通用数据保护法规(GDPR):保持合规性需要了解的内容 - 沐鸣平台资讯 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

通用数据保护法规(GDPR):保持合规性需要了解的内容

浏览次数:979日期:2019-06-03小编:沐鸣

欢迎访问沐鸣娱乐登录网址,收集欧盟(EU)国家公民数据的公司需要遵守有关保护客户数据的严格新规定。通用数据保护法规(GDPR)为其数据设定了消费者权利的新标准,但公司将面临挑战,因为他们制定了系统和流程以保持合规性。


合规性将引起安全团队的一些担忧和新期望。例如,GDPR广泛了解个人识别信息的构成。对于个人的IP地址或cookie数据,公司将需要与名称,地址和社会安全号码相同的保护级别。


GDPR留下了很多解释。它表示公司必须为个人数据提供“合理”的保护,例如,但没有定义什么构成“合理”。这使得GDPR管理机构在评估数据泄露的罚款方面有很大的余地。不遵守。


时间不多了,以满足截止日期,因此CSO编制了任何企业需要了解的关于GDPR的信息,以及满足其要求的建议。许多要求与信息安全无直接关系,但遵守所需的流程和系统更改可能会影响现有的安全系统和协议。


什么是GDPR?

欧洲议会于2016年4月通过了GDPR,取代了1995年的过时数据保护指令。它规定要求企业保护欧盟公民的个人数据和隐私,以便在欧盟成员国内进行交易。 GDPR还规定了欧盟以外的个人数据输出。


这些条款在所有28个欧盟成员国中都是一致的,这意味着公司只有一个标准可以在欧盟内部会面。然而,该标准相当高,并且需要大多数公司进行大量投资以满足和管理。


根据Ovum报告,大约三分之二的美国公司认为GDPR将要求他们重新考虑他们在欧洲的战略。更多(85%)人认为GDPR使他们与欧洲公司处于竞争劣势。


为什么存在GDPR?

对这个问题的简短回答是公众对隐私的关注。欧洲一般对公司如何使用其公民的个人数据有更严格的规定。 GDPR取代了欧盟的数据保护指令,该指令于1995年生效。这在互联网成为今天的在线商业中心之前就已存在。因此,该指令已过时,并未涉及今天存储,收集和传输数据的许多方式。


公众对隐私的关注有多真实?它非常重要,随着每一个新的高调数据泄露而增长。根据RSA数据隐私和安全报告,RSA调查了法国,德国,意大利,英国和美国的7,500名消费者,80%的消费者表示丢失的银行和金融数据是最受关注的问题。 76%的受访者认为丢失安全信息(例如密码)和身份信息(例如护照或驾驶执照)是一个问题。


对于处理消费者数据的公司而言,令人震惊的统计数据是,RSA报告中有62%的受访者表示如果发生违规行为,他们会责怪公司丢失的数据,而不是黑客。该报告的作者得出结论:“随着消费者获得更多信息,他们希望数据管理员能够提高透明度和响应能力。”


对公司如何对待他们的个人信息缺乏信任已导致一些消费者采取自己的对策。根据该报告,41%的受访者表示他们在网上注册服务时故意伪造数据。安全问题,避免不必要的营销的愿望,或者他们的数据转售的风险是他们最关心的问题。


该报告还表明,一旦发生泄露其个人数据的违规行为,消费者将不会轻易原谅公司。 72%的美国受访者表示他们会抵制一家似乎无视其数据保护的公司。百分之五十的受访者表示他们更有可能在一家公司购物,这可能证明它需要认真对待数据保护。


“随着企业继续进行数字化转型,更多地利用数字资产,服务和大数据,他们还必须对每天监控和保护这些数据负责,”报告总结道。


GDPR保护哪些类型的隐私数据?

1、基本身份信息,如姓名,地址和身份证号码

2、网络数据,如位置,IP地址,cookie数据和RFID标签

3、健康和遗传数据

4、生物识别数据

5、种族或族裔数据

6、政治观点

7、性取向

GDPR对哪些公司有影响?

任何在欧盟国家内存储或处理欧盟公民个人信息的公司都必须遵守GDPR,即使他们没有在欧盟境内开展业务。要求遵守的公司的具体标准是:

1、在欧盟国家的存在。

2、没有在欧盟的存在,但它处理欧洲居民的个人数据。

3、超过250名员工。

不到250名员工,但其数据处理影响数据主体的权利和自由,不是偶然的,或包括某些类型的敏感个人数据。这实际上意味着几乎所有公司。普华永道的一项调查显示,92%的美国公司认为GDPR是最重要的数据保护。

由Propeller Insights进行的一项由Netsparker Ltd.赞助的新调查询问了高管哪些行业受GDPR影响最大。大多数(53%)认为技术行业受影响最大,其次是在线零售商(45%),软件公司(44%),金融服务(37%),在线服务/ SaaS(34%)以及零售/消费品包装(33%)。


我公司内部的谁将负责合规?

GDPR定义了几个负责确保合规性的角色:数据控制器,数据处理器和数据保护官(DPO)。数据控制器定义如何处理个人数据以及处理个人数据的目的。控制器还负责确保外部承包商遵守。


数据处理器可以是维护和处理个人数据记录的内部组,也可以是执行全部或部分活动的任何外包公司。 GDPR要求处理者对违规或违规行为负责。那么,即使故障完全在处理合作伙伴身上,您的公司和处理合作伙伴(如云提供商)也可能会受到处罚。


GDPR要求控制器和处理器指定DPO来监督数据安全策略和GDPR合规性。如果公司处理或存储大量欧盟公民数据,处理或存储特殊个人数据,定期监控数据主体或是公共机构,则必须拥有DPO。执法部门等公共实体可能不受DPO要求的限制。


根据Propeller Insights的调查,82%的受访公司表示他们已经有员工的DPO,尽管77%的公司计划在5月25日截止日期之前雇用新的或替代DPO。这次招聘并不止于DPO。大约55%的受访者表示他们已经招募了至少6名新员工来实现GDPR合规。


GDPR如何影响第三方和客户合同?

GDPR对数据控制器(拥有数据的组织)和数据处理器(帮助管理数据的外部组织)承担同等责任。不符合规定的第三方处理器意味着您的组织不符合规定。新法规也有严格的规则来报告链条中的每个人必须能够遵守的违规行为。组织还必须告知客户他们在GDPR下的权利。


这意味着所有与处理器(例如,云提供商,SaaS供应商或薪酬服务提供商)和客户的现有合同都需要明确责任。修订后的合同还需要为数据的管理和保护方式定义一致的流程,以及如何报告违规行为。


法律服务提供商Axiom的全球银行和监管业务负责人Mathew Lewis说:“最大的一项工作是在房子的采购方 - 你的第三方供应商,你的采购关系代表你处理数据。” “有一大批供应商可以访问这些个人数据,而GDPR非常清楚地表明您需要确保所有这些第三方都遵守GDPR并相应地处理数据。”


刘易斯说,客户合同也需要反映监管变化。 “客户合同采用多种不同的形式,无论是在线点击还是正式协议,在这些协议中,您对如何查看,访问和处理数据做出承诺。”


在修订这些合同之前,业务负责人,IT和安全团队需要了解数据的存储和处理方式,并就合规的报告流程达成一致。 “技术团队,CISO和数据治理团队需要进行相当大规模的练习,以了解公司内部的数据,存储或处理的位置,以及公司外部的出口位置。一旦您了解了这些数据流以及对业务的影响,您就可以从信息安全角度,如何管理这些关系以及如何在合同中记录这些关系,从而开始确定最需要关注的供应商。本身,“刘易斯说。


GDPR还可能改变业务和安全团队对数据的心态。刘易斯表示,大多数公司都会看到他们的数据以及他们用来挖掘资产的过程,但这种看法会发生变化。 “鉴于GDPR的明确同意以及公司需要更加细化他们对数据和数据流的理解,现在存在着一整套负债,这些负债现在随着数据的积累而存在,”刘易斯说。 “对于法律和合规性而言,这是一个完全不同的思维框架,但对于企业思考数据的积累和使用方式以及信息安全组以及他们如何考虑管理数据的方式可能更为重要。”


“数据以各种方式离开公司,”刘易斯说。 “虽然CISO和技术团队需要能够跟踪所有这些,但您还需要加以保护。”这些保护措施需要在合同中明确规定,以便外部公司了解他们可以做什么,不能做什么。数据。


刘易斯指出,通过定义义务和责任的过程,它使公司准备好在操作上处理GDPR合规性。 “如果你的一个供应商说'你昨晚被黑了,'他们知道应该打电话给谁以及如何在满足监管要求时作出回应,”他说。


GDPR要求的72小时报告窗口使供应商知道如何正确报告违规行为尤为重要。 “如果供应商遭到黑客攻击并且您是成千上万的客户之一,他们会通知您的采购部门或账户人员或应收账款的人吗?它可以以各种方式出现,“刘易斯说。


您希望在合同中明确定义路径,以便将信息传达给组织中负责报告违规行为的人员。 “监管机构不会说你不应该有违规行为。他们会说你应该有适当的政策,程序和响应结构来快速解决这个问题,“刘易斯说。


较大的公司可能有数千份合同需要更新。使这一挑战更加复杂的是,它需要在合规流程的最后阶段完成。在定义职责和责任之前,您必须确切地知道您拥有哪些数据,处理的位置和方式以及数据流。 “这导致很多机构在最后期限内试图完成技术和运营问题,并且必须抓住合适的合同来实施这一目标。很多公司没有对合同条款进行任何重新谈判。“


这引出了一个问题:如果合同在5月截止日期之前全部到位,会发生什么?刘易斯认为未完成合同有几个风险:


1、操作:如果您未就供应商的流程达成一致,则不清楚您将如何在GDPR下运营。

2、供应商管理:在GDPR下,您需要了解供应商的运营方式,包括他们的安全框架以及他们如何管理数据。没有这些知识,你就不知道它们存在的风险。

3、监管罚款:刘易斯指出,欧盟以其对监管违规行为征收高额罚款的意愿而闻名。如果发生违规,没有合同就可能对公司起作用。 “没有合同就表明你不知道你的供应商在做什么,这是一个更大的管理问题,关于你正在使用什么基础设施以及你如何处理数据,”刘易斯说。 “它让监管机构了解您的组织方式以及您对数据流的理解程度。”

如果我的公司不遵守GDPR会怎样?

GDPR允许对违规行为进行高达2000万欧元的高额罚款或全球年营业额的4%(以较高者为准)。根据Ovum的报告,52%的公司认为他们将因违规而被罚款。管理咨询公司Oliver Wyman预测,欧盟可能会在第一年收取高达60亿美元的罚款和罚款。


这种预测似乎被夸大了。在2018年5月25日和2019年1月28日之间向欧盟当局报告了一份DLA Piper报告,仅有不到60,000例违规行为。然而,监管机构仅发出91笔罚款,这是谷歌处理个人信息而未获得适当许可的最高罚款5000万欧元。


一个特别困难的要求是被遗忘的权利,如下所述。近三分之二(66%)的Solix调查受访者表示,他们不确定是否可以在截止日期前永久清除个人的个人信息。


这使许多组织容易受到罚款。低于预期的罚款数量尚未完全回答如何评估罚款的问题。例如,对于对个人影响最小的违规行为与其暴露的PII导致实际损害的违规行为,罚款将如何不同?监管机构承认他们没有足够的资源来处理他们收到的报告的违规行为,因此需要时间来确定可识别的先例。


目前,表现出善意遵守法规的能力应该可以保护公司免受严厉的处罚。在去年的一次演讲中,英国信息专员Liz Denham对有关GDPR罚款的组织说:


“...我希望现在你知道执法是最后的手段......对那些坚持,故意或疏忽藐视法律的组织,将保留高额罚款。那些自我报告,与我们联系以解决问题并展示有效的问责制安排的组织可以预期,当我们考虑任何监管行动时,这是一个因素。“


哪些GDPR要求会影响我的公司?

GDPR要求将迫使美国公司改变他们处理,存储和保护客户个人数据的方式。例如,只有在个人同意时才允许公司存储和处理个人数据,并且“不再需要处理个人数据的目的。”个人数据也必须可以从一个公司移植到另一个公司,公司必须根据要求删除个人数据。


最后一项也被称为被遗忘的权利。有一些例外。例如,GDPR不会取代组织维护某些数据的任何法律要求。这将包括HIPAA健康记录要求。


一些要求将直接影响安全团队。一个是公司必须能够为欧盟公民提供“合理”的数据保护和隐私。 GDPR对“合理”的含义没有明确定义。


可能具有挑战性的要求是,公司必须在检测到违规行为的72小时内向监管机构和受违规行为影响的个人报告数据泄露事件。执行影响评估的另一个要求是通过识别漏洞以及如何解决漏洞来帮助降低漏洞风险。


有关GDPR要求的更完整描述,请参阅“GDPR要求是什么?”。


成功的GDPR项目是什么样的?

很难想象一家受到GDPR影响的公司比ADP更受影响。该公司为全球超过65万家公司提供基于云的人力资本管理(HCM)和业务外包服务。 ADP为全球数百万人提供PII,其客户希望该公司符合GDPR标准并帮助他们做同样的事情。如果发现ADP不符合GDPR,则不仅可能导致罚款,还可能使客户失去业务,期望ADP能够覆盖它们。


ADP在某些方面的全球关注和规模是一个优势。它已经遵守现有的隐私和安全法规,因此GDPR合规性的飞跃并没有像现在这样高。 “我们已经熟悉欧洲的隐私法。我们不是从头开始使用GDPR,“ADP首席隐私官Cecile Georges说。 “GDPR触发了我们不仅要作为公司,还要作为服务提供商遵守的必要性。我们帮助客户遵守GDPR。“


尽管ADP比其他许多公司做得更好,但Georges表示其GDPR项目规模庞大且全球化。它开始于大约一年前,但该项目建立在早期工作的基础上。 “我们甚至在讨论GDPR之前就开始了,”她说。几年前,该公司开始对新产品进行数据流映射和隐私评估。


Georges认为数据流映射的早期开始是关键。 “如果我们很久以前没有开始数据流映射,我就会比现在对你说话更不自信,”她说。 “需要数据流映射来进行产品清单,处理PII是所需数据保护影响评估的第一步。我们还在新的产品和产品中实现了隐私设计。“她补充说,ADP支持其”设计隐私“政策,并为其开发人员提供培训。


ADP的GDPR项目吸引了公司许多领域的人员,Georges认为这是成功的必要条件。 “我们参与了组织,所有运营和职能部门。这不仅仅是一个纯粹的隐私或合规项目。它确实涉及整个组织,我们正与整个公司的项目经理协调,以确保我们在整个组织内实施正确的流程,“她说。


ADP已经实施了保护PII的机制,例如加密。 “从安全的角度来看,我们得出的结论是,它更多的是与客户沟通,确保他们掌握有关我们正在做的事情的正确信息,”乔治说。 “他们可能不得不将这一信息传达给员工或他们自己的客户。”


由于ADP是其他公司的数据处理器,因此ADP采取了可选步骤,即围绕保护PII定义绑定公司规则。 “随着Binding Corporate Rules作为数据处理器的实施,我们希望客户明白我们希望让他们的生活更轻松,并且我们承诺按照欧盟要求的标准保护他们的个人数据,无论欧洲在哪里数据被处理,访问或托管“Georges说。


乔治说,她听说其他公司还没有遵守GDPR合规要求。 “时钟开始变得tick然,”她说。 “如果公司还没有开始研究他们需要做什么,他们首先需要了解它们在业务方面对他们意味着什么。首先要了解他们受新法规影响的程度,然后进行差距分析。这是评估他们需要做什么的任何项目的起点。


她还鼓励公司采取运营方式。 “我的建议是拥有组织中所有职能的代表,而不是将其视为纯粹的隐私或纯法律合规项目,”乔治斯说。 “操作需要花费太多时间才能准确理解他们需要做什么,而如果你从一开始就让他们参与,他们就可以告诉律师或隐私专业人士,'我们已经在做这件事,'或'技术上,我们可以'这样做,但这就是我们如何解决这一要求。'“


“根据您的业务和您现有的工具,有不同的方式应用GDPR。商界人士可以评估这一点,“乔治说。 “一旦他们完成评估并决定做什么,他们就必须记录他们正在做什么。”Georges指的是GDPR的问责制原则,要求公司记录他们如何变得合规。 “文件是关键。”


我的公司应该做些什么来保持GDPR合规?

多份研究报告显示,许多(如果不是大多数)组织仍未完全符合GDPR标准。如果您的组织对其合规性状态没有信心,并且您已经确定了不合规的重大风险,那么遵循这些步骤可以帮助您走上正确的道路。


确定高层管理人员的紧迫感:风险管理公司Marsh强调行政领导在优先考虑网络准备方面的重要性。遵守全球数据卫生标准是该准备工作的一部分。


让所有利益相关者参与进来仅IT就没有准备好满足GDPR要求。启动一个包括营销,财务,销售,运营的任务组 - 组织内收集,分析或以其他方式利用客户PII的任何组。通过代表GDPR特别工作组,他们可以更好地分享对实施所需技术和程序变更的人员有用的信息,并且他们将更好地准备好应对对团队的任何影响。


定期进行风险评估:您想知道您为欧盟公民存储和处理的数据,并了解其周围的风险。请记住,风险评估还必须概述为减轻风险而采取的措施。此评估的一个关键要素是发现可能正在收集和存储PII的所有影子IT。影子IT和小点解决方案代表了不合规的最大风险;在你自己的危险中忽视它们。


而且有很多。 Snow Software的IT思想领袖和高级副总裁Matt Fisher表示,已知有超过39,000个应用程序可以存储个人数据。 “冰山效应对组织的GDPR合规性构成严重风险,因为许多人关注的是10%的应用程序持有在水面上可见的个人数据,”他说。


Fisher引用了组织如何分配IT和技术支出的变化,预计到2020年业务部门将拥有大约一半的业务部门。“随着IT团队忽视整个组织使用的应用程序,他们缺乏对应用程序的总体可见性。可能会威胁到GDPR的合规性,“他说。


“开始[关于风险评估]是最大的障碍,”费舍尔说。 “作为第一个行动方案,组织必须全面了解其整个IT基础架构并清点其所有应用程序。这一点,加上对哪些应用程序可以处理个人数据的具体见解,大大减少了项目的范围以及花在其上的时间。突然间,不可能成为可能。“


如果你还没有这样做,就聘请或任命一名DPO:GDPR没有说DPO是否需要成为一个独立的职位,所以可能一个公司可能会指定一个已经具有类似职位的人,只要该人可以确保PII的保护,不存在利益冲突。否则,您将需要雇用DPO。根据组织的不同,DPO可能不需要是全职的。在这种情况下,虚拟DPO是一种选择。 GDPR规则允许DPO为多个组织工作,因此虚拟DPO就像一个根据需要工作的顾问。


创建和维护数据保护计划:大多数公司已经制定了计划,但他们需要对其进行审核和更新,以确保其符合GDPR要求。定期查看和更新。


不要忘记移动:根据Lookout,Inc。对IT和安全管理人员的调查,64%的员工使用移动设备访问客户,合作伙伴和员工PII。这为GDPR不合规创造了一系列独特的风险。例如,81%的受访者表示大多数员工都被批准在用于工作目的的设备上安装个人应用程序,即使这是他们自己的设备。如果这些应用程序中的任何一个访问并存储PII,则必须以符合GDPR的方式执行此操作。这很难控制,特别是当您考虑到员工使用的所有未授权应用程序时。


记录您的GDPR合规进度:“随着时间的推移,组织必须证明他们在完成处理活动记录(RoPA)方面取得了进展 -  GDPR监管的第30条,其中包括清点风险应用程序 - 以避免被对于监管机构而言,这是一个容易实现的目标“建立RoPA,是在游戏的这个阶段关注的重要部分,因为它使组织能够识别正在处理个人数据的位置,处理它的人以及如何处理它。”


实施降低风险的措施:一旦确定了风险以及如何减轻风险,就必须采取措施。对于大多数公司而言,这意味着修订现有的风险缓解措施。 “在对应用程序进行清点并完成RoPA后,GDPR团队现在可以发现并调查与数据相关的任何风险,并确定保护该数据所需的适当安全级别,”Fisher说。


如果您的组织规模很小,请在需要时寻求帮助。较小的公司将受到GDPR的影响,其中一些公司比其他公司更为重要。他们可能没有满足要求所需的资源。外部资源可用于提供建议和技术专家,以帮助他们完成整个过程并最大限度地减少内部中断。


测试事件响应计划:GDPR要求公司在72小时内报告违规行为。响应团队如何最大限度地减少损失将直接影响公司违规罚款的风险。确保您可以在这段时间内充分报告和回复。


建立持续评估流程:您希望确保始终遵守,这需要监控和持续改进。一些公司正在考虑激励和惩罚措施,以确保员工遵守新政策。根据Veritas Technologies的一项调查,47%的受访者可能会在员工合同中增加强制性的GDPR政策遵守。如果发生GDPR违规,25%可能会扣除奖金或福利,34%的人表示他们会奖励员工遵守GDPR。


所有这一切都着眼于改善您的业务:根据Varonis Systems的调查,74%的受访者认为遵守GDPR要求将是竞争优势。合规将提升消费者信心。更重要的是,满足GDPR要求所需的技术和流程改进应该能够提高组织管理和保护数据的效率。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有