Gdpr začíná dnes! co potřebuješ vědět

Od dnešního dne 25. května 2018 se právní předpisy Evropské unie (EU) o obecném nařízení o ochraně údajů (GDPR) stanou globálním právem, pokud jde o otázky, jak podniky musí s osobními údaji nakládat. I když si možná myslíte, že zákon o ochraně údajů ratifikovaný v Evropě by se vztahoval pouze na Evropany, měli byste se mýlit. Je to proto, že GDPR chrání všechny občany EU bez ohledu na to, kde žijí a bez ohledu na to, s kým podnikají, což znamená, že americké společnosti se zákazníky v EU podléhají přímo požadavkům GDPR a, horší, sankcím. A co je horší, protože podle nedávné zprávy Crowd Research Partners je pouze 7 procent společností v současné době na cestě k souladu s GDPR.

A i když existují kroky, které můžete podniknout i dnes, aby vaše společnost byla alespoň do jisté míry bezpečná vůči GDPR, dosažení úplného souladu není lehkým projektem. Procesy sběru dat musí být relevantní pro to, jak budou data použita společností (například údaje o nákupech spotřebitelů, nikoli však údaje o lékařské historii pro společnosti elektronického obchodování). Společnosti by měly být ochotny a schopny přesně vysvětlit, jaké údaje byly shromážděny a proč. Bezpečnostní postupy musí prokazovat jasnou schopnost chránit před ztrátou, poškozením a zničením a data by neměla být uchovávána déle, než je nezbytné. Každá společnost, která nedodrží nařízení, bude podléhat 4% propadnutí svých ročních příjmů.

„Nejedná se o bezzubý soubor pravidel a předpisů, “ řekl Ankur Laroia, vedoucí strategických řešení u poskytovatele systémů pro správu informací Alfresco. Laroia činí případ, že několik otázek v nařízeních znemožňuje společnostem zůstat v souladu. Například několik problémů zahrnuje abstraktně psaná pravidla o tom, proč jsou data shromažďována, překračující požadavky na drhnutí zákaznických dat, když jsou požadována, a potřeba některých společností zcela přepracovat bezpečnostní postupy pouze za účelem zajištění souladu. Laroia si přesto nemyslí, že se EU hádá.

„EU půjde po pachatelích, “ předpovídá. "Kdyby to bylo uzákoněno, Equifax by se dostal do mnoha problémů."

GDPR, i když se zaměřuje především na občany EU, představuje také scénář noční můry pro americké podnikatele., rozdělíme to, co Američané potřebují vědět, aby zahájili cestu k dodržování HDPR.

1. Americké společnosti se budou muset řídit

Pokud vaše knihkupectví maminek a pop nikdy nedodalo balík mimo své domovské město, pravděpodobně se nebudete muset zabývat GDPR. Pokud však máte dokonce jednoho zákazníka se sídlem v EU, musíte okamžitě začít s plněním HDPR. Podle stanov musí být údaje o občanech EU chráněny a pokud o to požádáte, musíte je poskytnout občanům. Ještě důležitější je, že budete možná požádáni o vymazání těchto dat z vašich systémů, pokud a kdy občan požádá. Pokud tak neučiníte a hlídací pes GDPR to zjistí, pak ztratíte 4 procenta svého ročního příjmu.

„Přestože se jedná o směrnici EU, týká se to každé společnosti na světě, která má jako své zákazníky obyvatele EU, “ řekl Pete Lindstrom, viceprezident pro bezpečnostní výzkum IDC. "Pokud máte pole s adresami a jedná se o evropskou adresu, budou pravděpodobně považováni za evropské."

Neexistuje žádný rozdíl mezi společností se sídlem v EU nebo ve městě, jako je Skokie, Illinois. Zákon se místo toho zaměřuje na informace umožňující osobní identifikaci (PII) a místo pobytu osoby spojené s údaji. Každý, kdo má jakýkoli druh údajů PII o evropském zákazníkovi, bude muset vyhovět.

I když má vaše společnost několik zákazníků se sídlem v EU, je velmi nepravděpodobné, že váš místní knihkupectví bude auditováno hlídači GDPR. Velké společnosti, jako je Facebook nebo Yahoo, však nebudou schopny tvrdit, že americká věrnost je způsob, jak obejít GDPR.

„Pokud jste maminka a pop a máte porušení, jste ze zákona odpovědný, “ řekla Laroia. „Těžko říci, jestli po vás budou realisticky přijít… každý členský stát EU bude mít úřad pro dodržování předpisů. Tento úřad začne požadovat každý systém dodržování předpisů. Vytvoří seznam společností podnikajících v jejich zeměpisných oblastech. Budou na místě zkontrolovat větší kluky a začnou klást otázky. “

Americké společnosti, které nedodržují předpisy, by neměly očekávat, že je vláda USA bude chránit, když se státy EU podporované GDPR pokusí získat tento propadlý příjem. "Americká vláda je nucena zajistit, aby tyto rozsudky byly vymáhány, " uvedla Laroia. „Zda jsou vynuceni, se teprve uvidí, ale vláda v EU bude muset bojovat.“

2. 25. května znamená 25. května

Ačkoli toto nařízení vstupuje v platnost dnes, 25. května 2018, zákon byl ratifikován parlamentem EU dne 14. dubna 2016. To znamená, že pokud jde o EU, společnosti měly dostatek času na zavedení praktik v souladu s GDPR.. Pokud je tedy vaše společnost zítra zasažena masivním kybernetickým útokem a kapky dat, které jste shromáždili o zákaznících, návštěvnících webových stránek a dokonce i partnerech, se dostanou na nebezpečný temný web, nemůžete tvrdit „nedostatečný čas“ jako omluva za prozrazení údajů o občanech EU.

„Stanovy vstoupily v platnost, “ řekla Laroia. „Můžete být vyzváni, abyste již svou cestu k dodržování předpisů prokázali. Vymysleli jste? Jaký je váš protokol pro občana EU, aby se zeptal na vaše údaje? Tyto společnosti mohou být požádány o tyto informace hned teď. Příští rok začnou být pokutovány, pokud po květnu nemohou prokázat shodu. “

3. Neočekávejte rozšíření

Na rozdíl od většiny bitev v oblasti právní regulace, které máme v USA (například Net Neutrality), nikdo v EU nepřistoupil 24. května 2018, aby zpochybnil GDPR, a tím nařízení odložil na dobu neurčitou. Evropané to chtěli a teď to mají.

„To je krása způsobu, jakým byla nařízení stanovena, “ řekla Laroia. „Protože dali korporacím rok, aby se dostali do pořádku, z hlediska soudního sporu tam nebyly žádné problémy. Kdybychom to uviděli, stalo by se to již. Mohlo by to někdo udělat poté, co by byli žalováni? Jsem si jistý, že to zkusí, ale v tom okamžiku na ně bude vypadat špatně. ““

4. Co budete muset udělat, abyste vyhověli

Jak vyžaduje nařízení, budete muset někoho pověřit správou procesu dodržování předpisů. Tato osoba, kterou zákon GDPR nazývá „inspektor ochrany údajů“ (DPO), bude bodovou osobou odpovědnou za procházení týmu dohledu nad GDPR způsoby, kterými vaše společnost zajišťuje svá data. Tato osoba bude také zodpovědná za spojování nesourodých oblastí podnikání ve vaší společnosti za účelem vytvoření metodiky pro získání a udržení souladu s GDPR.

Stručně řečeno, povinnosti DPO budou rozděleny do čtyř klíčových kategorií:

• Za prvé, musí být dostatečně obeznámeni s podrobnostmi GDPR, aby působili jako bodová osoba nejen pro počáteční proces dodržování předpisů, ale v budoucnu pro všechny otázky týkající se zpracování dat související s GDPR, a to natolik, aby mohli položit otázky oběma vyššími vedoucí pracovníci a pracovníci IT v oblasti zpracování dat na zemi.
• Za druhé, musí být schopni sledovat všechny probíhající procesy zpracování dat ve vaší organizaci a hodnotit jejich účinnost s ohledem na bezpečnost osobních údajů.
• Zatřetí, musí mít funkce auditu a monitorování ve všech oblastech vašeho podnikání, které by mohly být ovlivněny GDPR, a pravidelně je vyhodnocovat z hlediska dodržování předpisů.
• A konečně musí být v kontaktu s úřady GDPR pro vaše odvětví, spolupracovat s nimi a jednat jako bodová osoba pro všechny žádosti, které od tohoto orgánu vycházejí.

To vše se scvrkává na jedince, který chápe toky dat a opatření a technologie na ochranu údajů, jakož i nejen znalosti podrobností legislativy GDPR, ale také znalosti souvisejících a příslušných právních předpisů EU, jako je například směrnice o soukromí a elektronických komunikacích. Pravděpodobný nedostatek těchto dovedností vytvořil něco pro zelenou plochu pro obchodní a IT poradenství, ale pokud chcete tento talent rozvíjet interně, pak je dobré hledat anglicky mluvící evropské zdroje online učení, mnoho z nich vyvinulo pro tento účel výukový program GDPR DPO. Kromě toho existují nadnárodní průmyslové organizace, jako je Mezinárodní asociace profesionálů v oblasti ochrany soukromí (IAPP), které nabízejí školení a certifikáty GDPR.

Pokud jde o technickou poznámku, je třeba, abyste byli v souladu s předpisy, musíte použít alespoň jednu metodu šifrování pro fyzické servery, síťové úložiště (NAS), disky a jednotky a přístup k síti. Při přístupu k PII a transakcím, které obsahují data PII, budete muset ověřit totožnost zaměstnanců a zavést multifaktorové ověřování (MFA). Budete muset vystřihnout veškeré praktiky, které přistupují nebo zpracovávají data k neoprávněným účelům, neustále monitorovat a ověřovat data, aby byla zajištěna relevance, a zcela a nevratně vyčistit zákaznická data, když o to budete požádáni. Organizace budou muset provádět úplná hodnocení rizik a spolupracovat s partnery, zejména s těmi, kteří jsou připojeni prostřednictvím rozhraní pro programování aplikací (API), aby byla zajištěna trvalá shoda.

A konečně, pokud dojde k porušení údajů vaší organizace, budete muset okamžitě informovat svého přidruženého supervizora GDPR, abyste popsali porušení a jeho důsledky v plném rozsahu. A budete muset sdělit důsledky porušení porušeným zákazníkům.

5. Zákazníci z USA

Laroia uvedl, že je to v konečném důsledku dobrý obchodní smysl pro ochranu a dobré informování zákazníků. „Musíte se na to dívat z výhod koncového zákazníka, “ řekla Laroia. "Jsou to důvod, proč tyto společnosti podnikají. Ano, i když je to pro firmu bolestivé, společnosti neinvestovaly do technologie nebo držely krok s inovacemi."

Bohužel podobné americké předpisy nejsou v knihách. Společnosti podnikající v New Yorku na základě požadavků na kybernetickou bezpečnost Ministerstva finančních služeb v New Yorku jsou do jisté míry pokryty. Toto nařízení vyžaduje, aby podniky se sídlem v New Yorku prováděly a udržovaly písemné zásady nebo politiky schválené vrchním úředníkem nebo představenstvem zastřešeného subjektu (nebo jeho příslušným výborem) nebo rovnocenným řídícím orgánem. Tím jsou stanoveny zásady a postupy chráněné entity pro ochranu jejích informačních systémů a neveřejných informací uložených v těchto informačních systémech podle písemného zákona.

Jiné státy, například Colorado, diskutovaly o provádění podobných předpisů. Neexistuje však žádný rozsáhlý federální zákon USA. Laroia je však optimistická, že USA budou příští. „Američané nemají taková práva, “ řekl. "Ale dej to pět let."