Виклик відповідності в кількох юрисдикціях
Організації з розподіленими командами по всьому світу стикаються з проблемою відповідності вимогам конфіденційності, яку легко недооцінити: співробітники в різних юрисдикціях підпадають під різні закони про конфіденційність, але обробляють ті самі дані.
Команда підтримки клієнтів, розподілена між Німеччиною (GDPR), Каліфорнією (CCPA/CPRA) та Сінгапуром (PDPA), може мати доступ до тієї самої бази даних клієнтів. Дані, які вони обробляють, підпадають під три різні регуляторні системи, кожна з відмінними вимогами:
GDPR (ЄС/ЄЕЗ):
- Потрібна явна правова підстава для кожної мети обробки
- Права суб'єктів даних: доступ, видалення, виправлення, переносимість, обмеження, заперечення
- Обмеження транскордонної передачі (Статті 44–49)
CCPA/CPRA (Каліфорнія):
- Права споживачів: знати, видалити, відмовитись від продажу, виправити
- Класи захищених даних включають чутливу особисту інформацію (SPI)
- Суворе обмеження мети для SPI
PDPA (Сінгапур):
- Правова підстава, повідомлення та мінімізація даних
- Права суб'єктів даних: доступ, виправлення, відкликання згоди
- Вимоги до передачі даних за межі Сінгапуру
Рішення для багатоюрисдикційної відповідності
Один анонімізаційний інструмент, що охоплює всі три системи:
- Поліглотний PII-двигун: 285+ типів сутностей у 48 мовах — одна конфігурація охоплює de-identification HIPAA, pseudonymization GDPR та de-id CCPA
- Пресети на рівні відповідності: Власні конфігурації для «відповідність GDPR» проти «відповідність CCPA» — без перебудови конфігурації для кожної юрисдикції
- Aудит для всіх юрисдикцій: Єдиний журнал аудиту задокументовує, які дані були обброблені, якими методами, задовольняючи вимоги підзвітності GDPR, CCPA та PDPA
Джерела: