Kisvállalkozási útmutató az adatvédelemhez

Ma gyakorlatilag lehetetlen bármilyen üzleti tevékenységet folytatni adatgyűjtés vagy adatgyűjtés nélkül. Ezen adatok egy része kritikus adatok, amelyekre szükség van az üzleti élet fenntartásához, és részük kétségtelenül személyes ügyféladatok..

Bármely vállalkozás egészségének biztosítása érdekében mindkét ponttal foglalkozni kell. Az üzleti adatoknak rendelkezésre kell állniuk és elegendőeknek kell lenniük az üzleti tevékenység támogatásához, de a szervezeteknek is kötelességük, hogy az ügyféladatokat bizalmasan és biztonságosan tárolják.

Ha egy vállalkozás elveszíti saját adatait, akkor megtalálja magát nem tudja hatékonyan végrehajtani a műveleteket vagy egyáltalán. Ez elég rossz, de leginkább magát az üzletet érinti.

Ezzel szemben, ha egy vállalkozás elveszíti ügyfelei adatait, akkor ez történhet jogi lépésekhez vezethet ideértve a kormányzati nyomozásokat és a pénzbírságokat, valamint a polgári ügyeket és a nagy károkat okozó ítéleteket. Még a társaság részvényárfolyamát is hátrányosan befolyásolhatja a nyilvános adatok megsértése. Ez a cikk mindkét vonatkozással foglalkozik.

Az adatok védelmének alapelvei

Az adatok nem csak megjelennek; utazik. Az adatokat összegyűjtik valahol, továbbítják a gyűjtési pontról egy tárolópontra, valamilyen módon feldolgozzák és a vállalkozás igényei szerint eljutnak a hozzáférési pontokhoz. Ez a folyamat nagyon bonyolult vagy nagyon egyszerű lehet. Egy egyszerű példa a megrendelés elvégzése az e-kereskedelmi webhelyen:

1. Összegyűjtött: A weboldal személyes kézbesítési és fizetési információkat gyűjt a pénztár oldalán.
2. Át: Az adatokat továbbítják a webszerverre, és valószínűleg egy adatbázisban tárolják azt.
3. Feldolgozott: Az adatok feldolgozhatók kiegészítő funkciók támogatásaként, például az eladott cikkek készletének csökkentése vagy csomagolási bizonylatok létrehozása céljából..
4. Hozzáférhető: A megrendelő kitöltőknek meg kell nézniük az adatok egy részét annak érdekében, hogy teljesítsék a megrendelést és előkészítsék a kiszállításra.

A folyamat minden lépésében lehetősége van jogosulatlan hozzáférésre vagy adatvesztésre. Folytatva a példaként a weboldal e-kereskedelmi áruházát, íme néhány lépés, amelyet megtehet az adatok védelme érdekében.

Az adatok védelme a továbbítás során

Az ilyen típusú megrendelési adatok sokszor „áthaladnak”. Az első szállítás az ügyfél webböngészőjéből az e-kereskedelem webszerverére történik. Általános véleményünkkel ellentétben nem “látogatunk” meg egy weboldalt, inkább a weboldal jön hozzánk. A weblapokat letöltjük számítógépünkre, ahol kapcsolatba lépünk velük, és adatokat küldünk vissza a webszerverre.

Ebben az esetben a kosár adatainak kitöltésének utolsó lépéseként az ügyfél megadta a hitelkártya-adatait a saját számítógépükön és akkor az továbbítva a webszerverre. Az érzékeny hitelkártya-információkat az interneten keresztül továbbítják, ami nagyon barátságos és veszélyes hely.

Az adatok önmagukban haszontalanok; általában élettartama alatt sokszor kerül átadásra. A teljesítéshez szükséges alkalmazottaknak tudniuk kell, mit rendeltek, a hajózási társaságoknak tudniuk kell az ügyfél nevét és címét, a hitelkártya társaságoknak pedig tudniuk kell, hogy mennyit terhel a számla..

Valószínűtlen, hogy mindez egy helyen történik, ami azt jelenti, hogy ezeket az információkat számos helyre továbbítják, és bizonyos esetekben talán a szervezeten kívüli harmadik fél szervezeteknek is, amelyek az adatokat elsősorban összegyűjtötték. Ezen átutalások mindegyikét biztonságos módszerrel kell végrehajtani.

megoldások

A tranzit ezen szakaszán található adatok védelmének leghatékonyabb módja annak biztosítása, hogy webhelye SSL-tanúsítványt használjon a webhely a HTTPS protokollt használja, legalább az érzékeny adatokat gyűjtő oldalakon.

Ez a lépés biztosítja, hogy a webkiszolgáló és az ügyfél böngészője között átmenő adatok titkosítva legyenek, amikor az áthalad az interneten. Ha az ügyfelek érzékeny adatait rossz fiú fedi el, akkor nem fog sok mindent megtenni, mert ez egy titkosított gibberbolt lenne.

Ha valamilyen okból nem lehetséges az SSL-titkosítás használata, akkor ezt megteheti adj hozzá titkosítást szinte minden adatátvitelhez virtuális magánhálózat (VPN) használatával. Számos dolgot kell figyelembe venni a kisvállalkozás VPN kiválasztásakor, így fizetni kell a kutatás elvégzéséért.

A Perimeter 81 a SaferVPN vállalkozásoknak szánt ajánlata.

Az adatok biztonságos továbbítására más módok is vannak, például fájlok titkosítása küldés előtt. A titkosított fájlokat biztonságosan elküldheti e-mailben mellékletként, bár az érzékeny adatokat soha ne küldje el e-mailben vagy titkosítatlan mellékletekkel..

A régebbi, offline módszereket, például a faxokat nem szabad levonni. A Plain Old Telephone Systemshez (POTS) csatlakoztatott faxkészülékek nem követik át könnyen az internetet, és biztonságot nyújtanak, mint az e-mail. Fontos biztosítani, hogy mindkét végén valódi faxkészüléket használjunk; A mai „e-mailben a faxhoz” vagy a „felhő alapú” faxszolgáltatásokat nehéz megkülönböztetni a megfelelő POTS faxkapcsolatoktól. Az előbbi hátránya, hogy ezek a szolgáltatások az internetet használják olyan adatátvitelre, amely kiküszöböli azok adatvédelmi előnyeit.

A tárolt információk biztonsága

Miután az adatokat valahol tárolták, „nyugalomban” kell tekinteni. A nyugalmi állapotban lévő adatokat az adatbázis valamilyen formájában tárolja, különálló fájlokban, például PDF-dokumentumokban, vagy sok más más formátumban. Amikor megfontolja az adatok nyugalmi helyzetben történő védelmét, fontos lehet az adatok formátuma.

Kétféle módon lehet nyugodtan hozzáférni az adatokhoz. Egy rosszfiú jogos eszközökkel férhet hozzá az adatokhoz, például ellopja a működő jelszót munkavállalótól adathalászon keresztül.

Vagy az adatokat tároló gépet megtámadhatja, és a lemez tartalmát másolatba másolhatja későbbi vizsgálat céljából. Nehéz lehet felhasználóneveket és jelszavakat kipróbálni az emberekből; néha sokkal könnyebb ellopni az egész számítógépet a recepción, ha felügyelet nélkül.

Ha az adatokat online tárolják, például egy e-kereskedelmi áruházban, akkor könnyebb lehet megtámadni egy másik helyet a kiszolgálón, hogy hozzáférjen a fájlrendszerhez, és másolja az adatbázist mint megpróbálja kitalálni a Magento rendszergazda jelszavát.

Az adatok megsértése esetenként lehetőségek bűncselekménye – vannak olyan esetek, amikor eldobott számítógépek még mindig érzékeny adatokat tartalmaznak a merevlemezükön.

megoldások

A nem használt adatokat titokban kell titkosítani, amíg szükség van rá. Ez jól működik azoknál az adatoknál, amelyekhez nem kell gyakran hozzáférni. Nehezebb lehet kezelni azokat az adatokat, amelyekhez nagyon sokféle ember vagy rendszer fér hozzá.

A belépési adatokkal történő hozzáférés elleni védelem érdekében az adatokhoz hozzáférő jogos személyeknek meg kell tenniük használjon erős jelszavakat és egyedi fiókokat. Ha több felhasználó ugyanazt a felhasználónevet és jelszót használja, lehetetlenné teszi, hogy meghatározzuk, hogy miként és mikor történt a jogsértés. A jelszókezelők rendkívül egyszerűen megkönnyítik az erős jelszavak létrehozását és lekérését, tehát már nincs oka megosztani a jelszavakat.

A Sticky Password csak az egyik elérhető ingyenes jelszókezelő közül.

A fizikai gépet vagy az adatok virtuális másolatát ellopó személyek elleni védelem magában foglalja a fizikai biztonságot és a hozzáférés ellenőrzését.

1. Fizikai biztonság: Soha ne hagyja a laptopokat felügyelet nélkül. Sok alkalmazott úgy érzi, hogy a vállalati laptop nem olyan fontos, mint a saját, mert a vállalati laptop egyszerűen cserélhető, ha elveszik. A vállalati laptop adatai azonban felbecsülhetetlenek lehetnek, és elvesztésük esetén veszélybe sodorhatják a vállalat jövőjét. Az asztali számítógépeket fizikailag rögzíteni kell valami nagyhoz. Számosféle számítógépes zárak (például Kensington zárak) állnak rendelkezésre erre a célra. Az összes számítógépes lemezt, a laptopokon vagy más eszközökön, titkosítani kell, hogy a rossz fiúk számára a lehető legnehezebb legyen az adatok helyreállítása..
2. Hozzáférés-szabályozás: Amennyiben lehetséges, az érzékeny adatokat és tárolóeszközöket feldolgozó számítógépeket korlátozott helyen kell tartani. Nem szabad olyan, nem informatikai személyzet, aki fizikailag hozzáférhet a fájltároló kiszolgálókhoz, így a szervert zárt helyiségben kell elhelyezni. Ha a nagyközönség a szokásos üzleti tevékenység részeként a helyszínen helyezkedik el, akkor minden felesleges számítógépet és tárolóeszközt el kell távolítani a nyilvános nézetből. A tolvajok ellophatnak egész bankgépeket, ha egy homlokrakodóval áthatolnak a falakon. Mennyire biztonságos a fogadóterülete?

Az adatok védelme az illetéktelen hozzáférés ellen

A jogosulatlan hozzáférés jogosulatlan személyekre vonatkozik, akik adatokhoz férnek hozzá. Ez jelenthet egy rosszfiút, aki behatolt a hálózatba, vagy azt jelenti, hogy törvényes alkalmazott hozzáférhet olyan adatokhoz, amelyekre nem jogosultak. Két fogalom működik itt: a hitelesítés és az engedélyezés.

1. Hitelesítés: A hitelesítés magában foglalja a felhasználó azonosítását, de ennek nincs köze ahhoz, amit az adott személy megtehet. A legtöbb esetben a felhasználónév és a jelszó kombinációja biztosított a rendszerbe történő bejelentkezéshez. A felhasználónév és jelszó birtokosa törvényes alkalmazott, és a rendszernek megfelelő módon rögzítenie kell, hogy a személy bejelentkezett.
2. engedély: Az engedélyezésre a hitelesítés után kerül sor. A hitelesítés határozza meg, hogy egy hitelesített személy hozzáférhet-e egy erőforráshoz. Mielőtt meghatározná, hogy a felhasználó hozzáfér-e egy erőforráshoz, meg kell hitelesítenie az azonosítását.

Íme egy példa a szemléltetésre: Nancy bejelentkezik munkaállomására, és most hitelesített felhasználó. Ezután egy dokumentumot küld egy hálózati nyomtatóra, és az kinyomtatódik, mert engedéllyel rendelkezik a nyomtató használatához. Nancy ezután megpróbálja hozzáférni a társaság személyi állományához, és megtagadja a hozzáférést, mert nincs jogosult ezeknek a fájloknak a megtekintésére.

megoldások

A hitelesítési és engedélyezési folyamatok hatékonysága érdekében, minden számítógépes rendszernek naplókat kell létrehoznia. Az ellenőrzési naplók nyomot biztosítanak ahhoz, hogy a nyomozók visszamenjenek az időben, és megnézhessék, ki jelentkezett be a különböző rendszerekbe, és mit próbáltak megtenni bejelentkezéskor.

Fontos az is, hogy senki ne ossza meg a felhasználóneveket és jelszavakat, amint azt fentebb tárgyaltuk. Ha a felhasználóneveket és jelszavakat megosztják az alkalmazottak között, akkor nincs mód a jogosulatlan hozzáférés megakadályozására vagy annak kiderítésére, hogy ki mire jött. Ha mindenki ugyanazt a felhasználónevet használja, akkor mindenki hitelesítve van, és a felhasználónévnek engedélyeznie kell mindent.

Ideális esetben senki sem használhatja az „admin” felhasználónevet, mivel ilyen könnyű kitalálni.

Elkerülhetetlen, hogy a hozzáférés-szabályozással kapcsolatos beszélgetések a rossz fiúk tartására összpontosítsanak. Ugyanakkor az ugyanolyan fontos, hogy a jó fiúk ne maradjanak szabadon. Ha olyan helyzetbe kerül, amikor a rendszergazdák vagy más kritikus emberek kizártak, akkor ez a helyzet gyorsan romlik, hogy mindenki bezáródik, és az üzleti vállalkozás nem képes folytatni.

Minden kritikus rendszernek legalább két adminisztrátorral vagy egy adminisztrátorral és legalább egy másikval kell rendelkeznie, aki képes a adminisztrátori szintű tevékenységek elvégzésére, ha helyes hitelesítő adatokkal rendelkeznek.

Az adatvesztés kockázatának csökkentése

Az adatvesztés hatása a „még csak nem is észrevettem” egészen a „kongresszusi meghallgatásra hívtak, hogy tanúvallomást kapjak.” A kritikus üzleti adatok elvesztése tönkreteheti az üzletet és helyrehozhatatlan működési károkat okozhat. Ezenkívül az adatvesztés zavarokat okozhat, károsíthatja a vállalat hírnevét, és évekig drasztikusan befolyásolhatja a részvényárakat..

A „veszteség” kifejezést ebben az értelemben a megsemmisített adatokra kell utalni, nem pedig azokra az adatokra, amelyeket máshol megsértettek és nyilvánosságra hoztak. A számítógépek nagyrészt mágneses adatait, félvezető chipeket vagy lézer „gödröket” használnak nagyon kezdetlegesen. Ezen módszerek mindegyikének vannak hátrányai, és az adatok egyszerűen elronthatóvá és helyrehozhatatlanná válhatnak.

Az emberi hiba, például a fontos fájlok felülírása vagy a merevlemez véletlen formázása szintén örökre tönkrement az adatokat. A számítógépek is nem immunis a fizikai katasztrófákkal szemben és az adatok elvesztek az irodákat elárasztó tűzoltóberendezések vagy a meghajtókat megjavító elektromos túlfeszültségek miatt.

A kicsi számítástechnika korában az emberek elveszítik az USB-meghajtókat, és telefonját napi WC-be dobják. Figyelmetlenség pillanatában egyetlen alkalmazott kattinthat egy rosszindulatú linkre egy e-mailben, és elindíthat egy világméretű ransomware támadást, amely visszafordíthatatlanul titkosítja az összes fájlt..

Néha egyáltalán semmi nem történik, és a merevlemez-meghajtó csak eléri élettartama végét, és meghibásodik. Szó szerint véget nem érő lista az adatok megsemmisítéséről.

megoldások

Ha elfogadjuk, hogy az adatvesztés elkerülhetetlen kockázat, érdemes gondoskodni a kritikus adatok biztonsági másolatáról. A megbízható biztonsági mentési terv létrehozása korábbi művészet volt, amelyet csak tapasztalt rendszergazdák tudtak kidolgozni. Szélsőséges esetekben ez továbbra is igaz, de manapság szinte bárki vásárolhat helyszíni biztonsági másolatot néhány dollárért havonta. Néhány kérdést feltehet a leendő biztonsági másolatot készítő vállalatoktól, és azt is nagyon biztos lehet benne, hogy a biztonsági mentések titkosítva vannak..

Az iDrive csak egy a sok lehetőség közül a felhőben történő biztonsági mentés és tárolás számára,

Ha adatai különösen érzékenyek, vagy az iparági előírások nem teszik lehetővé felhő biztonsági mentéseket, akkor vannak más alternatívák is.

Hasznosak lehetnek a helyszínen tárolt biztonsági mentések emberi hiba típusú helyzetekhez, amelyek gyors javítást igényelnek, például egyetlen fájl visszaállítása. A helyszíni biztonsági mentések azonban nem sokat jelentenek neked, ha az irodát elárasztják, tűz van, vagy a biztonsági mentéseket ellopták.

Mint ilyen, a helyszíni biztonsági mentések minden biztonsági mentési terv kritikus részét képezik, és bár a felhő biztonsági mentési szolgáltatásai a legegyszerűbb módjai ennek elérésére, nincs ok, miért a megbízható alkalmazottak nem tudnak időnként titkosított biztonsági másolatot készíteni otthonról. Ne feledje, hogy amint az adatok elhagyják a helyiséget, azokat továbbra is meg kell védeni, tehát az erős titkosítás elengedhetetlen.

Lehetséges, hogy az iparágban is vannak adatmegőrzési törvények, ami azt jelenti, hogy a megfelelőség érdekében meg kell őriznie azokat a régi adatokat, amelyeket már nem használ. Minél hosszabb ideig tárolják az adatokat, annál több lehetőség nyílik az adatok megsemmisítésére. Ezért a hosszú távú megőrzési adatok ideális jelölést jelentenek a helyszíni tároláshoz.

Munkavállalók tulajdonában lévő eszközök védelme

Átfogó probléma, amely bonyolítja az adatvédelem minden szempontját, a távoli vagy a saját eszközöket (BYD) használó alkalmazottak elterjedése. Előnye lehet annak, ha lehetővé teszik a távoli munkát, mivel ez megnyitja a tehetségkészletet, így a legjobb munkavállalókat fel lehet bérelni. Emellett növeli azon helyek számát, ahol a vállalati adatok elveszhetnek vagy veszélybe kerülhetnek.

A BYOD, és általában a távoli eszközök, adatvesztés és szivárgás kockázatát hordozzák. A telefonok és a táblagépek kicsik és mindenütt megtalálhatók, és gyakran elvesznek vagy megsérülnek.

megoldások

Ideális esetben a távoli alkalmazottak virtuális hálózati számítástechnikát (VNC) használnak az irodájuk asztalához való hozzáféréshez. Még akkor is, ha a távoli munkavállaló soha nem jár az irodában, csak a belépés engedélyezi A VNC nagyobb irányítást biztosít hogy mit tehet ez a távoli munkavállaló.

A VNC-kiszolgálók úgy konfigurálhatók, hogy tiltják a fájlátvitelt, és mivel a VNC nem hoz létre tényleges hálózati kapcsolatot, mint egy VPN, a távoli alkalmazott számítógépét soha nem csatlakoztatják a munkahálózathoz. Ez segíthet megelőzni a rosszindulatú programok terjesztését az irodai hálózatba, ha a távoli alkalmazott számítógépe megfertőződött. A VPN-kapcsolaton keresztüli hozzáférés megkönnyíti a több irodai erőforráshoz való hozzáférést, ugyanakkor nagyobb a fertőzés és az adatlopás kockázata, mivel a távoli számítógép valójában bizonyos mértékben megosztja az irodai hálózatot..

Ha engedélyezi a BYOD használatát, akkor jó ötlet egy olyan mobil eszközkezelő (MDM) rendszer bevezetése, amely például távolítsa el az összes adatot a telefonról és keresse meg a telefont, ha eltűnt.

A ManageEngine Mobile Device Manager Plus az MDM szoftverek egyik példája.

Kívánatos egy MDM megoldás használata, amely biztosítja az adatok szétválasztását. A munka és a személyes kapcsolatok megosztása ugyanabban a címjegyzékben például nagy az adatok szivárgásának kockázatát, mivel könnyű helytelenül kiválasztani a személyes kapcsolatot címzettként, és véletlenül elküldhet érzékeny vállalati információkat..

Az adatok elérhetetlenségének tervezése

Az üzleti tevékenység során előfordulhat, hogy az iroda nem érhető el. Kis események, például tűz az irodaépületben, néhány napra elérhetetlenné tehetik az irodáját. A nagy események, például a Sandy hurrikán 2012-ben, évekig elvonhatják az épület földalatti területeit.

Az ilyen események tervezésének gyakorlása az üzleti folytonosság tervezés (BCP) fogalmába tartozik. A BCP tervezése megkísérli megválaszolni a következő kérdést: “Hogyan folytatnánk üzleti tevékenységet, ha irodánk / szervereink / áruházunk hosszabb ideig nem volt elérhető?”

Megoldás

A helyszíni biztonsági mentések nagy szerepet játszhatnak a BCP tervezésében. Ha léteznek jelenlegi külső biztonsági mentések, akkor lehetséges, hogy az alkalmazottak otthonról vagy más távoli helyről dolgoznak az adatok felhasználásával, hogy folyamatosan működjenek. Egyéb megfontolások lehetnek a feladatátvételi telefonszámok, amelyek továbbíthatók az alkalmazottak mobiltelefonjai számára a telefonok nyitva tartása érdekében.

Az adatok elérésének ismerete

Ez ostoba kérdésnek tűnik. Sajnos tapasztalatok alapján igazolhatjuk, hogy nem az. Számos kisvállalkozás harmadik felek félreértésére támaszkodott, hogy az évek során vigyázza adatait, és egyes esetekben fogalmam sincs, hol tárolódnak ezek az adatok. A megfelelő adatvesztés-megelőzési terv része annak ismerete, hogy hol kezdődik az adatai.

Fontolja meg újra az egyszerű e-kereskedelmi webhelyünket. Legalább a következőkkel rendelkezik:

1. Regisztrátor fiók: A domain regisztrátor egy olyan cég, amely domain neveket árusít. A domain névszervereit a domain regisztrátor kezeli. A névszerverek a webhely kritikus vezérlő eleme, ezért tudnia kell, hogy ki ez, és rendelkeznie kell a fiók hitelesítő adataival.
2. Hosting számla: A webhely fájljainak fizikailag a világ bármely pontján található webszerver található. Az a cég, amely az Ön számára ezt a szolgáltatást nyújtja, az Ön internetes hostja. Győződjön meg róla, hogy tudja, ki a webgazda, és megvan-e a fiók hitelesítő adatai.
3. Email fiók: Lehet, hogy az Ön internetes hostja nem egyben az Ön e-mail hostja. Sok vállalat harmadik féltől származó e-mail szolgáltatókat, például a Google-t használ. Ellenőrizze, hogy tudja-e az e-mail címét, és rendelkezik-e a fiók hitelesítő adataival.
4. mentések: Ha már van biztonsági mentése, akkor hova mennek? Ha nincs hozzáférése hozzájuk, és tudja, hogyan kell visszaállítani a fájlokat, akkor ezek a biztonsági mentések nem sok mindent eredményeznek.

Ugyanazokat a kérdéseket kell feltenni az összes adatrendszerről, amíg meglehetősen jól megérti, hol található az összes adat. A legrosszabb idő ennek az információnak a megkeresése vészhelyzetben.

Az iparági ismeretek gyakorlati szükségességén kívül az iparág szabályozhatja azokat a földrajzi régiókat is, ahol adattárolhat.

Vevői adatokkal kapcsolatos megfontolások országonként

Az ügyféladatokat általában külön meg kell vizsgálni. Egy dolog az, hogy elveszíti a belső táblázatokat. Jogi szempontból egészen más dolog, ha az ügyféladatait ellopják vagy nem megfelelő módon használják fel. Több mint 80 ország rendelkezik valamilyen adatvédelmi jogszabályokkal, amelyek az ügyfelek adatait gyűjtő vállalkozásokra vonatkoznak. Ezen aktusok többségének alapvető kötelezettségei ezekre a pontokra vezethetők vissza:

1. Mielőtt ezt megtenné, engedélyt szerezzen az ügyféladatok gyűjtésére.
2. Gyűjtsön össze a lehető legkevesebb információt.
3. Az adatokat úgy használja, ahogyan rendelkezik engedélyével.
4. Információk védelme az illetéktelen hozzáférés ellen.
5. Tegye elérhetővé az adatokat az ügyfelek számára.

Itt egy nagyon gyors áttekintés található az Egyesült Államok, az Egyesült Királyság, Kanada és Ausztrália adatvédelmi jogszabályainak általános állapotáról. Néhány utalást ad arra vonatkozóan, hogy milyen típusú védelmi szervezetektől várják el az ügyfelek adatait, valamint megérti a jogsértésekkel kapcsolatos szankciókat..

Ausztrália

Hasonlóan Kanadához és az Egyesült Királysághoz, Ausztráliának van egy szövetségi adatvédelmi törvény, amelyet helyesen az Adatvédelmi törvénynek neveznek. Először 1988-ban fogadták el, azóta módosították és bővítették. A törvény a 13 ausztrál adatvédelmi elven alapul.

törvényhozás

Az adatvédelmi törvény eredetileg csak a magáninformációk kormányzati ügynökségek és kormányzati vállalkozók általi kezelésére vonatkozott. Azóta kiterjesztették a magánszektorbeli vállalkozásokra is.

Minden ausztrál vállalkozás, amelynek teljes forgalma meghaladja a 3 000 000 AUD-ot, kötelezi a magánélet védelméről szóló törvényt. A vállalkozások kis listájára, például az egészségügyi és pénzügyi vállalkozásokra is vonatkozik a törvény, a teljes eladástól függetlenül.

Az ügyfelek tájékoztatása

A magánélet védelméről szóló törvény 12. alapelve a „Személyes adatokhoz való hozzáférés és azok helyesbítése” vonatkozik. Néhány kivételtől eltekintve meg kell adni a személy személyes adatainak kérését, de erre nincs megadva határidő. Az ügynökségi kérelmeket 30 napon belül kell kezelni, de ha a kérelmező személy, akkor az egyetlen követelmény: „hozzáférést biztosítson az információkhoz az egyén által kért módon, ha ez ésszerű és megvalósítható”.

szankciók

A magánélet védelméről szóló törvény megsértéséért különböző büntetések vannak kiszabva, attól függően, hogy milyen súlyos a megsértés. A jogsértések pénzbeli értékeit az adatvédelmi törvény nem írja elő. Ehelyett a jogsértéseket számos büntetőegységhez rendelik a bűncselekmény súlyossága alapján. A súlyos jogsértésekre 2000 büntetőegység kerül kiosztásra, míg a kevésbé súlyos bűncselekményekre csupán 120 büntetőegység tartozik.

Az ausztrál bűncselekményekről szóló törvény 4AA. Szakasza a büntetőegység értékét diktálja ausztrál dollárban, és időről időre frissíti. Jelenleg egy büntetőegység 210 AUD (indexálás alá esik), ami azt jelenti, hogy a súlyos bűncselekmények a 420 000 AUD tartományba eshetnek. A valóságban az ausztrál bíróságok néha csak bocsánatot kérnek.

Kanada

törvényhozás

A kanadai vállalkozások szövetségi adatvédelmi szabályait a személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény (PIPEDA) tartalmazza. Egyes tartományok, például Alberta, British Columbia és Quebec rendelkeznek saját tartományi adatvédelmi törvényekkel, amelyek annyira hasonlóak, hogy a PIPEDA nem vonatkozik az e tartományokban működő vállalkozásokra. Ezért, attól függően, hogy melyik tartományban üzleti tevékenységet folytat, ismernie kell a PIPEDA-t vagy a következő tartományi jogszabályok egyikét:

• Alberta: A személyes adatok védelméről szóló törvény
• British Columbia: A személyes adatok védelméről szóló törvény
• Quebec: * A személyes adatok védelmét tiszteletben tartó törvény
  a magánszektor *

Ezen felül Kanadában külön adatvédelmi törvény rendelkezik, amely szabályozza, hogy a szövetségi kormány miként kezeli a személyes információkat a kormányhivatalokon belül.

A PIPEDA megköveteli a szervezetektől, hogy beleegyezést kapjanak a személyes adatok gyűjtése előtt. Érdekes azonban megjegyezni, hogy a PIPEDA nem vonatkozik azokra a személyekre, akik személyes adatokat személyes felhasználásra gyűjtnek, vagy olyan szervezetekre, amelyek újságírói felhasználásra személyes információkat gyűjtenek..

A kanadai adatvédelmi biztos hivatala áttekintést készít a kanadai szövetségi és tartományi adatvédelmi törvényekről.

Az ügyfelek tájékoztatása

A szövetségi ügynökségek birtokában lévő információk az információkérési űrlap kitöltésével kérhetők. Más típusú szervezet birtokában lévő személyes adatok kéréséhez vegye fel a kapcsolatot ezzel a szervezettel. A tartományi vagy területi ombudsmani hivatal segíthet.

szankciók

A PIPEDA szabálysértőinek jogsértésenként 100 000 dollár bírságot kell kiszabniuk a cselekmény tudatos megsértése miatt.

Egyesült Királyság

törvényhozás

Az Egyesült Királyság szövetségi védelmi törvénye a helyesen elnevezett adatvédelmi törvény. Kanadától eltérően az Egyesült Királyság adatvédelmi törvényét mind az üzleti életre, mind a kormányra egyaránt alkalmazni kell.

Az ügyfelek tájékoztatása

Az Egyesült Királyság polgárainak joguk van megtudni, hogy egy szervezet milyen információkkal rendelkezik róluk. De nem minden információt kell kiadni. A nem közzéteendő adatok a következőkre vonatkozó információkat tartalmaznak:

• információk a bűnügyi nyomozásokról
• katonai nyilvántartások
• adóügyek, vagy
• bírói és miniszteri kinevezések

A szervezetek pénzt is felszámíthatnak azért, hogy ezeket az információkat az embereknek biztosítsák. A brit információs biztos hivatalának weboldala tanácsot és útmutatást nyújthat, valamint kivizsgálhatja az adatkezelési panaszokat.

szankciók

Az Egyesült Királyság adatvédelmi törvénye 500 000 GBP-ig terjedő pénzbírságot és akár jogsértés elleni büntetőeljárást is előír.

Egyesült Államok

Az Egyesült Államok kissé egyedülálló, mivel kevésbé szövetségi szintű adatvédelmi jogszabályai vannak, mint a legtöbb más országban. Ehelyett az Egyesült Államokban az adatvédelmi törvények többsége ipari vagy állami alapú. Ezért nehéz lehet felfedezni azokat a törvényeket, amelyek az adott vállalkozásra vonatkozhatnak. Jó indulási hely az Egyesült Államok Szövetségi Kereskedelmi Bizottságának adatvédelmi és biztonsági oldala.

törvényhozás

Az Egyesült Államok 1974. évi adatvédelmi törvénye szabályozza az információk gyűjtésének, felhasználásának és közzétételének módját a szövetségi ügynökségek számára. Részben kimondja:

Egy ügynökség sem a személyeknek, sem más ügynökségeknek történő kommunikáció útján nem hozhatja nyilvántartásba a nyilvántartások rendszerében található információt, kivéve annak a személynek a írásbeli kérelme alapján vagy annak előzetes írásbeli hozzájárulása alapján, akinek a nyilvántartást vonatkozik.

A törvény ezután ezen irányelv több kivételét sorolja fel. Néhányuk, például a „rutin használat” alóli mentesség, kissé szélesnek tűnhet a 21. században.

Az Egyesült Államok adatvédelmi törvényeinek többsége iparágakhoz kapcsolódik, vagy állami szinten készültek. Ezért fontos, hogy a szervezet felmérje, mely államokban fogja működni, és hogy léteznek-e iparág-specifikus adatvédelmi előírások, amelyek bármely kormányzati szinten érvényesek.

Néhány nagy amerikai szövetségi adatvédelmi törvény:

• Egészségbiztosítási hordozhatóságról és elszámoltathatóságról szóló törvény (HIPPA): ez a törvény az Egyesült Államok egészségügyi ellátásának igazgatására vonatkozik.
• A gyermekek online magánélet védelméről szóló törvény (COPPA): ez a törvény az 13 év alatti gyermekekre vonatkozó adatok online gyűjtésével foglalkozik az Egyesült Államokban.
• Tisztességes és pontos hitelügyletek (FACTA): ez a törvény a hitelintézetek azon kötelezettségével foglalkozik, hogy hitelinformációkat és csalásmegelőző eszközöket biztosítsanak az amerikai állampolgárok számára.

Az ügyfelek tájékoztatása

Az Egyesült Államok adatvédelmi törvénye előírja, hogy az egyéneknek joguk van megszerezni a szövetségi szervezetek rájuk vonatkozó információit. Kérés benyújtása érdekében az emberek kapcsolatba lépnek az alkalmazandó ügynökséggel. A magánvállalkozások esetében az a követelmény, hogy egy szervezet nyilvántartást nyújtson az egyéneknek, az adott iparágra vagy államra alkalmazandó jogszabályok fennállására támaszkodik. A legjobb indulás valószínűleg az Egyesült Államok Szövetségi Kereskedelmi Bizottságának webhelye lesz.

szankciók

A szövetségi adatvédelmi törvény szankciókat tartalmaz, de mivel az adatvédelmi törvény csak az Egyesült Államok szövetségi kormányára alkalmazandó, ez más szervezetek esetében nem érvényes. Az Egyesült Államokban a magánélet megsértéséért kiszabott szankciók attól függnek, hogy melyik törvényt sértették meg és milyen büntetéseket tartalmaznak benne.

Záró megjegyzések

Riasztó az az arány, amellyel az adatvesztés és a jogsértés történt az elmúlt években. A legtöbb ilyen szabálysértés lehetséges, mert a szervezetek egyszerűen nem számítanak rá. A Ransomware globális támadása sikeres, mert az alkalmazottak továbbra is rosszindulatú linkekre kattintanak az e-mailekben. A vállalkozások órák helyett napokig veszítik online rendelési képességüket, mert nem tudják, kivel lépjenek kapcsolatba, amikor webhelyük lemerül. Mindezt titkosítással, biztonsági másolatokkal és néhány rendszertudással nagyon finoman csökkenthetjük.

Képkredit: Gerd Altmann „Internet Cyber”, licencével a CC BY 2.0 alapján