דאַטאַ שוץ באַוואָרענען די פּריוואַטקייט, אַוויילאַבילאַטי און אָרנטלעכקייַט פון דיין דאַטן דורך אַדאַפּט פאַרשידן דאַטן שוץ סטראַטעגיעס און פּראַסעסאַז.
פּריוואַטקייט איז קריטיש צו גרינדן אַ באַריכט צווישן מענטשן און אָרגאַנאַזיישאַנז, אָבער עס איז טאַקע וועגן באַוואָרעניש פונדאַמענטאַל רעכט. א גוטע סטראַטעגיע קענען העלפן פאַרמייַדן דאַטן אָנווער, גנייווע אָדער קאָרופּציע און מינאַמייז שעדיקן אויב אַ בריטש אָדער ומגליק אַקערז. אַן אָרגאַניזאַציע וואָס כאַנדאַלז, סטאָרז אָדער קאַלעקץ שפּירעוודיק דאַטן מוזן אַנטוויקלען אַ דאַטן שוץ סטראַטעגיע.
דאַטאַ שוץ זאָל זיין קאַנסידערד אין די פּלאַן פאַסע פון קיין סיסטעם, דינסט, פּראָדוקט אָדער פּראָצעס און איבער זיין לעבן.
פערזענלעכע אינפֿאָרמאַציע קענען זיין צעטיילט אין פאַרשידן קאַטעגאָריעס, וואָס אַלע קען אַרויסרופן פּריוואַטקייט קאַנסערנז. די זענען:
פונדאַמענטאַללי, די פּרינסאַפּאַלז פון דאַטן שוץ העלפֿן אָרגאַנאַזיישאַנז באַשיצן דאַטן און מאַכן עס גרינג בנימצא אונטער קיין צושטאנדן צו דעם יחיד. דאַטאַ שוץ רעפערס צו ביידע דאַטן באַקאַפּ אַפּעריישאַנז און געשעפט קאַנטיניויישאַן / ומגליק אָפּזוך (BCDR), אַזאַ ווי:
פערזענלעכע דאַטן איז ריפערד צו ווי קיין אינפֿאָרמאַציע וואָס קענען פאַרבינדן צו אַ יידענאַפייד אָדער יידענאַפייד לעבעדיק יחיד. מען קען אידענטיפיצירן א מענטש דורך צוזאמשטעלן פארשידענע ביטן פון אינפארמאציע, וואס, ווען זיי ווערן געזאמלט, זענען פערזענליכע דאַטן.
עטלעכע ביישפילן פון פּערזענלעך דאַטן אַרייַננעמען; ערשטער נעמען און לעצטע נעמען, אַדרעסעס, אַן יידענאַפייד בליצפּאָסט אַדרעס (דאָס קען זיין firstname.lastname@company.com), אָרט דאַטן און IP (אינטערנעץ פּראָטאָקאָל) אַדרעס.
אָרגאַנאַזיישאַנז יוזשאַוואַלי פאַרלאָזנ זיך פערזענלעכע דאַטן פֿאַר טאָג-צו-טאָג אַקטיוויטעטן.
די ICO זאגט אַז:
"ביי זיך, די נאָמען יוחנן סמיט קען נישט שטענדיק זיין פערזענלעכע דאַטן ווייַל עס זענען פילע מענטשן מיט דעם נאָמען. אָבער, ווען דער נאָמען איז קאַמביינד מיט אנדערע אינפֿאָרמאַציע (אַזאַ ווי אַן אַדרעס, אַ אָרט פון אַרבעט אָדער אַ טעלעפאָן נומער), דאָס וועט יוזשאַוואַלי זיין גענוג צו קלאר ידענטיפיצירן איין יחיד.
די ICO אויך מאכט די פונט אַז נעמען זענען נישט דאַווקע די בלויז אינפֿאָרמאַציע פארלאנגט צו ידענטיפיצירן אַ יחיד:
"פשוט ווייַל איר טאָן ניט וויסן דעם נאָמען פון אַ יחיד טוט נישט מיינען אַז איר קענען נישט ידענטיפיצירן [זיי]. פילע פון אונדז קענען נישט די נעמען פון אַלע אונדזער שכנים, אָבער מיר זענען נאָך ביכולת צו ידענטיפיצירן זיי.
דאַטאַ פּריוואַטקייט רעפערס צו ווי שפּירעוודיק און וויכטיק דאַטן זאָל זיין געזאמלט אָדער כאַנדאַלד. פערזענלעכע געזונט אינפֿאָרמאַציע (PHI) און פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע (PII) זענען צוויי ביישפילן פון דאַטן אונטערטעניק צו דאַטן פּריוואַטקייט געזעצן. די קאַטעגאָריע כולל פינאַנציעל אינפֿאָרמאַציע, מעדיציניש רעקאָרדס, סאציאל סעקוריטי אָדער שייַן נומערן, נעמען, געבורט דאַטעס און קאָנטאַקט אינפֿאָרמאַציע.
סענסיטיוו דאַטן זאָל זיין צוטריטלעך בלויז פֿאַר אָטערייזד פּאַרטיעס, אַזוי דאַטן פּריוואַטקייט העלפּס צו ענשור אַז קרימאַנאַלז קענען נישט בייזע נוצן דאַטן און ינשורז אַז אָרגאַנאַזיישאַנז טרעפן רעגולאַטאָרי רעקווירעמענץ.
די מערהייט פון אָנליין יוזערז ווילן צו קאָנטראָלירן אָדער פאַרמייַדן זיכער טייפּס פון פערזענלעכע דאַטן זאַמלונג, פּונקט ווי עמעצער וואָלט וועלן צו ויסשליסן מענטשן פון אַ פּריוואַט שמועס.
געשעפטן מוזן מאַכן דאַטן פּריוואַטקייט אַ העכסט בילכערקייַט. ניט-העסקעם מיט דאַטן פּריוואַטקייט רעגיאַליישאַנז קענען פירן צו באַטייַטיק לאָססעס. טראַכטן וועגן לאָסוץ, באַטייטיק פינאַנציעל פּענאַלטיז און סאָרט שעדיקן.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
אַלץ איר טאָן מיט דאַטן איז געהאלטן פּראַסעסינג; קאַלעקטינג, סטאָרינג, רעקאָרדינג, אַנאַליסיס, קאַמביינינג, אַנטפּלעקונג אָדער ויסמעקן עס, צווישן אנדערע זאכן.
קיין אָפּעראַציע אויף דאַטן איז ריפערד צו ווי דאַטן פּראַסעסינג. ווייַל רוי דאַטן זענען נישט גרייט פֿאַר אַנאַליטיקס, געשעפט סייכל, רעפּאָרטינג אָדער מאַשין לערנען, עס מוזן זיין אַגגרעגאַטעד, אָלטערד, ענריטשט, פילטערד און קלינד.
אָרגאַנאַזיישאַנז דאַרפֿן צו פּראָצעס דאַטן אין סדר צו שאַפֿן בעסער געשעפט סטראַטעגיעס און פֿאַרבעסערן זייער קאַמפּעטיטיוו מייַלע.
די 'פארוואס' און 'ווי' פערזענלעכע דאַטן זענען פּראַסעסט איז באשלאסן דורך די דאַטן קאָנטראָללער. לעסאָף דאַטן קאַנטראָולערז זענען די שליסל באַשלוס-מייקערז אין דיטערמאַנינג די סיבה און ציל פֿאַר דאַטן זאַמלונג און די אופֿן און מיטל פֿאַר קיין דאַטן פּראַסעסינג.
דאַטן קאַנטראָולערז קען זיין:
א דאַטן פּראַסעסער איז אַ מענטש, עפנטלעך אויטאָריטעט, אַגענטור אָדער אנדערע גוף וואָס פּראַסעסאַז פערזענלעכע דאַטן אין די ביכאַף פון די קאַנטראָולער.
A דאַטן פּראַסעסער אקטן אויף ביכאַף פון די קאָנטראָללער און אונטער זייער אויטאָריטעט. דורך טאן אַזוי, זיי דינען דעם קאָנטראָללער ס אינטערעסן אלא ווי זייער אייגן.
אין זיכער סיטואַטיאָנס, אַן ענטיטי קענען זיין אַ דאַטן קאַנטראָולער, אַ דאַטן פּראַסעסער אָדער ביידע.
מאשינען וואס פראצעסירן דאַטן, ווי קאַלקולאַטאָרס אָדער קאָמפּיוטערס, זענען גערעכנט ווי דאַטן פּראַסעסערז. קלאָוד סערוויס פּראַוויידערז זענען אויך איצט קאטיגארעזירט ווי דאַטן פּראַסעסערז. א דריט-פּאַרטיי דאַטן פּראַסעסער טוט נישט פאַרמאָגן אָדער קאָנטראָלירן די דאַטן זיי פּראַסעסט. די דאַטן קענען ניט זיין אָלטערד צו טוישן די ציל פֿאַר וואָס עס איז געניצט. אויב איר פּראַסעסינג פערזענלעכע דאַטן, איר וועט זיין אַ דאַטן פּראַסעסער.
אַ יחיד וואָס איז די ונטערטעניק פון באַזונדער פערזענלעכע דאַטן איז ריפערד צו ווי אַ דאַטן ונטערטעניק אָדער דאַטן סאַבדזשעקץ.
עס איז נישט דא קיין איין לייזונג וואָס אַרבעט פֿאַר יעדער פירמע. דאַטאַ שוץ רעגיאַליישאַנז טאָן ניט שטעלן פילע שטרענג כּללים; אַנשטאָט, זיי נעמען אַ ריזיקירן-באזירט צוגאַנג, אַדכירינג צו עטלעכע שליסל פּרינסאַפּאַלז. עס איז ווערסאַטאַל און קענען זיין געוויינט אין אַ פאַרשיידנקייַט פון אָרגאַנאַזיישאַנז און סיטואַטיאָנס; דעריבער, עס טוט נישט ינכיבאַט ינאַווייטיוו אַפּראָוטשיז.
אָבער, די בייגיקייט מיטל אַז איר מוזן באַטראַכטן - און זיין פאַראַנטוואָרטלעך פֿאַר - ווי איר נוצן פערזענלעכע אינפֿאָרמאַציע. עס זענען אָפט קייפל אַפּראָוטשיז צו מקיים דיין אַבלאַגיישאַנז, דיפּענדינג אויף פּונקט וואָס און ווי איר נוצן די דאַטן.
איר קען באַשליסן וואָס ענטפֿערס זענען בעסטער פֿאַר דיין אָרגאַניזאַציע, אָבער איר מוזן זיין ביכולת צו באַרעכטיקן זיי. די אַקאַונטאַביליטי פּרינציפּ פון דאַטן שוץ געזעץ איז אַ קריטיש אַספּעקט.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
מיר זענען פּרייַז-עפעקטיוו און שנעל
אָרגאַניזאַציעס, געשעפטן, און די רעגירונג מוזן אַדכיר צו די דאַטאַ פּראַטעקשאַן אקט 2018 ווען האַנדלינג פּערזענלעך אינפֿאָרמאַציע. די דאַטאַ פּראַטעקשאַן אקט 2018 ריפּלייסט און דערהייַנטיקט די דאַטאַ פּראַטעקשאַן אקט 1998 און געווארן עפעקטיוו אויף 25 מאי 2018.
די דפּאַ איז די ענקריפּשאַן פון די וק פון די אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולירן (מער וועגן GDPR ווייַטער אין דעם אַרטיקל אונטן) אין וק געזעץ. צו פשוט לייגן עס:
שטרענגע כּללים גערופן 'דאַטאַ שוץ פּרינסאַפּאַלז' רעגירן ווי פערזענלעכע אינפֿאָרמאַציע איז געניצט. יענע ינוואַלווד אין קאַלעקטינג און ניצן דאַטן מוזן נאָכפאָלגן די פאלגענדע שטרענג כּללים:
די מער שפּירעוודיק די אינפֿאָרמאַציע, די מער לעגאַל שוץ עס איז. די אינפֿאָרמאַציע וועט זיין; ראַסע, עטהניסיטי, פּאָליטיש ביליפס, רעליגיעז ביליפס, מיטגלידערשאַפט פון האַנדל פאַרבאַנד, דזשאַנעטיקס, ביאָמעטריקס פֿאַר לעגיטימאַציע, געזונט סטאַטוס, און געשלעכט אָריענטירונג.
די אַלגעמיינע דאַטאַ פּראַטעקשאַן רעגולאַטיאָן (GDPR) איז די וועלט 'ס מערסט סטרינדזשאַנט רעגולירן פון פּריוואַטקייט און דאַטן זיכערהייט. כאָטש עס איז דעוועלאָפּעד און באוויליקט דורך די אייראפעישע יוניאַן (EU), אָרגאַנאַזיישאַנז ווערלדווייד מוזן נאָכקומען אויב זיי קלייַבן אָדער נוצן דאַטן וועגן אי.יו.
די GDPR איז געווען אין ווירקונג אויף מאי 25, 2018. די וואס טאָן ניט אַדכיר צו די פּריוואַטקייט און זיכערהייט סטאַנדאַרדס געגרינדעט דורך די GDPR קען באַקומען באַטייַטיק פינעס.
די GDPR ריפּלייסיז די EU דאַטאַ פּראַטעקשאַן דירעקטיוו פון 1995. לויט די נייַע דירעקטיוו, געשעפטן מוזן זיין מער טראַנספּעראַנט און צושטעלן דאַטן סאַבדזשעקץ מיט גרעסערע פּריוואַטקייט פּראַטעקשאַנז. ווען אַ ערנסט דאַטן בריטש איז פארגעקומען, די פירמע מוזן געבנ צו וויסן אַלע אַפעקטאַד פּאַרטיעס און די סופּערווייזינג אויטאָריטעט אין 72 שעה.
אפילו כאָטש די GDPR איז ענשריינד אין וק געזעץ ווי די דפּאַ זינט ברייקינג אַוועק פון די אי.יו., UK-GDPR און EU-GDPR זענען באַזונדער און בוילעט רעגיאַליישאַנז. כאָטש רעגיאַליישאַנז זענען דערווייַל יידעניקאַל, זינט ברעקסיט, די וק איז פריי צו ענדערן וק-GDPR רעגולירן ווי פּאַרליאַמענט האלט נייטיק.
א קאָנטראָללער אָדער פּראַסעסער באזירט אַרויס די וק מוזן נאָכקומען מיט די וק GDPR אויב זייער פּראַסעסינג איז שייך צו מענטשן אין די וק.
יסאָ קסנומקס איז אַן פאַרלענגערונג פון ISO 27001 (מער אויף דעם אונטן), די לעצטע דערהייַנטיקן אין אינטערנאַציאָנאַלע פּריוואַטקייט און אינפֿאָרמאַציע פאַרוואַלטונג סטאַנדאַרדס.
דער ציל פון ביידע GDPR און ISO 27701 איז צו פאַרלייגן עטישע דאַטן פּריוואַטקייט סטאַנדאַרדס צו באַשיצן קאָנסומערס. זיי אַרבעטן צוזאַמען און דערגאַנג יעדער אנדערע אין סדר צו דערגרייכן די זעלבע צילן.
דאָ איז אַ קיצער פון וואָס זיי האָבן אין פּראָסט:
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
מיר קענען נישט טראַכטן פון קיין פירמע וועמענס דינסט קענען האַלטן אַ ליכט צו ISMS.online.
פאַרשידן דאַטן שוץ געזעצן און דאַטן פון אַרום דער וועלט זענען געפֿונען אין די טיש אונטן.
| געזעץ | שטח פון דזשוריסדיקשאַן |
|---|---|
| אַלגעמיינע פערזענלעכע דאַטאַ פּראַטעקשאַן געזעץ (אויך באקאנט ווי LGPD און Lei Geral de Proteção de Dados Pessoais) | בראזיל |
| קאַליפאָרניאַ קאָנסומער פּריוואַטקייט אקט (CCPA) | קאַליפאָרניאַ |
| פריוואטקייט אקט | קאַנאַדע |
| פּריוואַטקייט אקט 1988 | אויסטראַליע |
| פערזענלעכע דאַטאַ פּראַטעקשאַן ביל 2019 | אינדיע |
| טשיינאַ סייבער זיכערהייט געזעץ (CCSL) | כינע |
| פערזענלעכע אינפֿאָרמאַציע פּראַטעקשאַן געזעץ (PIPL) | כינע |
| דאַטאַ פּראַטעקשאַן אקט, 2012 | גהאנע |
| פערזענלעכע דאַטאַ פּראַטעקשאַן אקט 2012 | סינגאַפּאָר |
| רעפובליק אקט נומ 10173: דאַטאַ פּריוואַטקייט אקט פון 2012 | פיליפינען |
| די רוסישע פעדעראלע געזעץ אויף פערזענלעכע דאַטן (נומער 152-FZ) | רוסלאַנד |
| פערזענלעכע דאַטאַ פּראַטעקשאַן געזעץ (PDPL) | באַהראַין |
אַרטיקל 32 פון GDPR באַשטעטיקט וואָס איז פארלאנגט ווען עס קומט צו ינשורינג די זיכערהייט פון פּערזענלעך דאַטן פּראַסעסינג.
די רעגולירן ריקווייערז איר צו נעמען 'צונעמען טעכניש און אָרגאַנאַזיישאַנאַל מיטלען צו אַדרעס די ריסקס איר פּנים. עס אויך באשרייבט עטלעכע פון די טיפּיש מיטלען אין דעם אַכטונג, אַרייַנגערעכנט:
ISO 27001 קאָווערס די אַספּעקץ אויך. איר מוזן דורכפירן ברייט ריזיקירן אַסעסמאַנץ צו ידענטיפיצירן די דיינדזשערז דיין פירמע פנימער. דאָס איז פּונקט וואָס איר דאַרפֿן צו רעכענען ווי 'צונעמען' זיכערהייט מיטלען אונטער GDPR.
עס יסטאַבלישיז סטאַנדאַרדס פֿאַר ווען און ווי צו שטעלן דאַטן ענקריפּשאַן צו אַרבעטן, ווי געזונט ווי פֿאַר ינשורינג די קאַנפאַדענשיאַלאַטי און אַוויילאַבילאַטי פון דיין דאַטן. עס אויך דיפיינז וואָס איז פארלאנגט אין טערמינען פון "געשעפט קאַנטיניויישאַן פאַרוואַלטונג," דערמיט קאַווערינג די GDPR פאָדערונג צו ינסטרומענט דאַטן רעסטעריישאַן און אַוויילאַבילאַטי מיטלען.
אויב איר טרעפן און טייַנען ISO 27001 העסקעם, איר יפעקטיוולי האָבן דיין GDPR דאַטן פּראַסעסינג זיכערהייט רעקווירעמענץ באדעקט, דאַנק צו דרוק טעסטינג צו שטעקן טריינינג.
צי איר נאָר אָנהייבן צו קוקן אין דאַטן פּריוואַטקייט אָדער אַן עקספּערט וואָס זוכט צו פאַרבינדן קייפל רעגיאַליישאַנז און סטאַנדאַרדס, אונדזער פֿעיִקייטן זענען פּשוט צו נוצן. איר וועט מיד באַקומען ווו איר ווילן צו זיין.
אונדזער PIMS לייזונג סימפּלאַפייז דאַטן מאַפּינג. עס איז פּשוט צו רעקאָרדירן און אָפּשאַצן עס אַלע און צו לייגן די דעטאַילס פון דיין אָרגאַניזאַציע צו אונדזער פאַר-קאַנפיגיערד דינאַמיש רעקאָרדס פון פּראַסעסינג אַקטיוויטי געצייַג.
אַ עפעקטיוו PIMS ריקווייערז אָנפירונג ריזיקירן. צו העלפן מיט יעדער פאַסע פון ריזיקירן אַסעסמאַנט און פאַרוואַלטונג, מיר האָבן באשאפן אַ געבויט-אין ריזיקירן באַנק און אנדערע פּראַקטיש מכשירים.
צי איר אַרבעט אויף דאַטן פּריוואַטקייט סטאַנדאַרדס אָדער רעגיאַליישאַנז, איר מוזן באַווייַזן דיין פיייקייט צו שעפּן דאַטאַ ונטערטעניק רעכט ריקוועס (DRR). אונדזער זיכער DRR פּלאַץ האלט אַלץ אין איין אָרט, העלפּינג איר צו באַריכט און באַקומען ינסייט אויטאָמאַטיש.
געפֿינען זיך מער דורך בוקינג אַ האַנט-אויף דעמאָ.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
