A Gdpr ma kezdődik! amit tudnod kell

Ma, 2018. május 25-től kezdődően az Európai Unió (EU) általános adatvédelmi rendelete (GDPR) ténylegesen globális joggé válik, amikor a személyes adatok kezelésének a vállalkozások számára történő kérdése merül fel. Noha úgy gondolhatja, hogy az Európában ratifikált adatvédelmi törvény csak az európaiakra vonatkozik, tévedsz. Ennek oka az, hogy a GDPR minden EU-polgárt védelmet nyújt, függetlenül attól, hogy hol lakik, és függetlenül attól, hogy kivel üzletet folytatnak, vagyis az amerikai ügyfeleknek az EU-vevőkkel egyértelműen vonatkoznak a GDPR-követelmények és, ami még rosszabb, a szankciók. Rosszabb, mert a Crowd Research Partners legfrissebb jelentése szerint a vállalatoknak csak 7% -a halad a pályán, hogy a mai határidőn belül megfeleljen a GDPR-nek.

És bár vannak lépések, amelyeket még ma megtehetsz annak érdekében, hogy a vállalat legalább kissé biztonságosan megőrizze a GDPR-t, a teljes megfelelés elérése nem könnyű projekt. Az adatgyűjtési folyamatoknak relevánsnak kell lenniük abban, hogy az adatokat a vállalat hogyan használja fel (például a fogyasztói vásárlási adatok, de nem az e-kereskedelmi társaságok kórtörténetének adatai). A vállalatoknak hajlandónak és képeseknek kell lenniük arra, hogy pontosan megmagyarázzák, milyen adatokat gyűjtöttek és miért. A biztonsági gyakorlatoknak igazolniuk kell az elvesztés, károsodás és megsemmisülés elleni védelem egyértelmű képességét, és az adatokat nem szabad a szükségesnél hosszabb ideig tárolni. Minden olyan társaság számára, amely nem felel meg a rendeletnek, éves bevételeinek 4% -os elvesztése vonatkozik.

"Ez nem fogatlan szabályok és rendeletek összessége" - mondta Ankur Laroia, az Alfresco információkezelő rendszer szolgáltatójának stratégiai megoldások vezetője. Laroia azt állítja, hogy a rendelet alapszabályában szereplő számos kérdés megnehezíti a társaságok számára a megfelelőség fenntartását. Például néhány kérdés az elválasztottan írott szabályokat tartalmazza az adatgyűjtésről, az ügyfelek adatainak igénybevételére vonatkozó követelmények túlteljesítéséről, amikor azt kérik, valamint arra, hogy egyes vállalatoknak teljes mértékben meg kell újítaniuk a biztonsági eljárásokat kizárólag a megfelelés biztosítása céljából. Ennek ellenére Laroia nem gondolja, hogy az EU összezavarodik.

"Az EU az elkövetők után fog menni" - jósolja. "Ha ezt elfogadnák, az Equifax sok bajba került volna."

Miközben a GDPR elsősorban az uniós polgárokra összpontosít, rémálom forgatókönyvet is bemutat az amerikai vállalkozások tulajdonosai számára., lebontjuk azokat az információkat, amelyeket az amerikaiaknak tudniuk kell a GDPR-nek való megfelelés felé vezető út megkezdéséhez.

1. Az amerikai vállalatoknak teljesíteniük kell

Ha az anyád és a pop könyvesboltja soha nem szállított egy csomagot otthoni városán kívül, akkor valószínűleg nem kell foglalkoznia a GDPR-rel. Ha azonban van még egy EU-alapú ügyfele, akkor azonnal meg kell kezdenie a GDPR-kompatibilis folyamatot. A szabályzat értelmében az EU állampolgárainak adatait védeni kell, és ezeket az adatokat a polgárnak meg kell adnia, ha kéri. Ennél is fontosabb, hogy szükség lehet arra, hogy törölje ezeket az adatokat a rendszeréből, ha és amikor a polgár megteszi a kérelmet. Ha nem, és a GDPR-megfigyelő kutya kiderül, akkor elveszíti éves bevételének 4 százalékát.

"Annak ellenére, hogy ez egy EU irányelv, az a világ minden táján működő vállalkozást érinti, amelynek ügyfelei az EU lakosai vannak" - mondta Pete Lindstrom, az IDC biztonsági kutatási alelnöke. "Ha rendelkeznek címmezőkkel, és ők európai címek, akkor valószínűleg európainek tekintik őket."

Nem lehet megkülönböztetni az EU-ban székhellyel rendelkező társaságot vagy egy olyan városban, mint Skokie, Illinois. A törvény ehelyett a személyes azonosításra (PII) és az adatokhoz társított személy lakóhelyére összpontosít. Mindenkinek, akinek bármilyen személyi adatvédelmi adata van egy európai ügyféllel kapcsolatban, meg kell felelnie.

Még ha vállalkozása is rendelkezik néhány EU-alapú ügyféllel, nagyon valószínűtlen, hogy a helyi könyvesboltot a GDPR ellenőrző kutyái ellenőrzik. De a nagyvállalatok, mint például a Facebook és a Yahoo, nem fogják tudni hivatkozni az amerikai hűségre, hogy a GDPR-t leplezzék.

"Ha anya-és pop-lány vagy, és megsérti magát, akkor jogilag felelősségre vonható" - mondta Laroia. "Nehéz megmondani, hogy reálisan jönnek-e Ön után… minden EU-tagállamnak lesz megfelelőségi hivatala. Ez az iroda elkezdi kérni mindenkinek a megfelelési rendszert. Létrehozza a földrajzi területeken üzleti tevékenységet folytató vállalatok jegyzékét. Megfigyelik a nagyobb srácot, és kérdéseket kezdenek feltenni."

Az amerikai vállalatok, amelyek nem tesznek eleget, nem várhatják el, hogy az Egyesült Államok kormánya árnyékolja őket, amikor a GDPR által támogatott EU-államok megkísérelik beszedni ezt az elveszített bevételt. "Az Egyesült Államok kormánya kénytelen biztosítani ezeket az ítéleteket." - mondta Laroia. "Még nem látjuk, hogy végrehajtják őket -, de az EU kormányának harcolnia kell."

2. Május 25.: május 25.

Noha a rendelet ma, 2018. május 25-én lép hatályba, a törvényt az Európai Parlament 2016. április 14-én ratifikálta. Ez azt jelenti, hogy az EU szempontjából a vállalatoknak volt elég idejük a GDPR-nek megfelelő gyakorlatok bevezetésére.. Tehát, ha a vállalkozást holnap egy hatalmas cyber-csapás sújtja, és az ügyfelekről, a webhely látogatóiiról és akár a partnereiről összegyűjtött adatok is felkerülnek a rosszindulatú sötét webre, akkor nem állíthatja, hogy "elégtelen idő" kifogás az uniós polgárok adatainak nyilvánosságra hozatalához.

"Az alapszabály hatályba lépett" - mondta Laroia. "Felkérhetik Önt, hogy mutassa be az útját a megfelelőség szempontjából. Leltárt készített? Mi az a protokoll, amelyet egy EU-állampolgár megkérdezhet az Ön adataival kapcsolatban? Ezeket a vállalatokat most megkérhetik ezekre az információkra. Ezek a következő évben kezdik meg bírságot kiszabni, ha nem tudják igazolni a megfelelést május után."

3. Ne várjon meghosszabbítást

Az Egyesült Államokban zajló jogi szabályozási csaták legtöbbjével (például a nettó semlegességgel) szemben az EU-ban senki sem lépett be 2018. május 24-én, hogy megtámadja a GDPR-t, és ezáltal határozatlan időre elhalasztja a rendeletet. Az európaiak ezt akarták, és most megvan.

"Ez a szépség a szabályok felállításának módjában" - mondta Laroia. "Mivel évente vállalatokat adtak a cselekedeteik megfelelő megszerzéséhez, peres ügyek szempontjából nem volt kihívás. Ha látnánk, akkor már megtörtént volna. Valaki ezt megteheti, miután beperelte őket? Biztos vagyok benne, hogy megpróbálják, de akkor rosszul néz ki rájuk."

4. Mit kell tennie a megfeleléshez?

A szabályozás megköveteli, hogy valaki felelõs lesz a megfelelési folyamat irányításáért. Ez a személy, akit az GDPR törvény az "adatvédelmi tisztviselőnek" nevez ki, lesz az a személy, aki felelős azért, hogy az GDPR felügyeleti csoportját az Ön vállalkozásának az adatbiztonságának módszerein keresztül gyalogolja. Ez a személy felelős az is, hogy összevonja a vállalkozáson belüli eltérő üzletágokat, hogy elkészítse a GDPR-kompatibilis állapot megteremtésének és megtartásának módszertanát.

Dióhéjban az adatvédelmi tisztviselő feladatai négy fő kategóriába sorolhatók:

• Először is elég jól ismeri a GDPR részleteit, hogy pontszerű személyként szolgáljon nemcsak az eredeti megfelelési folyamat során, hanem a jövőben minden GDPR-rel kapcsolatos adatkezelési kérdésben, és minden bizonnyal elegendő ahhoz, hogy mindkét vezető vezetők és adatkezelő informatikai szakemberek a helyszínen.
• Másodszor, képeseknek kell lenniük a szervezetben folyamatban lévő adatkezelési folyamatok nyomon követésére, és értékelniük kell azok hatékonyságát a személyes adatok biztonsága szempontjából.
• Harmadszor, ellenőrzési és megfigyelési képességekkel kell rendelkezniük minden olyan területen az üzleti életében, amelyet a GDPR befolyásolhat, és rendszeresen értékelni kell őket a megfelelőség szempontjából.
• És végül, kapcsolatba kell lépniük az iparág GDPR hatóságaival, együtt kell működniük velük, és pontszerű személyként kell fellépniük az illetékes hatóságtól érkező kérelmekhez.

Mindez egy olyan személy számára szól, aki megérti az adatfolyamokat, valamint az adatvédelmi intézkedéseket és technológiákat, valamint nem csak a GDPR-jogszabályok részleteinek ismeretét, hanem a kapcsolódó és releváns uniós jogszabályok ismereteit is, mint például az elektronikus adatvédelmi irányelv. Ezeknek a készségeknek a valószínű hiánya valami zöld mező lehetőséget teremtett az üzleti és informatikai tanácsadók számára, de ha ezt a tehetséget házon belül fejleszteni kívánja, akkor jó választás az angol nyelvű, európai online tanulási források keresése, közülük sokan fejlesztették ki a GDPR DPO tanfolyamot erre a célra. Ezen felül vannak olyan multinacionális ipari szervezetek, mint például az Adatvédelmi Szakértők Nemzetközi Szövetsége (IAPP), amelyek GDPR képzési tanfolyamokat és tanúsításokat kínálnak.

Egy technikai jellegű megjegyzésben a megfelelőség fenntartása érdekében legalább egy titkosítási módszert kell alkalmaznia a fizikai szerverekhez, a hálózathoz csatlakoztatott tárolóhoz (NAS), a lemezekhez és a meghajtókhoz, valamint a hálózati hozzáféréshez. A PII elérésekor és a PII adatokat tartalmazó tranzakciók során ellenőriznie kell a munkavállalók személyazonosságát és multifaktoros hitelesítést (MFA) kell létrehoznia. Meg kell szüntetnie minden olyan gyakorlatot, amely jogosulatlan célokra fér hozzá vagy dolgozza fel az adatokat, folyamatosan figyeli és ellenőrzi az adatokat a relevancia biztosítása érdekében, és teljes és visszafordíthatatlanul megtisztítja az ügyféladatokat, amikor erre kéri. A szervezeteknek teljes kockázatértékelést kell végezniük, és együtt kell működniük a partnerekkel, különösen azokkal, amelyek alkalmazásprogramozási felületek (API-k) révén kapcsolódnak a folyamatos megfelelés biztosítása érdekében.

Végül, ha megsértik a szervezet adatait, akkor azonnal értesítenie kell a társult GDPR-felügyeletet, hogy leírja a jogsértést és annak következményeit. És közölnie kell a jogsértés következményeit az érintett ügyfelekkel.

5. Amerikai ügyfelek

Laroia elmondta, hogy végső soron jó üzleti értelme az ügyféladatok védelme és jó tisztjei. "Ezt a végfelhasználó szempontjából kell megnéznie" - mondta Laroia. "Ez az oka annak, hogy ezek a vállalatok üzleti tevékenységet folytatnak. Igen, bár ez fájdalmas az üzleti vállalkozások számára, a cégek nem fektettek be a technológiába vagy nem léptek fel az innováció ütemével."

Sajnos hasonló amerikai előírások nincsenek a könyvekben. A New York-ban üzleti tevékenységet folytató vállalatok a pénzügyi szolgáltatások New York-i Minisztériumának kiberbiztonsági követelményei alá tartoznak bizonyos mértékig. Ez a rendelet előírja, hogy a New York-i székhelyű vállalkozások írásbeli politikát vagy politikákat hajtsanak végre és tartsanak fenn, amelyeket egy vezető tisztségviselő vagy a fedett szervezet igazgatótanácsa (vagy annak megfelelő bizottsága) vagy azzal egyenértékű irányító testület hagy jóvá. Ez meghatározza a fedett jogalany politikáit és eljárásait az információs rendszerek és az ezeken az információs rendszereken tárolt nem nyilvános információk védelmére, az írásbeli törvénynek megfelelően.

Más államok, például Colorado, megvitatták a hasonló rendeletek végrehajtását. Az Egyesült Államok szövetségi törvénye azonban nem létezik. De Laroia optimista, az Egyesült Államok a következő lesz. "Az amerikaiaknak nincs ilyen joga" - mondta. "De adj öt évre."