Gdpr починається сьогодні! що вам потрібно знати

Починаючи з сьогоднішнього дня, 25 травня 2018 року, загальний регламент Європейського Союзу (ЄС) про захист даних (GDPR) фактично стане глобальним законодавством, коли мова заходить про питання, яким чином особисті дані повинні обробляти бізнес. Хоча ви можете подумати, що закон про захист даних, ратифікований у Європі, застосовуватиметься лише до європейців, ви помиляєтесь. Це тому, що GDPR захищає всіх громадян ЄС, незалежно від того, де вони живуть, і незалежно від того, з ким вони ведуть бізнес, це означає, що до американських компаній, які мають замовників у ЄС, прямо пред'являються вимоги GDPR, і, що ще гірше, штрафи. Гірше, тому що, згідно з останнім звітом Crowd Research Partners, лише 7 відсотків компаній дотримуються GDPR-відповідності до сьогоднішнього терміну.

І хоча вже сьогодні існують кроки, щоб зберегти вашу компанію хоча б дещо безпечною для GDPR, досягнення повної відповідності не є легким проектом. Процеси збору даних повинні відповідати тому, як ці дані будуть використовуватися компанією (наприклад, дані про покупки споживачів, але не дані історії історії для компаній з електронної комерції). Компанії повинні мати бажання та можливість пояснити, які саме дані були зібрані та чому. Практики безпеки повинні демонструвати чітку здатність захищати від втрат, пошкоджень та знищення, і дані не повинні зберігатися довше, ніж це необхідно. Будь-яка компанія, яка не дотримується цього регламенту, зазнає 4-відсоткового конфіскації щорічного доходу.

"Це не беззубий набір правил і норм", - сказав Анкур Лароя, лідер стратегічних рішень постачальника системи управління інформацією Альфреско. Laroia стверджує, що декілька питань, що містяться в підзаконних актах, ускладнюватимуть дотримання компаніями вимог. Наприклад, кілька питань містять абстрактні письмові правила того, чому збираються дані, перевиконання вимог щодо очищення даних клієнтів при запиті та необхідність деяких компаній повністю переробити процедури безпеки виключно з метою забезпечення відповідності. Проте Лароя не вважає, що ЄС возиться.

"ЄС збирається піти на злочинців", - прогнозує він. "Якби це було прийнято, " Екіфакс "потрапив би у великі неприємності".

GDPR, зосереджуючись головним чином на громадянах ЄС, також представляє сценарій кошмару для американських власників бізнесу., ми розберемо, що американці повинні знати, щоб почати шлях до дотримання GDPR.

1. Американським компаніям потрібно буде відповідати

Якщо ваша книжкова крамниця з мамою ніколи не доставляла пакунок за межами вашого рідного міста, то вам, ймовірно, не потрібно буде стосуватися GDPR. Однак якщо у вас є навіть один клієнт, що базується на ЄС, вам потрібно буде негайно розпочати процес становлення сумісного з GDPR. Відповідно до підзаконних актів, дані громадянина ЄС повинні бути захищені, і ви повинні надати громадянину ці дані, якщо він вимагає їх. Що ще важливіше, вам можуть знадобитися очистити ці дані зі своїх систем, якщо і коли громадянин подає запит. Якщо ви цього не зробите і сторожовий орган GDPR дізнається, ви втратите 4 відсотки щорічного доходу.

"Хоча це директива ЄС, вона впливає на будь-яку компанію по всьому світу, яка є резидентами ЄС як клієнтів", - сказав Піт Ліндстром, віце-президент з досліджень безпеки IDC. "Якщо у вас є адресні поля і вони є європейською адресою, вони, ймовірно, будуть вважатися європейськими."

Немає різниці між компанією зі штаб-квартирою в ЄС або в такому місті, як Скокі, штат Іллінойс. Закон натомість зосереджує свою увагу на особовій інформації (PII) та місцеположення особи, яка пов'язана з даними. Усі, хто має будь-які дані PII про європейського замовника, повинні відповідати.

Навіть якщо у вашої компанії є декілька замовників, які базуються в ЄС, навряд чи ваша місцева книгарня буде перевірена сторожовими собаками GDPR. Але великі компанії, такі як Facebook та Yahoo, не зможуть претендувати на вірність США як спосіб подолати GDPR.

"Якщо ви мама і попса і маєте порушення, ви несете юридичної відповідальності", - сказала Лароя. "Важко сказати, чи реально вони прийдуть за вами … у кожної країни-члена ЄС буде офіс відповідності. Цей відомство почне просити схему дотримання всіх вимог. Вони створять опис компаній, які ведуть бізнес у своїх географіях. Вони збираються на місці перевірити більших хлопців і почнуть задавати питання ".

Американські компанії, які не дотримуються вимог, не повинні сподіватися, що уряд США захистить їх, коли країни, підтримувані GDPR, намагаються зібрати цей втрачений дохід. "Уряд США змушений забезпечити виконання цих рішень", - сказала Лароя. "Чи будуть їх виконувати, ще не з'ясовано, але уряду в ЄС доведеться боротися".

2. 25 травня означає 25 травня

Хоча регламент набирає чинності сьогодні, 25 травня 2018 року, закон був ратифікований парламентом ЄС 14 квітня 2016 року. Це означає, що стосується ЄС, то у компаній було достатньо часу для впровадження практики, сумісної з GDPR. . Тож, якщо завтра ваша компанія потрапить у масштабну кібератаку, а дані, які ви зібрали про клієнтів, відвідувачів веб-сайтів та навіть партнерів, потрапляють у неприємну темну павутину, тоді ви не можете претендувати на "недостатній час" як на привід для оприлюднення даних громадян ЄС.

"Статути набули чинності", - сказала Лароя. "Вас можуть попросити вже показати свою подорож у відповідність. Ви склали інвентаризацію? Який протокол щодо того, щоб громадянин ЄС запитав про ваші дані? Ці компанії зараз можуть попросити цю інформацію. Вони почнуть штрафувати наступного року, якщо вони не можуть продемонструвати відповідність після травня ".

3. Не чекайте розширення

На відміну від більшості битв з правовим регулюванням, які ми маємо в США (наприклад, Net Neutrality), ніхто в ЄС не вступив 24 травня 2018 року, щоб оскаржити GDPR і тим самим відкласти цей регламент на невизначений термін. Європейці хотіли цього, і тепер вони це отримали.

"Це краса способу встановлення правил", - сказала Лароя. "Оскільки вони давали корпораціям рік, щоб виправити свій вчинок, не було жодних викликів з точки зору судових процесів. Якби ми збирались це побачити, це вже сталося б. Може хтось зробить це після того, як їх позовлять? Я впевнений, що вони спробують, але в цей момент це буде погано виглядати на них ".

4. Що вам потрібно зробити для виконання

Як вимагає регламент, вам потрібно буде доручити комусь, хто керує процесом відповідності. Ця особа, яку законодавство GDPR називає "посадовою особою із захисту даних" (DPO), буде відповідальною особою, яка відповідає за керівництво наглядовою командою GDPR шляхом того, як ваша компанія захищала свої дані. Ця особа також несе відповідальність за об'єднання різних напрямків бізнесу у вашій компанії, щоб розробити методологію отримання та збереження GDPR-сумісних.

Коротше кажучи, обов'язки DPO поділяться на чотири ключові категорії:

• По-перше, вони повинні бути достатньо ознайомлені з деталями GDPR, щоб вони діяли як особа, яка не є первинною процедурою відповідності, але і з усіма питаннями щодо обробки даних, пов'язаними з GDPR, в майбутньому, і, звичайно, достатньо, щоб вони могли задавати питання обом старшим. керівники та оператори з обробкою даних ІТ на місцях.
• По-друге, вони повинні мати можливість контролювати всі поточні процеси обробки даних у вашій організації та оцінювати їх ефективність щодо безпеки персональних даних.
• По-третє, вони повинні мати можливості аудиту та моніторингу в будь-якій сфері вашого бізнесу, на яку може вплинути GDPR, і регулярно оцінювати їх на відповідність.
• І нарешті, їм потрібно зв’язуватися з органами влади GDPR для вашої галузі, співпрацювати з ними та діяти як особа, яка відповідає за будь-які запити, що надходять від цього органу.

Все це зводиться до особи, яка розуміє потоки даних, заходи та технології захисту даних, а також не лише знання деталей законодавства GDPR, а й знання відповідного та відповідного законодавства ЄС, наприклад, його Директиви про захист конфіденційності. Ймовірна відсутність цих навичок створила щось зелене поле для ділових та ІТ-консультантів, але, якщо ви хочете розвинути цей талант у себе вдома, то хороший вибір - це пошук англомовних, європейських онлайн-ресурсів для навчання, багато з яких для цього розробили курси програмного забезпечення GDPR DPO. Крім того, існують багатонаціональні організації галузі, такі як Міжнародна асоціація професіоналів конфіденційності (IAPP), які пропонують курси навчальних програм та сертифікати GDPR.

Докладніше, для того, щоб залишатися сумісними, вам потрібно буде використовувати хоча б один метод шифрування для фізичних серверів, мережевого сховища даних (NAS), дисків та накопичувачів та доступу до мережі. Вам потрібно буде перевірити особу службовців та встановити багатофакторну автентифікацію (MFA) під час доступу до PII та для транзакцій, що включають дані PII. Вам потрібно буде вирізати будь-яку практику, яка отримує доступ або обробляє дані для несанкціонованих цілей, постійно контролювати та перевіряти дані для забезпечення відповідності, а також повністю та безповоротно очищати дані клієнтів, коли їх просять. Від організацій потрібно буде провести повну оцінку ризику та працювати з партнерами, особливо тими, які пов'язані через інтерфейси програмування прикладних програм (API), щоб забезпечити постійне дотримання.

Нарешті, якщо дані вашої організації порушені, вам потрібно негайно повідомити про це відповідного керівника GDPR, щоб повністю описати порушення та його наслідки. І вам потрібно буде повідомити про наслідки порушення порушеним клієнтам.

5. Клієнти США

Лароя сказала, що в кінцевому рахунку хороший діловий сенс берегти та бути хорошими розпорядниками інформації про клієнтів. "Ви повинні дивитися на це з точки зору кінцевого замовника", - сказала Лароя. "Вони є причиною, по якій ці компанії ведуть бізнес. Так, хоча це болісно для бізнесу, компанії не інвестували в технології або не відставали від темпів інновацій".

На жаль, подібних норм США немає в книгах. Компанії, що здійснюють бізнес у Нью-Йорку відповідно до вимог кібербезпеки Нью-Йоркського департаменту фінансових послуг, охоплюються певною мірою. Цей регламент вимагає від підприємств Нью-Йорка впроваджувати та підтримувати письмову політику чи політику, затверджену старшим посадовою особою чи радою директорів підпорядкованого суб'єкта (або відповідним комітетом) або аналогічним керівним органом. Це визначає політику та процедури Покритого Суб'єкта щодо захисту його Інформаційних систем та Непублічної інформації, що зберігаються в цих Інформаційних Системах, відповідно до письмового закону.

Інші штати, наприклад Колорадо, обговорили питання імплементації подібних правил. Однак не існує жодного змісту федерального закону США. Але Лароя впевнений, що США будуть наступними. "Американці не мають таких прав", - сказав він. "Але дайте йому п'ять років".