先科普下GDPR(通用數據保護條例)是什么���?
2016年4月歐盟議會通過了GDPR(通用數據保護條例),以此取代1995年過時的數據保護指令��。該條例規(guī)定企業(yè)必須保護在歐盟成員國內發(fā)生交易的個人數據和隱私。GDPR還對歐盟境外的個人數據輸出加以管制�。
新條例直接適用于28個歐盟成員國,這也意味著在歐盟內部企業(yè)只有著一個標準���。但這個標準相當高����,而且需要大多數企業(yè)進行大量投資才能滿足條例中提出的管理數據條件��。
更離譜地是���,一家國外分析機構Senzing經過對歐盟企業(yè)(英國�����,法國��,德國�,西班牙和意大利)的1000位高管調研發(fā)現(xiàn)���,60%的歐盟企業(yè)領導者承認�����,對新的數據保護條例�,他們的企業(yè)還沒準備好。24%的受訪者表示認為自家企業(yè)在GDPR合規(guī)方面處于“風險”狀態(tài)�。36%的受訪者認為即將面臨挑戰(zhàn)����,僅40%的受訪者號稱已然準備就緒。
還有一家國外機構Ovum則在報告中稱���,約三分之二的美國企業(yè)認為GDPR會讓他們重新思考在歐洲的戰(zhàn)略�����。85%的美國企業(yè)則認為GDPR讓它們在與歐洲公司競爭時處于劣勢����。
歐盟企業(yè)說還沒準備好���,美國企業(yè)直接表示自己壓力山大����。
GDPR會影響哪些公司呢��?
任何存儲或處理歐盟國家內歐盟公民個人信息的企業(yè),只要在歐盟境內�,即使沒有業(yè)務,也必須遵守GDPR�����。需要遵守的具體標準的企業(yè)包括:
在歐盟國家內�����。
不在歐盟國家內��,但有處理歐洲公民個人數據業(yè)務�。
超過250名員工。
少于250名員工��,但其數據處理影響了數據當事人的權利和自由�,不是偶一為之,或者包括某些敏感的個人數據���。這幾乎意味著條例對所有公司有效���。
企業(yè)什么時候需要遵守?
公司必須要在2018年5月25日之前顯示自身的合規(guī)性�。
在以上表述的企業(yè)內誰要負責合規(guī)��?
GDPR規(guī)定了若干確保合規(guī)性的管理者角色:數據管理人員(data controller)��,數據處理人員(data processor)和數據保護專員���。數據管理人員規(guī)定個人數據的處理方式和處理目的,并且要確保外部承包商遵守條例���。
數據處理人員可以是一個內部團隊,負責維護并處理個人數據記錄或是維護執(zhí)行全部或部分這行業(yè)務的所有外包公司�。GDPR要求處理人員對這些公司的違規(guī)行為負責。也就是說��,即使完全是企業(yè)的數據處理合作伙伴(如云提供商)的過錯�����,雙方都必須要承擔處罰責任����。
GDPR還要求數據管理和處理人員指定一個數據保護專員對數據安全策略和GDPR合規(guī)性進行監(jiān)督。如果企業(yè)需要處理或存儲大量歐盟公民的數據����,處理或存儲特殊個人數據���,定期監(jiān)測數據主體,或是政府相關部門��,就必須要有數據保護專員��。執(zhí)法機構等部門可免除數據保護專員的要求��。
企業(yè)著手GDPR的準備工作需要花費的費用��?
據普華永道調查����,68%的美國企業(yè)預計將花費100萬到1000萬美元來滿足GDPR的要求。另有9%的企業(yè)預計花費超過1000萬美元����。
如果我的企業(yè)不符合GDPR規(guī)定會怎樣?
GDPR允許予以高達2000萬歐元的巨額罰款或4%的全球年營業(yè)額(以較高者為準)�。根據Ovum的報告顯示,52%的公司認為它們會因違規(guī)被罰款���。管理咨詢公司Oliver Wyman預測���,歐盟在第一年可能會收取高達60億美元的罰款����。
在5月25日最后期限之前��,有企業(yè)依舊沒有遵守規(guī)定����,也不會孤單。大約一半應當合規(guī)的美國公司不滿足所有要求��。根據Solix Technologies在12月發(fā)布的調查報告顯示�����,22%的企業(yè)仍然沒意識到它們必須遵守GDPR����。38%的企業(yè)則稱����,它們處理的個人數據在生命周期內的每個階段都不會被濫用而且無法避免其它非法訪問。
這讓很多組織機構輕易就要受罰�。最大的懸而未決的問題是如何對于懲罰評級。例如��,一家給當事群體帶來影響最小的違規(guī)公司和一家因暴露了當事群體的個人身份信息(PII)而導致實際損失的違規(guī)公司,兩者處罰有何不同�?相對達成一致的是,監(jiān)管機構會對一些早期發(fā)現(xiàn)不合規(guī)的公司迅速采取行動����,發(fā)送信息。然后就可以更好地評估在發(fā)現(xiàn)不合規(guī)情況時的預想結果���。
GDPR保護哪些類型的隱私數據��?
基本的身份信息�����,如姓名���,地址和身份證號碼;
網絡數據����,如位置,IP地址����,Cookie數據和RFID標簽���;
健康和基因數據;
生物識別數據�;
種族或民族數據;
政治觀點��;
性取向��;
哪些GDPR規(guī)定會影響哪些企業(yè)���?
GDPR的新規(guī)定將迫使一些公司改變它們處理���,存儲和保護客戶個人數據的方式。例如�����,只有在個人同意的情況下��,企業(yè)才能被允許存儲和處理個人信息���,并且“個人信息的處理目的不再是必要的”。個人信息必須能夠從一家公司轉移到另一家公司,企業(yè)還必須按要求刪除個人資料����。
最后一項規(guī)定被稱為被遺忘的權利。例如���,GDPR不是說取代企業(yè)維護某些數據的任何法律規(guī)定�,也就是代表追加�。這也包括HIPAA(健康流通與保險責任法案)健康記錄規(guī)定。
有幾項規(guī)定會直接影響安全團隊��。其一是公司必須能夠為歐盟公民提供“合理”的數據保護和隱私�。非常意味深長地是GDPR所述的“合理”含義并不明確。
還有一個極具挑戰(zhàn)性的要求是�,企業(yè)必須在發(fā)現(xiàn)違規(guī)事件的72小時內向監(jiān)管部門和受到違規(guī)影響的個人舉報數據違規(guī)行為。另一個關系到影響評估的要求是它希望企業(yè)通過識別和解決漏洞來幫助減輕違規(guī)的風險����。
