企业已经承担了沉重的监管负担,从 5 月开始,当欧盟引入新的数据法规 GDPR 时,这一负担将变得更重。违反规则的潜在罚款数额相当大——高达营业额的 4%——并且可能会对违规者进行调查。因此,如果您的企业还没有开始制定 GDPR 计划,您就需要开始行动了。埃德·鲍舍报道。 GDPR 代表通用数据保护条例,是一套新的欧盟范围内的数据规则。
什么是 GDPR?
GDPR 代表通用数据保护条例,是一套新的欧盟范围内的数据规则。它取代了英国的数据保护法,将于 2018 年 5 月 25 日实施。数据保护法于 1998 年颁布,专为没有 Facebook 或云计算的世界而设计。鉴于过去二十年的巨大变化,数据保护法的更新不可避免ITable,并且 GDPR 引起的变化是巨大的。该法律适用于保留其客户、员工或其他利益相关者数据的企业和任何其他组织。七个最大变化的总结:
要求在 72 小时内报告数据泄露组织必须监控数据泄露事件,例如有人入侵数据库。必须在 72 小时内报告任何违规行为,并且必须将报告提交给 ICO(信息专员办公室)和任何数据被泄露的人。本文首次发表在《制造商》杂志的 2 月号上。要订阅,请单击此处。同意客户同意的规则已大大收紧。在个人同意保留数据之前,公司必须解释他们保留的数据及其使用方式。同意书必须使用通俗易懂的语言,并且客户或“数据主体”必须勾选方框 gi表示同意。除非受试者取消表示同意的框,否则说同意是不可接受的。即使人名已从数据中删除,GDPR 仍可能适用,具体取决于识别数据是谁的难易程度。处理者责任法律将组织分为“数据控制者”(决定数据处理方式的组织)和“数据处理者”(代表控制者处理数据的组织)。数据处理者通常会在云端处理数据。目前,如果出现问题,只有数据控制者会受到影响,但根据 GDPR,控制者和处理者都可能承担责任。检查数据处理者是否遵守所有规定对数据控制者来说是一个很大的负担。被遗忘权个人可以要求删除他的所有个人数据。这包括文件、数据库中的记录、电子邮件和存档副本。如果数据已发送给另一个组织上,数据控制者必须要求其他组织删除它。个人也可以要求以“合理的间隔”查看他们的数据,他们应该在一个月内获得数据。他们有权知道数据为何被使用、数据存储多长时间以及谁可以查看数据。但是,在某些情况下,组织可以保留数据。这些包括出于公共卫生目的或为法律诉讼辩护。数据保护官许多组织必须任命一名数据保护官 (DPO) 以确保遵守 GDPR。除了了解相关法律外,DPO 还应精通管理 IT 流程和数据安全,包括网络攻击。数据最小化原则这要求组织不要持有数据超过必要的时间,也不要改变数据的用途。 “数据主体”有权向 ICO 提起诉讼或向法院提起诉讼 Alan Calder,执行官ir,IT Governance Limited,表示这些权利“实际上为集体诉讼的出现提供了机会”。罚款
潜在罚款的上限为 1000 万欧元或全球营业额的 2%——以较高者为准.另一个重大变化是可能的处罚大幅增加。如果组织未能在 72 小时内报告其数据保护漏洞,则潜在罚款的上限为 1000 万欧元或全球营业额的 2%——以较大者为准。如果组织缺乏问责制——换句话说,该组织在建立数据保护系统方面做得很少——罚款可能高达 2000 万欧元或全球营业额的 4%。目前英国的最高罚款为 500,000 英镑。但是,全国数据保护协会和 FOI 官员 NADPO 主席乔恩·贝恩斯 (Jon Baines) 表示,他“非常怀疑我们会看到任何像这样的罚款规模,肯定会在不久的将来”,即使增加“已经引起了董事会中许多人的关注”。企业应该做什么?
贝恩斯说,所有公司都应该看看在 ICO 网站上的信息中,特别是一篇名为“现在要采取的 12 个步骤”的文章。贝恩斯说,“如果公司能够遵循这 12 个步骤,或者至少表明,到 5 月 25 日,他们正在朝着这样做迈进,他们将能够向 ICO(以及法院,在发生任何诉讼时)表明他们了解主要问题并对其做出回应。”贝恩斯还推荐 ICO 网站上的“流言终结者”博客。这也很重要请注意,如果您的企业符合现行的数据保护法,那么您就处于一个很好的起点。考尔德说,如果您遵守现行法律,您现在应该关注您作为“控制者”的身份和您的合同与您使用的任何“处理器”的关系。您还需要澄清您持有的数据以及您是否有持有这些数据的法律依据。但是,考尔德认为大多数英国企业可能不遵守数据保护法并且“他们有一个真正的问题.' 不会有数据保护文化,董事会可能不会掌握需要做的事情。对于处于这个位置的任何公司,第一步必须是将问题列入董事会议程,并且然后,董事会必须“授权某人领导一个合规项目”,其中将包括“以个人数据保护为重点的快速差距分析”。公司应该审视他们收集数据的方式,以及他们在被要求时说出自己拥有哪些数据的能力它——图片由 Pixabay 提供。公司还应该审视他们收集数据的方式以及他们的电话沟通能力。l 数据主体当主体要求时他们拥有什么数据。Calder 认为公司应该从这些领域开始,因为它们是最有可能最快让你陷入监管机构麻烦的领域。在最初的工作之后,有一系列公司需要解决的不同问题。这些包括确保有稳健的数据报告流程,并询问是否仍然持有应该在几年前处理的数据。Calder 说“大多数公司持有的数据可以追溯到过去太多年了。'英国脱欧
当英国离开欧盟时,除非英国立法者另有决定,否则 GDPR 将保留为英国法律。但即使 GDPR 在英国被废除,它仍然会影响许多英国企业。那是因为 GDPR 仍将适用于欧盟以外的任何针对欧盟客户或监控欧盟数据主体的企业。实际上,它是英国立法者很可能会不理会 GDPR,因为 h在欧洲制定一套规则将使企业的生活更轻松。无论哪种方式,令人欣慰的是监管机构可能不会从第一天起就开始处以最高罚款,但尽管如此,企业需要迅速掌握这些变化。
