GDPR 即将来临!ITer们应该知道的8件事情
GDPR( General Data Protection Regulation通用数据保护条例)是有史以来规模最大,也是最具惩罚性的隐私法之一。 在5月份生效之前来了解关键事实。
欧盟的“通用数据保护条例”(GDPR)仅有两个月就生效。根据欧盟自己的GDPR门户网站,这套新的规则旨在确保组织保护个人的身份信息,这是20年来最重要的数据隐私变化。虽然遵守规定的许多责任落在合规性和信息安全专业人员身上,但IT领导者还必须了解GDPR的影响--不仅包括与违规相关的要求和风险,还包括数据收集和治理带来的变化。
想要简短的了解?这些关于GDPR的八个关键事实将帮你在5月25日执行日期快速理清脉络。
1.GDPR是有史以来规模最大,也是最具惩罚性的隐私法之一
GDPR将许多现有的欧盟数据法律合并为单一任务,并为不合规的公司建立了重要的精细结构。违反GDPR数据处理基本原则或欧盟公民的数据权利,公司可能被罚款2000万欧元或全球年收入的4%,以较大者为准。 “网络安全意识公司Habitu8的联合创始人Jason Hoenich说:”[CIO们]正在为生存和呼吸这一新监管的细节而努力。 “他们需要对他们的系统如何收集,存储,传输和删除敏感数据变得非常亲密。”
2. GDPR法规(几乎可以肯定)适用于你的组织
GDPR适用于向欧盟公民提供产品或服务或监督其行为的任何组织。如果你只有一个网站销售你的产品或服务或收集访客信息,可能会受到这些新规定的约束。事实上,GDPR不会发生金融交易。杰克逊刘易斯律师最近在该公司的工作场所隐私,数据管理和安全报告中指出:“如果贵公司正在监控欧盟居民的行为(例如跟踪和收集有关欧盟用户的信息以预测他们的在线行为),那么GDPR可能会适用。“
3. GDPR合规将需要跨职能合作
管理咨询公司Everest Group的执行合伙人埃里克西蒙森说,为了遵守GDPR要求,公司必须弄清楚他们收集和存储欧盟公民个人身份信息的所有方式。这需要组织内所有部门人员之间的紧密合作,从IT到销售,营销到财务。 GDPR还要求任何组织定期处理来自欧盟的敏感信息,以指定一名数据保护官员以确保合规。根据Hoenich的说法,尽管这一角色可能属于治理,风险和合规职能部门,但聪明的CIO们将与他们新的DPO进行合作。
4.GDPR可以成为提高数据质量的有力手段
Gartner估计,一家机构“坏数据”的平均财务影响为每年970万美元。只要符合新的欧盟规则,鼓励公司及其IT领导人重新检查和清除其数据存储,这可能会提高效率并改善整体决策。 “GDPR第32条要求组织在保护个人信息方面更加有组织和正式,”BDO USA咨询合伙人兼国家信息管理实践负责人Karen Schuler说。 “准备GDPR的公司应该考虑超越惩罚,以GDPR作为推动合规的跳板,而CIO们应该推动资源配置以获得”一线希望“的收益。首席信息官们将使企业主管能够更迅速,更具成本效益地找到大海捞针,从而就当前信息与过时信息做出决策。“
5.数据最小化可能有助于降低基础设施和运营成本
GDPR将个人数据的收集,使用和保留限制在绝对必要的范围内,鼓励公司放弃无关且过期的信息,并采用“精益数据”方式。
据BDO最近发布的报告“确保数据隐私的内在价值”指出,更有目的性的数据收集可能会导致更好的回避,并指出符合GDPR的企业“应该期望降低基础设施和运营成本”。到VansonBourne进行的2017年调查中,42%的IT决策者表示强制数据删除和删除以准备GDPR将帮助他们的公司控制数据量。 “我们预计在短短几年内,GDPR将成为组织数字化未来的催化剂,通过精益数据而不是大数据产生新的增长机会,”舒勒说。
6.供应商尽职调查至关重要
该指令明确区分了它所称的“数据控制器” ---确定个人数据处理目的,条件和方式的组织 - 和“数据处理器” - 代表数据控制器处理数据的任何实体。 (这些术语和更多内容在欧盟GDPR术语表中定义。)
这一区别非常重要,因为正如国际律师事务所White&Case在其网站上指出的那样,合规的主要责任是强加给数据控制者。公司不能简单地依靠供应商的GDPR准备就绪。确定所有可以访问或处理您组织获取的个人数据的第三方,以及与他们签订合同以确保他们包含与GDPR相关的语言是至关重要的,BDO US的Schuler说,该公司提供了GDPR清单给企业。
7. GDPR将要求更多的开放性和敏捷性
例如,法律要求组织在发生数据泄露后的72小时内发布通知(除非数据公民没有受到伤害)。它还授予欧盟公民“被遗忘的权利”。“他们可以要求数据控制者在不再需要数据的情况下删除或删除他们的所有数据,”Hoenich说。
8.隐私设计和隐私 - 默认将成为新的规范
正如Deloitte最近指出的那样,从开发过程开始考虑隐私并不是一个新想法。 然而,GDPR已经将这一概念 - 隐私设计 - 正式提出 - 作为组织在任何新产品,流程或服务的开始和整个开发过程中考虑数据隐私的法律要求。 Schuler表示,为了遵守这些规定,组织将在所有系统和流程中实施隐私设计和隐私保护(默认数据设置是最好的隐私保护)原则和安全控制。
↓↓↓ 点击"阅读原文" 【加入云技术社区】
相关阅读:
OpenShift 3.9 重磅发布!多项新功能「附48页PPT」
云计算趋势:RightScale 2018 年云状况调查报告「附下载」