Gdpr se začne danes! kaj morate vedeti

Z današnjim dnem, 25. maja 2018, bo splošna uredba Evropske unije (EU) o varstvu podatkov (GDPR) dejansko postala globalno pravo, ko gre za vprašanja, kako morajo podjetja ravnati z osebnimi podatki. Čeprav lahko mislite, da bi zakon o varstvu podatkov, ratificiran v Evropi, veljal samo za Evropejce, se motite. To je zato, ker GDPR ščiti vse državljane EU, ne glede na to, kje živijo in ne glede na to, s kom poslujejo, kar pomeni, da ameriška podjetja s strankami iz EU v celoti izpolnjujejo zahteve GDPR in, še huje, kazni. Še huje, ker je po nedavnem poročilu Crowd Research Partners le sedem odstotkov podjetij na današnjem roku, ki izpolnjujejo GDPR.

Čeprav obstajajo koraki, ki jih lahko storite še danes, da bo vaše podjetje vsaj nekoliko varno glede GDPR, doseganje popolne skladnosti ni lahek projekt. Postopki za zbiranje podatkov morajo biti pomembni za to, kako bo podatke uporabljalo podjetje (na primer podatki o nakupih potrošnikov, ne pa podatki o zgodovini podatkov za podjetja za e-trgovino). Podjetja bi morala biti pripravljena in sposobna natančno razložiti, katere podatke so zbrali in zakaj. Varnostne prakse morajo pokazati jasno zmožnost varovanja pred izgubo, škodo in uničenjem, podatki pa ne smejo biti daljši, kot je potrebno. Vsako podjetje, ki ne bo spoštovalo uredbe, bo zasedelo 4-odstotni odvzem letnih prihodkov.

"To ni brezzoben nabor pravil in predpisov, " je dejal Ankur Laroia, vodja strateških rešitev pri ponudniku informacijskih sistemov Alfresco. Laroia je prepričana, da bo več vprašanj v podzakonskih predpisih podjetja otežilo skladnost podjetij. Na primer, nekaj vprašanj vključuje abstraktno napisana pravila, zakaj se zbirajo podatki, pretirane zahteve glede čiščenja podatkov o strankah, kadar to zahtevajo, in potrebo, da nekatera podjetja v celoti prenovijo varnostne postopke izključno zaradi zagotavljanja skladnosti. Kljub temu Laroia ne misli, da se EU zajebava.

"EU bo sledila kršiteljem, " napoveduje. "Če bi bilo to sprejeto, bi Equifax naletel na velike težave."

GDPR, čeprav se osredotoča predvsem na državljane EU, predstavlja tudi scenarij nočne more za ameriške lastnike podjetij., razčlenili bomo, kaj Američani moramo vedeti, da začnejo pot do skladnosti z GDPR.

1. Ameriška podjetja bodo morala izpolnjevati zahteve

Če vaša knjigarna mama in popotnica nikoli ni odposlala paketov zunaj svojega domačega mesta, se vam verjetno ne bo treba ukvarjati z GDPR. Če imate celo eno stranko s sedežem v EU, morate takoj začeti postopek, da postane skladen z GDPR. V podzakonskih predpisih morajo biti podatki o državljanih EU zaščiteni, državljanom pa jih morate posredovati, če jih ti zahtevajo. Še pomembneje je, da boste morda morali te podatke očistiti iz svojih sistemov, če in kadar državljan vloži zahtevo. Če tega ne storite in nadzornik GDPR ugotovi, boste izgubili 4 odstotke letnega prihodka.

"Čeprav gre za direktivo EU, vpliva na vsa podjetja po svetu, ki imajo rezidente EU kot kupce, " je dejal Pete Lindstrom, podpredsednik varnostnih raziskav IDC. "Če imate naslovna polja in so evropski naslov, se bodo verjetno štela za evropska."

Med podjetjem s sedežem v EU ali mestom, kot je Skokie, Illinois, ni nobene razlike. Zakon se namesto tega osredotoča na osebno določljive podatke (PII) in tam, kjer prebiva oseba, povezana s podatki. Kdor ima kakršne koli podatke o PII o evropski stranki, se mora spoštovati.

Tudi če ima vaše podjetje nekaj strank s sedežem v EU, je malo verjetno, da bodo vaši lokalni knjigarni revidirali nadzorniki GDPR. Toda velika podjetja, kot sta Facebook in Yahoo, ne bodo mogla uveljavljati ameriške zvestobe kot načina, kako premagati GDPR.

"Če ste mama in pop in imate kršitev, ste pravno odgovorni, " je dejala Laroia. "Težko je reči, ali bodo resnično prišli za vami… vsaka država članica EU bo imela pisarno za skladnost. Ta urad bo začel prositi za shemo skladnosti za vse. Ustvarili bodo seznam podjetij, ki poslujejo v svojih geografskih razmerah. Bodo opazili večje fante in začeli postavljati vprašanja."

Ameriške družbe, ki ne upoštevajo, ne bi smele pričakovati, da jih bo vlada ZDA zaščitila, ko države EU, ki jih podpira GDPR, poskušajo zbrati te zasežene prihodke. "Ameriška vlada mora prisiliti, da se te sodbe izvršijo, " je dejala Laroia. "Ali se bodo uveljavljali, še ni videti, a vlada v EU se bo morala boriti."

2. 25. maj Pomeni 25. maja

Čeprav uredba začne veljati danes, 25. maja 2018, je zakon EU ratificiral 14. aprila 2016. To pomeni, da kar zadeva EU, imajo podjetja dovolj časa za uvedbo praks, skladnih z GDPR.. Torej, če bo vaše podjetje jutri prizadelo ogromen cyberattack in se podatki, ki ste jih zbrali o kupcih, obiskovalcih spletnih mest in celo partnerjih, odpravijo na zgrožen temen splet, potem ne morete trditi, da je "premalo časa" kot izgovor za razkritje podatkov o državljanih EU.

"Statut je začel veljati, " je dejala Laroia. "Od vas se lahko zahteva, da svojo pot pokažete v skladu. Ali ste opravili inventuro? Kakšen je protokol, da lahko državljan EU zaprosi za vaše podatke? Ta podjetja bodo te podatke lahko zaprosila takoj. Začele jih bodo kaznovati prihodnje leto, če po maju ne morejo dokazati skladnosti."

3. Ne pričakujte podaljšanja

Za razliko od večine pravnih predpisov, ki jih imamo v ZDA (na primer Net nevtralnost), nihče v EU ni stopil 24. maja 2018, da bi izzval GDPR in s tem uredbo preložil za nedoločen čas. Evropejci so to želeli in zdaj so to dobili.

"To je lepota načina postavljanja predpisov, " je dejala Laroia. "Ker so korporacije dajale eno leto, da bi lahko pravilno ravnale, tam z vidika pravdnih sporov ni bilo nobenih izzivov. Če bi to videli, bi se to že zgodilo. Ali bi to lahko storil, potem ko bodo tožili? Prepričan sem, da bodo poskusili, toda na njih bo v tistem trenutku slabo videti."

4. Kaj morate storiti, da izpolnite zahteve

Kot zahteva uredba, boste morali postaviti nekoga, ki je odgovoren za vodenje postopka skladnosti. Ta oseba, ki jo zakon GDPR imenuje "uradnik za varstvo podatkov" (DPO), bo odgovorna za vodenje nadzorne skupine GDPR na načine, kako je vaše podjetje hranilo svoje podatke. Ta oseba bo odgovorna tudi za združevanje različnih vrst poslovanja v vašem podjetju, da bi pripravila metodologijo za pridobivanje in ohranjanje GDPR-skladnega.

Na kratko, naloge DPO-ja bodo razdeljene na štiri ključne kategorije:

• Najprej morajo biti dovolj seznanjeni s podrobnostmi GDPR, da bodo v prihodnosti lahko sodelovali ne le pri začetnem postopku skladnosti, temveč tudi o vseh vprašanjih glede obravnave podatkov v zvezi z GDPR, in zagotovo dovolj, da bodo lahko zastavila vprašanja obeh starejših vodje in obdelavo podatkov IT operativci na terenu.
• Drugič, biti morajo sposobni nadzorovati vse tekoče procese obdelave podatkov v vaši organizaciji in oceniti njihovo učinkovitost glede varnosti osebnih podatkov.
• Tretjič, imeti morajo zmogljivosti za revidiranje in spremljanje na katerem koli področju vašega podjetja, na katere bi lahko vplival GDPR, in jih redno ocenjevati glede skladnosti.
• In nazadnje, v zvezi z vašo panogo morajo biti v stiku z organi GDPR, sodelovati z njimi in delovati kot osebje, ki ustreza zahtevam, ki prihajajo od tega organa.

Vse to se nanaša na posameznika, ki razume pretoke podatkov, ukrepe in tehnologije za varstvo podatkov ter ne le poznavanje podrobnosti zakonodaje GDPR, temveč tudi poznavanje ustrezne in ustrezne zakonodaje EU, kot je na primer njegova direktiva o zasebnosti. Verjetno pomanjkanje teh znanj je ustvarilo priložnost za zeleno polje za poslovno in informacijsko svetovanje, vendar če želite razvijati ta talent znotraj podjetja, je dobra stava iskanje angleško govorečih evropskih evropskih učnih virov, mnogi od njih so razvili tečaje GDPR DPO v ta namen. Poleg tega obstajajo večnacionalne industrijske organizacije, kot je Mednarodno združenje strokovnjakov za zasebnost (IAPP), ki ponujajo tečaje in certifikate za GDPR usposabljanje.

Če upoštevamo več tehnične opombe, boste morali uporabiti vsaj en način šifriranja za fizične strežnike, omrežno shranjevanje (NAS), diske in pogone ter dostop do omrežja. Pri dostopu do PII in transakcij, ki vključujejo podatke o PII, boste morali preveriti identitete zaposlenih in uvesti večfaktorno overjanje (MFA). Na zahtevo boste morali izrezati kakršne koli prakse, ki dostopajo do podatkov ali jih obdelujejo za nepooblaščene namene, nenehno spremljati in preverjati podatke, da se zagotovijo ustreznost, in v celoti in nepovratno očistiti podatke o strankah. Organizacije bodo morale izvajati celovite ocene tveganja in sodelovati s partnerji, zlasti s tistimi, ki so povezani prek vmesnikov za programiranje aplikacij (API-ji), da bi zagotovili stalno skladnost.

Nazadnje, če so podatki vaše organizacije kršeni, boste morali takoj obvestiti svojega pridruženega nadzornika GDPR, da v celoti opišete kršitev in njene posledice. In prizadete stranke bodo morale sporočiti posledice kršitve.

5. Stranke v ZDA

Laroia je dejala, da je na koncu dober poslovni smisel varovati in biti dobri skrbniki za informacije o strankah. "Na to morate gledati z vidika končne stranke, " je dejala Laroia. "To so razlogi, da ta podjetja poslujejo. Da, medtem ko je to za podjetja mučno, podjetja niso vlagala v tehnologijo in niso bila v koraku s tempom inovacij."

Žal podobnih ameriških predpisov ni na knjigah. Podjetja, ki poslujejo v New Yorku v skladu z zahtevami kibernetske varnosti newyorškega ministrstva za finančne storitve, so v določeni meri zajeta. Ta uredba od podjetij s sedežem v New Yorku zahteva, da izvajajo in vzdržujejo pisno politiko ali politike, ki jih odobri višji uradnik ali upravni odbor zajete organizacije (ali ustrezen odbor) ali enakovreden organ upravljanja. To določa politike in postopke zajetega subjekta za zaščito svojih informacijskih sistemov in nejavnih informacij, shranjenih v teh informacijskih sistemih, v skladu s pisnim zakonom.

Druge države, na primer Kolorado, so razpravljale o izvajanju podobnih predpisov. Vendar ne obstaja noben ameriški zvezni zakon. Toda Laroia je optimistična, da bodo ZDA naslednje. "Američani nimajo takšnih pravic, " je dejal. "Toda dajte mu pet let."