分解GDPR合规性及其如何保护欧盟公民的数据.
多年来,欧盟各国拼凑的隐私和数据处理规则让人头疼, 欧盟于2016年通过了《pg电子》(GDPR合规),使所有成员国的事情变得更容易. GDPR旨在保护所有欧盟居民的数据,并使组织更容易理解和遵守数据保护规则. 尽管GDPR于2016年正式通过, 其正式实施日期为5月25日, 2018, 给成员国大约两年的时间来加强准备工作.
即使您的组织在欧盟没有办公地点, 处理任何欧盟公民的个人资料, 您将需要遵守《pg电子》,否则将面临高达公司年收入4%或高达2000万欧元的巨额罚款, 取较高者.
隐私设计: GDPR的目的是保护欧盟公民的个人数据, 包括他们的名字等数据, 电子邮件地址, 财务或医疗细节, 甚至他们的IP地址. 像这样, GDPR的一个关键组成部分是从一开始就在所有系统中建立隐私——被称为隐私设计——默认为所有最终用户提供.
数据保管工作: 此外,更好的数据保管规则也是《pg电子》的一部分. 法规规定,组织应该只保留他们绝对需要的数据,只要他们需要. 一旦不再需要这些数据,这些数据应该被销毁或匿名化.
删除权: 在2006年针对b谷歌的诉讼中引入了“被遗忘权”概念, GDPR包括删除权. 这意味着用户可以出于多种原因要求从组织中删除他们的个人数据, 包括涉嫌不遵守GDPR. 另外, 明确的同意, 哪一个必须无偿给予, ,以处理个人资料, 如果用户希望撤销同意,组织必须为用户提供同样的便利.
违约通知要求: 以及保护用户数据安全的要求, GDPR还包括强制性和严格的数据泄露通知规则. 在个人资料泄露的情况下, 违规行为必须在发现违规行为后72小时内向受影响的欧盟成员国监管机构报告. 取决于数据泄露的严重程度, 组织可能还需要通知受影响的用户.
1. 了解您的网络和您拥有的数据范围
确保您掌握了您的生态系统和您的组织所拥有的数据范围:谁可以访问它, 这是什么样的数据? 一旦你对范围有了概念, 您可以开始实施访问限制和监控,以确保没有未经授权的访问.
2. 评估控制和程序的强度
你需要测试和评估任何一种药物的功效 关键安全控制 以及目前的项目——不仅仅是技术,还有人员和流程. 一定要扫描 漏洞 定期发现自己的弱点,解决任何差距.
3. 正式实施通知程序
没有人希望发生数据泄露, 但最好提前为最坏的情况做好准备. 建立一个正式的数据泄露通知流程,并进行几次试验, 确保它包括 威胁检测和响应 功能.
《pg电子》将于5月28日正式实施, 2018, 受影响的组织应该尽快开始向遵从性转移. 这不仅会让他们在法律面前顺从, 但是,不断改进您的安全堆栈从来都不是一个坏主意, 特别是在涉及个人数据的情况下. 了解有关遵守《pg电子》的更多信息.