目录:
视频: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十一月 2024)
从今天(2018年5月25日)开始,当涉及企业必须如何处理个人数据的问题时,欧盟(EU)的通用数据保护法规(GDPR)立法将有效地成为全球法律。 您可能会认为在欧洲批准的数据保护法仅适用于欧洲人,但这是错误的。 这是因为GDPR可以保护所有欧盟公民,无论他们身在何处,无论与谁打交道,这意味着拥有欧盟客户的美国公司将受到GDPR要求的严格处罚,甚至会受到处罚。 更糟糕的是,根据来自人群研究合作伙伴(Crowd Research Partners)的最新报告,到今天的截止日期,只有7%的公司有望达到GDPR要求。
尽管您甚至可以在今天采取一些措施使您的公司至少在一定程度上保持GDPR的安全性,但是实现完全合规并不是一个轻量级的项目。 收集数据的过程必须与公司将如何使用数据有关(例如,消费者购物数据,而不是电子商务公司的病历数据)。 公司应该愿意并且能够确切解释收集了哪些数据以及原因。 安全实践必须表现出明显的防止丢失,损坏和破坏的能力,并且数据保存的时间不应超过必要的时间。 任何不遵守法规的公司将被没收其年收入的4%。
信息管理系统提供商Alfresco的战略解决方案负责人Ankur Laroia说:“这并不是一整套规则。 Laroia认为该法规细则中的几个问题将使公司难以保持合规性。 例如,一些问题包括关于为什么要收集数据的抽象书面规则,对在请求时清理客户数据的超出要求以及某些公司仅出于确保合规性目的完全修改安全程序的需求。 不过,拉罗亚认为欧盟不会陷入困境。
他预测:“欧盟将追究犯罪者。” “如果这样制定,Equifax将会陷入很多麻烦。”
GDPR主要关注欧盟公民,同时也为美国企业主带来了噩梦。 ,我们将分解美国人开始遵循GDPR的知识。
1.美国公司需要遵守
如果您的流行书店从未在您的家乡以外地区运送过包裹,那么您可能无需担心GDPR。 但是,如果您甚至有一个基于欧盟的客户,那么您就需要立即开始逐步符合GDPR的流程。 根据细则,欧盟公民数据必须受到保护,如果他或她要求,您必须向该公民提供上述数据。 更重要的是,如果市民提出请求,则可能需要从系统中清除该数据。 如果您不这样做,GDPR监督者会发现,那么您将损失4%的年收入。
IDC安全研究副总裁Pete Lindstrom表示:“尽管这是欧盟指令,但它会影响世界上所有以欧盟居民为客户的公司。” “如果您有地址字段并且它们是欧洲地址,则可能会将它们视为欧洲地址。”
总部位于欧盟或伊利诺斯州斯科基等城市的公司之间没有区别。 相反,法律侧重于个人身份信息(PII)以及与数据关联的人所居住的地方。 任何拥有欧洲客户的PII数据的人都必须遵守。
即使您的公司有一些欧盟客户,您的本地书店也极不可能受到GDPR监管机构的审核。 但是像Facebook和Yahoo这样的大公司将无法声称美国效忠是规避GDPR的一种方式。
拉罗亚说:“如果你是一个夫妻,并且有违规行为,你将承担法律责任。” “很难说他们是否会现实地追随您……每个欧盟成员国都将设有合规办公室。该办公室将开始要求每个人的合规计划。他们将创建一个在其地理位置开展业务的公司的清单。他们将去检查更大的家伙,并开始提出问题。”
不遵守的美国公司不应期望当GDPR支持的欧盟国家试图收取被没收的收入时,美国政府会屏蔽它们。 拉罗亚说:“美国政府被迫确保执行这些判决。” “它们是否被强制执行还有待观察,但欧盟政府将不得不采取行动。”
2. May 25意味着May 25
尽管该法规于2018年5月25日生效,但该法案已于2016年4月14日获得欧盟议会的批准。这意味着,就欧盟而言,公司已经有足够的时间来实施符合GDPR的规范。 因此,如果明天您的公司受到大规模网络攻击的打击,并且您在客户,网站访问者甚至合作伙伴上收集的大量数据都进入了邪恶的黑暗网络,那么您就不能声称“时间不足”是因为泄露欧盟公民数据的借口。
拉罗亚说:“这些法规已经生效。” “您可能已经被要求显示出您遵守法规的过程。您是否进行了盘点?欧盟公民询问您的数据的协议是什么?现在可以要求这些公司提供这些信息。如果这些公司明年将开始受到罚款。他们不能在五月之后证明合规。”
3.不要期望扩展
与我们在美国进行的大多数法律法规斗争(例如净中立)不同,欧盟没有人于2018年5月24日介入挑战GDPR,从而无限期推迟法规。 欧洲人想要这个,现在他们已经明白了。
拉罗亚说:“这是制定法规的方式之美。” “由于他们给公司一年的时间来使他们的行为正确,所以从诉讼的角度来看,这里没有任何挑战。如果我们要看到这一点,那就已经发生了。有人起诉后,有人会这样做吗?我敢肯定他们会尝试的,但那时候在他们身上看起来会很糟糕。”
4.您需要做什么才能遵守
根据法规的要求,您需要让某人负责管理合规性流程。 GDPR法律将其称为“数据保护官”(DPO)的人将是负责指导GDPR监督团队通过公司保护其数据的方式的负责人。 此人还将负责将您公司内不同的业务部门整合在一起,以产生一种获取并保持GDPR兼容的方法。
简而言之,DPO的职责将分为四个关键类别:
- 首先,他们需要足够熟悉GDPR细节,不仅要担任初始合规流程的负责人,而且还要担负未来与GDPR相关的所有数据处理问题的负责人的角色,而且当然要足够高,以便他们可以由两位资深人士提出问题高管和数据处理IT操作员。
- 其次,他们需要能够监视组织中所有正在进行的数据处理流程,并评估其在个人数据安全方面的有效性。
- 第三,他们需要在可能受到GDPR影响的任何业务领域具有审计和监视功能,并定期评估其合规性。
- 最后,他们需要与您所在行业的GDPR主管部门保持联系,与他们合作,并充当该主管部门提出的任何要求的负责人。
所有这些归结为一个了解数据流,数据保护措施和技术,以及不仅对GDPR立法细节的了解而且对相关和相关欧盟立法(例如其电子隐私指令)的了解的个人。 可能缺乏这些技能为业务和IT咨询创造了一些绿色的机会,但是,如果您希望内部培养这种人才,那么最好的选择是搜索说英语的欧洲在线学习资源,为此,许多人已经开发了GDPR DPO课件。 此外,还有一些跨国行业组织,例如国际隐私专业人员协会(IAPP),正在提供GDPR培训课件和认证。
在更多技术说明上,为了保持合规性,您需要对物理服务器,网络连接存储(NAS),磁盘和驱动器以及网络访问至少采用一种加密方法。 访问PII以及包含PII数据的交易时,您需要验证员工的身份并建立多因素身份验证(MFA)。 您将需要减少为未经授权的目的访问或处理数据的所有做法,不断监视和验证数据以确保相关性,并在被要求这样做时彻底且不可逆地清除客户数据。 组织将需要进行全面的风险评估,并与合作伙伴(尤其是通过应用程序编程接口(API)连接的合作伙伴)合作,以确保持续合规。
最后,如果您的组织的数据遭到破坏,那么您需要立即通知您的相关GDPR主管,以全面描述该破坏及其后果。 而且,您需要将违规的后果传达给受影响的客户。
5.美国客户
Laroia说,维护和成为客户信息的好管理员最终具有良好的商业意识。 Laroia说:“您必须从最终客户的角度考虑这一点。” “这就是这些公司开展业务的原因。是的,虽然这给业务带来了痛苦,但公司并未对技术进行投资或跟上创新步伐。”
不幸的是,类似的美国法规并未列入账目。 根据纽约金融服务部的《网络安全要求》在纽约开展业务的公司在一定程度上受到了保护。 该法规要求纽约的企业执行并维持由高级官员或涵盖实体的董事会(或其适当的委员会)或同等理事机构批准的书面政策。 根据书面法律,这规定了涵盖实体保护其信息系统和存储在这些信息系统上的非公开信息的政策和程序。
其他州,例如科罗拉多州,已经讨论了实施类似法规的问题。 但是,不存在全面的美国联邦法律。 但拉罗亚(Laroia)乐观地认为美国将成为下一个。 他说:“美国人没有这种权利。” “但是给它五年。”
