Gdpr начинается сегодня! что тебе нужно знать

Начиная с сегодняшнего дня, 25 мая 2018 года, законодательство Общего регламента защиты данных (GDPR) Европейского Союза (ЕСР) станет глобальным законом, когда речь заходит о том, как предприятия должны обрабатывать личные данные. Хотя вы можете подумать, что ратифицированный в Европе закон о защите данных будет применяться только к европейцам, вы ошибаетесь. Это потому, что GDPR защищает всех граждан ЕС, независимо от того, где они живут и с кем они ведут бизнес, а это означает, что американские компании с клиентами из ЕС прямо подчиняются требованиям GDPR и, что еще хуже, штрафам. Хуже, потому что, согласно недавнему отчету от Crowd Research Partners, только 7 процентов компаний находятся на пути к соблюдению GDPR к сегодняшнему сроку.

И хотя есть некоторые шаги, которые вы можете предпринять даже сегодня, чтобы сохранить свою компанию хотя бы в некоторой степени безопасной для ВВП, достижение полного соответствия не является легким проектом. Процессы сбора данных должны соответствовать тому, как эти данные будут использоваться компанией (например, данные о покупках, а не данные истории болезни для компаний, занимающихся электронной торговлей). Компании должны быть готовы и способны объяснить, какие именно данные были собраны и почему. Методы обеспечения безопасности должны демонстрировать четкую способность защищать от потери, повреждения и разрушения, а данные не должны храниться дольше, чем это необходимо. Любая компания, не соблюдающая эти правила, будет подвергаться 4-процентной конфискации ее годовой выручки.

«Это не беззубый набор правил и положений», - сказал Анкур Ларойа, руководитель по стратегическим решениям поставщика систем управления информацией Alfresco. Ларойя утверждает, что некоторые проблемы в подзаконных актах не позволят компаниям соблюдать требования. Например, некоторые проблемы включают в себя абстрактно написанные правила о том, почему данные собираются, чрезмерные требования по очистке данных клиентов по запросу и необходимость для некоторых компаний полностью пересмотреть процедуры безопасности исключительно с целью обеспечения соответствия. Тем не менее, Лароя не думает, что ЕС бездельничает.

«ЕС собирается преследовать преступников», - прогнозирует он. «Если бы это было принято, Equifax получил бы много неприятностей».

GDPR, хотя и фокусируется в основном на гражданах ЕС, также представляет собой кошмарный сценарий для американских владельцев бизнеса. мы разберем то, что нужно знать американцам, чтобы начать путь к соблюдению GDPR.

1. Американские компании должны будут соблюдать

Если ваш книжный магазин «мама и поп» никогда не отправлял посылку за пределы вашего родного города, вам, вероятно, не нужно будет беспокоиться о GDPR. Тем не менее, если у вас есть хотя бы один клиент в ЕС, вам необходимо немедленно начать процесс соответствия стандартам GDPR. В соответствии с уставом данные гражданина ЕС должны быть защищены, и вы должны предоставить гражданину указанные данные, если он или она запрашивает их. Что еще более важно, вам может потребоваться удалить эти данные из ваших систем, если и когда гражданин сделает запрос. Если вы этого не сделаете, и сторожевой таймер GDPR обнаружит это, вы потеряете 4 процента своего годового дохода.

«Несмотря на то, что это директива ЕС, она затрагивает любую компанию по всему миру, у которой в качестве клиентов есть резиденты ЕС», - сказал Пит Линдстрем, вице-президент IDC по исследованиям в области безопасности. «Если у вас есть поля адреса, и они являются европейским адресом, они, скорее всего, будут считаться европейскими».

Там нет различий между компанией со штаб-квартирой в ЕС или в таком городе, как Скоки, штат Иллинойс. Вместо этого закон фокусируется на информации, позволяющей установить личность (PII), и на том месте, где находится лицо, связанное с данными. Любой, кто имеет какие-либо данные PII о европейском клиенте, должен будет это соблюдать.

Даже если у вашей компании есть несколько клиентов из ЕС, маловероятно, что ваш местный книжный магазин будет проверен наблюдателями GDPR. Но крупные компании, такие как Facebook и Yahoo, не смогут претендовать на американскую преданность как способ обойти GDPR.

«Если вы мама и поп, и у вас есть нарушение, вы несете юридическую ответственность», - сказала Лароя. «Трудно сказать, придут ли они реально после вас… у каждого государства-члена ЕС будет офис соответствия. Этот офис начнет запрашивать схему соответствия для всех. Они создадут перечень компаний, ведущих бизнес в своих регионах. Они собираются проверить крупных парней и начать задавать вопросы ".

Американские компании, которые не соблюдают требования, не должны ожидать, что правительство США защитит их, когда поддерживаемые ВВП страны ЕС попытаются собрать этот утраченный доход. «Правительство США вынуждено обеспечить исполнение этих решений», - сказал Лароя. «Будут ли они соблюдены, еще неизвестно, но правительству в ЕС придется бороться».

2. 25 мая означает 25 мая

Несмотря на то, что постановление вступает в силу сегодня, 25 мая 2018 года, этот закон был ратифицирован парламентом ЕС 14 апреля 2016 года. Это означает, что, с точки зрения ЕС, у компаний было достаточно времени, чтобы внедрить методы, совместимые с GDPR., Итак, если ваша компания подвергнется массированной кибератаке завтра, и скопы данных, которые вы собрали о клиентах, посетителях сайтов и даже партнерах, попадут в гнусную темную сеть, то вы не можете требовать «недостаточного времени» как извините за разглашение данных граждан ЕС.

«Устав вступил в силу», - сказала Лароя. «Вас могут попросить показать ваш путь к соблюдению. Инвентаризировали ли вы? Каков ваш протокол для гражданина ЕС, чтобы спросить о ваших данных? Эти компании могут быть запрошены за эту информацию прямо сейчас. Они начнут штрафоваться в следующем году, если они не могут продемонстрировать соблюдение после мая ".

3. Не ожидайте продления

В отличие от большинства битв за правовое регулирование, которые мы имеем в США (например, Net Neutrality), никто в ЕС не вмешался 24 мая 2018 года, чтобы бросить вызов GDPR и тем самым отложить регулирование на неопределенное время. Европейцы хотели этого, и теперь они получили это.

«Это красота того, как были установлены правила», - сказала Лароя. «Поскольку они дали корпорациям год на то, чтобы правильно действовать, не было никаких проблем с точки зрения судебного процесса. Если бы мы увидели это, это бы уже произошло. Может ли кто-нибудь сделать это после того, как ему предъявят иск? Я уверен, что они попытаются, но это будет плохо смотреться на них в этот момент."

4. Что вам нужно сделать, чтобы соответствовать

Как требует регламент, вам нужно будет назначить кого-то, кто будет управлять процессом соблюдения. Этот человек, которого закон о ВВПР называет «Офицером по защите данных» (DPO), будет ответственным лицом, отвечающим за руководство надзорной командой GDPR через способы, которыми ваша компания защищает свои данные. Этот человек также будет нести ответственность за объединение разнородных направлений деятельности в вашей компании, чтобы разработать методологию получения и поддержания соответствия стандартам GDPR.

Короче говоря, обязанности DPO будут разделены на четыре ключевые категории:

• Во-первых, они должны быть достаточно хорошо знакомы с деталями GDPR, чтобы выступать в роли ответственного лица не только для начального процесса соблюдения, но и для всех вопросов обработки данных, связанных с GDPR, в будущем, и, безусловно, достаточно, чтобы они могли задавать вопросы обоим старшим руководители и обработка данных ИТ-оперативников на местах.
• Во-вторых, они должны иметь возможность контролировать все текущие процессы обработки данных в вашей организации и оценивать их эффективность в отношении безопасности личных данных.
• В-третьих, им необходимо иметь возможности аудита и мониторинга в любой области вашего бизнеса, на которые может повлиять GDPR, и регулярно оценивать их на соответствие.
• И наконец, они должны поддерживать связь с органами по контролю за ВВП для вашей отрасли, сотрудничать с ними и действовать в качестве ответственного лица для любых запросов, поступающих от этого органа.

Все это сводится к человеку, который понимает потоки данных, а также меры и технологии защиты данных, а также не только знание подробностей законодательства о ВВПР, но также знание соответствующего и соответствующего законодательства ЕС, такого как его Директива об электронной конфиденциальности. Вероятная нехватка этих навыков создала что-то вроде «зеленой поля» для бизнес-и ИТ-консалтинга, но, если вы хотите развить этот талант у себя дома, тогда хорошим выбором будет поиск англоязычных, европейских онлайновых учебных ресурсов, Многие из них разработали обучающее программное обеспечение для ГПДП по ВВП. Кроме того, существуют многонациональные отраслевые организации, такие как Международная ассоциация специалистов в области конфиденциальности (IAPP), которые предлагают учебные курсы и сертификаты для обучения GDPR.

С технической точки зрения, чтобы оставаться совместимым, вам необходимо использовать как минимум один метод шифрования для физических серверов, сетевого хранилища (NAS), дисков и дисков и доступа к сети. Вам нужно будет проверить личность сотрудника и установить многофакторную аутентификацию (MFA) при доступе к PII и для транзакций, которые включают данные PII. Вам нужно будет отказаться от любых действий, которые обращаются к данным или обрабатывают их в несанкционированных целях, постоянно контролировать и проверять данные, чтобы обеспечить их актуальность, а также полностью и необратимо очищать данные клиентов, когда их об этом просят. Организации должны будут проводить полную оценку рисков и работать с партнерами, особенно с теми, которые связаны через интерфейсы прикладного программирования (API), для обеспечения постоянного соответствия.

Наконец, если данные вашей организации нарушены, вам необходимо немедленно уведомить вашего ассоциированного наблюдателя GDPR, чтобы полностью описать нарушение и его последствия. И вам нужно будет сообщить о последствиях нарушения затронутым клиентам.

5. Клиенты США

Ларойя сказал, что в конечном итоге это хороший бизнес-смысл защищать и быть хорошим хранителем информации о клиентах. «Вы должны смотреть на это с точки зрения конечного потребителя», - сказала Лароя. «Они являются причиной, по которой эти компании занимаются бизнесом. Да, несмотря на то, что это болезненно для бизнеса, компании не инвестировали в технологии или не отставали от темпов инноваций».

К сожалению, подобных нормативных актов США нет в книгах. Компании, ведущие бизнес в Нью-Йорке в соответствии с требованиями кибербезопасности Департамента финансовых услуг Нью-Йорка, в определенной степени покрываются. Это положение требует, чтобы предприятия, базирующиеся в Нью-Йорке, применяли и поддерживали письменную политику или политики, утвержденные Старшим должностным лицом или Советом директоров Покрываемого лица (или соответствующим комитетом) или аналогичным органом управления. Это устанавливает политики и процедуры Покрываемого лица для защиты его информационных систем и непубличной информации, хранящейся в этих информационных системах, в соответствии с письменным законом.

Другие штаты, такие как Колорадо, обсуждали внедрение аналогичных правил. Однако федерального закона США не существует. Но Лароя настроена оптимистично, США будут следующими. «У американцев нет таких прав», - сказал он. «Но дай пять лет».