Tietosuoja turvaa tietojesi yksityisyyden, saatavuuden ja eheyden ottamalla käyttöön erilaisia tietosuojastrategioita ja -prosesseja.
Yksityisyys on ratkaisevan tärkeää suhteiden luomisessa ihmisten ja organisaatioiden välille, mutta siinä on todellisuudessa kyse perusoikeuksien turvaamisesta. Hyvä strategia voi auttaa estämään tietojen katoamista, varkautta tai korruptiota ja minimoimaan vahingot tietomurron tai katastrofin sattuessa. Organisaation, joka käsittelee, tallentaa tai kerää arkaluonteisia tietoja, on kehitettävä tietosuojastrategia.
Tietosuoja tulee ottaa huomioon minkä tahansa järjestelmän, palvelun, tuotteen tai prosessin suunnitteluvaiheessa ja koko sen elinkaaren ajan.
Henkilötiedot voidaan jakaa useisiin luokkiin, jotka kaikki voivat aiheuttaa tietosuojaongelmia. Nämä ovat:
Pohjimmiltaan tietosuojaperiaatteet auttavat organisaatioita suojaamaan tietoja ja asettamaan ne helposti yksilöiden saataville kaikissa olosuhteissa. Tietosuojalla tarkoitetaan sekä tietojen varmuuskopiointia että liiketoiminnan jatkuvuutta/katastrofipalautusta (BCDR), kuten:
Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka voivat liittyä tunnistettavaan tai tunnistettuun elävään henkilöön. Henkilö voidaan tunnistaa kokoamalla yhteen erilaisia tietoja, jotka yhdessä kerättynä muodostavat henkilötietoja.
Joitakin esimerkkejä henkilötiedoista ovat: etu- ja sukunimet, osoitteet, tunnistettava sähköpostiosoite (tämä voisi olla etunimi.sukunimi@yritys.com), sijaintitiedot ja IP (Internet-protokolla) osoite.
Organisaatiot käyttävät yleensä henkilötietoja päivittäisessä toiminnassa.
ICO toteaa, että:
"Yksinään nimi John Smith ei välttämättä aina ole henkilötietoa, koska sillä on monia henkilöitä. Jos nimi kuitenkin yhdistetään muihin tietoihin (kuten osoitteeseen, työpaikkaan tai puhelinnumeroon), tämä riittää yleensä yksilöimään selkeästi yhden henkilön."
ICO korostaa myös, että nimet eivät välttämättä ole ainoita tietoja, joita tarvitaan yksilön tunnistamiseen:
"Yksinkertaisesti siksi, että et tiedä henkilön nimeä, ei tarkoita, ettet pysty tunnistamaan [heitä]. Monet meistä eivät tiedä kaikkien naapuriemme nimiä, mutta pystymme silti tunnistamaan heidät.”
Tietosuojalla tarkoitetaan sitä, kuinka arkaluonteisia ja tärkeitä tietoja tulee kerätä tai käsitellä. Henkilökohtaiset terveystiedot (PHI) ja Henkilökohtaiset tunnistetiedot (PII) ovat kaksi esimerkkiä tiedoista, joihin sovelletaan tietosuojalakeja. Tämä luokka sisältää taloudelliset tiedot, potilastiedot, sosiaaliturva- tai henkilötunnukset, nimet, syntymäpäivät ja yhteystiedot.
Arkaluonteisten tietojen tulisi olla vain valtuutettujen osapuolten saatavilla, joten tietosuoja auttaa varmistamaan, että rikolliset eivät voi käyttää tietoja haitallisesti, ja varmistaa, että organisaatiot täyttävät säädösten vaatimukset.
Suurin osa verkkokäyttäjistä haluaa hallita tai estää tietyntyyppistä henkilötietojen keräämistä, aivan kuten joku saattaa haluta sulkea ihmiset pois yksityisestä keskustelusta.
Yritysten on asetettava tietosuoja etusijalle. Tietosuojamääräysten noudattamatta jättäminen voi johtaa merkittäviin menetyksiin. Ajattele oikeudenkäyntejä, merkittäviä taloudellisia seuraamuksia ja tuotemerkin vahinkoja.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Kaikki, mitä teet tiedoilla, katsotaan käsittelyksi; muun muassa kerätä, tallentaa, tallentaa, analysoida, yhdistää, paljastaa tai poistaa.
Kaikenlaista datan käsittelyä kutsutaan tietojenkäsittelyksi. Koska raakadata ei ole valmis analytiikkaa, liiketoimintatiedonhallintaa, raportointia tai koneoppimista varten, se on koottava, muutettava, rikastettava, suodatettava ja puhdistettava.
Organisaatioiden on käsiteltävä tietoja voidakseen luoda parempia liiketoimintastrategioita ja parantaa niiden kilpailuetua.
"Miksi" ja "miten" henkilötietoja käsitellään, määrää rekisterinpitäjä. Rekisterinpitäjät ovat viime kädessä keskeisiä päätöksentekijöitä määritellessään tiedonkeruun syytä ja tarkoitusta sekä tietojenkäsittelyn menetelmää ja keinoja.
Rekisterinpitäjiä voivat olla:
Tietojen käsittelijä on henkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.
A tietojen käsittelijä toimii rekisterinpitäjän puolesta ja tämän valtuutuksen alaisena. Näin tehdessään ne palvelevat rekisterinpitäjän etuja ennemmin kuin omiaan.
Tietyissä tilanteissa yhteisö voi olla rekisterinpitäjä, tietojen käsittelijä tai molemmat.
Tietoa käsitteleviä koneita, kuten laskimia tai tietokoneita, pidetään tietojenkäsittelijöinä. Pilvipalveluntarjoajat luokitellaan nyt myös tietojen käsittelijöiksi. Kolmannen osapuolen tietojen käsittelijä ei omista tai hallitse käsittelemiään tietoja. Tietoja ei voida muuttaa niiden käyttötarkoituksen muuttamiseksi. Jos käsittelet henkilötietoja, olet tietojenkäsittelijä.
Henkilöä, joka on tiettyjen henkilötietojen kohteena, kutsutaan rekisteröidyksi tai rekisteröidyiksi.
Ei ole yksittäinen ratkaisu, joka toimii jokaisessa yrityksessä. Tietosuojasäännökset eivät aseta monia tiukkoja sääntöjä; Sen sijaan ne omaksuvat riskiperusteisen lähestymistavan ja noudattavat joitain keskeisiä periaatteita. Se on monipuolinen ja sitä voidaan käyttää erilaisissa organisaatioissa ja tilanteissa; siksi se ei estä innovatiivisia lähestymistapoja.
Tämä joustavuus tarkoittaa kuitenkin sitä, että sinun on harkittava – ja oltava vastuussa – kuinka käytät henkilötietojasi. Velvoitteiden täyttämiseen on usein useita tapoja riippuen siitä, miksi ja miten käytät tietoja.
Voit määrittää, mitkä vastaukset ovat parhaat organisaatiollesi, mutta sinun on pystyttävä perustelemaan ne. Tietosuojalainsäädännön vastuullisuusperiaate on kriittinen näkökohta.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Organisaatioiden, yritysten ja hallituksen on noudatettava Tietosuojalaki 2018 kun käsittelet henkilötietoja. Vuoden 2018 tietosuojalaki korvasi ja päivitti vuoden 1998 tietosuojalain, ja se tuli voimaan 25. toukokuuta 2018.
DPA on Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen (lisätietoja GDPR:stä alla olevassa artikkelissa) sisällyttäminen Yhdistyneen kuningaskunnan lainsäädäntöön. Yksinkertaisesti sanottuna:
Tiukat säännöt ns.tietosuojaperiaatteet' säätelee henkilötietojen käyttöä. Tietojen keräämiseen ja käyttöön osallistuvien on noudatettava seuraavia tiukkoja sääntöjä:
Mitä arkaluontoisempi tieto, sitä enemmän oikeussuojaa on. Nämä tiedot ovat; rotu, etnisyys, poliittiset vakaumukset, uskonnolliset vakaumukset, ammattiliiton jäsenyys, genetiikka, tunnistamisen biometriset tiedot, terveydentila ja seksuaalinen suuntautuminen.
- Yleinen tietosuojadirektiivi (GDPR) on maailman tiukin tietosuoja- ja tietoturvasääntö. Vaikka sen on kehittänyt ja hyväksynyt Euroopan unioni (EU), organisaatioiden on maailmanlaajuisesti noudatettava, jos ne keräävät tai käyttävät tietoja EU:n asukkaista.
GDPR tuli voimaan 25. toukokuuta 2018. Ne, jotka eivät noudata GDPR:n asettamia tietosuoja- ja turvallisuusstandardeja, voivat saada merkittäviä sakkoja.
GDPR korvaa EU:n tietosuojadirektiivin vuodelta 1995. Uuden direktiivin mukaan yritysten on oltava läpinäkyvämpiä ja annettava rekisteröidyille parempi yksityisyyden suoja. Vakavan tietoturvaloukkauksen sattuessa yrityksen tulee ilmoittaa asiasta kaikille asianosaisille ja valvontaviranomaiselle 72 tunnin kuluessa.
Vaikka GDPR on sisällytetty Yhdistyneen kuningaskunnan lainsäädäntöön tietosuojaviranomaisena EU:sta eroamisen jälkeen, UK-GDPR ja EU-GDPR ovat erillisiä ja erillisiä säädöksiä. Vaikka säännökset ovat tällä hetkellä identtisiä, Britannia voi brexitin jälkeen vapaasti muuttaa Yhdistyneen kuningaskunnan ja GDPR:n asetusta parlamentin tarpeelliseksi katsomallaan tavalla.
Yhdistyneen kuningaskunnan ulkopuolella sijaitsevan rekisterinpitäjän tai käsittelijän on noudatettava Yhdistyneen kuningaskunnan GDPR:ää, jos heidän käsittelynsä liittyy Yhdistyneessä kuningaskunnassa oleviin henkilöihin.
ISO 27701 on ISO 27001 -standardin laajennus (sitä lisää alla), uusin päivitys kansainvälisiin tietosuoja- ja tiedonhallintastandardeihin.
Sekä GDPR:n että ISO 27701:n tarkoituksena on luoda eettiset tietosuojastandardit kuluttajien suojelemiseksi. He työskentelevät yhdessä ja täydentävät toisiaan saavuttaakseen samat tavoitteet.
Tässä on yhteenveto siitä, mitä niillä on yhteistä:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Emme voi ajatella yhtäkään yritystä, jonka palvelu voisi pitää kynttilän ISMS.onlinelle.
Erilaisia tietosuojalakeja ja tietoja eri puolilta maailmaa löydät alla olevasta taulukosta.
| Lait | Toimivalta-alue |
|---|---|
| Yleinen henkilötietojen suojalaki (tunnetaan myös nimellä LGPD ja Lei Geral de Proteção de Dados Pessoais) | Brasilia |
| Kalifornian kuluttajansuojalaki (CCPA) | Kalifornia |
| Tietosuojalaki | Kanada |
| Tietosuojalaki 1988 | Australia |
| Henkilötietosuojalaki 2019 | Intia |
| Kiinan kyberturvallisuuslaki (CCSL) | Kiina |
| Henkilötietojen suojalaki (PIPL) | Kiina |
| Tietosuojalaki, 2012 | Ghana |
| Henkilötietolaki 2012 | Singapore |
| Tasavallan laki nro 10173: Data Privacy Act 2012 | Filippiinit |
| Venäjän liittovaltion laki henkilötiedoista (nro 152-FZ) | Venäjä |
| Henkilötietojen suojalaki (PDPL) | bahrain |
GDPR:n artiklassa 32 määritellään, mitä vaaditaan, kun kyse on sen varmistamisesta henkilötietojen turvallisuutta käsittely.
Asetus edellyttää, että sinun on ryhdyttävä ”asianmukaisiin teknisiin ja organisatorisiin toimenpiteisiin kohtaamiesi riskien torjumiseksi. Siinä kuvataan myös joitain tyypillisiä toimenpiteitä tässä suhteessa, mukaan lukien:
ISO 27001 kattaa myös nämä näkökohdat. Sinun on suoritettava laajat riskiarvioinnit tunnistaaksesi yrityksesi kohtaamat vaarat. Juuri tämä sinun täytyy selvittää GDPR:n mukaisina turvatoimina.
Se määrittää standardit sille, milloin ja miten tietojen salaus saatetaan toimimaan, sekä tietojesi luottamuksellisuuden ja saatavuuden varmistamiselle. Se myös määrittelee, mitä vaaditaan "liiketoiminnan jatkuvuuden hallinta", kattaa siten GDPR-vaatimuksen tietojen palauttamis- ja saatavuustoimenpiteiden toteuttamisesta.
Jos sinä täyttää ja ylläpitää ISO 27001 -vaatimustenmukaisuutta, sinulla on GDPR-tietojen käsittelyn turvallisuusvaatimukset tehokkaasti katettu stressitestauksen ja henkilöstön koulutuksen ansiosta.
Olitpa vasta alkamassa perehtyä tietosuojaan tai asiantuntija, joka haluaa yhdistää useita säädöksiä ja standardeja, ominaisuuksiamme on helppo käyttää. Pääset heti sinne, minne haluat.
Yhtiömme PIMS ratkaisu yksinkertaistaa tietojen kartoittamista. On helppoa tallentaa ja tarkistaa kaikki ja lisätä organisaatiosi tiedot esikonfiguroituun dynaamiseen Records of Processing Activity -työkaluumme.
Tehokas PIMS edellyttää riskien hallintaa. Auttaakseen jokaisessa vaiheessa riskien arviointi ja hallinta, olemme luoneet sisäänrakennetun riskipankin ja muita käytännön työkaluja.
Työskenteletpä sitten tietosuojastandardien tai säädösten parissa, sinun on osoitettava kykysi siihen käsitellä rekisteröidyn oikeuksien pyyntöjä (DRR). Suojattu DRR-tilamme pitää kaiken yhdessä paikassa, mikä auttaa sinua raportoimaan ja saamaan tietoa automaattisesti.
Lisätietoja: käytännön demon tilaaminen.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
