符合欧盟通用数据保护条例(GDPR)的截止日期为5月25日,2018年许多组织已经在他们的最后期限准备花了无数个小时,而其他组织正准备在那儿就可以读了。
GDPR,就像几十年前的2000年,具有国际影响,对某些组织具有与GDPR将影响其业务的命脉加以解决,而对于大多数企业来说,做一些尽职调查的需要,以确保它们是符合规定的调节。
GDPR是今天的千年虫
我引用Y2K因为我是顾问,美国白宫2000年的一个千年之前花了十年的后半部分切换行驶在全球各地帮助企业为1/1/22020欧洲杯夺冠热门000准备。Today with GDPR, as I did then with Y2K, believe there are fundamental things every organization needs to do to be prepared for the deadline, but to NOT get caught up in the hype and over speculation to the Nth degree detail that’ll drive you crazy.
GDPR是什么?
为了帮助这些企业跟上GDPR的步伐,该规定从技术上讲已于2016年生效,合规的最后期限是2018年5月25日。让人害怕的是,对不合规行为的罚款高达2,000万欧元,相当于公司前一年全球营收的4%,这个惊人的数字引起了所有人的注意。
虽然有许多信条GDPR,我净赚它归结为三个主要方面:
- 预防的“跟踪”个人:这是GDPR的一件大事大互联网公司(谷歌,Facebook,亚马逊),其通过跟踪的信息收集个人的个人信息,跟踪他们通过cookie访问的网站,积极宣传个人以后去。GDPR直接解决了他们,不仅需要同意搜索的做法,并收集关于哪些人购买信息,他们访问网站的过程和内容,但也有什么信息将被用于明确规定的目的。
- 预防保留个人身份信息(PII)的:这一原则并不新鲜,已经成为世界范围内保护个人隐私的一项重要立法。与其他有关PII的全球法规一样,GDPR规定了可以收集哪些个人信息(姓名、出生日期、地址等)、需要如何存储和保护这些个人信息,以及在违反规定的情况下需要做些什么。
- 信息的跨国界转移:GDPR规定,欧盟居民(在欧盟临时工作和居住的公民甚至个人)的信息应该留在欧盟,或者,如果信息离开欧盟,存储信息的目标目的地符合欧盟委员会的具体批准
Of the three major tenets I note for GDPR, the second and third are things that we’ve been addressing for some time now with the predecessor to GDPR (the DPD 95/46/ec) and the various Privacy/PII laws that are already in effect. So the big thing in GDPR is around the collection, storage, and tracking mechanisms commonly used by Internet organizations for web-based shoppers and social media participants. THOSE are the organizations that have been working very hard the past couple years already devising ways to inform, get consent, and handle tracking in a manner that fits within the requirements of GDPR.
GDPR原则
还有一些其他的原则是组织需要注意的,并且经常在关于GDPR的讨论中被讨论。它们包括:
- 数据保护官员和供应商管理:GDPR规定,由GDPR需求影响的组织有一个数据保护办公室确认和对供应商的管理的过程,因为它涉及到GDPR。此人将有监督与GDPR遵守内部和与供应商/供应商的角色。
- 行为准则:GDPR要求组织具有的行为表示代码数据怎样被提取,使用,时限使用,该组织将如何保护隐私和数据,从提取的个人的权利,并为用户提供了正确的请求“的数据”被清除。
- 数据分析/数据同意:如前所述,GDPR有,因为它涉及到利用数据来分析,可直接相关的回叫个别的个体严格的规则。的身份信息(如饼干)的使用需要明确同意。
- 跨境转移:另外如前所述,GDPR对留在欧盟的欧盟数据严格的规则 - 或 - 欧盟的数据符合的目标目的地由预期的信息相同的标准存储在欧盟
- 数据可移植性:GDPR有一个数据可移植性原则,允许用户请求将他们的信息“移动”到另一个提供商。就像美国的电话号码可移植性允许个人在从一个移动电话运营商切换到另一个移动电话运营商时2020欧洲杯夺冠热门保留自己的电话号码一样,GDPR的数据可移植性允许用户要求他们的电子邮件、照片、文件等可转移。
- 个人资料的化名:这个词很花哨,但实际上是数据的随机化,因此它不能被归到任何特定的个体,有效地使数据匿名。然而,GDPR确实规定,仅仅因为数据是随机的,就不允许一个组织随意收集和使用这些信息。GDPR有规定,要求组织证明他们为什么收集信息,他们计划如何处理这些数据,并有明确的定义,当这些规定的目的不再有效或适用时,如何消除这些数据
- 数据泄露通知:GDPR收紧是网络安全违反通知时,在短短的从组织72小时后被意识到违反通知要求的时间框架。有一些变化,以本通知,其中个人需要,如果可以归因还给他们(个人)信息已被破坏,通知但是如果信息被pseudonymizied,只有欧盟委员会需要通知。
GDPR企业(而不是web /社交媒体供应商)
随着多GDPR的分量侧重于网络/社交媒体供应商(Facebook,谷歌,亚马逊等),为企业的共同问题(企业,小型企业,公司总部设在/退出欧盟)是什么呢一个典型的业务需要考虑相对于GDPR?
首先,根据企业的规模,GDPR既不是大的东西,也不是小的东西。无论组织的规模、总部在哪里、行业类型如何,GDPR的要求都是相同的。GDPR也适用于每一个与欧盟公司有业务往来的组织,有欧盟公民雇员的组织,甚至有在欧盟居住和工作的外国公民雇员的组织。因此,谁必须遵守GDPR的范围相当广泛。
一个常见的问题是在美国托管的电子邮件系统是否可以GDPR要求的范围内配合。2020欧洲杯夺冠热门对于那些已经迁移到由微软托管服务的组织(如Office 365)或谷歌(G-套房),两微软和谷歌已经正式宣布他们的云服务将在2018年5月18日前符合GDPR。这些服务之所以兼容,是因为欧洲委员会(European commission)已经批准并采用了“欧盟-美国隐私盾牌”(EU-US Privacy Shield)。
虽然GDPR没有具体指的是欧盟和美国隐私保护,但它明确承认了绑定的处理器和控制器企业规则(BCR)的电流要求。BCR确认是通过在他们的移动数据为组织审计人员验证并证明符合全球收购。此认证的企业绑定规则中的欧盟 - 美国隐私保护拟合视为可接受的GDPR,因为它允许欧盟委员会进行定期审查,以确保数据保护的适当级别的数据传输存在越界。剩下的这些云供应商是一个正式的“注销”,他们确实符合其预期无阻力被批准GDPR的规定。
注意:对于跨境转移的话题,人们可能会听到最常见的跨境认证,“安全港”,已经无效了GDPR,这是真的。在2015年10月6日,司法部的欧洲法院无效的美国 - 欧盟安全港框架。然而,结合公司规则(BCRS)也仍然有效。
此外,组织可以依赖于由欧洲委员会批准的标准合同条款(SCCs)。SCCs是欧盟出口商(即欧盟子公司)和数据进口商(即美国母公司或服务提供商)之间关于处理跨境传输的协议。大型企业正在寻求SCC批准的认证,以便它们能够在世界各地的公司办公室和数据中心之间移动公司数据。
SCC的验证并不容易获得,因为它们需要的数据管理,安全性,操控审核,并在整个企业中的信息处理。然而,一旦一个企业有一个SCC,他们可以更自由地移动信息在其整个组织。
处理GDPR的内部文件和内容
企业的一个常见问题是电子邮件和业务文档是否下GDPR的需求下降。答案是不一般,业务文档就进行组织的商业目的的商业文档。当然,如果文档包括员工,他们的家庭住址,自己的手机号码和其他个人身份信息的名称,然后将文档下GDPR以及其他现行法律和信息隐私法规下降。
然而,在正常业务过程中交换的商业合同、营销材料、客户文件、建筑图纸等,并不是“个人文件”,其中嵌入了“个人数据”,用于不合法的业务用途。
处理内部文件和内容,确保文件不包含符合GDPR或其他PII限制规定的内容的关键是使用内容分类。内置的微软Office 365的技术有能力的扫描内容(电子邮件、文档、备忘录),并自动将内容分类为包含PII(出生日期、社会保险号等)的内容。
通过自动分类的内容,策略规则可以适用于允许内容的创建者选择谁可以访问信息的内容。通过给控制内容的鼻祖,是满足GDPR的给予内容所有者内容的自由和直接控制,并为之内容可以被共享的要求。
雇主强迫员工可以给他们的PII的同意?
简短的回答是否定的,GDPR非常清楚地表明,除非“自愿地、具体地、知情地、明确地”,否则同意是无效的。这意味着,一名员工如果选择不同意统一的政策,就不会受到训斥或歧视。这就是为什么内容分类变得如此重要的原因,它使组织能够要求用户提供同意,分类,或重新分类他们认为合适的内容,在一个案例的基础上。
根据GDPR收集和处理员工和客户信息
GDPR显然,企业需要为用户提供游客和详细信息的员工所收集的数据以及如何使用。显然,这首先使被收集在首位关于某人的私人信息的假设。
虽然一些简单的常见业务应用程序(比如员工使用的Web浏览器)可能默认启用了cookie,并存储和跟踪Web浏览器用户的Web访问,但是一个简单的企业修复程序可以将所有Web浏览器设置为Private或“Incognito”模式。这将阻止由GDPR保护的cookie跟踪和数据存储。用户可以选择关闭隐私模式,这是他们自己的决定,也是他们个人对可能被跟踪的内容的同意。
在开展业务的正常(历史)当然,组织上做必要的正常雇主/雇员关系事务的员工收集个人信息。像家庭住址的东西(以邮件的法律声明,今年税务报表的结束),和银行信息(以处理工资和员工福利)通常由雇主收集。这些信息是必要的,以获得报酬的员工,并获得收益,只要该组织只使用了工资和直接利益的规定目的雇员的个人信息,那么该组织都很好,GDPR遵守的范围内。在这一点上,那么该组织需要充分地存储和安全的方式传递信息,以防止PII的臀位,该组织可以在市场上容易获得的内容分类和文件加密技术,做到这一点。