Государство и персональные данные
Государство и персональные данные
В Соединенных Штатах, как, впрочем, и в России, и во многих других странах мира, нет всеобъемлющего государственного регулирования. Такое регулирование имеется в Европе. В странах ЕС правительства исходят из секторного подхода к решению задач защиты безопасности прав личности и данных, которым посвящено множество правил и законов, включая саморегулирование. В других странах и организациях также можно найти некоторые принципы безопасности прав личности. Зачастую инициатором разработки таких законов и регламентов выступает IT-сообщество. Именно по инициативе ИТ-секторов экономики, например, создавалось законодательство области защиты безопасности прав личности в некоторых странах развивающегося мира. Государства Африки, Индия и Китай в настоящее время планируют также ввести законы по защите безопасности и данных. Различие мировых законодательств в области защиты прав личности могут стать препятствием торговле и помешать инновациям.
Согласно отчету Альянса коммерческих программных приложений от февраля 2012, было замечено, что между развитыми и развивающимися странами существует большой разрыв в показателях необходимого законодательства по защите персональных данных. В данном отчете также указывается, что даже в развитых странах существуют противоречащие нормы по защите данных, которые могут препятствовать пересылке персональных данных через границы.
Например, некоторые развитые страны предполагают ограничить предоставление облачных услуг только местными компаниями, находящимися в пределах страны. Для объединения разных режимов защиты данных и согласования деловых регламентов для поставщиков и правил защиты граждан требуется международный подход. Без более плотной координации на международном уровне по правительственным правилам нельзя достичь всех преимуществ и эффективности облачных сетей, которые должны свободно передавать данные и программные услуги через границы.
Case Study = Случай муниципалитета Оденсе
Случай в вопросе касается планов муниципалитетов Дании использовать Google Apps в школьной системе для обработки чувствительных персональных данных при регистрации информации о планах на урок, оценке планов на урок и успехов в учебе каждого студента.
В соответствии с упомянутым постановлением, начиная обработку персональных данных, контролирующий орган или компания отвечают за структурирование этого процесса так, чтобы гарантировать соответствие, и чтобы обрабатываемые данные, касающиеся граждан, постоянно защищались необходимыми средствами безопасности. DDPA запретил муниципалитету Оденсе использовать облачные сети для хранения определенной чувствительной информации, в основном исходя из вопросов безопасности. Его мнение не совпадает с мнением муниципалитета Оденсе о том, что конфиденциальные и чувствительные данные о студентах и их родителях можно обрабатывать в Google Apps.
Вопрос в том, может ли муниципалитет удовлетворить требования Акта по защите информации в Дании в показателях гарантий мер безопасности, осуществляемых обработчиком данных, учитывая, что муниципалитету не известно, где физически размещены данные. Не понятно, как будут удовлетворены следующие требования Акта по защите информации в Дании:
- Удаление данных так, чтобы их нельзя было восстановить.
- Передача и регистрация: муниципалитет не дал четко понять, будет ли использоваться шифрование при передаче данных между разными центрами обработки данных.
- Не была представлена информация о том, как регистрируются данные, или сколько сохраняется запись.
Читать статью «Защита персональных данных в облачных сетях» далее
Облака – безопасность ИТ как услуги
Новые бизнес-модели безопасности
Используем хранилища данных
Кто защитит данные в облаках?
Государство и персональные данные
Набор правил ЕС по защите персональных данных
Стандарты обработки персональных данных
Облака - Безопасность прав личности
Мобильная безопасность