Gdpr започва днес! какво трябва да знаете

От днес, 25 май 2018 г., общото законодателство на Европейския съюз (ЕС) за защита на данните (GDPR) на практика ще се превърне в глобално право, когато става въпрос за това как личните данни трябва да се обработват от бизнеса. Въпреки че може да мислите, че законът за защита на данните, ратифициран в Европа, ще се прилага само за европейците, вие грешите. Това е така, защото GDPR защитава всички граждани на ЕС, независимо къде живеят и независимо с кого правят бизнес, което означава, че американските компании с клиенти от ЕС са обект на пълна отговорност за изискванията на GDPR и, още по-лошо, санкции. По-лошото е, че според неотдавнашен доклад на Crowd Research Partners, само 7 процента от компаниите са на път да спазват GDPR към днешния срок.

И въпреки че има стъпки, които можете да предприемете дори днес, за да запазите компанията си поне донякъде GDPR-безопасна, постигането на пълно съответствие не е лек проект. Процесите за събиране на данни трябва да са от значение за това как данните ще бъдат използвани от компанията (например данни за пазаруване на потребители, но не и данни от медицинската история за компаниите за електронна търговия). Компаниите трябва да имат желание и да могат да обяснят точно какви данни са били събрани и защо. Практиките за сигурност трябва да демонстрират ясна способност да се предпазват от загуби, щети и унищожаване и данните не трябва да се съхраняват по-дълго, отколкото е необходимо. Всяка компания, която не спазва регламента, ще бъде подложена на 4% отнемане на годишните си приходи.

"Това не е беззъбен набор от правила и разпоредби", заяви Анкур Лароя, лидер на стратегическите решения на доставчика на информационна система Alfresco. Laroia подчертава, че няколко въпроса в подзаконовите актове на регламента ще затруднят спазването на изискванията от страна на компаниите. Например, няколко въпроса включват абстрактно написани правила за това, защо се събират данни, прекомерни изисквания за почистване на клиентски данни, когато това се изисква, и необходимостта някои компании изцяло да подновят процедурите за сигурност единствено с цел осигуряване на съответствие. Все пак Лароя не смята, че ЕС се обърква.

"ЕС ще продължи да търси престъпници", прогнозира той. "Ако това беше прието, Equifax щеше да се сблъска с много проблеми."

GDPR, като се фокусира основно върху гражданите на ЕС, също представлява кошмарен сценарий за американските собственици на бизнес., ще разберем какво трябва да знаят американците, за да започнат пътя към спазването на GDPR.

1. Американските компании ще трябва да се съобразяват

Ако вашата книжарница за мама и поп никога не е доставяла пакет извън вашия роден град, вероятно няма да е необходимо да се занимавате с GDPR. Ако обаче имате дори един клиент, базиран в ЕС, ще трябва незабавно да започнете процеса на ставане, съвместим с GDPR. Съгласно правилника, данните за гражданите на ЕС трябва да бъдат защитени и трябва да предоставите на гражданина тези данни, ако той или тя го поиска. По-важното е, че може да се наложи да изчистите тези данни от вашите системи, ако и когато гражданинът направи искането. Ако не го направите и пазачът на GDPR установи, тогава ще загубите 4 процента от годишните си приходи.

„Въпреки че е директива на ЕС, тя засяга всяка компания по света, която има резиденти от ЕС като клиенти“, заяви Пит Линдстром, вицепрезидент по изследвания на сигурността в IDC. "Ако имате адресни полета и те са европейски адрес, те вероятно ще се считат за европейски."

Няма разлика между компания със седалище в ЕС или в град като Скоки, Илинойс. Законът вместо това се фокусира върху личната информация (PII) и мястото, където пребивава лицето, свързано с данните. Всеки, който има някакъв вид данни за PII за европейски клиент, ще трябва да се съобрази.

Дори ако вашата компания има няколко клиенти, базирани в ЕС, е малко вероятно местната ви книжарница да бъде одитирана от пазачите на GDPR. Но големи компании, като Facebook и Yahoo, няма да могат да претендират за вярност на САЩ като начин да заличат GDPR.

"Ако сте мама и поп и имате нарушение, носите юридическа отговорност", каза Лароя. "Трудно е да се каже дали те наистина ще дойдат след вас… всяка държава-членка на ЕС ще има офис за спазване. Този офис ще започне да иска схема за спазване на изискванията на всички. Те ще създадат инвентаризация на компаниите, които извършват дейност в техните географии. На място ще проверят по-големите момчета и ще започнат да задават въпроси."

Американските компании, които не се съобразяват, не трябва да очакват американското правителство да ги защити, когато подкрепяните от GDPR държави от ЕС се опитват да съберат тези изгубени приходи. "Правителството на САЩ е принудено да гарантира, че тези съдебни решения се изпълняват", каза Лароя. "Дали те ще бъдат наложени, тепърва ще се вижда, но правителството в ЕС ще трябва да се бори."

2. 25 май означава 25 май

Въпреки че регламентът влиза в сила днес, 25 май 2018 г., законът е ратифициран от Европейския парламент на 14 април 2016 г. Това означава, че що се отнася до ЕС, компаниите са имали достатъчно време да въведат съвместими с GDPR практики, Така че, ако вашата компания бъде ударена от масивна кибератака утре и събира данните, които сте събрали за клиенти, посетители на уебсайтове и дори партньори, излезе в нечестивата тъмна мрежа, тогава не можете да претендирате за „недостатъчно време“ като извинение за разкриване на данни за гражданите на ЕС

"Уставът влезе в сила", каза Лароя. "Може да бъдете помолени да покажете пътуването си в съответствие вече. Инвентаризирали ли сте се? Какъв е вашият протокол за гражданин на ЕС да иска информация за вас? Тези компании могат да бъдат поискани за тази информация в момента. Те ще започнат да бъдат глобявани следващата година, ако те не могат да демонстрират съответствие след май."

3. Не очаквайте разширение

За разлика от повечето битки за правна регулация, които имаме в САЩ (например Net Neutrality), никой в ​​ЕС не се намеси на 24 май 2018 г., за да оспори GDPR и по този начин да отложи регулацията за неопределено време. Европейците искаха това и сега го получиха.

"Това е красотата на начина, по който са установени регулациите", каза Лароя. "Тъй като даваха на корпорациите на година, за да оправят действията си, нямаше никакви предизвикателства от гледна точка на съдебните спорове. Ако щяхме да видим това, това вече щеше да се случи. Може ли някой да направи това, след като бъде съден? Сигурен съм, че ще се опитат, но в този момент ще ги гледа зле ".

4. Какво ще трябва да направите, за да се съобразите

Както регулацията изисква, ще трябва да поставите някой, който да ръководи процеса на спазване. Това лице, което законът за GDPR нарича „служител по защита на данните“ (DPO), ще бъде лицето, отговорно за провеждането на екипа за надзор върху GDPR чрез начините, по които вашата компания е защитавала своите данни. Този човек ще бъде отговорен и за обединяването на различни сфери на дейност във вашата компания, за да създаде методология за получаване и поддържане на GDPR-съвместими.

С две думи задълженията на DPO ще се разделят на четири ключови категории:

• Първо, те трябва да са достатъчно добре запознати с подробностите на GDPR, за да могат да играят ролята на лице, не само за процеса на първоначално спазване, но и за всички въпроси, свързани с обработката на данни, свързани с GDPR в бъдеще, и със сигурност достатъчно, за да могат да задават въпроси и на двамата ръководители и обработка на данни ИТ оперативни лица на място.
• Второ, те трябва да могат да наблюдават всички текущи процеси за обработка на данни във вашата организация и да оценяват тяхната ефективност по отношение на безопасността на личните данни.
• Трето, те трябва да разполагат с възможности за одит и мониторинг във всяка област на вашия бизнес, която може да бъде повлияна от GDPR, и да ги оценяват редовно за съответствие.
• И на последно място, те трябва да имат връзка с властите на GDPR за вашата индустрия, да си сътрудничат с тях и да действат като лице, което отговаря на всички искания, идващи от този орган.

Всичко това се свежда до физическо лице, което разбира потоците от данни, мерките и технологиите за защита на данните, както и не само познаването на детайлите на законодателството за GDPR, но и знанията за свързаното и съответното законодателство на ЕС, като неговата Директива за електронна поверителност. Вероятната липса на тези умения създаде нещо като възможност за зелено поле за бизнес и ИТ консултантски услуги, но ако търсите да развиете този талант вътре, тогава е добър залог да търсите англоезични, европейски онлайн учебни ресурси, голяма част от тях са разработили курсове за GDPR DPO за тази цел. Освен това има многонационални индустриални организации, като Международната асоциация на професионалистите за защита на личните данни (IAPP), които предлагат курсове за обучение и сертификати за GDPR.

От друга страна, за да останете съвместими, ще трябва да използвате поне един метод за криптиране за физически сървъри, прикрепено към мрежата съхранение (NAS), дискове и дискове и достъп до мрежата. Ще трябва да проверите самоличността на служителите и да установите многофакторна автентификация (MFA) при достъп до PII и за транзакции, които включват PII данни. Ще трябва да изрежете всички практики, които осъществяват достъп или обработват данни за неоторизирани цели, непрекъснато да следят и проверяват данните, за да се гарантира уместността, и напълно и необратимо да пречистват клиентските данни, когато бъдат помолени да го направят. От организациите ще се изисква да извършват пълна оценка на риска и да работят с партньори, особено тези, свързани чрез интерфейси за програмиране на приложения (API), за да гарантират непрекъснато спазване.

И накрая, ако данните на вашата организация са нарушени, ще трябва незабавно да уведомите асоциирания си ръководител на GDPR, за да опишете напълно нарушението и последиците от него. И ще трябва да съобщите последствията от нарушението на засегнатите клиенти.

5. Клиенти от САЩ

Лароя каза, че в крайна сметка е добър бизнес смисъл да се пази и да бъде добър управител на информацията за клиентите. "Трябва да погледнете на това от гледната точка на крайния клиент", каза Лароя. „Те са причината тези компании да работят. Да, докато това е болезнено за бизнеса, компаниите не са инвестирали в технологии или не са в крак с темповете на иновациите“.

За съжаление, подобни американски разпоредби не са в книгите. Компаниите, които извършват бизнес в Ню Йорк съгласно изискванията на киберсигурността на Министерството на финансовите услуги в Ню Йорк, са обхванати до известна степен. Този регламент изисква предприятията, базирани в Ню Йорк, да прилагат и поддържат писмена политика или политики, одобрени от старши служител или съвет на директорите на покрития субект (или подходящ комитет от него) или еквивалентен управителен орган. Това излага политиките и процедурите на обхванатото лице за защита на неговите информационни системи и непублична информация, съхранявани в тези информационни системи, в съответствие с писмения закон.

Други щати, като Колорадо, са обсъдили прилагането на подобни наредби. Не съществува обаче щастлив федерален закон на САЩ. Но Лароя е оптимист, че САЩ ще бъдат следващите. "Американците нямат такива права", каза той. "Но дай му пет години."