламент Европейского союза, который устанавливает новые общие принципы обработки и защиты личных данных лиц, базирующихся/проживающих в ЕС. Он вступает в силу 25 мая 2018 года.

Личные данные играют огромную роль в обществе и экономике. Очень важно, чтобы люди могли — и знали, что они могут — управлять своими данными, четко понимали, как их данные используются и защищаются организациями, с которыми они взаимодействуют, а также важно, чтобы организации имели четкие рекомендации по защите их персональных данных.

Одной из целей ГРЗД является гармонизация законов о конфиденциальности данных в Европе с учетом быстрых технологических изменений, происшедших за последние два десятилетия. Он основывается на существующей законодательной базе, применимой в Европейском союзе, включая Директиву ЕС о защите данных, действующую с 1995 года.

ГРЗД: основные сведения

Dropbox обеспечит соответствие требованиям ГРЗД до 25 мая 2018 года. Однако приступить к оценке своей готовности к соблюдению требований ГРЗД стоит задолго до наступления этой даты.

Каким образом Dropbox обеспечит соответствие требованиям ГРЗД?

  • Доверие — это основа наших взаимоотношений с миллионами пользователей и компаний по всему миру. Мы ценим доверие наших пользователей и ответственно относимся к защите их данных.
  • ​​Dropbox уделяет первостепенное внимание защите данных, и наш опыт работы подтверждает наше умение быть впереди других по вопросам соблюдения соответствия, например, Dropbox был одним из первых провайдеров служб облачных вычислений, которые обеспечили соответствие требованиям ISO 27018 — международно признанного стандарта о передовых методах и технологиях обеспечения конфиденциальности и защиты облачных данных. ​​
  • Рабочие группы Dropbox по правовым вопросам, вопросам доверия и конфиденциальности тщательно проанализировали ГРЗД и предпринимают необходимые меры для обеспечения соответствия его требованиям.
  • ​​Мы обеспечим такое соответствие ГРЗД до 25 мая 2018 года, как указано на странице нашего справочного центра.
Каковы ваши обязательства в соответствии с ГРЗД? ​​
  • Важно помнить, что вы, как корпоративный клиент и контролер данных, имеете определенные юридические обязательства в соответствии с ГРЗД.
  • ​​Вы должны быть уверены, что любые поставщики (обработчики данных), с которыми вы работаете, имеют очень надежный подход к защите данных, понимают обязательства, возлагаемые на них ГРЗД, и хорошо подготовлены к их выполнению.
  • ​​При этом следует помнить о том, что ни один провайдер не может «решить» за вас задачу обеспечения соответствия требованиям ГРЗД. ​​
  • В Руководстве Dropbox по общей ответственности изложен наш подход к совместной работе, который обеспечивает безопасность ваших данных и дает возможность четко понимать обязанности Dropbox и обязанности наших клиентов.

ГРЗД: основные изменения

ГРЗД предусматривает принципиально новый подход. В нем четко представлены несколько принципов, ранее использовавшихся в качестве базы для закона о защите данных, такие как «принцип подотчетности» и «принцип встроенного алгоритма конфиденциальности», а также содержится обращение к организациям о необходимости брать на себя большую ответственность за защиту персональных данных, которые они обрабатывают.

Принцип встроенного алгоритма конфиденциальности: означает, что организации, обрабатывающие персональные данные, должны предусматривать средства защиты данных при проектировании систем, а не просто оценивать возможные последствия, связанные с обеспечением конфиденциальности, после разработки продукта или процесса. Если вы обрабатываете много данных или конфиденциальную информацию, во многих случаях также может потребоваться выполнение оценки последствий, связанных с защитой данных, для обеспечения соблюдения принципа встроенного алгоритма конфиденциальности.

Права пользователя: ГРЗД расширяет существующий набор прав пользователей и предусматривает предоставление нескольких совершенно новых прав. Компании должны проверить и обеспечить наличие эффективных систем для реализации этих прав.

Более жесткие правила уведомления о нарушениях: согласно ГРЗД организации должны иметь продуманную систему уведомления о нарушениях и понимать свои конкретные обязательства по представлению отчетности.

Подотчетность: ваша компания должна не только придерживаться принципов, изложенных в ГРЗД, но и демонстрировать соблюдение принципа подотчетности. Для этого требуется всеобъемлющая и четкая структура управления внутренней конфиденциальностью.

Специалист, ответственный за защиту данных: в соответствии с ГРЗД требуется, чтобы компании, занимающиеся обработкой данных пользователей из ЕС, определили, следует ли им назначить специалиста, ответственного за защиту данных (СЗД). Компании, которые регулярно обрабатывают большие объемы информации или особенно конфиденциальную информацию, должны рассмотреть возможность назначения СЗД.

Процесс обеспечения соответствия требованиям ГРЗД в Dropbox

В Dropbox мы, как и многие наши клиенты, активно готовимся к обеспечению соответствия ГРЗД.

В Dropbox доверие — это основа наших взаимоотношений с миллионами пользователей и компаний по всему миру. Принципы соблюдения конфиденциальности и обеспечения безопасности были интегрированы в наши принципы ведения бизнеса с самого начала. В процессе нашего роста обеспечение соответствующей обработки и защиты информации, которую наши клиенты доверяют нам, всегда оставалось задачей приоритетной важности.

ГРЗД согласуется с тем, как мы думаем и действуем. Наши методы обеспечения безопасности уже соответствуют самым распространенным  стандартам и правилам, и мы были одним из первых провайдеров услуг облачных вычислений, которые обеспечили соответствие требованиям ISO ISO 27018 — международно признанного стандарта о передовых методах и технологиях обеспечения конфиденциальности и защиты облачных данных.

Рабочие группы по правовым вопросам, вопросам доверия и конфиденциальности тщательно проанализировали ГРЗД, и мы предпринимаем необходимые меры, чтобы определить, в каких сферах требуется обеспечить соответствие и сделать изменения. Мы занимаемся вопросом обеспечения соответствия до мая 2018 года и стремимся помочь нашим клиентам подготовиться к выполнению их обязательств.

Работа с поставщиками для обеспечения соответствия требованиям ГРЗД

Узнайте, почему поставщики должны быть важными партнерами в процессе обеспечения соответствия требованиям ГРЗД.

ГРЗД: понимание ваших данных

Ознакомьтесь с основными принципами ГРЗД и узнайте, какие действия следует рассмотреть для достижения соответствия требованиям ГРЗД.

Возможность пересмотреть подход к защите данных

По сути, ГРЗД помогает вам лучше понять, какие данные вы обрабатываете, и разработать подход для обеспечения безопасности таких данных.

Отказ от ответственности: этот сайт предназначен для предоставления полезных рекомендаций клиентам по ГРЗД, и информация, представленная на нем, не может рассматриваться как комплексное решение или юридическая консультация. Каждая организация должна предпринять собственные меры для обеспечения соответствия.