Gdpr începe astăzi! ce trebuie sa stii

Începând de astăzi, 25 mai 2018, legislația Uniunii Europene (UE) privind reglementarea generală privind protecția datelor (GDPR) va deveni în mod eficient drept global atunci când vine vorba de întrebări cu privire la modul în care datele cu caracter personal trebuie gestionate de întreprinderi. Deși s-ar putea să credeți că o lege de protecție a datelor ratificată în Europa s-ar aplica numai pentru europeni, ați greși. Acest lucru se datorează faptului că GDPR îi protejează pe toți cetățenii UE indiferent de locul în care locuiesc și indiferent cu cine desfășoară activități, ceea ce înseamnă că companiile americane cu clienți din UE sunt supuse practic cerințelor GDPR și, mai rău, sancțiunilor. Mai rău pentru că, potrivit unui raport recent al Crowd Research Partners, doar 7 la sută dintre companii sunt pe cale să fie conforme cu GDPR până la termenul limită de astăzi.

Și dacă există pași pe care îi puteți face chiar și astăzi pentru a vă menține compania cel puțin oarecum sigură pentru GDPR, realizarea conformității depline nu este un proiect ușor. Procesele de colectare a datelor trebuie să fie relevante pentru modul în care datele vor fi utilizate de către companie (de exemplu, datele privind cumpărăturile consumatorilor, dar nu datele despre istoricul medical pentru companiile de comerț electronic). Companiile ar trebui să fie dispuse și capabile să explice exact ce date au fost colectate și de ce. Practicile de securitate trebuie să demonstreze o capacitate clară de a proteja împotriva pierderii, daunelor și distrugerii, iar datele nu ar trebui să fie păstrate mai mult decât este necesar. Orice companie care nu respectă regulamentul va fi supusă unei pierderi de 4% a veniturilor sale anuale.

"Acesta nu este un set de reguli și reguli fără dinți", a declarat Ankur Laroia, lider de soluții strategice la furnizorul de sisteme de gestionare a informațiilor Alfresco. Laroia afirmă că mai multe aspecte din regulamentul de reglementare vor îngreuna respectarea companiilor. De exemplu, câteva aspecte includ reguli scrise în mod abstract despre motivul pentru care sunt colectate datele, depășirea cerințelor pentru spălarea datelor clienților la solicitare și nevoia unor companii să reînnoiască total procedurile de securitate numai în scopul asigurării conformității. Totuși, Laroia nu crede că UE se încurcă.

"UE va merge după infractori", prezice el. „Dacă s-ar fi adoptat acest lucru, Equifax ar fi avut probleme.

GDPR, în timp ce se concentrează în principal pe cetățenii UE, prezintă, de asemenea, un scenariu de coșmar pentru proprietarii de afaceri americani., vom dezvălui ceea ce americanii trebuie să știe pentru a începe călătoria către conformitatea GDPR.

1. Companiile americane vor trebui să se conformeze

Dacă librăria mamă și pop nu a expediat niciodată un pachet în afara orașului natal, atunci probabil că nu va trebui să vă preocupați de GDPR. Cu toate acestea, dacă aveți chiar și un singur client bazat pe UE, va trebui să începeți imediat procesul de a deveni conform cu GDPR. Conform statutului, datele cetățenilor UE trebuie protejate și trebuie să furnizeze cetățeanului datele respective, dacă acesta o solicită. Mai important, s-ar putea să vi se ceară să eliminați aceste date din sistemele dvs. dacă și când cetățeanul face solicitarea. Dacă nu, iar GDPR, paznicul GDPR află, atunci veți pierde 4% din veniturile dvs. anuale.

„Deși este o directivă a UE, aceasta are un impact asupra oricărei companii din întreaga lume care au rezidenți ai UE drept clienți”, a declarat Pete Lindstrom, vicepreședinte de cercetare în domeniul securității la IDC. „Dacă aveți câmpuri de adresă și sunt o adresă europeană, probabil vor fi considerate europene”.

Nu există nicio distincție între o companie cu sediul în UE sau într-un oraș precum Skokie, Illinois. Legea se concentrează în schimb pe informații de identificare personală (PII) și unde locuiește persoana asociată cu datele. Oricine are orice tip de date PII la un client european va trebui să respecte.

Chiar dacă compania dvs. are câțiva clienți din Uniunea Europeană, este foarte puțin probabil ca librăria dvs. locală să fie auditată de către paznicii GDPR. Dar companiile mari, precum Facebook și Yahoo, nu vor putea revendica loialitatea americană ca o modalitate de a proteja GDPR.

„Dacă ești mamă și pop și ai o încălcare, răspunzi legal”, a spus Laroia. "Este greu de spus dacă vor veni în mod realist după tine… fiecare stat membru al UE va avea un birou de conformitate. Acest birou va începe să ceară schema de conformitate a tuturor. Acestea vor crea un inventar al companiilor care își desfășoară activitatea în geografiile lor. Vor să verifice la fața locului băieții mai mari și vor începe să-și pună întrebări."

Companiile americane care nu se conformează nu ar trebui să se aștepte ca guvernul american să le protejeze atunci când statele UE susținute de GDPR încearcă să colecteze veniturile pierdute. "Guvernul SUA este obligat să se asigure că aceste hotărâri sunt puse în aplicare", a spus Laroia. „Dacă acestea sunt puse în executare, nu este încă de văzut, dar guvernul din UE va trebui să lupte.”

2. 25 mai Înseamnă 25 mai

Deși regulamentul intră în vigoare astăzi, 25 mai 2018, legea a fost ratificată de Parlamentul UE la 14 aprilie 2016. Aceasta înseamnă că, în ceea ce privește UE, companiile au avut destul timp pentru a pune în practică practicile conforme cu GDPR.. Așadar, dacă compania dvs. este lovită mâine de un cyberattack masiv și informații pe care le-ați colectat de la clienți, vizitatori ai site-ului web și chiar parteneri ies pe web-ul întunecat nefast, atunci nu puteți pretinde „timp insuficient” ca scuză pentru divulgarea datelor cetățenilor UE.

"Statutele au intrat în vigoare", a spus Laroia. "Vi se poate cere să vă arătați călătoria în conformitate. Ați inventariat? Care este protocolul dvs. pentru ca un cetățean al UE să întrebe despre datele dvs.? Aceste companii pot fi solicitate aceste informații chiar acum. Acestea vor începe să fie amendate anul viitor dacă ei nu pot demonstra conformitatea după mai ".

3. Nu vă așteptați la o extensie

Spre deosebire de majoritatea luptelor de reglementare legală pe care le avem în SUA (de exemplu, Neutralitatea netă), nimeni din UE nu a intervenit la 24 mai 2018 pentru a contesta GDPR și, astfel, a amâna regulamentul la nesfârșit. Europenii și-au dorit acest lucru și acum au primit-o.

„Aceasta este frumusețea modului în care au fost stabilite reglementările”, a spus Laroia. "Deoarece au dat corporațiilor un an pentru a-și justifica actul, nu au existat provocări din perspectiva litigiilor. Dacă ar fi să vedem asta, s-ar fi întâmplat deja. Poate cineva să facă asta după ce a fost trimis în judecată? Sunt sigur că vor încerca, dar va arăta prost asupra lor în acel moment ".

4. Ce va trebui să faceți pentru a respecta

După cum prevede regulamentul, va trebui să puneți pe cineva responsabil de gestionarea procesului de conformitate. Această persoană, pe care legea GDPR o numește „responsabilul cu protecția datelor” (DPO), va fi persoana responsabilă pentru călătoria echipei de supraveghere GDPR prin modalitățile prin care compania dvs. a securizat datele sale. Această persoană va fi, de asemenea, responsabilă pentru reunirea liniilor de activitate diferite în cadrul companiei dvs. pentru a produce o metodologie pentru obținerea și rămânerea conformității GDPR.

Pe scurt, atribuțiile DPO se vor împărți în patru categorii cheie:

• În primul rând, ei trebuie să fie suficient de familiarizați cu detaliile GDPR pentru a acționa ca persoana punctuală nu numai pentru procesul de conformitate inițial, ci pentru toate întrebările referitoare la GDPR în ceea ce privește gestionarea datelor în viitor și, cu siguranță, suficiente pentru a putea adresa întrebări atât de către senior. executivi și operatori IT care gestionează date pe teren.
• În al doilea rând, trebuie să poată monitoriza toate procesele în curs de gestionare a datelor din organizația dvs. și să evalueze eficacitatea acestora în ceea ce privește siguranța datelor cu caracter personal.
• În al treilea rând, trebuie să aibă capacități de audit și monitorizare în orice domeniu al activității dvs. care ar putea fi afectat de GDPR și să le evalueze pentru respectarea regulată.
• Și, în sfârșit, trebuie să fie în legătură cu autoritățile GDPR pentru industria dvs., să coopereze cu acestea și să acționeze ca o persoană punctuală pentru orice solicitări care provin de la autoritatea respectivă.

Toate acestea se referă la o persoană care înțelege fluxurile de date și măsurile și tehnologiile de protecție a datelor, precum și nu numai cunoașterea detaliilor legislației GDPR, ci și cunoașterea legislației UE relevante și relevante, precum Directiva privind confidențialitatea electronică. Lipsa probabilă a acestor abilități a creat o oportunitate de câmp verde pentru consultanță în afaceri și IT, dar, dacă doriți să dezvoltați acest talent intern, atunci un pariu bun este să căutați resurse de învățare online engleză și europeană, multe dintre ele au dezvoltat cursuri DPO DP pentru acest scop. În plus, există organizații din sectorul multinațional, cum ar fi Asociația Internațională a Profesioniștilor în Confidențialitate (IAPP), care oferă cursuri de pregătire și certificări GDPR.

Pe o notă mai tehnică, pentru a rămâne conformă, va trebui să folosiți cel puțin o metodă de criptare pentru servere fizice, stocare atașată la rețea (NAS), discuri și unități și acces la rețea. Va trebui să verificați identitățile angajaților și să instituiți autentificarea multifactorului (MFA) atunci când accesați PII și pentru tranzacțiile care includ date PII. Va trebui să tăiați toate practicile care accesează sau prelucrează datele în scopuri neautorizate, monitorizați și verificați în mod constant datele pentru a vă asigura relevanța și curățați complet și ireversibil datele clienților atunci când vi se solicită acest lucru. Organizațiile vor fi obligate să efectueze evaluări complete ale riscurilor și să lucreze cu partenerii, în special cu cei conectați prin interfețele de programare a aplicațiilor (API), pentru a asigura respectarea continuă.

În cele din urmă, dacă datele organizației dvs. sunt încălcate, va trebui să anunțați imediat supraveghetorul GDPR asociat pentru a descrie încălcarea și consecințele acesteia în întregime. Și va trebui să comunicați ramificările încălcării clienților afectați.

5. Clienții SUA

Laroia a spus că este, în cele din urmă, un bun simț al afacerii să protejezi și să fii un bun administrator al informațiilor clienților. „Trebuie să priviți acest lucru din punctul de vedere al clientului final”, a spus Laroia. "Sunt motivele pentru care aceste companii sunt în afaceri. Da, deși este dureros pentru afacere, companiile nu au investit în tehnologie și nu au ținut pasul cu inovația."

Din păcate, reglementări similare din SUA nu sunt incluse în cărți. Companiile care desfășoară activități în New York, în conformitate cu cerințele de securitate cibernetică ale departamentului serviciilor financiare din New York, sunt acoperite într-o anumită măsură. Acest regulament impune întreprinderilor cu sediul în New York să pună în aplicare și să mențină o politică sau politici scrise, aprobate de un ofițer superior sau consiliul de administrație al entității acoperite (sau un comitet corespunzător al acestuia) sau un organism de conducere echivalent. Aceasta prezintă politicile și procedurile entității acoperite pentru protecția sistemelor informaționale și a informațiilor nepublice stocate pe aceste sisteme informaționale, în conformitate cu legea scrisă.

Alte state, precum Colorado, au discutat despre implementarea unor reglementări similare. Cu toate acestea, nu există nicio lege federală largă. Dar Laroia este optimistă, SUA vor fi în continuare. "Americanii nu au astfel de drepturi", a spus el. „Dar dă-i cinci ani”.