Gdpr เริ่มวันนี้! สิ่งที่คุณต้องรู้

เริ่มตั้งแต่วันนี้ 25 พฤษภาคม 2561 กฎหมายคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (EU) (GDPR) จะกลายเป็นกฎหมายระดับโลกอย่างมีประสิทธิภาพเมื่อมีคำถามว่าธุรกิจจะต้องจัดการกับข้อมูลส่วนบุคคลอย่างไร ในขณะที่คุณอาจคิดว่ากฎหมายคุ้มครองข้อมูลที่ให้สัตยาบันในยุโรปจะใช้เฉพาะกับชาวยุโรป แต่คุณผิด นั่นเป็นเพราะ GDPR ปกป้องพลเมืองของสหภาพยุโรปทุกคนไม่ว่าพวกเขาจะอยู่ที่ไหนและไม่ว่าพวกเขาจะทำธุรกิจหมายความว่า บริษัท อเมริกันที่มีลูกค้าในสหภาพยุโรปอยู่ภายใต้ข้อกำหนดของ GDPR และที่แย่กว่านั้นคือการลงโทษ ที่เลวร้ายยิ่งกว่านั้นเพราะจากรายงานล่าสุดของ Crowd Research Partners มีเพียง 7 เปอร์เซ็นต์ของ บริษัท ที่อยู่ในการดำเนินการเพื่อให้สอดคล้องกับ GDPR ภายในวันนี้

และในขณะที่มีขั้นตอนที่คุณสามารถทำได้แม้กระทั่งทุกวันนี้เพื่อทำให้ บริษัท ของคุณปลอดภัยอย่างน้อย GDPR การได้รับการปฏิบัติตามกฎระเบียบอย่างสมบูรณ์ไม่ใช่โครงการที่มีน้ำหนักเบา กระบวนการในการรวบรวมข้อมูลจะต้องเกี่ยวข้องกับวิธีการใช้ข้อมูลของ บริษัท (ตัวอย่างเช่นข้อมูลการซื้อของผู้บริโภค แต่ไม่ใช่ข้อมูลประวัติทางการแพทย์ของ บริษัท อีคอมเมิร์ซ) บริษัท ควรเต็มใจและสามารถอธิบายได้อย่างแม่นยำว่ามีการรวบรวมข้อมูลใดและทำไม การปฏิบัติด้านความปลอดภัยจะต้องแสดงให้เห็นถึงความสามารถที่ชัดเจนในการป้องกันการสูญเสียความเสียหายและการทำลายและข้อมูลไม่ควรถูกเก็บไว้นานเกินความจำเป็น บริษัท ใด ๆ ที่ไม่ปฏิบัติตามกฎระเบียบจะถูกริบ 4% ของรายรับต่อปี

“ นี่ไม่ใช่ชุดของกฎและข้อบังคับที่ไร้ฟัน” Ankur Laroia ผู้นำโซลูชั่นเชิงกลยุทธ์ของ Alfresco ผู้ให้บริการระบบการจัดการข้อมูลกล่าว Laroia ทำให้กรณีที่ปัญหาต่าง ๆ ภายในข้อบังคับของกฎระเบียบจะทำให้มันเป็นเรื่องยากสำหรับ บริษัท ที่จะยังคงปฏิบัติตาม ตัวอย่างเช่นประเด็นบางข้อรวมถึงกฎที่เป็นนามธรรมอย่างเป็นลายลักษณ์อักษรว่าทำไมการรวบรวมข้อมูลการใช้เกินข้อกำหนดสำหรับการขัดข้อมูลลูกค้าเมื่อมีการร้องขอและความต้องการสำหรับบาง บริษัท ในการปรับปรุงกระบวนการรักษาความปลอดภัยทั้งหมดเพื่อจุดประสงค์ในการปฏิบัติตาม ถึงกระนั้น Laroia ไม่คิดว่าสหภาพยุโรปยุ่งเหยิง

“ สหภาพยุโรปกำลังจะไปหลังจากผู้กระทำผิด” เขาคาดการณ์ “ หากสิ่งนี้ถูกตราขึ้นมา Equifax ก็จะมีปัญหามากมาย”

จีดีพีอาร์ในขณะที่มุ่งเน้นไปที่ประชาชนในสหภาพยุโรปเป็นหลักยังนำเสนอสถานการณ์ฝันร้ายสำหรับเจ้าของธุรกิจชาวอเมริกัน เราจะแยกแยะสิ่งที่คนอเมริกันจำเป็นต้องรู้เพื่อเริ่มต้นการเดินทางไปสู่การปฏิบัติตาม GDPR

1. บริษัท อเมริกันจะต้องปฏิบัติตาม

หากร้านหนังสือ mom-and-pop ของคุณไม่เคยส่งพัสดุนอกเมืองบ้านเกิดของคุณคุณอาจไม่ต้องกังวลกับ GDPR อย่างไรก็ตามหากคุณมีลูกค้าที่ใช้ EU อยู่หนึ่งรายคุณจะต้องเริ่มกระบวนการกลายเป็นผลิตภัณฑ์ที่สอดคล้องกับ GDP ทันที ภายใต้ข้อบังคับข้อมูลพลเมืองของสหภาพยุโรปจะต้องได้รับการคุ้มครองและคุณต้องให้ข้อมูลดังกล่าวแก่พลเมืองหากเขาหรือเธอร้องขอ ที่สำคัญกว่านั้นคุณอาจจำเป็นต้องกำจัดข้อมูลนั้นออกจากระบบของคุณหากพลเมืองร้องขอ หากคุณไม่ทำเช่นนี้และ GDPD เป็นผู้เฝ้าระวังคุณจะสูญเสียรายได้ประจำปีของคุณไปถึง 4 เปอร์เซ็นต์

“ แม้ว่าจะเป็นแนวทางของสหภาพยุโรป แต่ก็ส่งผลกระทบต่อ บริษัท ทั่วโลกที่มีผู้อยู่อาศัยในสหภาพยุโรปในฐานะลูกค้า” Pete Lindstrom รองประธานฝ่ายวิจัยความปลอดภัยของ IDC กล่าว "หากคุณมีช่องที่อยู่และเป็นที่อยู่ในยุโรปพวกเขาจะถูกมองว่าเป็นยุโรป"

ไม่มีความแตกต่างระหว่าง บริษัท ที่มีสำนักงานใหญ่ในสหภาพยุโรปหรือในเมืองเช่น Skokie, Illinois กฎหมายจะมุ่งเน้นไปที่ข้อมูลที่สามารถระบุตัวบุคคลได้ (PII) และที่ซึ่งบุคคลที่เกี่ยวข้องกับข้อมูลอยู่ ใครก็ตามที่มีข้อมูล PII ประเภทใดก็ได้ในลูกค้าชาวยุโรปจะต้องปฏิบัติตาม

แม้ว่า บริษัท ของคุณจะมีลูกค้าจากสหภาพยุโรปอยู่เล็กน้อย แต่ก็ไม่น่าเป็นไปได้มากที่ร้านหนังสือในท้องถิ่นของคุณจะได้รับการตรวจสอบโดย GDPR สุนัขเฝ้าบ้าน แต่ บริษัท ขนาดใหญ่เช่น Facebook และ Yahoo จะไม่สามารถเรียกร้องความจงรักภักดีของชาวอเมริกันเป็นวิธีที่จะทำให้ GDP

“ ถ้าคุณเป็นแม่และป๊อปและคุณมีช่องโหว่คุณต้องรับผิดทางกฎหมาย” Laroia กล่าว “ มันยากที่จะพูดว่าพวกเขาจะมาตามความเป็นจริงหรือไม่…รัฐสมาชิกสหภาพยุโรปแต่ละแห่งจะมีสำนักงานการปฏิบัติตามกฎระเบียบสำนักงานนั้นจะเริ่มถามแผนการปฏิบัติตามของทุกคนพวกเขาจะสร้างรายการสินค้าของ บริษัท ที่ทำธุรกิจในภูมิภาคของตน พวกเขาจะตรวจสอบคนที่ใหญ่กว่าและเริ่มถามคำถาม "

บริษัท อเมริกันที่ไม่ปฏิบัติตามไม่ควรคาดหวังว่ารัฐบาลสหรัฐฯจะปกป้องพวกเขาเมื่อรัฐในสหภาพยุโรปที่ได้รับการสนับสนุนโดย GDPR พยายามรวบรวมรายได้ที่ถูกริบไป “ รัฐบาลสหรัฐฯถูกบังคับให้ตรวจสอบให้แน่ใจว่ามีการบังคับใช้คำตัดสินเหล่านั้น” Laroia กล่าว “ ไม่ว่าพวกเขาจะถูกบังคับใช้ยังไม่ได้เห็น แต่รัฐบาลในสหภาพยุโรปจะต้องต่อสู้”

2. 25 พฤษภาคมหมายถึง 25 พฤษภาคม

แม้ว่ากฎระเบียบจะมีผลบังคับใช้ในวันนี้ 25 พฤษภาคม 2018 กฎหมายดังกล่าวได้รับการรับรองโดยรัฐสภาของสหภาพยุโรปเมื่อวันที่ 14 เมษายน 2016 ซึ่งหมายความว่าเท่าที่ EU มีความกังวล บริษัท ต่างๆมีเวลามากมายที่จะนำแนวทางปฏิบัติที่สอดคล้องกับ GDPR . ดังนั้นหาก บริษัท ของคุณถูกโจมตีทางไซเบอร์ขนาดใหญ่ในวันพรุ่งนี้และข้อมูลจำนวนมหาศาลที่คุณรวบรวมจากลูกค้าผู้เข้าชมเว็บไซต์และแม้แต่คู่ค้าที่ออกสู่เว็บมืดที่ชั่วร้ายคุณก็ไม่สามารถเรียกร้อง "เวลาไม่เพียงพอ" ในฐานะ ข้อแก้ตัวสำหรับการเปิดเผยข้อมูลพลเมืองของสหภาพยุโรป

"กฎเกณฑ์มีผลบังคับใช้" Laroia กล่าว "คุณสามารถขอให้คุณแสดงการเดินทางของคุณให้เป็นไปตามกฎระเบียบได้แล้วหรือยังคุณได้ทำการประดิษฐ์อะไรแล้วโพรโทคอลของคุณสำหรับพลเมืองสหภาพยุโรปที่จะถามเกี่ยวกับข้อมูลของคุณคืออะไร บริษัท เหล่านี้สามารถขอข้อมูลนี้ได้ทันที พวกเขาไม่สามารถแสดงการปฏิบัติตามหลังจากพฤษภาคม "

3. อย่าคาดหวังส่วนขยาย

ซึ่งแตกต่างจากการต่อสู้ตามกฎหมายส่วนใหญ่ที่เรามีในสหรัฐอเมริกา (เช่น Net Neutrality) ไม่มีใครในสหภาพยุโรปเข้ามาในวันที่ 24 พฤษภาคม 2018 เพื่อท้าทาย GDPR และเลื่อนการออกกฎไปเรื่อย ๆ ชาวยุโรปต้องการสิ่งนี้และตอนนี้พวกเขาได้รับแล้ว

“ นี่คือความงดงามของวิธีการตั้งค่ากฎระเบียบ” Laroia กล่าว “ เพราะพวกเขาให้ บริษัท หนึ่งปีได้รับการกระทำที่ถูกต้องมีความท้าทายใด ๆ จากมุมมองของการดำเนินคดีหากเราจะเห็นว่ามันจะเกิดขึ้นแล้วอาจมีคนทำเช่นนั้นหลังจากที่พวกเขาถูกฟ้อง? ฉันแน่ใจว่าพวกเขาจะลอง แต่มันจะดูไม่ดีเมื่อถึงจุดนั้น "

4. สิ่งที่คุณต้องทำเพื่อให้สอดคล้อง

ตามกฎระเบียบที่กำหนดคุณจะต้องให้ใครสักคนรับผิดชอบการจัดการกระบวนการปฏิบัติตาม บุคคลนี้ซึ่งกฎหมาย GDPR ขนานนามว่า "Data Protection Officer" (DPO) จะเป็นบุคคลที่รับผิดชอบในการเดินทีมกำกับดูแล GDPR ผ่านวิธีการที่ บริษัท ของคุณได้รับการรักษาความปลอดภัยข้อมูล บุคคลนี้จะรับผิดชอบในการดึงสายธุรกิจที่แตกต่างกันภายใน บริษัท ของคุณเพื่อสร้างวิธีการในการรับและอยู่กับ GDPR

โดยสรุปหน้าที่ของ DPO จะแบ่งออกเป็นสี่ประเภทหลัก ๆ :

• อันดับแรกพวกเขาจำเป็นต้องคุ้นเคยกับรายละเอียดของ GDPR เพื่อทำหน้าที่เป็นบุคคลสำคัญไม่เพียง แต่สำหรับกระบวนการปฏิบัติตามขั้นต้น แต่สำหรับคำถามเกี่ยวกับการจัดการข้อมูลที่เกี่ยวข้องกับ GDPR ทั้งหมดในอนาคตและแน่นอนเพียงพอที่พวกเขาจะสามารถตั้งคำถามโดยผู้อาวุโสทั้งสอง ผู้บริหารและการจัดการข้อมูลปฏิบัติการด้านไอที
• ประการที่สองพวกเขาจำเป็นต้องสามารถตรวจสอบกระบวนการจัดการข้อมูลทั้งหมดในองค์กรของคุณและประเมินประสิทธิภาพของพวกเขาเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคล
• ประการที่สามพวกเขาจำเป็นต้องมีความสามารถในการตรวจสอบและการตรวจสอบในทุกพื้นที่ของธุรกิจของคุณที่อาจได้รับผลกระทบจาก GDPR และประเมินผลการปฏิบัติตามอย่างสม่ำเสมอ
• และสุดท้ายพวกเขาจำเป็นต้องติดต่อกับเจ้าหน้าที่ของ GDPR สำหรับอุตสาหกรรมของคุณร่วมมือกับพวกเขาและทำหน้าที่เป็นบุคคลสำคัญสำหรับคำร้องขอใด ๆ ที่มาจากหน่วยงานนั้น

สิ่งเหล่านี้ทำให้บุคคลที่เข้าใจการไหลของข้อมูลและมาตรการและเทคโนโลยีการป้องกันข้อมูลไม่เพียง แต่ความรู้เกี่ยวกับรายละเอียดกฎหมาย GDPR เท่านั้น แต่ยังมีความรู้เกี่ยวกับกฎหมาย EU ที่เกี่ยวข้องและเกี่ยวข้องเช่น E-Privacy Directive การขาดทักษะเหล่านี้อาจทำให้บางโอกาสสีเขียวสำหรับธุรกิจและที่ปรึกษาด้านไอที แต่หากคุณกำลังมองหาที่จะพัฒนาความสามารถนี้ในบ้านการเดิมพันที่ดีคือการค้นหาแหล่งเรียนรู้ออนไลน์ที่ใช้ภาษาอังกฤษเป็นภาษายุโรป หลายแห่งพัฒนาบทเรียน GDPR DPO เพื่อจุดประสงค์นี้ นอกจากนี้ยังมีองค์กรอุตสาหกรรมข้ามชาติเช่นสมาคมผู้เชี่ยวชาญด้านความเป็นส่วนตัวระหว่างประเทศ (IAPP) ที่เสนอหลักสูตรการฝึกอบรมจีดีพีและการรับรอง

ในหมายเหตุทางเทคนิคเพิ่มเติมเพื่อให้เป็นไปตามข้อกำหนดคุณจะต้องใช้วิธีการเข้ารหัสอย่างน้อยหนึ่งวิธีสำหรับเซิร์ฟเวอร์ที่มีอยู่จริงที่เก็บข้อมูลเครือข่ายที่แนบมา (NAS) ดิสก์และไดรฟ์และการเข้าถึงเครือข่าย คุณจะต้องยืนยันข้อมูลประจำตัวของพนักงานและการรับรองความถูกต้องหลายปัจจัย (MFA) เมื่อเข้าถึง PII และสำหรับการทำธุรกรรมที่มีข้อมูล PII คุณจะต้องตัดแนวทางปฏิบัติใด ๆ ที่เข้าถึงหรือประมวลผลข้อมูลเพื่อวัตถุประสงค์ที่ไม่ได้รับอนุญาตตรวจสอบและตรวจสอบข้อมูลอย่างสม่ำเสมอเพื่อให้แน่ใจว่ามีความเกี่ยวข้องและกำจัดข้อมูลลูกค้าอย่างสมบูรณ์และไม่สามารถย้อนกลับได้เมื่อถูกขอให้ทำเช่นนั้น องค์กรจะต้องดำเนินการประเมินความเสี่ยงทั้งหมดและทำงานร่วมกับคู่ค้าโดยเฉพาะอย่างยิ่งที่เชื่อมต่อผ่าน application programming interface (API) เพื่อให้มั่นใจว่ามีการปฏิบัติตามอย่างต่อเนื่อง

ในที่สุดหากข้อมูลขององค์กรของคุณถูกละเมิดคุณจะต้องแจ้งผู้ดูแล GDPR ที่เกี่ยวข้องของคุณทันทีเพื่ออธิบายการละเมิดและผลที่ตามมาในแบบเต็ม และคุณจะต้องสื่อสารถึงการกระจายการละเมิดไปยังลูกค้าที่ได้รับผลกระทบ

5. ลูกค้าสหรัฐ

Laroia กล่าวว่าท้ายที่สุดแล้วมันเป็นความรู้สึกทางธุรกิจที่ดีในการปกป้องและดูแลข้อมูลลูกค้าที่ดี “ คุณต้องดูสิ่งนี้จากจุดได้เปรียบของลูกค้าปลายทาง” Laroia กล่าว “ นี่คือเหตุผลที่ บริษัท เหล่านี้อยู่ในธุรกิจใช่ในขณะที่มันเจ็บปวดสำหรับธุรกิจ บริษัท ต่าง ๆ ไม่ได้ลงทุนในเทคโนโลยีหรือก้าวไปตามนวัตกรรม”

น่าเสียดายที่ข้อบังคับของสหรัฐฯที่คล้ายคลึงกันไม่ได้อยู่ในหนังสือ บริษัท ที่ทำธุรกิจในนิวยอร์กภายใต้ข้อกำหนดด้านความปลอดภัยทางไซเบอร์ของแผนกบริการทางการเงินของนิวยอร์กนั้นครอบคลุมในระดับหนึ่ง ระเบียบนี้กำหนดให้ธุรกิจที่อยู่ในนิวยอร์กต้องดำเนินการและบำรุงรักษานโยบายหรือนโยบายที่เป็นลายลักษณ์อักษรได้รับการอนุมัติจากเจ้าหน้าที่อาวุโสหรือคณะกรรมการบริหารของนิติบุคคลที่ได้รับความคุ้มครอง (หรือคณะกรรมการที่เหมาะสมในนั้น) หรือหน่วยงานกำกับดูแลที่เทียบเท่า สิ่งนี้ได้กำหนดนโยบายและขั้นตอนของหน่วยงานที่ได้รับความคุ้มครองสำหรับการปกป้องระบบข้อมูลและข้อมูลที่ไม่เปิดเผยต่อสาธารณชนซึ่งจัดเก็บในระบบข้อมูลเหล่านั้นตามกฎหมายเป็นลายลักษณ์อักษร

รัฐอื่น ๆ เช่นโคโลราโดได้หารือถึงการใช้กฎระเบียบที่คล้ายกัน อย่างไรก็ตามไม่มีกฎหมายของรัฐบาลกลางสหรัฐกวาด แต่ Laroia เป็นคนมองโลกในแง่ดีเราจะเป็นคนต่อไป “ ชาวอเมริกันไม่มีสิทธิ์ดังกล่าว” เขากล่าว "แต่ให้เวลาห้าปี"