Nagsisimula ang Gdpr ngayon! anong kailangan mong malaman

Simula ngayon, Mayo 25, 2018, ang batas ng Pangkalahatang Data Proteksyon (GDPR) ng General Union Protection (GDPR) ng European Union ay mabisang magiging pandaigdigang batas pagdating sa mga katanungan kung paano dapat mahawakan ng personal na data ng mga negosyo. Habang maaari mong isipin na ang isang batas sa proteksyon ng data na inaprubahan sa Europa ay ilalapat lamang sa mga taga-Europa, gusto mong maging mali. Iyon ay dahil pinoprotektahan ng GDPR ang lahat ng mga mamamayan ng EU kahit saan man sila nakatira at hindi mahalaga kung kanino sila gumagawa ng negosyo, nangangahulugang ang mga kumpanyang Amerikano na may mga customer ng EU ay squarely na napapailalim sa mga kinakailangan ng GDPR at, mas masahol pa, parusa. Mas masahol pa, ayon sa isang kamakailan-lamang na ulat mula sa Mga Kasosyo sa Pananaliksik ng Crowd, 7 porsiyento lamang ng mga kumpanya ang nasusubaybayan upang maging GDPR-sumusunod sa deadline ngayon.

At habang may mga hakbang na maaari mong gawin kahit ngayon upang mapanatili ang iyong kumpanya ng hindi bababa sa medyo GDPR-ligtas, ang pagkamit ng buong pagsunod ay hindi isang magaan na proyekto. Ang mga proseso para sa pagkolekta ng data ay dapat na nauugnay sa kung paano ang data ay gagamitin ng kumpanya (halimbawa, data ng pamimili ng consumer ngunit hindi data sa kasaysayan ng medikal para sa mga kumpanya ng e-commerce). Ang mga kumpanya ay dapat maging handa at makapagpaliwanag nang eksakto kung ano ang nakolekta na data at bakit. Ang mga kasanayan sa seguridad ay dapat ipakita ang isang malinaw na kakayahan upang maprotektahan laban sa pagkawala, pinsala, at pagkasira, at ang data ay hindi dapat gaganapin nang mas mahaba kaysa sa kinakailangan. Ang sinumang kumpanya na hindi sumunod sa regulasyon ay sasailalim sa isang 4 na porsyento na pagbawas sa taunang kita nito.

"Hindi ito isang hanay ng mga panuntunan at regulasyon, " sabi ng Ankur Laroia, Strategic Solutions Leader sa information management system provider Alfresco. Ginagawa ng Laroia ang kaso na maraming mga isyu sa loob ng mga batas ng regulasyon ay magpapahirap sa mga kumpanya na manatiling sumusunod. Halimbawa, ang ilang mga isyu ay may kasamang abstractly nakasulat na mga patakaran para sa kung bakit ang pagkolekta ng data, mga overlay na kinakailangan para sa pag-scrubbing data ng customer kapag hiniling, at ang pangangailangan para sa ilang mga kumpanya na ganap na mag-revamp ng mga pamamaraan ng seguridad para lamang sa layunin ng pagtiyak ng pagsunod. Gayunpaman, hindi sa palagay ng Laroia na ang EU ay gumugulo sa paligid.

"Ang EU ay pupunta pagkatapos ng mga nagkasala, " hinuhulaan niya. "Kung ito ay napagtibay, ang Equifax ay sana magkaroon ng maraming problema."

Ang GDPR, habang pangunahing nakatuon sa mga mamamayan ng EU, ay nagtatanghal din ng isang senaryo sa bangungot para sa mga may-ari ng Amerika., babasagin natin kung ano ang kailangang malaman ng mga Amerikano upang simulan ang paglalakbay patungo sa pagsunod sa GDPR.

1. Ang Mga Kumpanya ng Amerikano Ay Kailangang Sumunod

Kung ang iyong ina-at-pop bookstore ay hindi pa naipadala ang isang pakete sa labas ng iyong home city, baka hindi mo na kailangang alalahanin ang iyong sarili sa GDPR. Gayunpaman, kung mayroon kang kahit na isang customer na nakabase sa EU, pagkatapos ay kakailanganin mong simulan ang proseso ng pagiging Giep na sumusunod sa GDPR. Sa ilalim ng mga batas, dapat na protektado ang data ng mamamayan ng EU at dapat mong ibigay sa mamamayan ang nasabing data kung hihilingin niya ito. Mas mahalaga, maaaring kailanganin mong linisin ang data na iyon mula sa iyong mga system kung at kung kailan ginagawa ng mamamayan ang kahilingan. Kung hindi ka at nalaman ng tagapagbantay ng GDPR, tatayo ka nang mawalan ng 4 porsyento ng iyong taunang kita.

"Kahit na ito ay isang direktiba ng EU, nakakaapekto ito sa anumang kumpanya sa buong mundo na mayroong mga residente ng EU bilang mga customer, " sabi ni Pete Lindstrom, Bise Presidente ng Security Research sa IDC. "Kung mayroon kang mga patlang na address at sila ay isang European address, malamang na maituturing silang European."

Walang pagkakaiba sa pagitan ng isang kumpanya na headquarter sa EU o sa isang lungsod tulad ng Skokie, Illinois. Ang batas sa halip ay nakatuon sa personal na makikilalang impormasyon (PII) at kung saan nakatira ang taong nauugnay sa data. Ang sinumang may anumang uri ng data ng PII sa isang customer sa Europa ay kailangang sumunod.

Kahit na ang iyong kumpanya ay may ilang mga customer na nakabase sa EU, lubos na malamang na ang iyong lokal na tindahan ng libro ay susuriin ng mga tagapagbantay ng GDPR. Ngunit ang mga malalaking kumpanya, tulad ng Facebook at Yahoo, ay hindi makakapag-claim ng katapatan ng Amerikano bilang isang paraan upang palda ang GDPR.

"Kung ikaw ay isang ina-at-pop at mayroon kang paglabag, ligal kang mananagot, " sabi ni Laroia. "Mahirap sabihin kung sila ay tunay na darating pagkatapos mo … bawat estado ng miyembro ng EU ay magkakaroon ng tanggapan ng pagsunod. Ang tanggapan na iyon ay magsisimulang hilingin sa pamamaraan ng pagsunod sa lahat. Gumagawa sila ng isang imbentaryo ng mga kumpanyang gumagawa ng negosyo sa kanilang mga heyograpiya. Pupuntahan nila ang pagsuri sa mga mas malalaking tao at magsimulang magtanong. "

Ang mga kumpanyang Amerikano na hindi sumunod ay hindi dapat asahan na maprotektahan sila ng gobyerno ng US kapag tinangka ng mga estado ng EU na suportado ng GDPR na kolektahin ang naalis na kita. "Ang pamahalaan ng US ay napipilitang tiyakin na ang mga hatol na ito ay ipinatupad, " sabi ni Gameia. "Kung ipinapatupad sila ay makikita pa, ngunit ang pamahalaan sa EU ay kailangang lumaban."

2. Mayo 25 Nangangahulugan Mayo 25

Bagaman ang regulasyon ay napapatupad ngayon, Mayo 25, 2018, ang batas ay na-ratified ng Parliament ng EU noong Abril 14, 2016. Nangangahulugan ito hanggang sa pag-aalala ng EU, ang mga kumpanya ay may maraming oras upang ilagay ang mga gawi na sumusunod sa GDPR. . Kaya, kung ang iyong kumpanya ay na-hit sa pamamagitan ng isang napakalaking cyberattack bukas at gobs ng data na iyong nakolekta sa mga customer, mga bisita sa website, at kahit na ang mga kasosyo ay makukuha sa hindi madidilim na madilim na web, kung gayon hindi ka maaaring maghabol ng "hindi sapat na oras" bilang isang dahilan para sa paghula ng data ng mamamayan ng EU.

"Ang mga batas ay naganap, " sabi ng Laroia. "Maaari kang hilingin na ipakita ang iyong paglalakbay sa pagsunod na. Nakarating na ba na nai-imbento? Ano ang iyong protocol para sa isang mamamayan ng EU na tanungin ang tungkol sa iyong data? Ang mga kumpanyang ito ay maaaring tatanungin para sa impormasyong ito ngayon. Magsisimula silang masimulan ng multa sa susunod na taon kung hindi nila maipakita ang pagsunod pagkatapos ng Mayo. "

3. Huwag asahan ang isang Extension

Hindi tulad ng karamihan sa mga ligal na regulasyon na mayroon kami sa US (halimbawa, Net Neutrality), walang sinuman sa EU ang lumakad sa Mayo 24, 2018 upang hamunin ang GDPR at sa gayon ipagpaliban ang regulasyon nang walang hanggan. Nais ito ng mga Europeo at ngayon nakuha na nila ito.

"Ito ang kagandahan ng paraan na naayos ang mga regulasyon, " sabi ni Gameia. "Dahil binigyan nila ang mga korporasyon sa isang taon upang makuha ang kanilang pagkilos nang tama, wala pa ring mga hamon mula roon mula sa isang pananaw sa paglilitis. Kung makikita natin ito, ito ay nangyari na. Maaari bang gawin iyon ng isang tao pagkatapos nilang mapasuhan? Sigurado ako na susubukan nila, ngunit hindi maganda ang hitsura nito sa puntong iyon. "

4. Ano ang Kailangan mong Gawin upang Sumunod

Tulad ng hinihingi ng regulasyon, kailangan mong ilagay ang isang tao na namamahala sa proseso ng pagsunod. Ang taong ito, na tinaguri ng batas ng GDPR na "Data Protection Officer" (DPO), ay magiging puntong taong responsable sa paglalakad ng tagapamahala ng GDPR sa pamamagitan ng mga paraan kung saan na-secure ng iyong kumpanya ang data nito. Ang taong ito ay magiging responsable para sa paghila ng magkakaibang mga linya ng negosyo sa loob ng iyong kumpanya upang makabuo ng isang pamamaraan para sa pagkuha at pananatiling sumusunod sa GDPR.

Sa madaling sabi, ang mga tungkulin ng DPO ay masisira sa apat na pangunahing kategorya:

• Una, kailangan nilang maging pamilyar sa mga detalye ng GDPR upang kumilos bilang point point hindi lamang para sa paunang proseso ng pagsunod ngunit para sa lahat ng mga katanungan na may kinalaman sa data na may kaugnayan sa GDPR, at tiyak na sapat upang maaari silang magtanong ng mga katanungan ng parehong matatanda executive at data paghawak ng mga operatiba ng IT sa lupa.
• Pangalawa, kailangan nilang masubaybayan ang lahat ng patuloy na proseso ng paghawak ng data sa iyong samahan at suriin ang kanilang pagiging epektibo patungkol sa kaligtasan ng personal na data.
• Pangatlo, kailangan nilang magkaroon ng mga kakayahan sa pag-awdit at pagsubaybay sa anumang lugar ng iyong negosyo na maaaring maapektuhan ng GDPR at suriin ang mga ito para sa pagsunod sa isang regular na batayan.
• At ang huli, kailangan nilang makipag-ugnay sa mga awtoridad ng GDPR para sa iyong industriya, makipagtulungan sa kanila, at kumilos bilang isang point person para sa anumang mga kahilingan na nagmula sa awtoridad na iyon.

Ang lahat ng iyon ay bumababa sa isang indibidwal na nauunawaan ang mga daloy ng data, at mga hakbang sa pagprotekta ng data at teknolohiya, pati na rin hindi lamang ang kaalaman sa mga detalye ng batas ng GDPR kundi pati na rin ang kaalaman sa mga nauugnay at may-katuturang batas ng EU, tulad ng E-Privacy Directive nito. Ang malamang na kakulangan ng mga kasanayang ito ay lumikha ng isang bagay ng isang berdeng patlang na pagkakataon para sa mga negosyo at mga consultant ng IT ngunit, kung naghahanap ka upang mabuo ang talento na ito sa bahay, kung gayon ang isang magandang mapagpipilian ay upang maghanap ng nagsasalita ng Ingles, European mapagkukunan sa pag-aaral ng online, marami sa mga ito ay nakabuo ng GDPR DPO courseware para sa hangaring ito. Bilang karagdagan, mayroong mga samahang pang-industriya na multinasyunal, tulad ng International Association of Privacy Professionals (IAPP), na nag-aalok ng pagsasanay sa kurso ng GDPR at mga sertipikasyon.

Sa isang mas teknikal na tala, upang manatiling sumusunod, kakailanganin mong gumamit ng hindi bababa sa isang paraan ng pag-encrypt para sa mga pisikal na server, naka-kalakip na imbakan (NAS), mga disk at drive, at pag-access sa network. Kailangan mong i-verify ang mga pagkakakilanlan ng empleyado at institute multifactor authentication (MFA) kapag nag-access sa PII at para sa mga transaksyon na kasama ang data ng PII. Kailangan mong i-cut out ang anumang mga kasanayan na nag-access o magproseso ng data para sa mga hindi awtorisadong layunin, patuloy na subaybayan at patunayan ang data upang matiyak ang kaugnayan, at ganap at hindi mapigil na linisin ang data ng customer kapag hiniling na gawin ito. Ang mga organisasyon ay kinakailangan upang magsagawa ng buong pagsusuri sa panganib at magtrabaho kasama ang mga kasosyo, lalo na ang mga konektado sa pamamagitan ng mga interface ng application programming (APIs), upang matiyak ang patuloy na pagsunod.

Sa wakas, kung nasira ang data ng iyong samahan, pagkatapos ay kailangan mong ipaalam sa iyong nauugnay na superbisor ng GDPR na agad na ilarawan ang paglabag at ang mga kahihinatnan nito. At kakailanganin mong ipagbigay-alam ang mga ramization ng paglabag sa naapektuhan ng mga customer.

5. Mga Kustomer ng US

Sinabi ng Laroia na sa huli ay mabuting pakiramdam ng negosyo upang pangalagaan at maging mabuting katiwala ng impormasyon ng customer. "Kailangang tingnan mo ito mula sa vantage point ng end customer, " sabi ni Gameia. "Ang mga ito ang dahilan ng mga kumpanyang ito ay nasa negosyo. Oo, habang masakit para sa negosyo, ang mga kumpanya ay hindi namuhunan sa teknolohiya o pinananatili ang bilis ng pagbabago."

Sa kasamaang palad, ang mga katulad na regulasyon ng US ay wala sa mga libro. Ang mga kumpanya na gumagawa ng negosyo sa New York sa ilalim ng New York Department of Financial Services 'Cyber ​​Security Requirement ay nasasakop sa isang tiyak na lawak. Ang regulasyong ito ay nangangailangan ng mga negosyong nakabase sa New York upang maipatupad at mapanatili ang isang nakasulat na patakaran o mga patakaran, na inaprubahan ng isang Senior Officer o board of director ng Covered Entity (o isang angkop na komite nito) o katumbas na namamahala sa katawan. Itinatakda nito ang mga patakaran at pamamaraan ng Covered Entity para sa proteksyon ng mga Impormasyon sa Impormasyon at impormasyong Nonpublic na naka-imbak sa mga Impormasyon sa Impormasyon, ayon sa nakasulat na batas.

Ang iba pang mga estado, tulad ng Colorado, ay tinalakay ang pagpapatupad ng mga katulad na regulasyon. Gayunpaman, walang umiikot na batas na pederal ng Estados Unidos. Ngunit maaasahan ng Laroia na ang susunod na US. "Ang mga Amerikano ay walang ganoong karapatan, " aniya. "Ngunit bigyan ito ng limang taon."