Ochrona danych

Różnica między ochroną prywatności a ochroną danych

Ochrona danych umożliwia ludziom większą kontrolę nad informacjami, które udostępniają innym. Przetwarzający dane, którymi mogą być osoby fizyczne lub państwo, muszą uzyskać dobrowolną zgodę, chronić integralność i poufność danych oraz zapewnić, że strony trzecie utrzymują podobny standard ochrony. Osoby, których dane dotyczą, mają prawo sprzeciwić się przetwarzaniu ich danych i zażądać poprawek. Jeśli uważają, że ich dane osobowe zostały niewłaściwie wykorzystane, mogą sprzeciwić się przetwarzaniu.

Prywatność jest wytyczną dla przetwarzania i gromadzenia danych

Prywatność danych to ogólne ramy gromadzenia, przetwarzania i ochrony informacji umożliwiających identyfikację osób i informacji wrażliwych. Obejmują one informacje finansowe i zdrowotne, numery ubezpieczenia społecznego, nazwiska i daty urodzenia. Posiadanie dostępu do tych danych nie uprawnia automatycznie do ich wykorzystywania i ujawniania w nieuprawnionych celach. Podobnie konieczne jest uzyskanie indywidualnej zgody na niektóre sposoby wykorzystania danych osobowych. Prywatność jest kluczowym elementem bezpieczeństwa danych i przepisów dotyczących zgodności.

Wymaga wyraźnej zgody

Artykuł 9 GDPR stanowi, że do przetwarzania niektórych rodzajów danych osobowych wymagana jest wyraźna zgoda. Te szczególne kategorie danych obejmują pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, dane genetyczne i dane biometryczne wykorzystywane do jednoznacznej identyfikacji osoby fizycznej. Wyraźna zgoda musi zawierać szczegółowe informacje na temat charakteru gromadzenia danych, celu przetwarzania, zautomatyzowanych decyzji i przekazywania danych. Ponadto zgoda musi określać prawa i uzasadnione interesy osoby, której dane dotyczą.

Aby otrzymać zgodę na mocy GDPR, osoba fizyczna musi mieć możliwość dostarczenia swojej zgody na piśmie. Ponadto zgoda musi być konkretna, świadoma, dobrowolnie udzielona i łatwo wycofana. Zgoda musi być uzyskana na wczesnym etapie rozmowy z klientem, a także w sposób niesprzeczny. Ponadto, zgoda musi mieć formę pisemną i towarzyszyć jej muszą jasne i jednoznaczne dowody.

GDPR nie określa limitu czasowego dla zgody, ale czas trwania zgody będzie zależał od kontekstu. Na przykład, jeśli klient zapisze się na członkostwo w siłowni i będzie otrzymywał e-mail marketing z poradami dotyczącymi zachowania formy na lato, nie będzie już otrzymywał tych e-maili. Zgoda wygaśnie również z końcem wakacji, dlatego najlepiej zadbać o to, aby adres e-mail był przechowywany przez dłuższy czas.

Zapobiega kradzieży danych

Aby zapewnić ochronę danych biznesowych, musisz wdrożyć skuteczne środki bezpieczeństwa. Upewnij się, że tylko upoważnione osoby mają dostęp do Twoich informacji i zasobów danych. Nigdy nie udostępniaj zastrzeżonych informacji osobom trzecim i upewnij się, że dane są modyfikowane tylko w razie potrzeby. Na koniec upewnij się, że odpowiednio pozbywasz się wrażliwych danych. Jeśli posiadasz wrażliwe dane, pamiętaj o zabezpieczeniu ich poprzez zastosowanie uwierzytelniania 2FA (two-factor authentication).

Wymaga technologii pamięci masowej

Bezpieczeństwo i pamięć masowa tradycyjnie stanowią odrębne dyscypliny w IT, choć czasami współpracują przy projektach. Jednak zwiększone ryzyko naruszenia danych i potrzeba zwiększonej ochrony skłaniają wielu liderów IT w przedsiębiorstwach do przyjęcia praktyk DevSecOps, które sprawiają, że każdy jest odpowiedzialny za bezpieczeństwo. Bezpieczeństwo przechowywania danych jest podzbiorem szerszej dziedziny bezpieczeństwa IT, która zajmuje się właśnie zabezpieczaniem urządzeń pamięci masowej. Ważne jest wdrożenie kontroli bezpieczeństwa na wszystkich poziomach, od pojedynczego urządzenia pamięci masowej do całego systemu.

W przypadku katastrofy dane muszą być chronione tak szybko, jak to możliwe. Techniki tworzenia kopii zapasowych i odzyskiwania danych obejmują technologie tworzenia kopii zapasowych na dyskach, taśmach i w chmurze. Oprócz tradycyjnych metod, organizacje mogą również korzystać z dodatkowych narzędzi programowych, aby zapewnić sobie wystarczające możliwości tworzenia kopii zapasowych i odzyskiwania danych. Ciągła ochrona danych jest dziś powszechną praktyką w wielu organizacjach i może zapewnić niemal natychmiastowe odzyskiwanie danych. Ochrona danych jest obecnie niezbędna dla organizacji każdej wielkości. Ale jaka jest najlepsza technologia przechowywania danych dla Twojej firmy?

Coraz większą popularnością cieszą się usługi tworzenia kopii zapasowych w chmurze, które zapewniają tworzenie kopii zapasowych dla różnych urządzeń. Usługi tworzenia kopii zapasowych w chmurze zastępują działające na miejscu biblioteki taśmowe i dyskowe i mogą służyć jako dodatkowa chroniona kopia danych. Co więcej, mogą również służyć jako zaplecze do odzyskiwania danych po awarii. Przechowywanie danych jest często postrzegane z perspektywy technologii, a firmy muszą rozważyć niezawodność i koszt systemów pamięci masowej przy podejmowaniu decyzji o wdrożeniu takich usług. Ponadto, firmy muszą rozważyć funkcje i oferty bezpieczeństwa podczas oceny rozwiązania do przechowywania danych.

Wymaga powiadamiania o naruszeniu danych

Przepisy dotyczące powiadamiania różnią się w zależności od stanu, ale istnieją wspólne standardy dotyczące tego, co musi być zawarte w powiadomieniach o naruszeniu. Niezależnie od liczby osób, których dotyczy naruszenie, należy powiadomić agencje państwowe. Choć prawa stanowe różnią się między sobą, wszystkie wymagają powiadomienia bez nieuzasadnionej zwłoki. Niektóre z nich określają nawet ramy czasowe dla powiadomień. Naruszenie prawa stanowego może prowadzić do podjęcia działań przez organy ścigania. Inne stany pozwalają osobom poszkodowanym na wniesienie prywatnego powództwa.

Powiadomienie musi być dostarczone osobom poszkodowanym w ciągu 60 dni od odkrycia naruszenia. Powiadomienie musi zawierać krótki opis naruszenia, informacje o rodzajach danych, których ono dotyczy, oraz kroki, które poszkodowane osoby mogą podjąć, aby się chronić. Musi również zawierać informacje kontaktowe dla podmiotu objętego ochroną. Jeżeli naruszenie dotyczy więcej niż 500 osób, powiadomienie musi zawierać te same informacje, co powiadomienie indywidualne. W przypadku, gdy nie dojdzie do takiego naruszenia, podmiot będący właścicielem danych może zrezygnować z powiadomienia osób, których ono dotyczy.

Jeżeli do naruszenia dojdzie w czasie, gdy firma działa na terenie Unii Europejskiej, musi ona powiadomić organ ochrony danych w kraju, w którym podejmowane są decyzje. W Wielkiej Brytanii oznacza to zgłoszenie naruszenia danych do organu ochrony danych w Wielkiej Brytanii. Inne kraje w Europie będą wymagały zgłoszenia do organu ochrony danych w kraju, w którym dane były przetwarzane. Takie powiadomienie jest niezbędne dla każdej firmy, której dane osobowe klientów są przechowywane lub przetwarzane.