GAPP: Общепринятые принципы конфиденциальности

Принципы конфиденциальности GAPP представляют собой комплексный фреймворк, разработанный Американским институтом сертифицированных общественных бухгалтеров (AICPA) и Канадским институтом дипломированных бухгалтеров (CICA). Эта система включает 10 основных принципов и более 70 практических задач, которые помогают организациям создать эффективную программу защиты персональных данных и управлять рисками утечек информации.

Принципы конфиденциальности в бухгалтерском учёте

В бухгалтерском учёте Общепринятые принципы конфиденциальности (GAPP) предоставляют основу, предназначенную помочь дипломированным бухгалтерам и сертифицированным общественным бухгалтерам в создании эффективной программы защиты конфиденциальности для управления и предотвращения рисков утечки данных. Эта основа была разработана совместно Канадским институтом дипломированных бухгалтеров (CICA) и Американским институтом сертифицированных общественных бухгалтеров (AICPA) через рабочую группу AICPA/CICA по вопросам конфиденциальности. Она является компонентом SOC 2.

Ранее GAPP была известна как Основа конфиденциальности AICPA/CICA и основана на едином принципе конфиденциальности: персональная информация должна собираться, использоваться, сохраняться и раскрываться в соответствии с обязательствами, указанными в уведомлении о конфиденциальности организации, и критериями, установленными GAPP. Эта цель поддерживается десятью основными принципами и более семьюдесятью задачами с соответствующими измеримыми критериями. Десять принципов:

• Управление
• Уведомление
• Выбор и согласие
• Сбор данных
• Использование, хранение и удаление
• Доступ
• Раскрытие третьим лицам
• Безопасность конфиденциальности
• Качество
• Мониторинг и соблюдение

Конфиденциальность в Общепринятых принципах конфиденциальности определяется как «права и обязанности физических лиц и организаций в отношении сбора, использования, хранения, раскрытия и удаления персональной информации».

Управление

Управление обеспечивает комплексный подход к защите прав пользователей на конфиденциальность, одновременно сохраняя конфиденциальность собранной информации и способ её использования и раскрытия. Хотя большинство пользователей и компаний используют какую-либо программу для защиты конфиденциальности, система управления конфиденциальностью укрепляет доверие между компанией и её пользователями. Основные элементы управления конфиденциальностью сводятся к минимизации данных, ограничению целей использования, точности данных, безопасности данных и подотчётности для создания успешной системы, которой пользователи могут доверять. Это обеспечивает чёткий акцент на том, что будут собраны только необходимые данные и использованы по назначению, информация останется точной и актуальной, будут приняты надлежащие меры безопасности для защиты данных, и компания возьмёт полную ответственность за любые происшествия. Эти элементы можно сгруппировать в четыре ключевых компонента управления конфиденциальностью: управление сбором данных и согласием, безопасность, оценки влияния на конфиденциальность и политики конфиденциальности с обучением.

**Сбор и управление данными:** этот аспект помогает информировать пользователя о том, какая информация собирается, и получить согласие на сбор данных. Это способствует построению доверия между пользователем и компанией и предотвращает недопонимание относительно политики или процесса обработки данных. Согласие пользователя требуется законом и является одной из наиболее важных частей этого процесса. Компания не только должна получить согласие, но и задокументировать его для защиты от возможных проблем в будущем.

**Безопасность:** меры безопасности связывают все остальные концепции воедино и обеспечивают сохранение конфиденциальности на протяжении всего процесса. Это защищает собранные данные и проверяет их актуальность. После сбора данных компания также обеспечивает их безопасное удаление, чтобы другие лица не могли получить к ним доступ.

**Процедуры политики конфиденциальности:** эти процедуры помогают компаниям понять и соблюдать законы и стандарты, касающиеся защиты данных. Законы постоянно отслеживаются на предмет обновлений. Компании также должны обучать своих сотрудников этим правилам и нормам, чтобы они не нарушались. Если правила применяются к компании, но не соблюдаются сотрудниками, они практически теряют смысл, поэтому обучение необходимо.

**Оценки влияния на конфиденциальность (PIA):** это анализ персональной информации пользователей, показывающий, как она собирается, используется и сохраняется. Это помогает компаниям убедиться, что они правильно обращаются с данными пользователей. Оценки впервые стали обязательными по закону в 2002 году согласно Закону об электронном правительстве. Это способствует укреплению доверия между компанией и пользователями и позволяет чётко сообщить, как будут использоваться и собираться данные. Оценки проводит IT-команда компании для остальной организации, чтобы убедиться, что всё актуально и обрабатывается правильно. Существует четыре типа оценок в зависимости от типа собираемой информации: стандартные оценки для анализа обработки персональной информации, внутренние оценки для систем, собирающих информацию о сотрудниках и подрядчиках, оценки для систем, которые не собирают и не распространяют данные, и оценки для анализа сторонних веб-сайтов и приложений.

Уведомление

Уведомления о конфиденциальности помогают пользователям принимать решения о сборе и использовании данных компанией. Уведомление — это открытый документ от компании, описывающий пользователю, как будут собраны, защищены и использованы его данные, а также другие важные аспекты процесса. Документ предоставляется пользователю своевременно на понятном языке, чтобы минимизировать путаницу. Если компания использует третью сторону для сбора данных, она также должна уведомить об этом пользователя. Цель уведомления — максимально ясно информировать пользователя о процессе сбора данных, чтобы он знал, что происходит и не был оставлен в неведении относительно своей персональной информации.

Выбор и согласие

Выбор и согласие в первую очередь обеспечивают защиту данных, позволяя людям контролировать объём собираемой персональной информации в интернете. Юрисдикция, отрасль, сектор пользователя и тип обмениваемой информации — всё это влияет на способ обработки данных. В серьёзных случаях согласие пользователя требуется для сбора его данных. Пользователи обычно имеют возможность согласиться или отказаться, что должно быть ясно видно, чтобы избежать недопонимания.

Сбор данных

Принципы сбора защищают многие основные финансовые и информационные принципы. Финансовые принципы защищают и сохраняют сбор платежей, защиту отношений между клиентами и эффективность процесса. Принципы сбора данных обеспечивают защиту информации во время сбора, проверку достоверности собранных данных и информирование пользователей о том, что их данные будут собраны, с просьбой о согласии. Во время сбора данных согласие важно, но не менее важно информировать пользователей о цели сбора.

Использование, хранение и удаление

Эти принципы обеспечивают, чтобы собранные данные хранились разумное время, не сохранялись постоянно и удалялись надлежащим и безопасным способом. Время хранения зависит от периода хранения, который варьируется между компаниями. Период хранения устанавливает чёткий график того, как долго должны храниться данные. При удалении информации компании должны безопасно защитить данные перед их уничтожением так, чтобы они не могли быть восстановлены.

Доступ

Право доступа позволяет пользователям получать информацию о своих данных. Это включает возможность узнать, собираются ли ваши данные, проверить их точность и иметь право на удаление недействительных данных. Пользователи имеют право запросить доступ к своим данным, и компании должны стараться предоставить этот доступ. Доступ может быть отклонён, если раскрытие информации нарушит конфиденциальность или права другого пользователя.

Раскрытие третьим лицам

Принципы раскрытия третьим лицам защищают обмен персональными данными и информацией с внешними сторонами. Номера телефонов, реквизиты финансовых счётов, историю транзакций и любую персональную информацию защищают эти принципы. Иногда возникает необходимость раскрыть информацию третьим лицам по юридическим причинам, таким как кредитные оценки или предотвращение мошенничества, но при этом информация обрабатывается осторожно и защищается. Предоставление доступа третьим лицам иногда требуется или приносит пользу компании, но всё зависит от соблюдения надлежащей процедуры и применимых законов.

Безопасность конфиденциальности

Принципы безопасности и конфиденциальности защищают данные пользователей от несанкционированного доступа, атак, взломов и других вредоносных попыток. Эти меры защищают данные как внутри, так и снаружи организации, предотвращая любые изменения или потерю данных. Безопасность и конфиденциальность включают два основных компонента: безопасность данных и приватность данных. Безопасность данных защищает пользователей от угроз и вредоноса, а приватность данных управляет данными пользователей в отношении их прав. Если безопасность данных обеспечивает физическую защиту от атак, то приватность данных защищает способ обработки данных и права пользователей. Ключевой момент безопасности — это модель CIA Triad, которая защищает конфиденциальность, целостность и доступность данных. Конфиденциальность обеспечивает доступ к чувствительным данным только авторизованным пользователям. Целостность гарантирует точность и надёжность содержимого данных на протяжении их жизненного цикла. Доступность защищает от невозможности доступа пользователя к данным, когда они ему нужны.

Качество

Качество сосредоточено на сохранении целостности данных в оптимальном состоянии. Это включает точность данных, предотвращение потери информации и сохранение только необходимых данных, упомянутых в уведомлении о конфиденциальности. Аспект качества GAPP тесно взаимодействует со всеми остальными компонентами.

Мониторинг и соблюдение

Компании обязаны соблюдать законы о конфиденциальности, нести ответственность при возникновении проблем и разрешать их. Это часто начинается с обучения сотрудников законам и нормам о конфиденциальности, чтобы предотвратить ошибки. Если ошибки всё же произойдут, компания, в соответствии с основой, должна решить любые проблемы пользователей.

Внедрение программы конфиденциальности

После того как компания поймёт принципы GAPP, она может начать создавать собственную программу конфиденциальности для внедрения этих принципов в повседневную деятельность. Сначала необходимо определить план действий, который установит ответственность за конфиденциальность, распределит задачи и создаст график реализации, позволяющий компании измерять цели и прогресс.

Этот план должен постоянно отслеживаться и обновляться при появлении новых практик конфиденциальности, и должен постоянно применяться сотрудниками. Основной способ информирования компании об этом плане — обучение, при котором сотрудники проходят процесс, помогающий им понять план действий и лучше работать в соответствии с его требованиями.

Если компании этого не сделают, они могут столкнуться с серьёзными проблемами, касающимися конфиденциальности пользователей, что может нанести ущерб репутации компании. GAPP предоставила компаниям стабильную основу, которой они могут следовать, чтобы избежать этих проблем и создать собственную основу, работающую для их компании, при этом соблюдая принципы GAPP. Ключевые компоненты, которые всегда следует учитывать:

• Проводить регулярные аудиты конфиденциальности
• Обучать сотрудников практикам и принципам конфиденциальности
• Поддерживать чёткое и ясное общение между компанией и её клиентами

Что такое принципы конфиденциальности GAPP