歐盟發(fā)布的“一般數(shù)據(jù)保護(hù)條例”general data protection regulation(GDPR)將在2018年中正式實施�����,數(shù)以萬計的企業(yè)必須遵守GDPR規(guī)定的一套全新數(shù)據(jù)管理規(guī)則。雖然人們對“一般數(shù)據(jù)保護(hù)條例”(GDPR)的意見和見解有所不同��,但人們所提出的最多的三個問題是:
•GDPR是什么�����,將對我的組織有何影響?
•我的組織需要做些什么?
•如何利用云計算來確保合規(guī)性?
“一般數(shù)據(jù)保護(hù)條例”(GDPR)的解釋
“一般數(shù)據(jù)保護(hù)條例”(GDPR)為歐盟公民數(shù)據(jù)處理制定了一套統(tǒng)一的法律和更嚴(yán)格的規(guī)定�����,也規(guī)定了對違規(guī)行為的嚴(yán)厲處罰。這些罰款是以行政罰款的形式出現(xiàn)的�����,可以對任何類型的違反GDPR行為進(jìn)行處罰����,包括純粹程序性的違規(guī)行為。其罰款范圍是1000萬到2000萬歐元����,或企業(yè)全球年營業(yè)額的2%到4%����。
歐盟發(fā)布這個新規(guī)定的主要原因是:
(1)為歐盟公民提供更多使用自己的個人資料的權(quán)力
(2)加強(qiáng)數(shù)字服務(wù)提供者與他們所服務(wù)的人之間的信任
(3)為企業(yè)提供明確的法律框架�����,通過在歐盟單一市場上制定統(tǒng)一的法律來消除任何區(qū)域差異。
“一般數(shù)據(jù)保護(hù)條例”(GDPR)在2018年5月25日生效�����,這使得組織將在一年后為如何處理歐盟居民個人資料做出了巨大的改變�����。以下探討組織如何為GDPR做好準(zhǔn)備����。
GDPR的第一步
(1)組織的業(yè)務(wù)是否符合GDPR規(guī)定?
GDPR與其前身數(shù)據(jù)保護(hù)指令(指令95/46 / EC)相比�����,適用于更大范圍的組織��。事實上�����,不受歐洲隱私法律約束的許多企業(yè)實際上需要遵守GDPR。以下是如何確定是否必須遵守:
GDPR用于在歐盟存在的所有組織�����,在執(zhí)行業(yè)務(wù)活動期間處理個人數(shù)據(jù)��,即使是規(guī)模最小的公司也是如此����。
如果在歐盟沒有實體存在的公司希望為歐盟居民提供商品和服務(wù),那么適用于GDPR��。 這包括使用歐盟語言或貨幣����,為歐盟居民量身定制產(chǎn)品,或在歐盟范圍內(nèi)積極營銷����。 “監(jiān)控”定義為在線跟蹤人員創(chuàng)建個人資料����,或分析和預(yù)測個人偏好�����,行為模式或態(tài)度��。
(2)組織是否需要數(shù)據(jù)保護(hù)官(DPO)?
與合規(guī)官或法律顧問不同�����,組織的數(shù)據(jù)保護(hù)官(DPO)需要向執(zhí)行委員會報告����,并有權(quán)監(jiān)視組織的數(shù)據(jù)處理����。擁有250名或以上員工處理敏感數(shù)據(jù)或犯罪記錄的組織必須指定DPO。這根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定�����,擁有少于250名員工的組織可能也需要指定DPO����。
(3)是否有程序響應(yīng)刪除/修改/提供數(shù)據(jù)副本的請求?
除了數(shù)據(jù)保護(hù)指令規(guī)定的權(quán)利����,例如訪問數(shù)據(jù)副本��,修改權(quán)和限制處理權(quán)�����。GDPR還包括在線信息刪除和數(shù)據(jù)可移植性的權(quán)利(允許人們將其數(shù)據(jù)傳輸?shù)搅硪粋€服務(wù)提供商)����。這意味著組織必須制定完整的程序來回應(yīng)這些類型的請求�����。
(4)組織是否有符合GDPR要求的事件響應(yīng)計劃?
GDPR包括數(shù)據(jù)泄露通知要求����。如果有危害人身的風(fēng)險����,數(shù)據(jù)違規(guī)將會受到監(jiān)督機(jī)構(gòu)的通知�����,限72小時內(nèi)改正。受影響的數(shù)據(jù)科目也必須在沒有“不當(dāng)延誤”的情況下通知��。
(5)組織的數(shù)據(jù)傳輸機(jī)制是什么?
如果組織還沒有決定如何從歐盟轉(zhuǎn)移個人信息�����,那么現(xiàn)在是檢查轉(zhuǎn)移機(jī)制的好時機(jī),因為它們將受到行政處罰�����。如果組織將數(shù)據(jù)從歐盟轉(zhuǎn)移到美國��,組織的選擇是:
•隱私保護(hù)認(rèn)證
•執(zhí)行示范條款
•組織內(nèi)部數(shù)據(jù)傳輸?shù)募s束性規(guī)則
在所有這些要求中��,共同的線索似乎是為數(shù)據(jù)保護(hù)和治理分配更多的資源��,并采取更主動的隱私和安全方法����。
云計算和GDPR
組織可以采用行業(yè)廠商提供的云原生數(shù)據(jù)保護(hù)SaaS的解決方案��,將使用公共云的力量解決了諸如GDPR之類的法規(guī)問題:
數(shù)據(jù)可見性:為了確保信息安全并符合GDPR,需要了解數(shù)據(jù)的生命周期��。組織需要獲得在端點�����,服務(wù)器和云應(yīng)用程序中保護(hù)����,收集和監(jiān)視數(shù)據(jù)的能力。使組織真正了解自己的整體數(shù)據(jù)攻擊面����,并且能夠?qū)θ绾尾渴鸱螱DPR的安全機(jī)制提供可操作的洞察�����。
•信息治理:傳統(tǒng)上��,數(shù)據(jù)治理側(cè)重于強(qiáng)制數(shù)據(jù)集中�����,僅提供集中存儲的信息的可見性�����。數(shù)據(jù)創(chuàng)建在移動設(shè)備和云應(yīng)用上的分散意味著企業(yè)必須以不同的方式處理治理。允許組織集中數(shù)據(jù)源政策管理和執(zhí)法��,以符合GDPR的方式引入非集中式數(shù)據(jù)。
•持續(xù)的數(shù)據(jù)監(jiān)測:GDPR要求數(shù)據(jù)處理者監(jiān)控其信息的安全性�����,無論其生活在何處��。組織使用提供的解決方案,無論數(shù)據(jù)是傳統(tǒng)端點還是云應(yīng)用程序�����,都可以自動執(zhí)行違規(guī)的主動監(jiān)控�����。
•安全轉(zhuǎn)移:隨著GDPR的實施����,安全性遵循所有歐盟公民的數(shù)據(jù)�����,無論數(shù)據(jù)在哪里��。組織需要采用業(yè)界領(lǐng)先的基于標(biāo)準(zhǔn)的TLS 1.2和AES 256加密技術(shù)����,配合簡化和集成的密鑰管理。
•被遺忘的權(quán)利/刪除權(quán):組織面臨的主要規(guī)定和挑戰(zhàn)之一是如何根據(jù)歐盟公民的要求刪除信息����,以防止任何后續(xù)的數(shù)據(jù)流程����。雖然有一些關(guān)于GDPR規(guī)定的注意事項,但是任何合法的擦除請求都必須及時處理�����。
京公網(wǎng)安備11010802046783號