Gdpr začína dnes! čo potrebuješ vedieť

Od dnešného dňa 25. mája 2018 sa právne predpisy Európskej únie (EÚ) o všeobecnom nariadení o ochrane údajov (GDPR) stanú globálnym právom, pokiaľ ide o otázky, ako podniky musia s osobnými údajmi zaobchádzať. Aj keď si môžete myslieť, že zákon o ochrane údajov ratifikovaný v Európe by sa uplatňoval iba na Európanov, mali by ste sa mýliť. Je to preto, že GDPR chráni všetkých občanov EÚ bez ohľadu na to, kde žijú a bez ohľadu na to, s kým podnikajú, čo znamená, že americké spoločnosti so zákazníkmi v EÚ podliehajú priamo požiadavkám GDPR a horšie sankciám. Horšie je, že podľa nedávnej správy Crowd Research Partners je iba 7 percent spoločností v dnešnej lehote na ceste k súladu s GDPR.

A hoci existujú kroky, ktoré môžete podniknúť aj dnes, aby ste svoju spoločnosť udržali aspoň do istej miery bezpečné voči GDPR, dosiahnutie úplného súladu nie je ľahkým projektom. Procesy zberu údajov musia byť relevantné pre to, ako bude spoločnosť tieto údaje využívať (napríklad údaje o nákupoch spotrebiteľov, ale nie údaje o lekárskej histórii pre spoločnosti elektronického obchodu). Spoločnosti by mali byť ochotné a schopné presne vysvetliť, aké údaje sa zhromaždili a prečo. Bezpečnostné postupy musia preukázať jasnú schopnosť ochrany pred stratami, poškodením a zničením a údaje by sa nemali uchovávať dlhšie, ako je potrebné. Každá spoločnosť, ktorá nedodrží ustanovenia tohto nariadenia, bude mať za následok stratu 4% svojich ročných príjmov.

„Toto nie je bezzubý súbor pravidiel a predpisov, “ povedal Ankur Laroia, vedúci strategických riešení v poskytovateľovi systému riadenia informácií Alfresco. Laroia robí prípad, že niekoľko otázok v nariadeniach bude pre spoločnosti sťažovať ich dodržiavanie. Napríklad niekoľko problémov zahŕňa abstraktne písomné pravidlá týkajúce sa toho, prečo sa údaje zhromažďujú, prekrývajúce sa požiadavky na drhnutie údajov o zákazníkoch, keď sa to vyžaduje, a potreba niektorých spoločností úplne prepracovať bezpečnostné postupy výhradne na účely zabezpečenia súladu. Laroia si napriek tomu nemyslí, že sa tu EÚ snaží.

„EÚ pôjde po páchateľoch, “ predpovedá. „Keby sa to uzákonilo, Equifax by sa dostal do mnohých problémov.“

GDPR, hoci sa zameriava predovšetkým na občanov EÚ, predstavuje aj scenár nočnej mory pre amerických vlastníkov firiem., rozoberieme, čo Američania potrebujú vedieť, aby sa vydali na cestu dodržiavania GDPR.

1. Americké spoločnosti sa budú musieť zaviazať

Ak vaše kníhkupectvo mama a popu nikdy nedodalo balík mimo vášho domovského mesta, pravdepodobne sa nebudete musieť zaoberať GDPR. Ak však máte aj jedného zákazníka so sídlom v EÚ, musíte okamžite začať s procesom súladu s GDPR. Podľa nariadení musia byť údaje o občanovi EÚ chránené a tieto údaje musíte občanovi poskytnúť, ak o to požiada. A čo je dôležitejšie, možno budete musieť požiadať o vyčistenie týchto údajov z vašich systémov, ak a kedy občan požiada. Ak tak neurobíte a kontrolný úrad GDPR to zistí, stratíte 4% svojho ročného príjmu.

„Aj keď ide o smernicu EÚ, týka sa to každej spoločnosti na svete, ktorá má ako zákazníci obyvateľov EÚ, “ uviedol Pete Lindstrom, viceprezident pre bezpečnostný výskum v spoločnosti IDC. „Ak máte polia s adresou a sú európskou adresou, pravdepodobne sa budú považovať za európske.“

Neexistuje žiadny rozdiel medzi spoločnosťou so sídlom v EÚ alebo v meste, ako je napríklad Skokie, Illinois. Zákon sa namiesto toho zameriava na informácie umožňujúce identifikáciu osôb (PII) a informácie o tom, kde má osoba spojená s údajmi bydlisko. Každý, kto má akékoľvek údaje PII o európskom zákazníkovi, sa bude musieť riadiť.

Aj keď má vaša spoločnosť niekoľko zákazníkov so sídlom v EÚ, je veľmi nepravdepodobné, že by váš miestny kníhkupectvo prešlo auditom watchdogov GDPR. Veľké spoločnosti, ako napríklad Facebook a Yahoo, však nebudú môcť tvrdiť, že americká lojalita je spôsob, ako obísť GDPR.

„Ak ste mama a pop a máte porušenie, ste právne zodpovední, “ povedala Laroia. „Je ťažké povedať, či po vás budú reálne prísť… každý členský štát EÚ bude mať úrad pre dodržiavanie predpisov. Tento úrad začne požadovať systém dodržiavania predpisov pre všetkých. Vytvoria inventár spoločností podnikajúcich vo svojich zemepisných oblastiach. Idú na mieste skontrolovať väčších chlapcov a začnú klásť otázky. ““

Americké spoločnosti, ktoré ich nedodržiavajú, by nemali očakávať, že ich vláda USA ochráni, keď sa štáty EÚ s podporou GDPR pokúsia získať tento prepadnutý príjem. "Americká vláda je nútená zabezpečiť, aby sa tieto rozsudky vykonali, " uviedla Laroia. „Či už sú vynucované, sa ešte len uvidí, ale vláda v EÚ bude musieť bojovať.“

2. máj 25. znamená 25. máj

Aj keď nariadenie nadobúda účinnosť dnes, 25. mája 2018, zákon bol ratifikovaný parlamentom EÚ 14. apríla 2016. To znamená, že pokiaľ ide o EÚ, spoločnosti mali dostatok času na zavedenie praktík, ktoré sú v súlade s GDPR., Ak je teda vaša spoločnosť zajtra zasiahnutá masívnym kybernetickým útokom a kvapky údajov, ktoré ste zhromaždili o zákazníkoch, návštevníkoch webových stránok a dokonca aj o partneroch, sa dostanú na nebezpečný temný web, nemôžete tvrdiť, že „nedostatočný čas“ je ospravedlnenie za zverejnenie údajov o občanoch EÚ.

„Stanovy nadobudli účinnosť, “ povedal Laroia. „Môže sa od vás požadovať, aby ste už preukázali svoju cestu dodržiavania predpisov. Už ste vymysleli? Aký je váš protokol pre občanov EÚ, aby sa opýtali na vaše údaje? po máji nedokážu preukázať súlad. ““

3. Neočakávajte rozšírenie

Na rozdiel od väčšiny bitiek v oblasti právnej regulácie, ktoré máme v USA (napríklad Čistá neutrálnosť), nikto v EÚ nevstúpil 24. mája 2018, aby napadol GDPR, a tým reguláciu natrvalo odložil. Európania to chceli a teraz to majú.

„To je krása spôsobu, akým boli nariadenia stanovené, “ uviedla Laroia. „Pretože dali spoločnostiam rok, aby sa dostali do poriadku, z pohľadu súdneho sporu neexistovali žiadne problémy. Keby sme to videli, už by sa to stalo. Mohlo by to niekto urobiť potom, čo budú žalovaní? Som si istý, že sa o to pokúsia, ale v tom okamihu to bude vyzerať zle. ““

4. Čo musíte urobiť, aby ste splnili podmienky

Ako vyžaduje nariadenie, budete musieť poveriť niekoho zodpovedným za riadenie procesu dodržiavania predpisov. Táto osoba, ktorej zákon GDPR nazýva „Úradník pre ochranu údajov“ (DPO), bude bodovou osobou zodpovednou za chod tímu dohľadu nad GDPR spôsobmi, akými vaša spoločnosť zabezpečovala svoje údaje. Táto osoba bude tiež zodpovedná za zblíženie rôznorodých oblastí podnikania vo vašej spoločnosti s cieľom vytvoriť metodiku na získanie a udržanie súladu s GDPR.

Stručne povedané, povinnosti úradníka pre ochranu údajov sa rozdelia do štyroch kľúčových kategórií:

• Po prvé, musia byť dostatočne oboznámení s podrobnosťami o GDPR, aby pôsobili ako bodová osoba nielen pre počiatočný proces dodržiavania predpisov, ale aj pre všetky otázky týkajúce sa spracovania údajov týkajúce sa GDPR v budúcnosti, a určite natoľko, aby mohli položiť otázky obom nadriadeným. vedúcich pracovníkov a pracovníkov IT v oblasti spracovania údajov v teréne.
• Po druhé, musia byť schopní monitorovať všetky prebiehajúce procesy spracovania údajov vo vašej organizácii a hodnotiť ich účinnosť vzhľadom na bezpečnosť osobných údajov.
• Po tretie, musia mať audítorské a monitorovacie schopnosti vo všetkých oblastiach vášho podnikania, ktoré by mohli byť ovplyvnené GDPR, a pravidelne ich vyhodnocovať z hľadiska súladu.
• A nakoniec, musia byť v kontakte s orgánmi GDPR pre vaše priemyselné odvetvie, spolupracovať s nimi a konať ako bodová osoba pre všetky žiadosti, ktoré pochádzajú od tohto orgánu.

To všetko sa obmedzuje na jednotlivca, ktorý rozumie tokom údajov a opatreniam a technológiám na ochranu údajov, ako aj nielen znalosť podrobností právnych predpisov týkajúcich sa GDPR, ale aj znalosť súvisiacich a príslušných právnych predpisov EÚ, ako je napríklad jej smernica o elektronickom súkromí. Pravdepodobný nedostatok týchto zručností vytvoril pre podnikateľské a IT poradenské spoločnosti niečo ako príležitosť na zelenej lúke. Ak však chcete tento talent rozvíjať interne, potom je dobré hľadať anglicky hovoriace európske zdroje online vzdelávania, Mnohé z nich vyvinuli na tento účel výukový program GDPR DPO. Okrem toho existujú nadnárodné priemyselné organizácie, ako je Medzinárodná asociácia odborníkov na ochranu súkromia (IAPP), ktoré ponúkajú školiace programy a certifikáty GDPR.

Pokiaľ ide o technickú poznámku, v záujme zachovania súladu s predpismi budete musieť použiť aspoň jednu metódu šifrovania pre fyzické servery, sieťové úložisko (NAS), disky a jednotky a prístup k sieti. Pri prístupe k PII a pri transakciách, ktoré obsahujú údaje PII, budete musieť overiť totožnosť zamestnanca a zaviesť multifaktorové overenie (MFA). Budete musieť vylúčiť akékoľvek praktiky, ktoré pristupujú k údajom alebo ich spracúvajú na neoprávnené účely, neustále monitorujú a overujú údaje, aby sa zaistila relevantnosť, a úplne a nezvratne vyčistia údaje o zákazníkoch, keď o to budú požiadaní. Od organizácií sa bude požadovať, aby vykonávali úplné hodnotenia rizík a spolupracovali s partnermi, najmä s tými, ktorí sú pripojení prostredníctvom rozhraní na programovanie aplikácií (API), aby sa zabezpečilo neustále dodržiavanie.

Ak dôjde k porušeniu údajov vašej organizácie, budete musieť okamžite informovať svojho pridruženého supervízora GDPR, aby ste popísali porušenie a jeho dôsledky v plnom rozsahu. A budete musieť oznámiť dôsledky porušenia príslušným zákazníkom.

5. Zákazníci z USA

Laroia uviedla, že je v konečnom dôsledku dobrý obchodný zmysel chrániť a byť dobrými správcami informácií o zákazníkoch. „Musíte sa na to pozrieť z pohľadu koncového zákazníka, “ povedala Laroia. „Sú dôvodom, prečo tieto spoločnosti podnikajú. Áno, aj keď je to pre firmu bolestivé, spoločnosti neinvestovali do technológií alebo držali krok s tempom inovácií.“

Bohužiaľ, podobné americké nariadenia nie sú v knihách. Spoločnosti podnikajúce v New Yorku na základe požiadaviek kybernetickej bezpečnosti Ministerstva financií USA v New Yorku sú do určitej miery pokryté. Toto nariadenie vyžaduje, aby podniky so sídlom v New Yorku implementovali a udržiavali písomnú politiku alebo politiky, ktoré schválil vedúci pracovník alebo predstavenstvo krytého subjektu (alebo jeho príslušný výbor) alebo rovnocenný riadiaci orgán. Týmto sa ustanovujú zásady a postupy chránenej entity na ochranu jej informačných systémov a neverejných informácií uložených v týchto informačných systémoch podľa písomného zákona.

Iné štáty, napríklad Colorado, diskutovali o implementácii podobných nariadení. Neexistuje však žiadny rozsiahly federálny zákon USA. Laroia je však optimistická, že USA budú nasledovať. „Američania takéto práva nemajú, “ povedal. „Ale daj to päť rokov.“