Что такое GDPR?

Европейский союз (ЕС) ввел свой предыдущий стандарт защиты данных 20 лет назад, приняв Директиву о защите данных 95/46/EC. Поскольку ЕС требует от каждого государства-члена включения директивы в национальное законодательство, в итоге закон о конфиденциальности в разных странах Европы превратился в лоскутное одеяло. Кроме того, в связи с участившимися нарушениями безопасности, стремительным развитием технологий и глобализацией за последние 20 лет на первый план вышли новые задачи по защите персональных данных. Пытаясь разрешить эту ситуацию, ЕС разработал регламент GDPR, который напрямую действует в качестве закона во всех государствах-членах.

Что такое GDPR

GDPR — защита данных

Безопасность и защита данных клиента являются общей ответственностью клиента и Oracle. Аналогичным образом соблюдение конфиденциальности также является общей ответственностью Oracle и клиента.

Такая общая ответственность в контексте GDPR определяется тремя ключевыми субъектами.

  • Субъект данных: физическое лицо, чьи персональные данные собираются и обрабатываются контроллером.
  • Контроллер: сущность, определяющая цели и средства, с помощью которых обрабатываются данные.
  • Обработчик: сущность, которая обрабатывает данные только по команде контроллера.

В чем важность GDPR для Oracle и наших клиентов

После вступления в силу GDPR будет широко применяться к компаниям, которые:

  • базируются как в ЕС, так и за его пределами;
  • собирают и обрабатывают персональные данные лиц, проживающих в ЕС.

Персональные данные, которые в других частях мира могут называться личной информацией или персонально идентифицируемой информацией, определяются как любая информация, относящаяся к физическому лицу, которое может быть прямо или косвенно идентифицировано, например путем ссылки на такие идентификаторы, как:

  • имена, идентификационные номера и (или) данные о местонахождении;
  • онлайн-идентификаторы или один или несколько факторов, характерных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности человека.

Для компаний, собирающих и обрабатывающих персональные данные в ЕС как в автономном режиме, так и онлайн (то есть занимающихся электронной коммерцией или рекламой в Интернете), произошли значительные изменения, связанные со следующими факторами:

  • новыми, усиленными правами физических лиц;
  • требованиями к отчетности для компаний;
  • усилением контроля со стороны регулирующих органов.

Поэтому компаниям, собирающим и обрабатывающим персональные данные в ЕС, необходимо будет более тщательно, чем когда-либо ранее, продумать свою практику обработки данных и сценариев использования и управления ими.

Ключевые требования GDPR

GDPR был построен на устоявшихся и широко признанных принципах конфиденциальности, таких как ограничение цели, законность, прозрачность, целостность и конфиденциальность. GDPR ужесточает существующие требования к конфиденциальности и безопасности, включая требования к уведомлению и согласию, технические и операционные меры безопасности, а также механизмы трансграничного перемещения данных.

Чтобы адаптироваться к новой реальности цифровой, глобальной и управляемой данными экономики, GDPR также формализует новые принципы конфиденциальности, такие как подотчетность и минимизация данных, которые отражены во всем тексте, в том числе в следующих требованиях.

  • Безопасность данных. Компании должны внедрить соответствующий уровень безопасности, включающий как технические, так и организационные средства контроля безопасности, для предотвращения потери данных, утечки информации или других несанкционированных операций по обработке данных. GDPR рекомендует компаниям включить в свою программу безопасности шифрование, управление инцидентами, а также требования к целостности, доступности и устойчивости сетей и систем.
  • Расширенные права физических лиц. Физические лица имеют больший контроль и в конечном счете большее право собственности на свои собственные данные. Им также предоставляется расширенный набор прав по защите данных, включая право на переносимость данных и право на забвение.
  • Уведомление о нарушении безопасности данных. Компании должны без неоправданной задержки информировать затронутые регулирующие органы и (или) физических лиц после того, как им стало известно, что безопасность данных была нарушена.
  • Аудиты безопасности. Компании должны будут документировать и вести записи о своих методах обеспечения безопасности, проводить аудит эффективности своей программы безопасности и принимать корректирующие меры в случае необходимости.

Ускорьте свой путь к соответствию требованиям GDPR с помощью Oracle

Oracle готова помочь Вам разработать стратегию для достижения соответствия требованиям безопасности GDPR. Oracle имеет более чем 40-летний опыт в проектировании и разработке надежных решений для управления базами данных, защиты данных и обеспечения безопасности. Решения Oracle Cloud, пользующиеся доверием во всем мире, имеют проверенную репутацию и работают на ведущих предприятиях в 175 странах. Oracle успешно управляет важнейшими бизнес-данными более чем 25 000 клиентов SaaS по всему миру и в разных сферах (финансы, HR, цепочки поставок и клиентский опыт (CX)) на ежедневной основе.

Клиенты приложений Oracle Cloud могут воспользоваться огромным опытом Oracle в области облачных вычислений. На протяжении многих лет Oracle инвестировала ресурсы и разработала механизмы контроля и процессы для экспертной разработки и управления своими приложениями, базами данных, серверами и инфраструктурой по всему стеку облачных технологий. Oracle предоставляет своим клиентам преимущество SaaS, предлагая наиболее полный набор облачных приложений, разработанных для обеспечения безопасности на каждом уровне, для всего бизнеса. Приложения Oracle Cloud могут снизить риски и обеспечить простоту благодаря единому набору политик и стандартов для Ваших бизнес-процессов. В условиях постоянно меняющегося нормативно-правового ландшафта приложения Oracle Cloud могут помочь Вашей организации более эффективно и легко обеспечить соответствие нормативным требованиям.

Узнайте больше о том, как приложения Oracle Cloud могут помочь ускорить Вашу готовность к GDPR.

Как GDPR влияет на работу Oracle Marketing Cloud?

Организации по всему миру продолжают уделять особое внимание тому, чтобы их системы, процессы и политики соответствовали требованиям GDPR. Перед командами маркетологов по-прежнему стоит задача внести изменения в управление процессами, людьми и техническими средствами контроля, чтобы соответствовать требованиям законодательства. Oracle Marketing Cloud одобряет положительные изменения, которые происходят с нашими сервисами в результате внедрения GDPR, и мы по-прежнему стремимся помочь нашим клиентам выполнить требования GDPR, относящиеся к нашим продуктам и сервисам, включая любые требования, предъявляемые к отчетности обработчика. В большинство наших сервисов уже встроены функции обеспечения конфиденциальности и безопасности, что позволяет нашим клиентам контролировать ситуацию и укреплять доверие потребителей.

Передовые решения и варианты обеспечения безопасности для клиентов SaaS, PaaS и IaaS

Если у Вас есть дополнительные потребности в обеспечении конфиденциальности и безопасности данных, помимо стандартов и возможностей, встроенных в приложения «программное обеспечение как услуга» (SaaS), или Вы используете платформу как услугу (PaaS) или инфраструктуру как услугу (IaaS), Oracle предлагает дополнительные решения и возможности обеспечения безопасности в облаке. Эти решения предназначены для защиты данных, управления учетными записями пользователей, а также для мониторинга и аудита ИТ-среды. Клиенты Oracle Cloud могут также выбрать дополнительные сервисы управляемой безопасности, чтобы использовать опыт Oracle в развертывании технологий безопасности и управлении ими для дальнейшего ускорения или повышения соответствия требованиям GDPR.

Решение Oracle Marketing Cloud уже готово к тому, чтобы помочь Вам удовлетворить требования GDPR

В рамках нашего обязательства помочь клиентам выполнить требования GDPR Oracle Marketing Cloud поставляется в комплекте с надежным набором встроенных функций обеспечения конфиденциальности и безопасности, которые позволяют маркетологам контролировать персональные данные, с которыми они работают, и помогают им укрепить доверие потребителей. Эти собственные возможности представлены в более широком портфеле решений Oracle Marketing Cloud и могут быть сгруппированы в следующие категории.

Сбор персональных данных Oracle Marketing Cloud позволяет маркетологам собирать персональные данные по множеству различных каналов. В рамках этих процессов сбора данных маркетологи имеют возможность включить механизмы, позволяющие их клиентам принимать информированные решения об использовании персональных данных. Посещает кто-то Ваш сайт, отправляет веб-форму или даже делится персональными данными в каналах социальных сетей, Oracle Marketing Cloud предоставит Вам средства управления, которые можно настроить в соответствии с конкретными требованиями бизнеса.
Управление персональными данными Поскольку современные предприятия собирают огромные объемы персональных данных, маркетинговым командам требуются мощные инструменты, позволяющие управлять данными в требуемом масштабе. Oracle Marketing Cloud предоставляет полный набор функций, облегчающих маркетологам и клиентам управление персональными данными. Это включает возможность для маркетологов и клиентов обновлять персональные данные по запросу, а также безопасно передавать персональные данные в требуемом масштабе, используя современные API и механизмы SFTP.
Защита персональных данных Компании несут ответственность за обеспечение безопасности персональных данных и защиты целостности данных своих клиентов. Будучи неотъемлемой частью основных продуктов Oracle, Oracle Marketing Cloud предоставляет самые современные механизмы защиты данных и средства контроля, основанные на принципах проектируемой неприкосновенности данных и конфиденциальности по умолчанию. Сюда включаются такие возможности, как шифрование, анонимизация и многое другое для защиты персональных данных на максимально высоком уровне, а также детализированный контроль доступа, который позволяет организациям различать, какие физические лица или группы должны иметь доступ к персональным данным.