Przewodnik dla małych firm dotyczący ochrony danych

Ochrona danych dla małych firm.


Niemożliwe jest dzisiaj prowadzenie jakiejkolwiek działalności bez generowania lub gromadzenia danych. Niektóre z tych danych są danymi krytycznymi, które są potrzebne do podtrzymania życia firmy, a niektóre z nich bez wątpienia będą danymi osobowymi klientów.

Aby zapewnić zdrowie każdej firmy, należy zająć się obydwoma punktami. Dane biznesowe muszą być dostępne i wystarczające, aby wspierać działalność firmy, ale organizacje mają również obowiązek zachowania poufności i bezpieczeństwa danych klientów.

Jeśli firma straci własne dane, może się znaleźć niezdolny do skutecznego wykonywania operacji lub w ogóle. To dość źle, ale głównie wpływa tylko na sam biznes.

Z drugiej strony, jeśli firma straci dane swoich klientów, może to zrobić prowadzić do działań prawnych w tym dochodzenia rządowe i grzywny, a także sprawy cywilne i orzeczenia o dużej szkodliwości. Po publicznym naruszeniu danych niekorzystny wpływ może mieć nawet cena akcji spółki. Ten artykuł dotyczy obu aspektów.

Zasady ochrony danych

Dane nie pojawiają się; podróżuje. Dane są gdzieś gromadzone, są przenoszone z punktu gromadzenia do punktu przechowywania, są w pewien sposób przetwarzane i wędrują do punktów dostępu zgodnie z potrzebami firmy. Proces ten może być bardzo skomplikowany lub może być bardzo prosty. Prostym przykładem jest zamówienie na stronie e-commerce:

  1. Zebrane: Witryna gromadzi informacje o osobistej dostawie i płatności na stronie kasy.
  2. Przeniesione: Te dane są przesyłane do serwera WWW i prawdopodobnie przechowywane w bazie danych na tym serwerze.
  3. Obrobiony: Dane te mogą być przetwarzane w celu obsługi funkcji pomocniczych, takich jak zmniejszenie zapasów sprzedanych przedmiotów lub wygenerowanie dokumentów dostawy.
  4. Dostęp: Osoby wypełniające zamówienie muszą przejrzeć niektóre z tych danych, aby zrealizować zamówienie i przygotować je do dostawy.

Na każdym etapie tego procesu istnieje możliwość nieautoryzowanego dostępu lub utraty danych. Kontynuując przykład sklepu internetowego e-commerce, oto kilka kroków, które mogą pomóc w ochronie tych danych.

Ochrona danych w transporcie

Ten typ danych zamówienia „przesyła” wiele razy. Pierwszy transport odbywa się z przeglądarki internetowej klienta na serwer internetowy e-commerce. Wbrew powszechnemu przekonaniu, nie „odwiedzamy” strony internetowej, a raczej strona internetowa do nas przychodzi. Strony internetowe są pobierane na nasze komputery, na których wchodzimy z nimi w interakcje i wysyłamy dane z powrotem na serwer internetowy.

W takim przypadku, na ostatnim etapie wypełniania danych koszyka, klient wprowadził dane swojej karty kredytowej na własnym komputerze i tak jest przesyłane do serwera WWW. Te wrażliwe informacje o karcie kredytowej są przesyłane przez Internet, który jest bardzo nieprzyjaznym i niebezpiecznym miejscem.

Dane same w sobie są bezużyteczne; zwykle będzie przenoszone wiele razy w ciągu swojego życia. Pracownicy realizujący zamówienia muszą wiedzieć, co zostało zamówione, firmy przewozowe muszą znać nazwę i adres klienta, firmy obsługujące karty kredytowe muszą wiedzieć, ile należy obciążyć konto.

Jest mało prawdopodobne, że wszystko to dzieje się w jednym miejscu, co oznacza, że ​​informacje te są wysyłane do wielu miejsc, a w niektórych przypadkach, być może do organizacji zewnętrznych spoza organizacji, która zebrała dane w pierwszej kolejności. Każdy z tych przelewów musi być wykonany w bezpieczny sposób.

Rozwiązania

Najskuteczniejszym sposobem ochrony danych na tym etapie tranzytu jest upewnienie się, że witryna korzysta z certyfikatu SSL i tym podobnych Twoja strona używa protokołu HTTPS, przynajmniej na stronach, które zbierają poufne dane.

Ten krok zapewnia szyfrowanie danych przesyłanych między serwerem internetowym a przeglądarką klienta podczas ich przesyłania przez Internet. Gdyby poufne dane twojego klienta zostały przechwycone przez złego faceta, nie byłby w stanie wiele z tym zrobić, ponieważ byłby to zaszyfrowany kropla bełkotu.

Jeśli z jakiegoś powodu nie można użyć szyfrowania SSL, możesz dodaj szyfrowanie do prawie każdego transferu danych za pomocą wirtualnej sieci prywatnej (VPN). Przy wyborze małej firmy VPN należy wziąć pod uwagę wiele rzeczy, więc opłaca się przeprowadzić badania.

Strona główna sieci VPN dla biznesu na obwodzie 81.Perimeter 81 to oferta SaferVPN przeznaczona dla firm.

Istnieją inne sposoby bezpiecznego przesyłania danych, na przykład przez szyfrowanie plików przed wysłaniem. Zaszyfrowane pliki można bezpiecznie wysyłać pocztą elektroniczną jako załącznik, chociaż wrażliwych danych nigdy nie należy wysyłać w treści wiadomości e-mail ani za pośrednictwem niezaszyfrowanych załączników.

Starsze metody offline, takie jak faksy, nie powinny być dyskontowane. Faksy podłączone do zwykłych starych systemów telefonicznych (POTS) nie przesyłają Internetu w łatwy sposób umożliwiający śledzenie i zapewniają większe bezpieczeństwo niż poczta e-mail. Ważne jest, aby mieć pewność, że z obu stron używany jest prawdziwy faks. współczesne usługi „e-mail do faksu” lub usługi „oparte na chmurze” mogą być trudne do odróżnienia od odpowiednich połączeń faksowych POTS. Wadą tego pierwszego jest to, że usługi te wykorzystują Internet do przesyłania danych, co eliminuje ich korzyść dla prywatności.

Zabezpieczanie przechowywanych informacji

Kiedy dane są gdzieś przechowywane, uważa się je za „w spoczynku”. Dane w spoczynku są przechowywane na jakiejś formie dysku w bazie danych, w pojedynczych plikach, takich jak dokumenty PDF lub w wielu innych formatach. Rozważając sposób ochrony danych w spoczynku, format danych może być ważny.

Istnieją dwa główne sposoby złośliwego dostępu do danych w spoczynku. Zły facet może użyć legalnych środków, aby uzyskać dostęp do danych, takich jak kradzież działającego hasła od pracownika przez phishing.

Albo maszyna przechowująca same dane może zostać zaatakowana, a zawartość dysku skopiowana w innym miejscu do późniejszego sprawdzenia. Może być trudno podważać nazwy użytkowników i hasła od ludzi; czasem o wiele łatwiej jest po prostu ukraść cały komputer z recepcji, gdy jest on bez nadzoru.

Jeśli dane są przechowywane online, na przykład w sklepie e-commerce, łatwiej jest zaatakować inną witrynę na serwerze, aby uzyskać dostęp do systemu plików i skopiuj bazę danych niż spróbuj odgadnąć hasło administratora Magento.

Czasami naruszenie danych jest przestępstwem okazjonalnym - zdarzają się przypadki odrzucenia komputerów, które nadal zawierają poufne dane na swoich dyskach twardych.

Rozwiązania

Nieużywane dane należy szyfrować, dopóki nie będą potrzebne. Działa to dobrze w przypadku danych, do których nie trzeba często uzyskiwać dostępu. Zarządzanie danymi, do których ma dostęp bardzo często wiele osób lub systemów, może być trudniejsze.

Aby zabezpieczyć się przed dostępem poprzez dane logowania, osoby uprawnione uzyskujące dostęp do danych powinny używaj silnych haseł i indywidualnych kont. Wiele osób używających tej samej nazwy użytkownika i hasła sprawia, że ​​prawie niemożliwe jest ustalenie, w jaki sposób lub kiedy nastąpiło naruszenie. Menedżerowie haseł sprawiają, że niezwykle łatwe jest tworzenie i pobieranie silnych haseł, więc nie ma już powodu, aby udostępniać hasła.

Sticky Password manager hasłoSticky Password to tylko jeden z najlepszych dostępnych darmowych menedżerów haseł.

Ochrona przed kradzieżą fizycznej maszyny lub wirtualnej kopii danych wymaga bezpieczeństwa fizycznego i kontroli dostępu.

  1. Bezpieczeństwo fizyczne: Nigdy nie pozostawiaj laptopów bez nadzoru. Wielu pracowników uważa, że ​​laptop korporacyjny nie jest tak ważny jak własny, ponieważ laptop firmowy zostanie po prostu zastąpiony, jeśli zostanie zgubiony. Jednak dane na firmowym laptopie mogą być bezcenne, a po utracie mogą zagrozić przyszłości firmy. Komputery stacjonarne powinny być fizycznie zablokowane na czymś dużym. Do tego celu dostępna jest szeroka gama zamków komputerowych (takich jak zamki Kensington). Wszystkie dyski komputerowe, na laptopach lub innych urządzeniach, powinny być zaszyfrowane, aby utrudnić odzyskiwanie danych przez złego faceta.
  2. Kontrola dostępu: Tam, gdzie to możliwe, komputery przetwarzające wrażliwe dane i urządzenia pamięci powinny znajdować się w ograniczonym obszarze. Na przykład nie powinno być personelu niebędącego pracownikiem IT, który miałby fizyczny dostęp do serwerów przechowywania plików, dlatego serwer powinien być umieszczony w zamkniętym pomieszczeniu. Jeśli społeczeństwo jest założone w ramach normalnej działalności biznesowej, wszystkie niepotrzebne komputery i urządzenia pamięci masowej należy usunąć z widoku publicznego. Złodzieje mogą kraść całe bankomaty, rozbijając ściany za pomocą ładowacza czołowego. Jak bezpieczny jest twój obszar odbioru?

Ochrona danych przed nieautoryzowanym dostępem

Nieautoryzowany dostęp oznacza osobę nieupoważnioną uzyskującą dostęp do danych. Może to oznaczać złego faceta, któremu udało się infiltrować sieć lub legalnego pracownika uzyskującego dostęp do danych, do których nie jest uprawniony. Działają tutaj dwie koncepcje: uwierzytelnianie i autoryzacja.

  1. Poświadczenie: Uwierzytelnianie polega na określeniu tożsamości użytkownika, ale nie ma nic wspólnego z tym, co ta osoba może zrobić. W większości przypadków kombinacja nazwy użytkownika i hasła służy do logowania do systemu. Właściciel tej nazwy użytkownika i hasła jest uprawnionym pracownikiem, a system powinien należycie odnotować, że dana osoba się zalogowała.
  2. Upoważnienie: Autoryzacja następuje po uwierzytelnieniu. Autoryzacja określa, czy uwierzytelniona osoba może uzyskać dostęp do zasobu. Przed ustaleniem, czy użytkownik może uzyskać dostęp do zasobu, osoba musi zostać uwierzytelniona w celu potwierdzenia swojej tożsamości.

Oto przykład do zilustrowania: Nancy loguje się na swojej stacji roboczej i jest teraz uwierzytelnionym użytkownikiem. Następnie wysyła dokument do drukarki sieciowej i drukuje, ponieważ jest uprawniona do korzystania z tej drukarki. Nancy następnie próbuje uzyskać dostęp do plików personelu firmy i odmawia dostępu, ponieważ nie ma uprawnień do przeglądania tych plików.

Rozwiązania

Aby zapewnić skuteczność procesów uwierzytelniania i autoryzacji, każdy system komputerowy powinien tworzyć dzienniki kontroli. Dzienniki audytu zapewniają ścieżkę umożliwiającą śledczym cofnięcie się w czasie i sprawdzenie, kto zalogował się do różnych systemów i co próbował zrobić podczas logowania.

Ważne jest również, aby nikt nie udostępniał nazw użytkowników i haseł, jak omówiono powyżej. Jeśli nazwy użytkowników i hasła są udostępniane pracownikom, nie ma sposobu, aby zapobiec nieautoryzowanemu dostępowi lub dowiedzieć się, kto do czego uzyskał dostęp. Jeśli wszyscy używają tej samej nazwy użytkownika, wszyscy są uwierzytelniani, a ta nazwa użytkownika musi być upoważniona do wykonywania wszystkiego.

Nazwa użytkownika administratora.W idealnym przypadku nikt nie powinien używać nazwy użytkownika „admin”, ponieważ tak łatwo ją odgadnąć.

Jest nieuniknione, że rozmowy na temat kontroli dostępu koncentrują się na powstrzymywaniu złych facetów. Tak jednak jest równie ważne, aby dobrzy faceci nie zostali zablokowani. Jeśli znajdziesz się w sytuacji, w której administratorzy systemów lub inne krytyczne osoby są zablokowane, sytuacja ta może się szybko pogorszyć, powodując, że wszyscy zostaną zablokowani, a firma nie będzie mogła kontynuować działalności.

Każdy krytyczny system powinien mieć co najmniej dwóch administratorów lub jednego administratora i co najmniej jedną inną osobę, która jest kompetentna do wykonywania działań na poziomie administratora, jeśli otrzyma prawidłowe poświadczenia.

Ograniczanie ryzyka utraty danych

Skutki utraty danych mogą wahać się od „nawet nie zauważyłem” aż do „Zostałem wezwany na kongresowe przesłuchanie w celu złożenia zeznań”. utrata kluczowych danych biznesowych może doprowadzić do uszkodzenia firmy i spowodować nieodwracalne szkody operacyjne. Ponadto utrata danych może powodować zakłopotanie, powodować pogorszenie reputacji firmy, a nawet drastycznie wpływać na ceny akcji na lata.

Termin „utrata” używany jest w tym znaczeniu do oznaczenia danych, które zostały zniszczone, a nie danych, które zostały naruszone i ujawnione w innym miejscu. Komputery przechowują dane w bardzo szczątkowy sposób, wykorzystując w większości magnesy, układy półprzewodnikowe lub „doły” laserowe. Każda z tych metod ma swoje złe dni, a dane mogą być po prostu zniekształcone i niemożliwe do odzyskania.

Błąd ludzki, taki jak nadpisywanie ważnych plików lub przypadkowe formatowanie dysku twardego, może również zniszczyć dane na zawsze. Komputery też są nie jest odporny na katastrofy fizyczne a dane zostały utracone z powodu zalania systemów tryskaczy przeciwpożarowych biurami lub przepięć elektrycznych, które uszkadzają napędy nie do naprawienia.

W dobie małych komputerów ludzie tracą pamięć USB i codziennie wrzucają telefony do toalety. W chwili nieuwagi pojedynczy pracownik może kliknąć złośliwy link w wiadomości e-mail i rozpocząć ogólnoświatowy atak ransomware, który nieodwracalnie szyfruje każdy pojedynczy plik.

Czasami nic się nie dzieje, a napęd dyskowy właśnie kończy żywotność i ulega awarii. Istnieje dosłownie niekończąca się lista sposobów niszczenia danych.

Rozwiązania

Przyjmując do wiadomości, że utrata danych stanowi nieuniknione ryzyko, sensowne jest zapewnienie kopii zapasowej danych krytycznych. Tworzenie niezawodnego planu tworzenia kopii zapasowych było kiedyś tajemną sztuką, którą mogli wykonać tylko doświadczeni administratorzy systemów. W skrajnych przypadkach może to nadal być prawdą, ale w dzisiejszych czasach prawie każdy może kupić kopie zapasowe poza siedzibą za kilka dolarów na miesiąc. Jest kilka pytań, które chcesz zadać potencjalnym firmom zajmującym się tworzeniem kopii zapasowych, a także mieć pewność, że Twoje kopie zapasowe zostaną zaszyfrowane.

Strona główna iDrive.iDrive to tylko jedna z wielu opcji tworzenia kopii zapasowych i przechowywania w chmurze,

Jeśli Twoje informacje są szczególnie wrażliwe lub przepisy branżowe nie zezwalają na tworzenie kopii zapasowych w chmurze, istnieją inne alternatywy.

Przydatne mogą być kopie zapasowe przechowywane na stronie dla sytuacji z błędami ludzkimi, które wymagają szybkiej naprawy, takich jak przywracanie pojedynczego pliku. Jednak kopie zapasowe na miejscu nie przyniosą wiele korzyści w przypadku zalania biura, pożaru lub kradzieży kopii zapasowych.

W związku z tym kopie zapasowe poza siedzibą są kluczową częścią każdego planu tworzenia kopii zapasowych i chociaż usługi tworzenia kopii zapasowych w chmurze są najłatwiejszym sposobem na osiągnięcie tego, nie ma powodu, dla którego zaufani pracownicy nie mogą okresowo zabierać zaszyfrowanych kopii zapasowych do domu. Pamiętaj, że gdy dane opuszczą lokal, nadal muszą być chronione, więc silne szyfrowanie jest kluczowe.

W Twojej branży mogą obowiązywać również przepisy dotyczące zatrzymywania danych, co oznacza, że ​​będziesz musiał przechowywać stare dane, których już nie używasz, aby zachować zgodność. Im dłużej przechowywane są dane, tym większa szansa na ich zniszczenie. Dlatego też długoterminowe dane przechowywania są idealnym kandydatem do przechowywania poza siedzibą.

Ochrona urządzeń należących do pracowników

Nadrzędnym problemem, który komplikuje wszystkie aspekty ochrony danych, jest rozprzestrzenianie zdalnych pracowników lub pracowników wyposażonych w urządzenia typu BYOD. Zezwolenie na pracę zdalną może być korzystne, ponieważ otwiera pulę talentów, umożliwiając zatrudnienie najlepszych pracowników. Zwiększa także liczbę miejsc, w których dane firmy mogą zostać utracone lub narażone na szwank.

BYOD i ogólnie urządzenia zdalne niosą ryzyko utraty danych i wycieku danych. Telefony i tablety są małe i towarzyszą nam wszędzie, i często są zgubione lub uszkodzone.

Rozwiązania

Najlepiej byłoby, gdyby zdalni pracownicy korzystali z Virtual Network Computing (VNC), aby uzyskać dostęp do swoich komputerów stacjonarnych w biurze. Nawet jeśli pracownik zdalny nigdy nie przyjdzie do biura, umożliwiając dostęp tylko przez VNC zapewnia większą kontrolę nad tym, co może zrobić zdalny pracownik.

Serwery VNC można skonfigurować tak, aby nie zezwalały na przesyłanie plików, a ponieważ VNC nie tworzy rzeczywistego połączenia sieciowego, tak jak VPN, komputer zdalnego pracownika nigdy nie jest podłączony do sieci roboczej. Pomoże to zapobiec rozprzestrzenianiu się złośliwego oprogramowania w sieci biurowej, jeśli komputer zdalnego pracownika zostanie zainfekowany. Zezwolenie na dostęp przez połączenie VPN zapewni łatwiejszy dostęp do większej liczby zasobów biurowych, ale wiąże się również z większym ryzykiem infekcji i kradzieży danych, ponieważ komputer zdalny w pewnym stopniu współdzieli sieć biurową.

Jeśli zezwalasz na BYOD, dobrym pomysłem jest wdrożenie systemu zarządzania urządzeniami mobilnymi (MDM), który może wykonywać takie czynności, jak zdalnie wyczyść wszystkie dane z telefonu i zlokalizuj telefon, jeśli zaginął.

Strona główna ManageEngine Mobile Device Manager Plus.ManageEngine Mobile Device Manager Plus to jeden przykład oprogramowania MDM.

Pożądane jest również zastosowanie rozwiązania MDM, które zapewnia segregację danych. Na przykład udostępnianie kontaktów służbowych i osobistych w tej samej książce adresowej stwarza wysokie ryzyko wycieku danych, ponieważ łatwo jest nieprawidłowo wybrać kontakt osobisty jako odbiorcę i przypadkowo wysłać poufne informacje o firmie.

Planowanie niedostępności danych

W trakcie prowadzenia działalności gospodarczej może się zdarzyć, że biuro będzie niedostępne. Małe wydarzenia, takie jak pożar w budynku biurowym, mogą uniemożliwić dostęp do biura na kilka dni. Duże wydarzenia, takie jak Huragan Sandy w 2012 r., Mogą na lata wynieść podziemne obszary budynku.

Planowanie takich wydarzeń mieści się w koncepcji planowania ciągłości działania (BCP). Planowanie BCP próbuje odpowiedzieć na następujące pytanie: „Jak prowadzilibyśmy działalność, gdyby nasze biuro / serwery / sklep były niedostępne przez dłuższy czas?”

Rozwiązanie

Kopie zapasowe poza siedzibą mogą odgrywać dużą rolę w planowaniu BCP. Jeśli istnieją bieżące kopie zapasowe poza siedzibą, pracownicy mogą pracować z domu lub innych zdalnych lokalizacji, korzystając z tych danych w celu zapewnienia ciągłości działania. Inne względy mogą obejmować przełączanie awaryjne numerów telefonów, które mogą być przekazywane do telefonów komórkowych pracowników, aby pozostawić je otwarte.

Wiedząc, jak uzyskać dostęp do swoich danych

To może wydawać się głupim pytaniem. Niestety z doświadczenia możemy potwierdzić, że tak nie jest. Wiele małych firm polegało na mish-mash stron trzecich do opieki nad swoimi danymi przez lata, aw niektórych przypadkach nie mają pojęcia, gdzie którekolwiek z nich są faktycznie przechowywane. Częścią każdego odpowiedniego planu zapobiegania utracie danych jest wiedza, od czego mają zacząć się Twoje dane.

Zastanów się ponownie nad naszą prostą witryną e-commerce. Co najmniej ma następujące cechy:

  1. Konto rejestratora: Rejestrator domen to firma, która sprzedaje nazwy domen. Serwery nazw Twojej domeny są kontrolowane przez rejestratora domen. Serwery nazw są kluczowym elementem kontrolnym Twojej witryny, więc powinieneś wiedzieć, kto to jest i mieć poświadczenia konta.
  2. Konto hostingowe: Pliki witryny znajdują się fizycznie na serwerze internetowym gdzieś na świecie. Firmą, która świadczy te usługi, jest twój hosting. Upewnij się, że wiesz, kto jest Twoim usługodawcą internetowym i że masz poświadczenia konta.
  3. Konto e-mail: Twój usługodawca hostingowy może nie być również usługodawcą poczty e-mail. Wiele firm korzysta z zewnętrznych dostawców poczty e-mail, takich jak Google. Upewnij się, że wiesz, gdzie jest Twój adres e-mail i czy masz poświadczenia konta.
  4. Kopie zapasowe: Jeśli masz już skonfigurowane kopie zapasowe, gdzie one są? Jeśli nie masz do nich dostępu i nie wiesz, jak przywrócić pliki, kopie zapasowe nie przyniosą wiele dobrego.

Do wszystkich systemów danych należy zadawać te same typy pytań, dopóki nie będziesz w stanie dobrze zrozumieć, gdzie znajdują się wszystkie twoje dane. Najtrudniejsza jest próba znalezienia tych informacji w nagłych wypadkach.

Oprócz praktycznej potrzeby poznania tych rzeczy, Twoja branża może również regulować regiony geograficzne, w których możesz przechowywać dane.

Uwagi dotyczące danych klientów według kraju

Dane klientów zwykle wymagają szczególnej uwagi. Jedną rzeczą jest utrata wewnętrznych arkuszy kalkulacyjnych. Z prawnego punktu widzenia kradzież lub niewłaściwe wykorzystanie danych klienta jest zupełnie inne. W ponad 80 krajach obowiązują przepisy dotyczące prywatności, które mają zastosowanie do firm zbierających dane klientów. Podstawowe obowiązki większości tych aktów sprowadzają się do następujących punktów:

  1. Zanim to zrobisz, uzyskaj zgodę na zbieranie danych klientów.
  2. Zbierz jak najmniej informacji.
  3. Używaj danych w sposób, w jaki masz na to pozwolenie.
  4. Zabezpiecz informacje przed nieautoryzowanym dostępem.
  5. Udostępnij dane swoim klientom.

Oto bardzo szybki przegląd ogólnego stanu przepisów dotyczących prywatności w USA, Wielkiej Brytanii, Kanadzie i Australii. Daje to pewne wskazówki co do tego, jakiego rodzaju organizacje ochrony powinny zapewnić dane klientów, a także poczucie kar za naruszenia.

Australia

Przewodnik dla małych firm dotyczący ochrony danych

Podobnie jak Kanada i Wielka Brytania, w Australii obowiązuje federalna ustawa o prywatności, która trafnie nazywa się Ustawą o prywatności. Po raz pierwszy został uchwalony w 1988 roku i od tego czasu został zmieniony i rozszerzony. Ustawa opiera się na koncepcji 13 australijskich zasad prywatności.

Ustawodawstwo

Ustawa o prywatności początkowo obejmowała jedynie przetwarzanie prywatnych informacji przez agencje rządowe i kontrahentów rządowych. Od tego czasu został rozszerzony na firmy sektora prywatnego.

Wszystkie australijskie firmy o łącznej sprzedaży przekraczającej 3 000 000 AUD mają obowiązki wynikające z ustawy o prywatności. Niewielka lista firm, takich jak firmy związane z ochroną zdrowia i firmy finansowe, również podlegają tej ustawie, niezależnie od całkowitej sprzedaży.

Przekazywanie klientom informacji

Zasada 12 ustawy o prywatności dotyczy „dostępu do danych osobowych i ich poprawiania”. Z nielicznymi wyjątkami należy przekazać prośbę danej osoby o jej dane osobowe, ale nie ma określonego terminu. Wnioski agencji muszą zostać rozpatrzone w ciągu 30 dni, ale jeśli wnioskodawcą jest osoba, wówczas jedynym wymogiem jest „udzielenie dostępu do informacji w sposób wymagany przez osobę, jeśli jest to uzasadnione i wykonalne”.

Kary

Istnieją różne kary za naruszenie Ustawy o prywatności, w zależności od tego, jak poważne jest to naruszenie. Wartości pieniężne za naruszenia nie są określone w ustawie o prywatności. Naruszeniom przypisuje się raczej liczbę jednostek karnych w zależności od powagi przestępstwa. Poważnym naruszeniom przypisuje się 2000 jednostek karnych, natomiast mniej surowym przestępstwom przypisuje się zaledwie 120 jednostek karnych.

Sekcja 4AA australijskiej ustawy o przestępstwach określa wartość jednostki karnej w dolarach australijskich i jest okresowo aktualizowana. Obecnie pojedyncza jednostka karna wynosi 210 AUD (z zastrzeżeniem indeksowania), co oznacza, że ​​poważne wykroczenia mogą być w zakresie 420 000 AUD. W rzeczywistości sądy w Australii czasami wymagają jedynie przeprosin.

Kanada

kanadyjska flaga

Ustawodawstwo

Kanadyjskie federalne przepisy dotyczące ochrony danych dla firm są zawarte w ustawie o ochronie danych osobowych i dokumentach elektronicznych (PIPEDA). Niektóre prowincje, takie jak Alberta, Kolumbia Brytyjska i Quebec, mają własne regionalne ustawy o ochronie danych, które są na tyle podobne, że PIPEDA nie ma zastosowania do przedsiębiorstw w tych prowincjach. Dlatego w zależności od prowincji, w której prowadzisz działalność, musisz zapoznać się z PIPEDA lub jednym z następujących regionalnych aktów prawnych:

  • Alberta: Ustawa o ochronie danych osobowych
  • Kolumbia Brytyjska: Ustawa o ochronie danych osobowych
  • Quebec: * Ustawa o ochronie danych osobowych w
    sektor prywatny*

Ponadto Kanada ma odrębną ustawę o prywatności, która kontroluje sposób, w jaki rząd federalny ma przetwarzać dane osobowe w agencjach rządowych.

PIPEDA wymaga od organizacji uzyskania zgody przed zebraniem danych osobowych. Warto jednak zauważyć, że PIPEDA nie ma zastosowania do osób, które zbierają dane osobowe do użytku osobistego, ani organizacji, które zbierają dane osobowe do użytku dziennikarskiego.

Biuro Komisarza ds. Prywatności w Kanadzie prowadzi przegląd różnych kanadyjskich federalnych i regionalnych ustaw dotyczących prywatności.

Przekazywanie klientom informacji

Informacje będące w posiadaniu agencji federalnych można uzyskać, wypełniając formularz wniosku o informacje. Aby poprosić o dane osobowe będące w posiadaniu innego rodzaju organizacji, skontaktuj się z tą organizacją. Pomóc może wojewódzki lub terytorialny urząd rzecznika praw obywatelskich.

Kary

Osoby naruszające zasady PIPEDA mogą zostać ukarane grzywną w wysokości do 100 000 USD za każde naruszenie za świadome naruszenie aktu.

Zjednoczone Królestwo

Flaga brytyjska - Union Jack Flaga brytyjska - Union Jack - UK

Ustawodawstwo

Federalna ustawa o ochronie danych w Wielkiej Brytanii to trafnie nazwana ustawa o ochronie danych. W przeciwieństwie do Kanady, brytyjska ustawa o ochronie danych ma zastosowanie zarówno do biznesu, jak i rządu.

Przekazywanie klientom informacji

Obywatele Wielkiej Brytanii mają prawo dowiedzieć się, jakie informacje na ich temat posiada organizacja. Nie wszystkie informacje muszą jednak zostać ujawnione. Dane, które nie muszą być udostępniane, obejmują informacje o:

  • informacje o dochodzeniach kryminalnych
  • akta wojskowe
  • sprawy podatkowe lub
  • nominacje sądowe i ministerialne

Organizacje mogą również pobierać opłaty za przekazywanie ludziom tych informacji. Strona internetowa brytyjskiego komisarza ds. Informacji może udzielać porad i wskazówek, a także badać skargi dotyczące przetwarzania danych.

Kary

Brytyjska ustawa o ochronie danych przewiduje kary do 500 000 GBP, a nawet ściganie za naruszenia.

Stany Zjednoczone

flaga USA

Stany Zjednoczone są w pewnym stopniu wyjątkowe, ponieważ mają mniej przepisów dotyczących prywatności na szczeblu federalnym niż większość innych krajów. Zamiast tego większość aktów dotyczących prywatności w Stanach Zjednoczonych dotyczy przemysłu lub państwa. Dlatego może być trudno odkryć prawa, które mogą mieć zastosowanie do konkretnej firmy. Dobrym początkiem jest strona Prywatności i Bezpieczeństwa Federalnej Komisji Handlu USA.

Ustawodawstwo

Amerykańska ustawa o prywatności z 1974 r. Kontroluje sposób gromadzenia, wykorzystywania i ujawniania informacji przez agencje federalne. Częściowo stwierdza:

Żadna agencja nie ujawnia żadnych zapisów zawartych w systemie zapisów za pomocą jakichkolwiek środków komunikacji z jakąkolwiek osobą lub inną agencją, chyba że na pisemny wniosek lub za uprzednią pisemną zgodą osoby, której zapis jest dotyczy.

Ustawa wymienia następnie kilka wyjątków od tej dyrektywy. Niektóre z nich, takie jak wyjątek dotyczący „rutynowego użytkowania”, mogą wydawać się nieco szersze w XXI wieku.

Większość amerykańskich przepisów dotyczących prywatności jest związanych z branżami lub generowanych na poziomie stanowym. Dlatego ważne jest, aby organizacja oceniła, w których stanach będzie działała, a także czy istnieją przepisy branżowe dotyczące prywatności obowiązujące na dowolnym szczeblu rządowym.

Niektóre duże federalne ustawy o ochronie prywatności w USA to:

  • Ustawa o przenośności i rozliczalności ubezpieczeń zdrowotnych (HIPPA): ustawa ta dotyczy administracji opieki zdrowotnej w USA.
  • Ustawa o ochronie prywatności dzieci w Internecie (COPPA): ustawa ta dotyczy zbierania danych online dotyczących dzieci poniżej 13 roku życia w USA.
  • Uczciwe i dokładne transakcje kredytowe (FACTA): ustawa ta dotyczy obowiązku biur kredytowych w zakresie dostarczania informacji kredytowych i narzędzi zapobiegania oszustwom obywatelom USA.

Przekazywanie klientom informacji

Amerykańska ustawa o prywatności określa, że ​​osoby fizyczne mają prawo do uzyskania informacji o nich na temat organizacji federalnych. Aby złożyć wniosek, ludzie skontaktują się z odpowiednią agencją. W przypadku prywatnych przedsiębiorstw wymóg, aby organizacja dostarczała dokumentację osobom fizycznym, opierałaby się na istnieniu przepisów mających zastosowanie do tej branży lub państwa. Ponownie najlepszym miejscem na początek będzie prawdopodobnie strona internetowa Federalnej Komisji Handlu Stanów Zjednoczonych.

Kary

Federalna ustawa o ochronie prywatności zawiera kary, ale ponieważ ustawa o ochronie prywatności ma zastosowanie tylko do rządu federalnego USA, co nie dotyczy innych organizacji. Kary za naruszenia prywatności w USA będą zależeć od tego, który akt został naruszony i jakie kary są w nim zawarte.

Ostatnie komentarze

Niepokojące jest tempo, w jakim w ciągu ostatnich kilku lat wystąpiły straty i naruszenia danych. Większość z tych naruszeń jest możliwa, ponieważ organizacje po prostu tego nie oczekują. Ataki ransomware na skalę globalną są skuteczne, ponieważ pracownicy nadal klikają złośliwe łącza w wiadomościach e-mail. Firmy tracą możliwość zamawiania online na kilka dni, a nie godzin, ponieważ nie wiedzą, z kim się skontaktować, gdy nastąpi awaria ich witryny. Wszystko to można bardzo starannie złagodzić za pomocą szyfrowania, kopii zapasowych i pewnej wiedzy systemowej.

Zdjęcie: „Internet Cyber” autorstwa Gerda Altmanna na licencji CC BY 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

44 + = 51