GDPR: הבנת שמונה זכויות של נושאי נתונים

שתפו את הפוסט

גלה מה המשמעות של זכויות חדשות אלה לארגון שלך וכיצד אתה יכול להתכונן.

GDPR בפרוש מלא General Data Protection Regulation היא המסגרת המשפטית החדשה של האיחוד האירופי שהחליפה את הוראת האיחוד האירופי להגנת מידע במאי 2018. אף שההוראה הייתה בגדר המלצה בלבד, GDPR היינו חוק משפטי.

מטרת ה- GDPR דומה להנחיית הגנת המידע כיום. התקנה נועדה להגן על הנתונים האישיים של אזרחי האיחוד על ידי הגדרת האופן בו ארגונים מעבדים, מאחסנים ומוחקים אותם (המילה השמדה יותר מתאימה במקרה זה) .

החוק  נותן לאנשים שליטה על האופן בו חברות יכולות להשתמש במידע שקשור ישירות אליהם באופן אישי ומעניק שמונה זכויות ספציפיות. חלק מהזכויות הללו הן חדשות; חלקם הם גרסאות משופרות יותר של זכויות הקיימות במסגרת הוראת האיחוד האירופי להגנת מידע. ב- GDPR, זכויות אלה נקראות "זכויות של נבדקי נתונים."

"ישות נתונים" שהיא כל אדם היא לגמרי שונה "מנתוני מידע ", יישות נתונים אינה ישות פאסיבית שאין לה ברירה אלא לקבל את כל מה שקורה לנתונים האישיים שלה. אלא בעלים עצמאיים של הנתונים שלהם וקובעים כיצד משתמשים בנתונים.

להלן תיאור של זכויות הפרט הניתנות על ידי ה- GDPR, הסבר על משמעותם בפועל, ותיאור כיצד הארגון שלך יכול להסתגל.

8 זכויות ה- GDPR:

1. הזכות לקבל מידע

מאמרים GDPR: 12, 13, 1

מה המשמעות של אנשים? לפני שנאסף נתונים, לנבדק יש את הזכות לדעת כיצד הוא ייאסף, יעובד ואוחסן ולאילו מטרות.

איך להתייחס לזה בארגון שלי? צור מדיניות קלה לקריאה המספקת פרטים מפורשים אודות המידע הנשמר באדם – וכיצד ישמש אותו. וודא כי כל תהליכי איסוף הנתונים ממוקמים במידע למשתמש לפני איסוף הנתונים.

2. זכות גישה

מאמרי GDPR: 12, 15

מה המשמעות של אנשים? לאחר איסוף הנתונים, לנבדק הזכות לדעת כיצד נאסף, עובד ואוחסן, אילו נתונים קיימים ולאילו מטרות.

איך להתייחס לזה בארגון שלי? יישם תהליך ויכולות טכניות ל:

א) עקוב אחר כל הנתונים הקשורים למבקש במערכות שלך,
ב) קבל זכות גישה לבקשה, ו
ג) ספק את המידע למבקש.

תהליכים אלה עשויים להיות כרוכים במאמצים ידניים רבים אשר מסיטים את הצוות שלך מפרויקטים קריטיים אחרים. אתה יכול לפשט את העבודה על ידי אוטומציה של תהליכים אלה ויישום רישום הגישה. בעת העברת מידע לנבדקים או לצדדים שלישיים, ודא שהוא מאובטח באמצעות העברת קבצים מנוהלים מאובטחת.

3. זכות לתיקון ("תיקון")
מאמרי GDPR: 12, 16

מה המשמעות של אנשים? לנבדק הזכות לתקן נתונים שגויים או לא שלמים.

איך להתייחס לזה בארגון שלי? יישם תהליך ויכולות טכניות ל:

א) להשיג זכות גישה לבקשה,
ב) תקן את הנתונים, ו
ג) אשר את התיקון למבקש.

מכיוון שהדבר חל גם על נתונים שהארגון שלך העביר לצדדים שלישיים, אתה זקוק לתהליך כדי להודיע להם בבטחה על התיקון. תומך ביישום שלך על ידי אוטומציה של תהליכים ושימוש בהעברת קבצים מנוהלים מאובטחת.

4. זכות למחיקה (זכות לשכוח)
מאמרי GDPR: 12, 17

מה המשמעות של אנשים? לנמען יש את הזכות למחוק נתונים אישיים לצמיתות.

איך להתייחס לזה בארגון שלי? יישם תהליך ויכולות טכניות ל:

א) עקוב אחר כל הנתונים הנוגעים למבקש במערכות שלך,
ב) לקבל זכות למחיקת בקשה,
ג) מחק את כל הנתונים בבקשה, ו
ד) אשר את המחיקה למבקש.

בנוסף, הטמיע תהליכים ויכולות טכניות ל:

מחק נתונים באופן אוטומטי לאחר תקופת שמירה קבועה, אלא אם כן הנתונים עדיין נדרשים.
יידע מעבדים אחרים אליהם הועברו נתונים על הבקשה.
קבל זכות למחיקת בקשה ממנהל נתונים או מעבד אחר, ולבצע אותה.
הגדירו תהליך אוטומטי ומאובטח במיוחד כדי לנטרל זכות לבקשות מחיקה נכנסות, ליידע מעבדים על בקשות זכות למחיקה, למחוק נתונים בתגובה לבקשות זכות למחיקה ולמחוק אוטומטית נתונים שאינם נדרשים, למשל לאחר תקופות שמירה חוקית סוף.

5. זכות להגבלת העיבוד
מאמרי GDPR: 12, 18

מה המשמעות של אנשים? לנבדק הזכות לחסום או לדכא נתונים אישיים שעובדים או משתמשים בהם.

איך להתייחס לזה בארגון שלי? יישם תהליך ויכולות טכניות ל:

א) עקוב אחר כל הנתונים הנוגעים למבקש במערכות שלנו,
ב) לקבל זכות להגבלת בקשת העיבוד,
ג) השהה את העיבוד מבלי למחוק את הנתונים, ו
ד) אשר את ההגבלה בעיבוד למבקש.

הגדר תהליך אוטומטי ומאובטח כדי להטיל וטורד על הזכות הנכנסת להגבלת בקשות העיבוד, ליידע את המעבדים על הבקשות ולהגביל (להשהות) את עיבוד הנתונים.

6. זכות לניידות נתונים
מאמרי GDPR: 12, 20

מה המשמעות של אנשים? לנחקר יש את הזכות להעביר, להעתיק או להעביר נתונים אישיים מבקר נתונים אחד למשנהו, בצורה בטוחה ובטוחה, בתבנית נפוצה וקריאה במכונה. ככל שזה אפשרי מבחינה טכנית, זה כולל גם את הזכות להעביר את הנתונים ישירות מבקר אחד למשנהו מבלי שהנבדק יצטרך לטפל בנתונים.

איך להתייחס לזה בארגון שלי? יישם תהליך ויכולות טכניות ל:

א) עקוב אחר כל הנתונים הנוגעים למבקש במערכות שלך,
ב) לקבל זכות לבקשת ניידות נתונים,
ג) העבר נתונים לבקר אחר או אחר למבקש באופן מאובטח
ד) אשר את ההעברה למבקש.

אוטומציה ואבטחה של תהליך האפשרות לבחור את הזכות הנכנסת לבקשות ניידות נתונים, ומתן למבקש גישה לחבילת נתונים המתאימה.

7. הזכות להתנגד לעיבוד
מאמרי GDPR: 12, 21

מה המשמעות של אנשים? לנמען יש את הזכות להתנגד להיות כפוף לרשויות ציבוריות או לחברות המעבדות את הנתונים שלהם ללא הסכמה מפורשת. לנבדק יש גם את הזכות להפסיק לכלול נתונים אישיים במאגרי שיווק ישיר.

איך להתייחס לזה בארגון שלי? למעשה, מספיק שילוב של תהליכים ויכולות טכניות להגבלה, הגבלה ומחיקה שתוארו לעיל. באמצעות אוטומציה והעברת קבצים מאובטחת, הגדר תהליך שמטיל וטורד על הזכות הנכנסת להתנגדויות לבקשות עיבוד וליידע את המעבדים על הבקשה.

8. הזכות לא להיות כפופה לקבלת החלטות אוטומטיות
מאמרי GDPR: 12, 22

מה המשמעות של אנשים? לנחקר יש את הזכות לדרוש התערבות אנושית, במקום לקבל החלטות חשובות שהתקבלו אך ורק באמצעות האלגוריתם.

כיצד לטפל בזה,

הערות נוספות:

זכויות של נושאי נתונים, כגון הזכות לגישה, מופעלות בדרך כלל על ידי אנשים – הנבדקים עצמם.
בהקשרים משפטיים מסוימים, כגון אכיפת החוק או מצבים ביטחוניים, זכותו של הנבדק מוחלפת על ידי דרישת רשות פיקוח לפקח או לבקר באופן קבוע את עיבוד הנתונים לביצוע פיקוח.

הדרישה הבסיסית הבסיסית זהה בשני המקרים: עליכם להיות מסוגלים להטיל וטרינה על בקשה נכנסת ולספק את בקשת המידע, המחיקה וכו '.

פתרונות FORTRA יכולים לתמוך בכם ביישום חובה של תהליכי זכויות של נושאי נתונים.
הפתרונות שלנו מסייעים ביישום שלך על ידי מתן יכולות חזקות לאוטומציה של תהליכים, רישום גישה והעברת קבצים מאובטחת.

1) אוטומציה של תהליכים
זכויות נושאי נתונים מחייבות אותך להגדיר ולתעד תהליך עסקי מתאים. אוטומציה מאפשרת לך לייעל את אותם תהליכים, להבטיח יעילות גבוהה ומתן מענה עקבי לבקשות שירות אלה.

מרבית התהליכים הללו יהיו מורכבים מאלמנטים ידניים ומרכיבים אוטומטיים או אוטומטיים. לדוגמה, הצבת בקשת זכות גישה נכנסת עשויה לכלול אימות ידני של מסמכי תעודת זהות. FORTRA מציעה פתרונות שיכולים לעזור לך ליצור תהליכים ידניים-אוטומטיים היברידיים כאלה, כולל אוטומציה, טפסים ברשת וכניסה כאן.

2) רישום גישה
זכות הגישה פירושה שעלייך לבקש, על פי בקשה, מידע אודות הנתונים האישיים שנאספו וכיצד הם שונו וקראו לאחר איסוף הנתונים הראשוני. כדי ללכוד מידע זה, תהליכים ידניים אינם מספיקים. בנוסף לתיעוד ברור של זרימת הנתונים שלך, עליך לרשום אוטומטית גישות לנתונים אישיים וכדי להיות מסוגל לשאול מידע זה.

FORTRA מציעה פתרונות ללכידה ורישום של גישה לנתונים שונים. עבור עולם i של IBM, אנו מציעים יכולות רישום ודיווח בפתרונות אבטחת המידע שלנו Powertech Exit Point Manager עבור IBM i, Powertech Command Security עבור IBM i, Powertech Broker Authority עבור IBM i, Powertech Compliance Monitor עבור IBM i, ו- Powertech Database Monitor עבור IBM i. יכולות הרישום מובנות גם בפתרון העברת הקבצים המנוהלים שלנו, GoAnywhere MFT.

3) העברת קבצים מאובטחת
יישום זכויות של תהליכי נושאי נתונים מחייב אותך להעביר מידע בצורה מאובטחת מנקודה A לנקודה B. למשל, הזכות לגישה מחייבת לספק למבקשת חבילה של כל הנתונים האישיים שאספת עליה, כ וכן כיצד לעבד נתונים וגישה לאחר מכן.

מכיוון שאוסף זה עצמו מייצג נתונים אישיים, אותם אמצעי הגנה חלים לגבי הנתונים שנאספו במקור, כולל הצורך להגן על מידע זה במנוחה ובמעבר.

אספקת חבילה כזו עשויה לדרוש גם כי תחילה יאספו נתונים ממחלקות שונות בתוך הארגון שלך, או אפילו מחברות שונות בתוך הארגון, לפני שיורכבו לחבילה יחידה שתועבר ללקוח.

הפיתרון שלנו GoAnywhere העברת קבצים מנוהלת מספק לך את היכולת להעביר או להנגיש חבילות מידע רגישות כאלה בצורה מאובטחת. בנוסף, הודות ליכולות האוטומציה של GoAnywhere, תוכלו גם לשלב את אספקת הנתונים לזרימת עבודה מלאה יותר של זכות גישה הבנויה על פתרונות אוטומציה של FORTRA שהוזכרו לעיל.

למידע נוסף על GDPR וזכויותיהם של נבדקים, עיין במשאבים השימושיים הבאים:

הטקסט המלא של GDPR ב 24 שפות
סעיף 29 הנחיות קבוצת עבודה בנושא ניידות נתונים
המפקח האירופי להגנת נתונים על זכויות נבדקים
אתה יכול גם לצפות בסמינר המקוון שלנו לפגישה עם GDPR עם GoAnywhere MFT או לבדוק את דף המשאבים שלנו בנושא עמידה ב- GDPR להעברת קבצים.

ראו עוד: כספת מאובטחת | העברת קבוצים מאובטחת | אוטומציה רובטיתGoanywhere | DLP | MessageNet