„Gdpr“ prasideda šiandien! Ką tu turi žinoti

Nuo šiandien, 2018 m. Gegužės 25 d., Europos Sąjungos (ES) Bendrojo duomenų apsaugos reglamento (GDPR) teisės aktai veiksmingai taps visuotine teise, kai bus svarstomi klausimai, kaip asmens duomenis turi tvarkyti įmonės. Nors galite manyti, kad Europoje ratifikuotas duomenų apsaugos įstatymas bus taikomas tik europiečiams, klydote. Taip yra todėl, kad GDPR apsaugo visus ES piliečius, nesvarbu, kur jie gyvena, ir nesvarbu, su kuo jie užsiima, o tai reiškia, kad Amerikos įmonėms, turinčioms ES klientų, griežtai taikomi GDPR reikalavimai ir, dar blogiau, baudos. Blogiau, nes, remiantis naujausia „Crowd Research Partners“ ataskaita, tik 7 procentai įmonių eina linkme, kad iki šiandien galiojančio laikotarpio atitiktų GDPR.

Ir nors yra žingsnių, kuriuos galite atlikti net ir šiandien, kad jūsų įmonė būtų bent šiek tiek saugi pagal GDPR, visiškas atitikimas tai nėra lengvas projektas. Duomenų rinkimo procesai turi atitikti tai, kaip duomenys bus naudojami įmonėje (pavyzdžiui, duomenys apie pirkėjus, bet ne apie elektroninės prekybos įmonių medicinos istoriją). Įmonės turėtų norėti ir sugebėti paaiškinti, kokie duomenys buvo renkami ir kodėl. Saugumo praktika turi parodyti aiškų sugebėjimą apsisaugoti nuo praradimo, sugadinimo ir sunaikinimo, o duomenys neturėtų būti saugomi ilgiau, nei būtina. Bet kuriai įmonei, nesilaikančiai šio reglamento, jos metinės pajamos netenka 4 proc.

„Tai nėra bebalsis taisyklių ir reglamentų rinkinys“, - teigė informacijos valdymo sistemų tiekėjo „Alfresco“ strateginių sprendimų vadovas Ankuras Laroia. Laroia teigia, kad dėl kelių reglamento įstatuose nurodytų klausimų įmonėms bus sunku laikytis normų. Pavyzdžiui, keli klausimai apima abstrakčiai surašytas taisykles, kodėl duomenys renkami, netenkinančius klientų duomenų šveitimo reikalavimų, kai jų prašoma, ir poreikį kai kurioms įmonėms visiškai atnaujinti saugumo procedūras tik siekiant užtikrinti jų laikymąsi. Vis dėlto Laroia nemano, kad ES klaidina.

„ES ketina sekti pažeidėjus“, - prognozuoja jis. "Jei tai būtų priimta, " Equifax "būtų patekusi į daug rūpesčių".

Nors GDPR daugiausia dėmesio skiria ES piliečiams, jis taip pat pateikia košmarišką scenarijų Amerikos verslo savininkams., išskaidysime tai, ką amerikiečiams reikia žinoti, norint pradėti kelionę į GDPR laikymąsi.

1. Amerikos kompanijos turės atitikti

Jei jūsų mama ir pop knygynas niekada neišsiuntė pakuotės už savo gimtojo miesto ribų, greičiausiai jums nereikės rūpintis GDPR. Tačiau jei turite net vieną ES klientą, turėsite nedelsdami pradėti atitikti GDPR reikalavimus. Pagal įstatus ES piliečių duomenys turi būti apsaugoti ir minėtus duomenis piliečiui turite pateikti, jei jis to reikalauja. Dar svarbiau, kad gali reikėti išvalyti tuos duomenis iš savo sistemų, kai ir kada pilietis pateikia prašymą. Jei to nepadarysite, o GDPR budėtojas sužinos, kad prarasite 4 procentus savo metinių pajamų.

„Nors tai yra ES direktyva, ji daro įtaką bet kuriai kompanijai visame pasaulyje, kurios klientai yra ES gyventojai“, - sakė IDC saugumo tyrimų viceprezidentas Pete Lindstrom. "Jei turite adreso laukus ir jie yra Europos adresai, jie greičiausiai bus laikomi europietiškais."

Negalima atskirti įmonės, kurios būstinė yra ES ar tokiame mieste kaip Skokie, Ilinojus. Vietoj to įstatymas sutelkia dėmesį į asmenį identifikuojančią informaciją (PII) ir tai, kur gyvena su duomenimis susijęs asmuo. Kiekvienas asmuo, turintis bet kokius asmens tapatybės duomenų apie Europos klientus duomenis, turės jų laikytis.

Net jei jūsų įmonė turi keletą klientų iš ES, labai tikėtina, kad jūsų vietinį knygyną patikrins GDPR sargybiniai. Tačiau didelės kompanijos, tokios kaip „Facebook“ ir „Yahoo“, negalės reikalauti Amerikos ištikimybės kaip būdo paslėpti GDPR.

„Jei esate popmuzikos mama ir turite pažeidimą, esate teisiškai atsakingas“, - sakė Laroia. "Sunku pasakyti, ar jie realiai ateis paskui jus… kiekviena ES valstybė narė turės atitikties tarnybą. Ši įstaiga pradės reikalauti visų laikymosi schemos. Jie sukurs savo geografinėse vietose verslą vykdančių įmonių sąrašą. Jie vietoje patikrins didesnius vaikinus ir pradės užduoti klausimus “.

Neatitinkančios Amerikos kompanijos neturėtų tikėtis, kad JAV vyriausybė jas apsaugos, kai GDPR remiamos ES valstybės bandys surinkti tas prarastas pajamas. „JAV vyriausybė yra priversta užtikrinti, kad tie sprendimai būtų vykdomi“, - sakė Laroia. "Ar jie bus vykdomi, dar reikia išsiaiškinti, bet ES vyriausybė turės kovoti".

2. Gegužės 25 reiškia gegužės 25

Nors reglamentas įsigalioja šiandien, 2018 m. Gegužės 25 d., Įstatymas buvo ratifikuotas ES parlamente 2016 m. Balandžio 14 d. Tai reiškia, kad, kiek tai susiję su ES, įmonės turėjo pakankamai laiko įdiegti GDPR atitinkančią praktiką.. Taigi, jei rytoj jūsų įmonę užklupo didžiulis kibernetinis smūgis ir jūsų surinkti duomenys apie klientus, svetainių lankytojus ir net partnerius patenka į pavojingą tamsią žiniatinklį, negalite teigti, kad „nepakankamas laikas“ yra pasiteisinimas atskleisti ES piliečių duomenis.

„Įstatai įsigaliojo“, - sakė Laroia. "Jūsų gali būti paprašyta parodyti jūsų kelionės atitiktį. Ar jau esate surašęs? Koks yra jūsų protokolo reikalavimas, kad ES pilietis galėtų paklausti apie jūsų duomenis? Šių bendrovių dabar gali būti paprašyta pateikti šią informaciją. Joms kitais metais bus pradėtos baudos, jei jos jie negali įrodyti, kad laikysis taisyklių po gegužės mėn. “

3. Nesitikėkite pratęsimo

Skirtingai nuo daugelio teisinio reguliavimo kovų, kurias turime JAV (pvz., Tinklo neutralumas), niekas ES 2018 m. Gegužės 24 d. Nesiruošė ginčyti GDPR ir taip atidėti reglamentą neribotam laikui. Europiečiai to norėjo ir dabar turi.

„Tai yra nuostata, kaip buvo sukurta nuostabi nuostata“, - sakė Laroia. "Kadangi jie davė korporacijoms metus, kad jie galėtų tinkamai elgtis, iš teisminio ginčo perspektyvos nebuvo jokių iššūkių. Jei mes tai pamatytume, jau būtų įvykę. Ar kas nors tai padarys po to, kai bus iškelta byla? Esu tikras, kad jie bandys, bet tuo metu į juos žiūrės prastai “.

4. Ką reikės padaryti norint įvykdyti

Kaip reikalauja reglamentas, turėsite paskirti ką nors atsakingą už atitikties proceso valdymą. Šis asmuo, kurį GDPR įstatymas vadina „duomenų apsaugos pareigūnu“ (DPO), bus pagrindinis asmuo, atsakingas už GDPR priežiūros komandos lankymą tais būdais, kuriais jūsų įmonė saugo savo duomenis. Šis asmuo taip pat bus atsakingas už tai, kad būtų suburti skirtingi verslo principai jūsų įmonėje, kad būtų parengta metodika, kaip atitikti ir atitikti GDPR.

Trumpai tariant, DAP pareigas suskirstys į keturias pagrindines kategorijas:

• Pirma, jie turi būti pakankamai gerai susipažinę su GDPR informacija, kad ateityje galėtų būti ne tik pirminio atitikties proceso, bet ir visų su GDPR susijusių duomenų tvarkymo klausimų svarbiausias asmuo, ir tikrai pakankamai, kad jie galėtų pateikti klausimus abiem vyresniesiems. vadovai ir duomenų tvarkymo vietoje dirbantys IT darbuotojai.
• Antra, jie turi sugebėti stebėti visus jūsų organizacijoje vykstančius duomenų tvarkymo procesus ir įvertinti jų veiksmingumą asmens duomenų saugos srityje.
• Trečia, jie turi turėti audito ir stebėjimo galimybes visose jūsų verslo srityse, kurioms gali turėti įtakos GDPR, ir reguliariai vertina, ar jų laikomasi.
• Ir galiausiai, jie turi palaikyti ryšį su jūsų pramonės įmonėmis GDPR, bendradarbiauti su jomis ir būti atsakingi už bet kokius tos valdžios prašymus.

Visa tai paaiškina asmeniui, suprantančiam duomenų srautus, duomenų apsaugos priemones ir technologijas, taip pat ne tik žinios apie GDPR teisės aktus, bet ir žinios apie susijusius ir susijusius ES teisės aktus, pvz., Jos privatumo direktyvą. Tikėtina, kad šių įgūdžių trūkumas sukūrė „žaliojo lauko“ galimybę verslo ir IT konsultavimo įmonėms, tačiau, jei norima ugdyti šį talentą savo įmonėje, verta ieškoti anglų kalbos, europietiškų mokymosi šaltinių, iš kurių daugelis šiam tikslui yra sukūrę GDPR DPO kursų programas. Be to, yra tarptautinių pramonės organizacijų, tokių kaip Tarptautinė privatumo specialistų asociacija (IAPP), kurios siūlo GDPR mokymo kursų programas ir sertifikatus.

Dėl daugiau techninių pastabų, norėdami išlaikyti suderinamumą, turėsite naudoti bent vieną fizinių serverių, tinklo prijungtos atminties (NAS), diskų ir diskų bei tinklo prieigos šifravimo metodą. Kai turėsite prieigą prie PII ir atlikdami operacijas, kuriose yra PII duomenys, turėsite patikrinti darbuotojų tapatybes ir įdiegti daugiafaktorinį autentifikavimą (MFA). Turėsite pašalinti bet kokią praktiką, leidžiančią prieiti prie duomenų ar juos tvarkyti neteisėtais tikslais, nuolat stebėti ir tikrinti duomenis, kad būtų užtikrintas jų tinkamumas, ir visiškai ir negrįžtamai išvalyti klientų duomenis, kai bus paprašyta tai padaryti. Organizacijos turės atlikti išsamų rizikos vertinimą ir dirbti su partneriais, ypač tais, kurie yra sujungti per programų programavimo sąsajas (API), kad užtikrintų nuolatinį atitikimą.

Galiausiai, jei pažeidžiami jūsų organizacijos duomenys, turėsite nedelsdami pranešti susijusiam GDPR prižiūrėtojui, kad būtų išsamiai aprašytas pažeidimas ir jo padariniai. Ir turėsite pranešti apie pažeidimo padarinius paveiktiems klientams.

5. JAV klientai

Laroia teigė, kad iš esmės gerą verslo prasmę reikia saugoti ir būti gerais klientų informacijos tvarkytojais. „Jūs turite į tai pažvelgti iš galutinio kliento taško“, - sakė Laroia. "Tai yra priežastis, kodėl šios įmonės užsiima verslu. Taip, nors verslui tai yra skausminga, įmonės neinvestavo į technologijas ar neatsiliko nuo naujovių tempo."

Deja, panašių JAV taisyklių nėra knygose. Niujorke verslą vykdančios įmonės, veikiančios pagal Niujorko Finansinių paslaugų departamento kibernetinio saugumo reikalavimus, tam tikra prasme yra aprėptos. Šis reglamentas reikalauja, kad Niujorke įsikūrę verslai įgyvendintų ir laikytųsi rašytinės politikos ar politikos, patvirtintos vyresniojo pareigūno arba Susijusio subjekto direktorių valdybos (arba atitinkamo jos komiteto) ar lygiaverčio valdymo organo. Remiantis rašytiniu įstatymu, nustatoma aprėpties subjekto politika ir procedūros, skirtos apsaugoti jo informacines sistemas ir tose informacinėse sistemose saugomą neviešą informaciją.

Kitos valstybės, tokios kaip Koloradas, aptarė panašių reglamentų įgyvendinimą. Tačiau neegzistuoja JAV federalinis įstatymas. Tačiau Laroia nusiteikusi optimistiškai, JAV bus kita. „Amerikiečiai neturi tokių teisių“, - sakė jis. "Bet duok penkerius metus".