欧盟发布的“一般数据保护条例”(GDPR)将在2018年中正式实施,数以万计的企业必须遵守GDPR规定的一套全新数据管理规则。虽然人们对“一般数据保护条例”(GDPR)的意见和见解有所不同,但人们所提出的最多的三个问题是:
-
GDPR是什么,将对我的组织有何影响?
-
我的组织需要做些什么?
-
如何利用云计算来确保合规性?
“一般数据保护条例”(GDPR)的解释
“一般数据保护条例”(GDPR)为欧盟公民数据处理制定了一套统一的法律和更严格的规定,也规定了对违规行为的严厉处罚。这些罚款是以行政罚款的形式出现的,可以对任何类型的违反GDPR行为进行处罚,包括纯粹程序性的违规行为。其罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%。
欧盟发布这个新规定的主要原因是:
(1)为欧盟公民提供更多使用自己的个人资料的权力
(2)加强数字服务提供者与他们所服务的人之间的信任
(3)为企业提供明确的法律框架,通过在欧盟单一市场上制定统一的法律来消除任何区域差异。
“一般数据保护条例”(GDPR)在2018年5月25日生效,这使得组织将在一年后为如何处理欧盟居民个人资料做出了巨大的改变。以下探讨组织如何为GDPR做好准备。
GDPR的第一步
(1)组织的业务是否符合GDPR规定?
GDPR与其前身数据保护指令(指令95/46 / EC)相比,适用于更大范围的组织。事实上,不受欧洲隐私法律约束的许多企业实际上需要遵守GDPR。以下是如何确定是否必须遵守:
GDPR用于在欧盟存在的所有组织,在执行业务活动期间处理个人数据,即使是规模最小的公司也是如此。
如果在欧盟没有实体存在的公司希望为欧盟居民提供商品和服务,那么适用于GDPR。 这包括使用欧盟语言或货币,为欧盟居民量身定制产品,或在欧盟范围内积极营销。 “监控”定义为在线跟踪人员创建个人资料,或分析和预测个人偏好,行为模式或态度。
(2)组织是否需要数据保护官(DPO)?
与合规官或法律顾问不同,组织的数据保护官(DPO)需要向执行委员会报告,并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定,拥有少于250名员工的组织可能也需要指定DPO。
(3)是否有程序响应删除/修改/提供数据副本的请求?
除了数据保护指令规定的权利,例如访问数据副本,修改权和限制处理权。GDPR还包括在线信息删除和数据可移植性的权利(允许人们将其数据传输到另一个服务提供商)。这意味着组织必须制定完整的程序来回应这些类型的请求。
(4)组织是否有符合GDPR要求的事件响应计划?
GDPR包括数据泄露通知要求。如果有危害人身的风险,数据违规将会受到监督机构的通知,限72小时内改正。受影响的数据科目也必须在没有“不当延误”的情况下通知。
(5)组织的数据传输机制是什么?
如果组织还没有决定如何从欧盟转移个人信息,那么现在是检查转移机制的好时机,因为它们将受到行政处罚。如果组织将数据从欧盟转移到美国,组织的选择是:
-
隐私保护认证
-
执行示范条款
-
组织内部数据传输的约束性规则
在所有这些要求中,共同的线索似乎是为数据保护和治理分配更多的资源,并采取更主动的隐私和安全方法。
云计算和GDPR
组织可以采用行业厂商提供的云原生数据保护SaaS的解决方案,将使用公共云的力量解决了诸如GDPR之类的法规问题:
数据可见性:为了确保信息安全并符合GDPR,需要了解数据的生命周期。组织需要获得在端点,服务器和云应用程序中保护,收集和监视数据的能力。使组织真正了解自己的整体数据攻击面,并且能够对如何部署符合GDPR的安全机制提供可操作的洞察。
-
信息治理:传统上,数据治理侧重于强制数据集中,仅提供集中存储的信息的可见性。数据创建在移动设备和云应用上的分散意味着企业必须以不同的方式处理治理。允许组织集中数据源政策管理和执法,以符合GDPR的方式引入非集中式数据。
-
持续的数据监测:GDPR要求数据处理者监控其信息的安全性,无论其生活在何处。组织使用提供的解决方案,无论数据是传统端点还是云应用程序,都可以自动执行违规的主动监控。
-
安全转移:随着GDPR的实施,安全性遵循所有欧盟公民的数据,无论数据在哪里。组织需要采用业界领先的基于标准的TLS 1.2和AES 256加密技术,配合简化和集成的密钥管理。
-
被遗忘的权利/删除权:组织面临的主要规定和挑战之一是如何根据欧盟公民的要求删除信息,以防止任何后续的数据流程。虽然有一些关于GDPR规定的注意事项,但是任何合法的擦除请求都必须及时处理。
网友评论