Общих правил по защите данных (GDPR): что нужно знать, чтобы остаться совместимым

General Data Protection Regulation (GDPR): What you need to know to stay compliant

Этьен Ansotte/ЕС

Сегодняшние верхние рассказы

Показать Больше

Компании, которые собирают данные о гражданах Европейского союза (ЕС) countriesl нужно соблюдать строгие новые правила по защите данных клиентов. Общее регулирование защиты данных (GDPR) устанавливает новый стандарт в сфере защиты прав потребителей по поводу своих данных, но компании будут оспорены, поскольку они положили систем и процессов для обеспечения соответствия нормативным требованиям.

Соответствие будет вызывать некоторые сомнения и новые надежды команды безопасности. Например, GDPR принимает широкий взгляд, что является персональной идентификационной информации. Компании понадобится такой же уровень защиты для таких вещей, как и IP-адрес отдельного лица или данные куки, как они делают на имя, адрес и номер социального страхования.

В GDPR оставляет для интерпретации. Он говорит, что компании должны обеспечить “разумный” уровень защиты персональных данных, например, но не определяет, что является “разумной”. Это дает GDPR руководящего органа много свободы, когда дело доходит до определения размеров штрафов за данные нарушения и несоответствия.

Новый Наш игровой сайт жив! Сайт сайт GameStar обложки игр, игровых гаджетов и снаряжения. Подпишитесь на нашу рассылку и мы пришлем наших лучших материалов прямо на ваш почтовый ящик. Узнайте больше здесь.

Уходит Время, чтобы уложиться в срок, ого так был составлен, что любой бизнес должен знать о GDPR, наряду с советами для удовлетворения его требований. Многие требования не относятся непосредственно к обеспечению информационной безопасности, а процессы изменения и системы, необходимое для выполнения может повлиять на работу существующих систем безопасности и протоколов.

Что такое GDPR?

Европейский парламент принял GDPR в апреле 2016 года, заменив устаревшую директиву о защите данных от 1995 года. Он несет положений, которые требуют от предприятий для защиты личных данных и частной жизни граждан ЕС для сделок, которые происходят в государствах-членах ЕС. В GDPR также регулирует экспорт персональных данных за пределы ЕС.

[Связанные: —>как подготовиться к приближающейся общих правил по защите данных]

Эти положения согласуются во всех 28 государствах-членах ЕС, что означает, что у компаний есть только один стандарт в ЕС. Тем не менее, что стандарт достаточно высока и потребует большинство компаний, чтобы сделать большие инвестиции, чтобы встретиться и администрировать.

Согласно докладу плодного яйца, около двух третей американских компаний считают, что GDPR потребует их пересмотреть свою стратегию в Европе. Еще больше (на 85%) видят GDPR поставив их в невыгодные условия конкуренции с европейскими компаниями.

Почему существует GDPR?

Короткий ответ на этот вопрос является общественной озабоченности по поводу конфиденциальности. Европа в целом уже давно имеет более жесткие правила того, как компании используют персональные данные своих граждан. В GDPR заменяет директиву ЕС о защите данных, который вступил в силу в 1995 году. Это было задолго до того, как интернет стал онлайн-знакомства, что она является сегодня. Следовательно, директива устарела и не решает многих способов, в которых хранятся данные, собранные и переданные сегодня.

Насколько реальна общественной озабоченности по поводу конфиденциальности? Это является значительным и он растет с каждым новым громкие утечки данных. По данным ОГА конфиденциальность данных и безопасность доклад, для которого АСР опрошенных 7,500 потребителей во Франции, Германии, Италии, Великобритании и США, 80 процентов потребителей заявили, что потеряли банковских и финансовых данных является главной заботой. Потеряли информационной безопасности (например, пароли) и идентификационную информацию (например, паспорта или водительских прав) был назван концерн 76 процентов респондентов.

Тревожная статистика для компаний, которые имеют дело с потребительскими данных-это 62 процента респондентов к отчету РСА, которые говорят, что они будут винить компанию за их потерю данных в случае нарушения, а не хакер. Авторы доклада пришли к выводу, что “поскольку потребители становятся более информированными, они ожидают большей прозрачности и оперативности от стюардов своих данных”.

Отсутствие доверия в том, как компании относятся к их личной информации привела некоторые потребители, чтобы принять свои контрмеры. По данным отчета, 41% респондентов заявили, что они намеренно искажать данные при регистрации услуги онлайн. Проблемы безопасности, желание избежать нежелательных маркетинг, или риск того, что их данные были перепроданы среди их главных забот.

Отчет также показывает, что потребители не будут легко простить компанию после того, как нарушение разоблачение происходит их персональных данных. Семьдесят два процента респондентов заявили, что они будут бойкотировать компании, которые не придают значения защите своих данных. Пятьдесят процентов всех респондентов заявили, что они бы, скорее всего, делать покупки в компании, которая могла бы доказать, что она серьезно относится к защите данных.

“Поскольку предприятия по-прежнему цифрового преобразования, расширения использования цифровых активов, услуг и больших данных, они также должны нести ответственность за мониторинг и защиту данных на ежедневной основе”, — резюмировал доклад.

Какие типы данных, хранящихся ли GDPR защищать?

  • Основная информация, удостоверяющие личность, такие как имя, адрес и идентификационные номера
  • Веб-данные, такие как Местоположение и IP-адрес, данные файлов cookie-файлов и РЧИ-меток
  • Здоровья и генетических данных
  • Биометрические данные
  • Расовой или этнической данных
  • Политические взгляды
  • Сексуальной ориентации

Какие компании не GDPR повлиять?

Любая компания, которая хранит и обрабатывает персональные данные о гражданах ЕС в странах ЕС должны соответствовать GDPR, даже если они не имеют присутствия бизнеса в рамках ЕС. Конкретных критериев для компаний, которые обязаны соответствовать:

  • Присутствие ЕС в стране.
  • Присутствие в ЕС Нет, но он обрабатывает персональные данные жителей Европы.
  • Более 250 сотрудников.
  • Количеством сотрудников менее 250 человек, но его данные-обработка влияет на права и свободы субъектов данных, не случайно, или включает в себя определенные типы конфиденциальных персональных данных. Что фактически почти все компании означает. Исследование ПВК показало, что 92% американских компаний считают GDPR приоритетной защиты данных.

Новый опрос, проведенный карданного выводы и спонсор Netsparker Лтд. спросила у топ-менеджеров, какие отрасли будут наиболее пострадавших от GDPR. Большинство (53 процента) считает, что технологический сектор наиболее пострадавших следуют интернет-магазины (45 процентов), программного обеспечения компаний (44%), финансовых услуг (37 процентов), онлайн сервисы/ЗАС (34%) и розничная торговля/производство потребительских товаров (на 33%).

Кто в компании будет отвечать за соответствие?

В GDPR определяет несколько ролей, которые несут ответственность за обеспечение соблюдения: контроллер данных, процессор данных и защиты данных сотрудника (ДПО). Контроллер данных определяет, каким образом осуществляется обработка персональных данных и целей, для которых она обрабатывается. Контроллер также отвечает за убедившись, что внешние подрядчики выполняют.

[Связанные с: —>GDPR требования поднять глобальной защиты данных ставок]

Процессоры данных могут быть внутренними группами, которые поддерживают и обработки персональных данных или любой аутсорсинговой фирмой, которая выполняет все или часть этих мероприятий. В GDPR держит процессоров несет ответственность за нарушения или несоблюдения. Возможно, то, что обе компании и партнером обработки, такие как облачный провайдер будет нести ответственность за штрафные санкции, даже если вина целиком на переработку.

В GDPR требует контроллер и процессор для обозначения ДПО курировать стратегию безопасности данных и соответствие GDPR. Компании ДПО обязаны иметь, если они процесс или хранить большие объемы данных гражданина ЕС, обработки и хранения специальных персональных данных, регулярный мониторинг субъектов данных или государственного органа. Некоторые общественные организации, такие как правоохранительные органы могут быть освобождены от требования ДПО.

По данным пропеллер выводы опроса, 82 процента опрошенных компаний говорят, что они уже имеют ДПО на персонал, хотя 77% планируют нанимать новых или замена ДПО до 25 мая. Что наем не прекращается с ДПО. Около 55 процентов респондентов опроса сообщили, что они завербовали по меньшей мере шесть новых сотрудников для достижения соответствия GDPR.

Как GDPR повлиять на третьих лиц и договоры с клиентами?

В GDPR местах одинаковую ответственность на контроллерах данных (организации, которая является владельцем данных) и обработку данных (за пределами организации, которые помогают управлять этими данными). Процессор Сторонний не отвечает требованиям, означает, ваша организация не в соответствии. Новые правила также имеют строгие правила для сообщения о нарушениях, что каждый в цепочке должен быть способен выполнять. Организации должны также информировать клиентов об их правах в соответствии GDPR.

Это означает, что все действующие контракты с переработчиками (например, поставщики облачных сервисов Саас-поставщиками, заработной платы или услуг) и клиенты должны прописаны обязанности. Пересмотренные контракты также необходимо определить последовательные процессы, как данные, используется и защищается, и, как сообщил нарушений.

“Крупнейшие учения на стороне закупках дом—сторонние поставщики, ваши источники связи, обработки данных от вашего имени”, — говорит Мэтью Льюис, глава глобального банковского и государственного регулирования на правовые аксиомы поставщика услуг. “Там целая группировка поставщиков, которые имеют доступ к персональным данным и GDPR изложен очень четко, что вы должны убедиться, что все эти третьи стороны придерживаются GDPR и обработки данных соответственно.”

Клиентские контракты должны отражать нормативные изменения, — говорит Льюис. “Клиентские контракты принимать ряд различных форм, будь то онлайн переходов или формальных соглашений, где вы взять на себя обязательства, как вы просмотра, доступа и обработки данных.”

Прежде чем эти контракты могут быть пересмотрены, руководители предприятий, это, и безопасности должны понять, как данные хранятся и обрабатываются и договориться о процессе совместимый для отчетности. “Довольно большая тренировка технология требует групп, CISO, команды и управления данными, чтобы понять, какие данные вписываются в фирме, где она хранится или обрабатывается, и куда она экспортируется за пределы компании. Как только вы поймете эти данные потоки и влияние на бизнес, вы можете начать определять поставщиков, вы должны быть максимально ориентированы на как с точки зрения информационной безопасности, как вам удастся эти отношения движутся вперед, а как память о том, что в контракте”, — говорит Льюис.

В GDPR может также изменить взгляд на бизнес и обеспечения безопасности в отношении данных. Большинство компаний считают свои данные и процессы, которые они используют, чтобы добывать его в качестве актива, но это восприятие изменится, — говорит Льюис. “Дал явного согласия и GDPR фирм, нуждающихся в значительно более детализированными, в их понимании, потоков данных и потоков данных, то есть вся совокупность обязательств, которые сейчас существуют с накоплением данных”, — говорит Льюис. “Это совершенно другой склад ума как для юридических, так и соответствие, но, возможно, более важно то, как бизнес думает по поводу накопления и использования данных и информации группы безопасности и как они думают о что данных”.

“Сведения уходит всеми возможными способами”, — говорит Льюис. “Пока CISO и технологические группы должны быть в состоянии отслеживать все, что, нужно также ставить защиту на место.” Эти средства защиты должны быть прописаны в договоре, так и вне фирмы понимают, что они могут и не могут делать с данными.

Льюис отмечает, что в процессе определения обязательств и обязанностей, он готовит компанию к ручке соответствии GDPR оперативно. “Если один из поставщиков говорит, ‘Вы были взломаны прошлой ночью, потому что они знают, к кому обращаться и как реагировать в рамках выполнения нормативных требований”, — говорит он.

На 72-часовое окно сообщает, что GDPR требует делает его особенно важно, чтобы продавцы знали, как правильно сообщить о нарушении. “Если был взломан и поставщика вы-один из тысяч клиентов, неужели они уведомляют об этом отдел закупок или счет человек или кто-то в дебиторской задолженности? Оно может прийти во всех видах путей”, — говорит Льюис.

Вы хотите четко определены пути в договоре информации, чтобы добраться до человека в вашей организации, ответственным за представление отчетности с нарушением. “Регулятор не собирается сказать, что вы не должны были нарушать. Они будут утверждать, что вы должны были политики, процедуры и структуры, ответ в место для что быстро решить”, — говорит Льюис.

Крупные компании могут иметь тысячи договоров на обновление. Усложнения этой задачи заключается в том, что оно должно быть сделано в конце процесса их выполнения. Прежде чем вы можете определить обязанности и ответственность, вы должны точно знать, какие данные у вас есть, где и как они обрабатываются и передаются данные. “Что осталось много институтов гонки на сроки завершения технических и оперативных вопросов, и приходится играть в догонялки на право договора на реализацию, что. Многие фирмы еще не сделали любой пересмотр условий контракта”.

Вот и напрашивается вопрос: Что произойдет, если контракты не будут все в месте к установленному сроку в мае? Льюис видит несколько рисков не завершения контрактов: