Поскольку мобильные и IoT-устройства играют все более важную роль в нашей повседневной жизни, организациям важно понимать, какими должны быть последствия соблюдения требований Общего регламента по защите данных (GDPR) для этих технологий. Согласно GDPR, любая организация, обрабатывающая персональные данные, должна принимать технические и организационные меры для обеспечения безопасности этих данных, включая защиту от несанкционированной или незаконной обработки, а также случайной утраты, уничтожения или повреждения.
Когда речь идет о мобильных и IoT-устройствах, это означает принятие мер по защите самих устройств и всех хранящихся на них данных. Например, организациям следует обеспечить наличие на мобильных устройствах надежных паролей и использовать шифрование для защиты хранящихся на них данных. Они также должны иметь политику удаленного стирания данных в случае потери или кражи устройства.
Помимо защиты самих устройств организации должны обеспечить защиту с помощью шифрования любых данных, передаваемых через интернет или беспроводные сети. К ним относятся данные, передаваемые с мобильных устройств на серверы организации или сторонним поставщикам услуг.
Когда речь идет об устройствах IoT, организации должны знать о данных, которые собирают и хранят эти устройства, и принимать меры по их защите. Например, организации должны собирать только минимально необходимый объем данных и иметь политику их безопасного хранения и утилизации, когда они больше не нужны.
В целом организации должны принимать меры, необходимые для обеспечения безопасности мобильных и IoT-устройств, а также защиты любых обрабатываемых ими данных, в соответствии с GDPR. Это предусматривает внедрение технических и организационных мер, а также обучения сотрудников надлежащему использованию этих устройств.
Когда речь идет о соответствии требованиям GDPR, организации несут ответственность за обеспечение не только собственного соответствия требованиям, но и соответствия всех сторонних поставщиков услуг, с которыми они работают. К ним относятся поставщики, подрядчики и другие организации, которые обрабатывают или хранят персональные данные от имени организации.
Чтобы обеспечить соответствие GDPR в ходе работы со сторонними поставщиками услуг, организациям следует предпринять следующие шаги.
1. Тщательно проверить потенциальных поставщиков услуг. Это подразумевает изучение их политик, предпринимаемых ими мер безопасности, а также послужного списка в отношении соблюдения законов о защите данных.
2. Включить в договоры с поставщиками услуг положения, соответствующие GDPR. Они должны требовать от поставщика услуг применения технических и организационных мер для защиты персональных данных, а также уведомления организации в случае утечки данных.
3. Регулярно контролировать и проверять поставщиков услуг на предмет соблюдения ими условий договоров и требований GDPR.
4. Иметь план расторжения контрактов с поставщиками услуг, которые не в состоянии соблюдать GDPR.
Приняв эти меры, организации могут гарантировать, что их не привлекут к ответственности за несоблюдение требований поставщиками услуг. Важно также отметить, что GDPR предусматривает ответственность за нарушения, допущенные как самой организацией, так и ее сторонними поставщиками услуг. Это означает, что, если ваш поставщик услуг нарушает GDPR, ваша организация также может быть привлечена к ответственности.
Планирование непрерывности бизнеса — важный аспект соблюдения требований GDPR, поскольку оно гарантирует, что организация сможет продолжать оказывать услуги и защищать персональные данные физических лиц в случае сбоя, например стихийного бедствия, кибератаки или другой чрезвычайной ситуации. Согласно GDPR, организации обязаны применять технические и организационные меры для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем и служб обработки данных. Сюда входят меры по своевременному восстановлению доступа к персональным данным в случае физического или технического сбоя.
Для соблюдения требований GDPR организации должны иметь комплексный план обеспечения непрерывности бизнеса, который учитывает потенциальные угрозы и уязвимости, описывает шаги, которые необходимо предпринять в случае сбоя, и определяет персонал, ответственный за различные аспекты плана. План должен предусматривать регулярное тестирование и проверку, обеспечивающие его эффективность и актуальность. Кроме того, организации должны разработать процессы, позволяющие как можно скорее уведомить органы власти и лиц, пострадавших от утечки персональных данных.