Защита компьютерных данных: серьезная проблема для предприятий

Компании во всем мире хранят огромное количество компьютерных данных о своих клиентах, партнерах и поставщиках услуг.

Иногда бывает трудно понять, как может быть использована вся эта информация, часть которой является весьма конфиденциальной.

И то, где вы находитесь - в Европе или в США, - может иметь большое значение, когда речь идет о правовой базе и обязательствах в отношении этих данных.

Компьютерные данные: а что же это такое на самом деле?

163 зеттабайта (163 млрд. терабайт) - таков объем компьютерных данных, которые будут храниться в мире в период до 2025 года. Существует несколько типов компьютерных данных, например, персональные данные.

Персональные данные - это любая информация, относящаяся к физическому лицу, которое идентифицировано или может быть идентифицировано, прямо или косвенно, путем ссылки на идентификационный номер или на один или несколько факторов, характерных для этого лица.

Лицо можно идентифицировать, например, если в файле содержится информация, позволяющая распознать это лицо (например, фамилия, имя, номер телефона, фотография, регистрационный номер автомобиля, IP-адрес, биометрические характеристики, такие как отпечатки пальцев, и т.д.).

В рамках компании создание и обработка таких данных теоретически подпадают под обязательства, направленные на защиту частной жизни и индивидуальных свобод.

Защита данных: центральный вопрос в работе с клиентами

Массовое развитие цифровых технологий сделало этот вопрос еще более сложным. Информационно-коммуникационные технологии являются источником большого количества персональных и конфиденциальных данных, а также "компьютерных следов", которые могут быть использованы благодаря развитию программного обеспечения, в частности поисковых систем. Компании должны помнить, что кражи данных трудно избежать.

Многие граждане считают, что их персональные данные не обрабатываются должным образом.

Сегодня лояльность к бренду зависит, в частности, от способности обеспечить безопасность цифровых данных клиентов. Компаниям совершенно необходимо разрабатывать стратегии, ограничивающие проникновение в их системы.

Ужесточение законодательства по защите данных в Европе

Европейский парламент принял ряд документов, в том числе Положение о защите данных.

Этот документ, применимый даже к компаниям, расположенным за пределами Европейского союза, но ориентированным на европейских потребителей, определяет минимальный набор прав и обязанностей, применимых к обработке персональных данных, особенно в Интернете.

Наиболее важные меры, большинство из которых уже предусмотрены французским законодательством, включают:

•  обязательство получать "четкое и явное" согласие до начала любой обработки персональных данных;
•  право на переносимость данных. Эта мера позволяет пользователям онлайн-сервисов получать свои данные и импортировать их в конкурирующий сервис;
•  право на получение информации в случае пиратства данных;
•  штрафы в размере до 4% от мирового оборота компании за нарушение прав на защиту данных;
• более строгие обязательства для компаний.

Безопасность конфиденциальных данных становится все более регламентированной. Положение о персональных данных, опубликованное в Официальном журнале Европейского союза, включает в себя такие элементы, как обязательство "Privacy by design" (защита данных при проектировании) и обязательство "Privacy by default" (защита данных по умолчанию).

Теперь компании обязаны предлагать продукты и услуги, которые собирают как можно меньше персональных данных, как по замыслу, так и по умолчанию. Они должны предлагать своим клиентам максимально возможный уровень защиты их персональных данных.

Внутри компании контролер данных должен принимать необходимые меры для обеспечения максимально возможного уровня безопасности собираемых данных.

Кроме того, они должны будут проводить исследования воздействия, если использование новых технологий создает риск для прав и свобод соответствующих лиц.

Новые документы также требуют от компаний вести внутренние реестры, в которых будет отражаться обработка персональных данных.

Кроме того, CNIL сможет проводить внезапные проверки обработчиков данных, чтобы убедиться в том, что они принимают необходимые меры безопасности.

Выбор поставщика услуг по защите данных

Когда компания принимает решение о размещении всех или части своих данных (некоторые из которых являются конфиденциальными и чувствительными) у третьей стороны, она должна тщательно оценить последствия этого. Выбор поставщика услуг имеет решающее значение.

До конца 2015 года соглашение Safe Harbor между Министерством торговли США и Европейской комиссией разрешало американским компаниям экспортировать персональные данные европейских граждан в США, даже если европейское законодательство запрещало это делать.

Компания, выбравшая американского поставщика услуг, даже если ее данные размещались в Европе, рисковала тем, что вся ее конфиденциальная информация окажется за океаном, и она ничего не сможет с этим поделать.

Это соглашение было признано недействительным Судом Европейского Союза и заменено новым текстом, известным как "Щит конфиденциальности". Однако это соглашение имеет определенные ограничения. Например, оно не может гарантировать, что произойдет с данными, доверенными американским компаниям.

В США в июне 2015 года был принят закон Freedom Act, разрешающий правительству США получать доступ ко всем данным, обрабатываемым американскими компаниями, независимо от того, находятся ли они на территории США или нет.

Если американский облачный провайдер имеет офисы и серверы в Европе, он подпадает под действие этого закона. Вот почему европейским компаниям так важно выбирать местных поставщиков услуг.  

В Европе законодательство намного строже. Сбор персональных данных строго регламентирован. Необходимо получить согласие заинтересованного лица, указать цель сбора данных, предоставить ему возможность изменить или удалить их. Кроме того, формально запрещено вывозить эти данные за пределы европейской территории.