•GDPR是什么,將對我的組織有何影響?
•我的組織需要做些什么?
•如何利用云計算來確保合規性?
“一般數據保護條例”(GDPR)的解釋
“一般數據保護條例”(GDPR)為歐盟公民數據處理制定了一套統一的法律和更嚴格的規定,也規定了對違規行為的嚴厲處罰。這些罰款是以行政罰款的形式出現的,可以對任何類型的違反GDPR行為進行處罰,包括純粹程序性的違規行為。其罰款范圍是1000萬到2000萬歐元,或企業全球年營業額的2%到4%。
歐盟發布這個新規定的主要原因是:
(1)為歐盟公民提供更多使用自己的個人資料的權力
(2)加強數字服務提供者與他們所服務的人之間的信任
(3)為企業提供明確的法律框架,通過在歐盟單一市場上制定統一的法律來消除任何區域差異。
“一般數據保護條例”(GDPR)在2018年5月25日生效,這使得組織將在一年后為如何處理歐盟居民個人資料做出了巨大的改變。以下探討組織如何為GDPR做好準備。
GDPR的第一步
(1)組織的業??務是否符合GDPR規定?
GDPR與其前身數據保護指令(指令95/46 / EC)相比,適用于更大范圍的組織。事實上,不受歐洲隱私法律約束的許多企業實際上需要遵守GDPR。以下是如何確定是否必須遵守:
GDPR用于在歐盟存在的所有組織,在執行業務活動期間處理個人數據,即使是規模最小的公司也是如此。
如果在歐盟沒有實體存在的公司希望為歐盟居民提供商品和服務,那么適用于GDPR。 這包括使用歐盟語言或貨幣,為歐盟居民量身定制產品,或在歐盟范圍內積極營銷。 “監控”定義為在線跟蹤人員創建個人資料,或分析和預測個人偏好,行為模式或態度。
(2)組織是否需要數據保護官(DPO)?
與合規官或法律顧問不同,組織的數據保護官(DPO)需要向執行委員會報告,并有權監視組織的數據處理。擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定DPO。這根據他們是否處理敏感數據的情況而定,擁有少于250名員工的組織可能也需要指定DPO。
(3)是否有程序響應刪除/修改/提供數據副本的請求?
除了數據保護指令規定的權利,例如訪問數據副本,修改權和限制處理權。GDPR還包括在線信息刪除和數據可移植性的權利(允許人們將其數據傳輸到另一個服務提供商)。這意味著組織必須制定完整的程序來回應這些類型的請求。
(4)組織是否有符合GDPR要求的事件響應計劃?
GDPR包括數據泄露通知要求。如果有危害人身的風險,數據違規將會受到監督機構的通知,限72小時內改正。受影響的數據科目也必須在沒有“不當延誤”的情況下通知。
(5)組織的數據傳輸機制是什么?
如果組織還沒有決定如何從歐盟轉移個人信息,那么現在是檢查轉移機制的好時機,因為它們將受到行政處罰。如果組織將數據從歐盟轉移到美國,組織的選擇是:
•隱私保護認證
•執行示范條款
•組織內部數據傳輸的約束性規則
在所有這些要求中,共同的線索似乎是為數據保護和治理分配更多的資源,并采取更主動的隱私和安全方法。
云計算和GDPR
組織可以采用行業廠商提供的云原生數據保護SaaS的解決方案,將使用公共云的力量解決了諸如GDPR之類的法規問題:
數據可見性:為了確保信息安全并符合GDPR,需要了解數據的生命周期。組織需要獲得在端點,服務器和云應用程序中保護,收集和監視數據的能力。使組織真正了解自己的整體數據攻擊面,并且能夠對如何部署符合GDPR的安全機制提供可操作的洞察。
•信息治理:傳統上,數據治理側重于強制數據集中,僅提供集中存儲的信息的可見性。數據創建在移動設備和云應用上的分散意味著企業必須以不同的方式處理治理。允許組織集中數據源政策管理和執法,以符合GDPR的方式引入非集中式數據。
•持續的數據監測:GDPR要求數據處理者監控其信息的安全性,無論其生活在何處。組織使用提供的解決方案,無論數據是傳統端點還是云應用程序,都可以自動執行違規的主動監控。
•安全轉移:隨著GDPR的實施,安全性遵循所有歐盟公民的數據,無論數據在哪里。組織需要采用業界領先的基于標準的TLS 1.2和AES 256加密技術,配合簡化和集成的密鑰管理。
•被遺忘的權利/刪除權:組織面臨的主要規定和挑戰之一是如何根據歐盟公民的要求刪除信息,以防止任何后續的數據流程。雖然有一些關于GDPR規定的注意事項,但是任何合法的擦除請求都必須及時處理。
京公網安備 11010502049343號