从今天开始,2018年5月25日,欧盟一般资料保障规例(在一个新窗口中打开)当涉及到企业必须如何处理个人数据的问题时,(GDPR)立法将有效地成为全球法律。虽然你可能认为数据保护欧洲批准的法律只适用于欧洲人,那你就错了。这是因为GDPR保护所有欧盟公民,不管他们住在哪里,也不管他们与谁做生意,这意味着拥有欧盟客户的美国公司完全要遵守GDPR的要求,更糟糕的是,还要受到惩罚。更糟糕的是,根据最近的一份报告人群研究合作伙伴(在一个新窗口中打开)在美国,只有7%的公司有望在今天的最后期限前达到gdpri标准。
虽然有你可以采取的步骤即使在今天,要让您的公司至少在一定程度上保持gdprk的安全,实现完全的合规也不是一个轻量级的项目。收集数据的过程必须与公司将如何使用数据相关(例如,消费者购物数据,而不是医疗历史数据电子商务公司).公司应该愿意并能够解释具体收集了哪些数据以及为什么收集这些数据。安全实践必须证明有明确的防止丢失、损坏和破坏的能力,数据不应被保存超过必要的时间。任何不遵守规定的公司将被没收其年收入的4%。
信息管理系统供应商的战略解决方案负责人Ankur Laroia说:“这不是一套没有效力的规章制度。在户外(在一个新窗口中打开).拉罗亚认为,监管细则中的几个问题将使公司难以保持合规。例如,一些问题包括关于为什么要收集数据的抽象的书面规则,在请求时清除客户数据的过分要求,以及一些公司完全为了确保遵从性而修改安全程序的需要。尽管如此,拉罗亚并不认为欧盟是在胡闹。
他预测:“欧盟将对违规者穷追猛打。”“如果(当时)这一规定得到实施,Equifax就会陷入很多麻烦。”
GDPR虽然主要针对欧盟公民,但对美国企业主来说也是一场噩梦。在这篇文章中,我们将分析美国人在开始遵守GDPR之旅时需要知道什么。
1.美国公司需要遵守
如果您的夫妻店从未将包裹发送到您所在的城市以外的地方,那么您可能不需要担心GDPR。但是,如果您只有一个欧盟客户,那么您就需要立即开始符合gdpri的过程。根据规章制度,欧盟公民的数据必须受到保护,如果公民要求,你必须提供这些数据。更重要的是,如果公民提出请求,您可能会被要求从您的系统中清除这些数据。如果你不这样做,并且被GDPR监管机构发现,那么你将损失4%的年收入。
“虽然这是一项欧盟指令,但它影响了世界上任何拥有欧盟居民客户的公司,”安全研究副总裁皮特·林德斯特伦说国际数据公司(IDC)(在一个新窗口中打开).“如果你的地址字段中(填的是)欧洲地址,那么它们很可能被认为是欧洲的。”
总部设在欧盟的公司和总部设在伊利诺斯州斯科奇这样的城市的公司没有区别。相反,法律关注的是个人身份信息(PII)以及与数据相关的人居住在哪里。任何拥有欧洲客户任何形式的PII数据的公司都必须遵守。
即使你的公司有一些欧盟客户,你当地的书店也不太可能被GDPR监管机构审计。但像Facebook和雅虎这样的大公司,将不能宣称美国的忠诚,以此来规避GDPR。
拉罗亚说:“如果你是一家夫妻店,你违反了规定,你就要承担法律责任。”“很难说他们是否真的会追究你的责任……每个欧盟成员国都将设立合规办公室。那个办公室会开始询问每个人的合规计划。他们会列出在他们所在地区开展业务的公司的清单。他们会抽查块头大的人,然后开始问问题。”
当gdprs支持的欧盟国家试图征收被没收的税收时,不遵守规定的美国公司不应指望美国政府保护它们。拉罗亚说:“美国政府被迫确保这些判决得到执行。”“它们是否会得到执行还有待观察,但欧盟的政府将不得不反抗(而美国将不得不遵守)。”
2.5月25日就是5月25日吗
尽管该法规已于2018年5月25日生效,但该法律已于2016年4月14日获得欧盟议会批准。这意味着,就欧盟而言,公司有足够的时间将符合gdprh的做法落实到位。因此,如果你的公司明天遭到大规模的网络攻击,你收集的大量客户、网站访问者甚至合作伙伴的数据被泄露到邪恶的暗网上,那么你不能以“时间不够”作为泄露欧盟公民数据的借口。
拉罗亚说:“这些法规(于2016年)生效。“你可以被要求展示你进入合规的过程。你清点过了吗?对于欧盟公民询问你的数据,你有什么规矩?现在就可以向这些公司询问这些信息。明年5月后,如果不能证明合规,它们将被罚款。”
3.不要期待延期
与我们在美国遇到的大多数法律监管之争不同(例如,网络中立),欧盟没有人在2018年5月24日介入,挑战GDPR,从而无限期推迟监管。欧洲人想要这个,现在他们得到了。
拉罗亚说:“这是制定法规的美妙之处。“因为他们给企业一年的时间来纠正他们的行为,从诉讼的角度来看,没有任何挑战。如果我们要看到这个,它应该已经发生了。有人会在被起诉后这么做吗?我相信他们会尝试,但那样会让他们看起来很糟糕。”
4.你需要做什么来遵守
按照规定的要求,您需要安排专人负责管理遵从性流程。这个人被GDPR法律称为“数据保护官”(DPO),他将是负责带领GDPR监管团队了解贵公司数据保护方式的关键人物。此人还将负责将公司内不同的业务线整合在一起,以制定一种获得并保持gdprp兼容的方法。
简而言之,政务处的职责主要分为四类:beplay3体育app手机版
- 首先,他们需要足够熟悉GDPR的细节,以便不仅在最初的合规过程中,而且在未来所有与GDPR相关的数据处理问题中充当关键人物,当然也要足够好,以便他们能够应对高管和数据处理IT操作员的问题。
- 其次,他们需要能够监控组织中所有正在进行的数据处理流程,并评估其在个人数据安全方面的有效性。
- 第三,他们需要对任何可能受到GDPR影响的业务领域具有审计和监控能力,并定期评估它们的遵从性。
- 最后,他们需要与你所在行业的GDPR主管部门保持联系,与他们合作,并作为该主管部门发出的任何请求的负责人。
所有这些都可以归结为一个了解数据流、数据保护措施和技术的人,不仅要了解GDPR立法细节,还要了解相关的和相关的欧盟立法,如网上隐私的指令(在一个新窗口中打开).这些技能的可能缺乏为商业和IT咨询公司创造了一些新领域的机会,但是,如果您希望在内部培养这些人才,那么一个很好的选择是搜索英语和欧洲在线学习资源,其中许多已经为此开发了GDPR DPO课件。此外,还有跨国行业组织,如国际隐私专业人员协会(在一个新窗口中打开)(IAPP)提供GDPR培训课件和认证。
从更专业的角度来说,为了保持合规,你至少需要雇佣一个加密方法用于物理服务器、网络连接存储(NAS)、磁盘和驱动器以及网络访问。你需要核实员工身份以及在访问PII和对包含PII数据的事务进行多因素身份验证(MFA)。您需要删除任何出于未经授权的目的访问或处理数据的做法,不断监控和验证数据以确保相关性,并在被要求这样做时完全且不可逆转地清除客户数据。组织将被要求进行全面的风险评估,并与合作伙伴合作,特别是那些通过应用程序编程接口(api)连接的合作伙伴,以确保持续的合规。
最后,如果您的组织的数据被破坏了,那么您需要立即通知您的相关GDPR主管,详细描述破坏情况及其后果。你还需要与受影响的客户沟通泄露的后果。
5.美国客户
Laroia说,保护和管理好客户信息最终是一种良好的商业意识。拉罗亚说:“你必须从终端客户的角度来看待这个问题。“他们是这些公司赖以生存的原因。是的,尽管这对企业来说是痛苦的,但(一些)公司没有在技术上进行投资,也没有跟上创新的步伐。”
不幸的是,美国并没有类似的法规。在纽约做生意的公司纽约金融服务部的网络安全要求(在一个新窗口中打开)都在一定程度上被覆盖了。本法规要求总部位于纽约的企业实施并保持一份或多份书面政策,经高级主管或覆盖实体的董事会(或其适当委员会)或同等治理机构批准。本文件根据成文法律规定了覆盖实体保护其信息系统和存储在这些信息系统上的非公开信息的政策和程序。
科罗拉多州等其他州也在讨论实施类似的规定。然而,美国没有全面的联邦法律存在。但拉罗亚乐观地认为,美国将是下一个。“美国人没有这样的权利,”他说。“但再等五年吧。”
