跳到主要内容
GDPR合规
GDPR合规
《通用数据保护条例》(GDPR)是一项要求欧盟(EU)企业保护欧盟公民个人数据和隐私的法规.

《通用数据保护条例》(GDPR)是一项要求欧盟(EU)企业保护欧盟公民个人数据和隐私的法规. 的 GDPR 适用于欧盟所有涉及数据收集的交易,并对不合规行为实施严厉惩罚. 它为消费者权利设定了新的标准,并要求组织保持合规, 特别是对于需要执行这些新规则的安全团队.

造成这些困难的原因之一是GDPR对个人身份信息(PII)的定义比以前的数据保护措施更广泛. 例如, 名称等数据, address, 和社会安全号码一直被认为是个人身份信息, 但GDPR也将cookie和IP地址等数字数据视为PII. 另一个问题是,GDPR提到了个人信息的“合理”保护水平,但没有进一步定义这一术语. 这种模糊性为GDPR监管机构在评估对不合规行为的处罚时提供了很大的余地.

Red团队安全精通GDPR合规领域. 冰球突破豪华版试玩不会让公司遵守GDPR,但冰球突破豪华版试玩的服务可以满足一些合规要求. 请立即预约冰球突破豪华版试玩网络安全专家的免费咨询,以了解更多关于冰球突破豪华版试玩如何帮助您符合GDPR标准的信息. 在线冰球突破豪华版试玩 或打电话 (952) 836-2770 今天来讨论一下您的网络安全需求.

了解冰球突破试玩如何帮助GDPR合规
安排咨询 安排咨询

概述

2016年4月,欧洲议会通过了GDPR,取代了1995年颁布的数据保护指令. 它载有保护个人信息的条款, 包括向欧盟以外地区输出个人数据. 欧盟所有28个成员国都已将GDPR的条款纳入立法, 允许欧盟内的所有组织遵循相同的标准. 然而, 该标准要求大多数公司投入大量资源来实现和保持GDPR合规性.

GDPR保护什么?

GDPR涵盖了多种类型的PII,包括以下内容:

  • 一般的个人信息,如姓名、地址、电话号码等
  • Web数据,如地理位置、IP地址、cookie数据和RFID标签
  • 健康数据,包括基因概况和生物特征数据
  • 种族和民族数据
  • 政治观点
  • 性取向

GDPR保护的是谁?

GDPR保护欧盟公民的个人信息在欧盟境内存储、处理或传输. 它还规定了个人信息在欧盟以外的出口.

GDPR会影响哪些组织?

GDPR影响到所有直接处理欧盟公民个人信息的组织, 以及他们的供应商和其他第三方.

直接组织

在欧盟有实体存在的组织受GDPR的约束, 即使他们在欧盟没有商业存在. GDPR也适用于处理欧盟居民个人信息的组织. GDPR自动适用于拥有至少250名员工的组织, 而GDPR对于较小的组织来说更复杂一些. 在这些情况下, 如果组织的数据处理影响了欧盟公民的权利或包括涵盖的PII类型,则GDPR适用. 实际上,这意味着公司的规模并不影响GDPR的适用性.

欧盟以外的公司也受到GDPR的很大影响. A 2016 调查 普华永道(PwC)的调查显示,92%的美国人认为这是不可能的.S. 公司认为GDPR是数据保护的重中之重. 53%的受访者在2018年表示 调查 Propeller Insights指出,科技行业受GDPR影响最大. 其他人则认为是在线零售商等行业, 软件公司, 金融服务, 在线服务将受到最严重的影响.

供应商和第三方

GDPR要求数据控制者和数据处理者承担同等的PII保护责任. 数据控制者是拥有数据的组织, 而数据处理器是参与管理数据的组织. 如果其中一个数据处理器不符合法规,那么数据控制器也不符合法规. GDPR还为该组织内的所有组织制定了严格的规则,要求他们告知客户他们在GDPR下的权利,并报告数据泄露.

这种集体责任意味着数据所有者与客户和云提供商等第三方签订合同, 薪资服务提供商, SaaS供应商必须明确各方在PII方面的责任. 除了报告数据泄露的具体方法外,他们还必须定义管理和保护数据的一致流程 

当数据所有者试图符合GDPR时,第三方数据处理器代表了最大的资源支出. 数据处理器通常可以访问数据所有者的大量PII, GDPR明确规定,数据所有者需要确保他们的供应商遵守GDPR. 与客户签订的合同还需要反映由于GDPR而导致的政府法规的变化. 这一规定也要求商界领袖, IT, 以及安全性,了解他们的组织如何存储和处理数据,以开发一个报告数据泄露的合规流程. 这一进程是一项重大任务, 但是,从安全角度确定组织需要关注的供应商是必不可少的.

GDPR还可能改变组织利益相关者在数据方面的心态. 传统上,他们将自己的数据视为一种可以利用的资产, 但这种看法可能会转变为将数据的积累视为责任的增加. 组织需要跟踪数据流,因为它离开了他们的控制,并采取适当的保护措施, 他们必须在合同中明确规定哪些. 这一步将帮助第三方了解他们从客户端获得的数据可以做什么,不可以做什么.

根据GDPR,报告违规行为尤为重要, 从违规发生到必须上报有72小时的窗口期. 当一个拥有许多客户端的供应商被违反时,这个需求可能会很有挑战性. 每个客户端可能有一个不同的实体供供应商通知, 可能是会计部门的人, 应收账款, 或采购. 供应商和客户之间的合同必须明确规定在发生违约时的报告路径. GDPR需要相关政策, 程序, 响应结构将允许一个组织快速完成其报告过程.

一家公司可能需要更新的合同数量之多,也使得让供应商合同符合GDPR的过程变得复杂. 一个组织必须知道它拥有什么数据, 它是如何加工的, 以及在定义处理该数据的职责之前它的去向. 许多组织发现自己不得不在最后期限前完成所需的操作和技术问题,以获得适当的合同. GDPR要求组织机构了解他们与供应商的操作流程. 特别是,他们需要知道他们供应商的安全框架是如何运作的. 

在组织中谁负责保持遵从性?

GDPR为确保符合其要求定义了三个角色, 包括数据控制器, 数据处理器, 及资料保障主任(DPO).

数据控制器定义组织如何处理PII以及处理它的原因. 该角色还负责确保第三方遵守组织的数据实践.

数据处理器维护和处理PII. 他们可能在组织内部或外部,并可能执行部分或全部这些活动. GDPR要求处理者对不合规和违规行为负责, 因此,根据GDPR,一个组织及其数据处理合作伙伴都可能受到处罚,即使合作伙伴完全有过错.

GDPR要求控制器和处理器指定DPO, 谁通过监督数据安全策略来确保特定数据集的合规性. 如果组织符合以下任何一个标准,则需要DPO:

  • 处理或存储大量欧盟公民的个人信息
  • 处理或存储特殊的PII
  • 定期监察资料对象
  • 公共权力

一些政府机构,如执法机构,可以免除指定DPO的要求.

在Propeller Insights调查中,82%的受访者表示,他们的组织已经在员工中设置了DPO. 然而, 77%的受访者表示,他们计划在5月25日的截止日期前招聘一名新的DPO, 2018年实施GDPR. 这项规定还要求大多数组织雇佣额外的人员来遵守GDPR. 约55%的受访者表示,他们至少为此招聘了6名员工.

不遵守规定的处罚

GDPR允许监管机构评估高达2000万欧元的罚款,相当于该组织全球年营业额的4%, 两者取大. 然而,大多数已实施的罚款都远低于这一限制. GDPR执行跟踪机构报告称,截至5月29日,欧盟已对不合规行为开出了282张罚单, 2020. 这些罚款中的绝大多数都是数千或数万欧元. 欧华的GDPR数据泄露调查报告称,迄今为止最大的罚款是5000万欧元, 2020年1月对谷歌实施的制裁. 罚款的原因包括缺乏有效的同意和透明度.

监管机构承认,他们缺乏处理收到的数据泄露报告的资源, 因此,他们将需要更多的时间来为这一过程建立可识别的先例. 不同监管机构的罚款数额也不一致, 这增加了违规罚款的不确定性. 目前,监管机构在如何计算罚款的问题上存在严重分歧, 观察人士认为,GDPR还需要数年时间才能在这个问题上提供法律确定性.

目前, 展示出遵守GDPR的善意努力,应该足以保护组织免受严厉的处罚. 英国信息专员, 莉斯德纳姆, 在2018年的一次演讲中表示,执法是最后的手段,信息专员办公室(ICO)将对那些“持续, 故意或疏忽地藐视法律.她补充说,那些自我报告的组织, 与ICO合作解决问题, 并证明有效的问责制可以期望ICO在考虑监管行动时考虑这些因素.

你可以做些什么来保持GDPR合规

GDPR是目前世界上最严格的数据隐私和安全法律. 它适用于任何在欧盟收集个人数据的组织,这意味着GDPR可以影响世界各地的组织, 即使他们的总部不在欧盟. GDPR的具体要求是广泛的,你可以找到 在这里.

GDPR.eu 也是了解更多关于GDPR要求的宝贵资源. 除清单和指南外,该网站还包含173条法规摘录和99篇文章. 它还包括整个GDPR的PDF文档. 这些材料都可以帮助您了解GDPR如何适用于您和您的组织.

以下步骤还将有助于在与GDPR合规性不直接相关的几个方面改善您的业务. 例如, 遵守GDPR所需的程序和技术更改还可以提高组织管理和保护数据的效率, 节省成本. 它还可以增加消费者的信心,使你的企业更具竞争力.

涉众买进

如果你对GDPR的审查让你觉得你的组织面临着重大的不合规风险, 您可以采取以下几个步骤来解决这些缺陷. 首先要在公司的最高管理层中灌输一种紧迫感. 执行领导层必须优先考虑符合GDPR的任务,然后才能期望取得重大进展. 

让其他利益相关者参与进来也很重要, 因为你的IT部门自己无法满足GDPR的要求. 成立一个跨职能工作组,包括来自收集或使用客户PII的任何部门的代表, 包括金融, 市场营销, 操作, 和销售. 这些团队成员必须有效地共享实施程序和技术变更所需的信息,以使您的组织符合GDPR. 他们还需要为这些变化对各自部门的影响做好准备.

风险评估

风险评估通常是GDPR合规的最大障碍. 第一步应该是获得组织IT基础设施的完整图像, 包括它运行的所有应用程序的列表. 有关处理PII的应用程序的特定信息可以显著减少此阶段的范围和所需时间.

定期进行风险评估,以确保您了解您处理的欧盟公民个人信息以及与之相关的风险. 这些评估还必须描述减轻这些风险所需的措施. 风险评估的另一个关键组成部分是识别涉及PII的影子IT流程, 不管它们的大小. 这些解决方案通常会带来最大的不合规风险, 因为他们倾向于低调和较少的文件. 

许多应用程序满足这些标准, 这使得大型组织很难识别所有这些人. 在最近 article 在CSOonline.com, 马特·费雪, Snow软件公司的高级副总裁, 估计超过39个,000个商业应用程序使用PII. 这些应用程序中只有一小部分通常具有高可见性, 而隐藏的大多数则是严重的不合规风险.

Fisher还指出,IT配置的最新趋势是实现GDPR合规的一个复杂因素. 他估计,到2020年,业务部门将占到组织IT预算的一半左右, 导致IT部门无法跟踪组织使用的应用程序. 这种可视性的丧失可能会威胁到合规性.

DPO

组织通常需要DPO来遵守GDPR, 这可能需要他们雇佣一个新的团队成员,如果他们没有一个合格的角色. GDPR并不要求DPO专门负责这项任务, 因此,有可能用已经在履行类似职责的人来填补这个职位. 然而,管理层需要确保这种双重角色不会产生利益冲突.

根据组织的不同,DPO可能不是一个全职职位. 在这些情况下,可以选择虚拟DPO,允许DPO为多个组织服务. GDPR允许这种安排, 前提是该个人能够满足DPO对所有组织的要求. 大多数组织已经有了数据保护计划(DPP), 但DPO需要对其进行审查,并根据需要进行修改,以满足GDPR的要求. DPO还需要定期审查DPP,特别是在业务变化之后.

移动设备

移动设备需要额外的措施来遵守GDPR. A 最近的调查 Lookout, Inc. 显示64%的员工通过移动设备访问PII, 通常属于客户, 员工, 或合作伙伴. 由于失去对PII访问的控制,这种做法会显著增加组织的不合规风险.

Lookout调查中81%的受访者表示,他们的公司允许他们在工作用的移动设备上安装个人应用程序. 如果这些应用程序使用PII, 他们必须以符合GDPR的方式这样做, 即使该设备并不属于该公司. 这是一个特别具有挑战性的要求,因为许多员工在他们的移动设备上使用他们的组织没有特别授权的应用程序.

文档

GDPR要求大量文件记录组织在合规方面的进展. 例如, 组织必须完成GDPR第30条所述的处理活动记录(RoPA). RoPA是处理PII的应用程序的目录, 包括在, 谁, 以及组织是如何处理这些数据的. 该文档对于遵从的早期阶段尤为重要.

风险缓解

一旦组织确定了数据安全的风险,并制定了适当的措施来减轻这些风险, 它必须实现它们. 在大多数情况下,这一步骤涉及修改组织现有的风险缓解程序. 一旦GDPR团队完成RoPA, 它可以识别和调查风险,以确定降低风险的适当措施. 小型组织在这个阶段可能需要帮助,因为他们通常缺乏所需的资源. 有多种外部资源可用于降低不遵守GDPR的风险, 哪一种可以最大限度地减少对组织正常运作的干扰.

事件响应

GDPR要求组织机构在数据泄露发生后72小时内报告, 因此,他们还需要测试他们的事件响应计划. 及时的响应时间对于最大限度地减少违规造成的损失至关重要,也会影响罚款的风险.

正在进行评估

为了符合GDPR,需要一个持续评估的过程, 包括监控和持续改进的目标. 一些组织还实施了惩罚和激励计划,以确保员工遵守新政策. 在Veritas Technologies的一项调查中,47%的受访者表示,他们的组织可能会增加政策,强制员工遵守GDPR要求. 34%的受访者表示,他们的组织将奖励符合GDPR的员工, 25%的人表示,违反GDPR的员工可能会失去奖金或其他福利.

Summary

Red团队的服务可以满足GDPR的一些要求. 例如, 冰球突破豪华版试玩可以帮助您遵守第25条和第32条, 要求组织为欧盟公民的数据和隐私提供“合理的”保护.

Red团队可以为GDPR合规提供免费咨询. 冰球突破豪华版试玩的服务可以识别并记录对欧盟公民数据安全和隐私的可能威胁. 冰球突破豪华版试玩还可以评估数据泄露的可能性及其对您组织的影响,并制定适当的安全措施来降低这些风险. 冰球突破豪华版试玩 网上或致电今天在 (952) 836-2770 安排您的免费网络安全评估

冰球突破豪华版试玩
友情链接: 1 2 3 4 5 6 7 8 9 10