Gdpr počinje danas! što trebaš znati

Od danas, 25. svibnja 2018., zakonodavstvo Opće uredbe o zaštiti podataka (GDPR) Europske unije (EU) učinkovito će postati globalno pravo kada je riječ o pitanjima kako tvrtke moraju postupati s osobnim podacima. Iako možda mislite da će se zakon o zaštiti podataka ratificiran u Europi primjenjivati ​​samo na Europljane, bili biste u krivu. To je zato što GDPR štiti sve građane Europske unije bez obzira gdje žive i bez obzira s kim posluju, što znači da američke kompanije s kupcima iz EU-a u potpunosti podliježu zahtjevima GDPR-a i, što je još gore, kazne. Još gore, prema nedavnom izvješću istraživača Crowd Research Partners, samo 7 posto tvrtki na putu je da ispune GDPR do današnjeg roka.

Iako postoje koraci koje možete poduzeti i danas kako biste očuvali sigurnost tvrtke barem donekle GDPR-om, postizanje pune sukladnosti nije lagan projekt. Postupci prikupljanja podataka moraju biti relevantni za način na koji će ih tvrtka koristiti podacima (na primjer, podaci o kupnji potrošača, ali ne i podaci iz povijesti bolesti za tvrtke e-trgovine). Tvrtke bi trebale biti spremne i sposobne objasniti točno koje su podatke prikupljene i zašto. Sigurnosne prakse moraju pokazati jasnu sposobnost zaštite od gubitaka, oštećenja i uništenja, a podaci se ne smiju zadržavati duže nego što je potrebno. Svaka tvrtka koja se ne pridržava propisa podvrgavat će se 4 posto gubitka godišnjeg prihoda.

"Ovo nije zub bez skupa pravila i propisa", rekao je Ankur Laroia, vođa strateških rješenja pri davatelju informacijskog sustava Alfresco. Laroia smatra da će nekoliko problema u podzakonskim aktima uredbe otežati poslovanje tvrtkama. Primjerice, nekoliko pitanja uključuju apstraktno napisana pravila zašto se prikupljaju podaci, prekomjerne zahtjeve za čišćenjem podataka o klijentima kada se zahtijevaju i potrebu da neke tvrtke potpuno obnove sigurnosne postupke isključivo u svrhu osiguranja poštivanja. Ipak, Laroia ne misli da se EU zabrlja.

"EU će tražiti počinitelje", predviđa on. "Da je ovo doneseno, Equifax bi upao u velike probleme."

GDPR se, usredotočujući se prvenstveno na građane EU, predstavlja i scenarij noćne more za vlasnike američkih tvrtki., raščlanit ćemo ono što Amerikanci trebaju znati kako bi započeli put prema poštivanju GDPR-a.

1. Američke će tvrtke morati poštivati

Ako vaša knjižara mama i pop nikad nije isporučila paket izvan vašeg rodnog grada, vjerojatno se nećete morati brinuti o GDPR-u. Međutim, ako imate čak i jednog kupca sa sjedištem u EU-u, morat ćete odmah započeti proces postajanja sukladnog GDPR-u. Prema podzakonskim aktima, podaci o građanima EU moraju biti zaštićeni i morate građaninu pružiti te podatke ako ih on zatraži. Još važnije, od vas će se možda tražiti da te podatke očistite iz svojih sustava ako i kada građanin podnese zahtjev. Ako to ne učinite, a GDPR čuvar dozna, tada ćete izgubiti 4 posto godišnjeg prihoda.

"Iako je to direktiva EU, ona utječe na bilo koju tvrtku širom svijeta koja ima rezidente EU kao kupce", rekao je Pete Lindstrom, potpredsjednik sigurnosnog istraživanja u IDC-u. "Ako imate adresna polja i oni su europska adresa, oni će se vjerojatno smatrati europskim."

Ne postoji razlika između tvrtke sa sjedištem u EU ili grada kao što su Skokie, Illinois. Zakon se umjesto toga usredotočuje na podatke koji se mogu osobno identificirati (PII) i na kojoj prebiva osoba povezana s podacima. Svi koji imaju bilo kakve PII podatke o europskom kupcu morat će se pridržavati.

Čak i ako vaša tvrtka ima nekoliko kupaca sa sjedištem u EU, vrlo je malo vjerojatno da će lokalnu knjižaru pregledati GDPR čuvari. Ali velike kompanije, poput Facebooka i Yahooa, neće moći tvrditi američku odanost kao način suzbijanja GDPR-a.

"Ako ste mama i pop i imate prekršaj, pravno ste odgovorni", rekla je Laroia. "Teško je reći hoće li zaista doći nakon vas… svaka država članica EU-a imat će ured za poštovanje pravila. Taj će ured početi pitati za svačiju shemu poštivanja pravila. Sastavit će popis tvrtki koje posluju u njihovim zemljopisima. Oni će na licu mjesta provjeriti krupnije momke i početi postavljati pitanja."

Američke tvrtke koje se ne pridržavaju ne bi trebale očekivati ​​da će ih američka vlada zaštititi kad države koje podržavaju GDPR pokušaju prikupiti taj oduzeti prihod. "Američka vlada primorana je osigurati izvršenje tih presuda", rekla je Laroia. "Hoće li se oni nametnuti, tek ćemo vidjeti, ali Vlada u EU morat će se boriti."

2. 25. svibnja znači 25. svibnja

Iako uredba stupa na snagu danas, 25. svibnja 2018., zakon je ratificirao Parlament EU 14. travnja 2016. To znači da, što se tiče EU-a, tvrtke su imale dovoljno vremena za uspostavljanje prakse u skladu sa GDPR-om, Dakle, ako je vašu tvrtku sutra pogođen ogromnim cyber-napadom i podaci prikupljeni o kupcima, posjetiteljima web stranica, pa čak i partnerima, izađu na zloglasan mračni web, tada ne možete tvrditi da "nedostaje vremena" kao izgovor za otkrivanje podataka o građanima EU.

"Statut je stupio na snagu", rekla je Laroia. "Od vas se može tražiti da svoje putovanje pokažete u skladu. Jeste li napravili inventuru? Kakav je vaš protokol za državljanina EU-a da vas pita o vašim podacima? Od ovih kompanija mogu se odmah zatražiti te informacije. Oni će početi novčano biti kažnjeni sljedeće godine ako ne mogu demonstrirati sukladnost nakon svibnja."

3. Ne očekujte ekstenziju

Za razliku od većine pravnih propisa koje imamo u SAD-u (na primjer, Neto neutralnost), nitko u EU-u nije stupio 24. svibnja 2018. da ospori GDPR i time odgodio regulaciju na neodređeno vrijeme. Europljani su to željeli i sada su dobili.

"Ovo je ljepota načina na koji su postavljeni propisi", rekla je Laroia. "Budući da su korporacijama dali godinu dana da isprave svoje postupke, iz perspektive parnica tu nije bilo nikakvih izazova. Da smo to vidjeli, to bi se već dogodilo. Može li to netko učiniti nakon što tuže? Siguran sam da će pokušati, ali to će ih u tom trenutku loše gledati."

4. Što ćete trebati učiniti da biste to ispunili

Kako propis zahtijeva, morat ćete staviti nekoga zaduženog za upravljanje postupkom usklađenosti. Ova osoba koju GDPR zakon naziva "službenikom za zaštitu podataka" (DPO) bit će osoba odgovorna za hodanje tima za nadzor GDPR-a kroz načine na koje je vaša tvrtka osiguravala svoje podatke. Ova će osoba također biti odgovorna za spajanje različitih linija poslovanja unutar vaše tvrtke kako bi se izradila metodologija za dobivanje i zadržavanje GDPR-a.

Ukratko, dužnosti DPO-a razbiti će se u četiri ključne kategorije:

• Prvo, moraju biti dovoljno upoznati s GDPR-ovim detaljima da bi mogli biti vodeća osoba ne samo za početni postupak poštivanja propisa, već i za sva pitanja vezana uz GDPR-ove podatke u budućnosti, a zasigurno dovoljno da mogu postavljati pitanja i starijih osoba rukovoditelji i rukovanje podacima IT operatora na terenu.
• Drugo, oni moraju biti u stanju nadzirati sve tekuće procese rukovanja podacima u vašoj organizaciji i procijeniti njihovu učinkovitost u pogledu sigurnosti osobnih podataka.
• Treće, moraju imati sposobnosti revizije i nadzora nad bilo kojim područjem vašeg poslovanja na koje bi GDPR mogao utjecati i redovito ih ocjenjivati ​​radi usklađenosti.
• I na kraju, oni moraju biti u kontaktu s GDPR vlastima za vašu industriju, surađivati ​​s njima i djelovati kao bodovna osoba za sve zahtjeve koji dolaze od te vlasti.

Sve se to svodi na pojedinca koji razumije protok podataka, mjere i tehnologije zaštite podataka, kao i ne samo znanje detalja o GDPR zakonodavstvu, već i poznavanje odgovarajućeg i relevantnog EU zakonodavstva, kao što je njegova Direktiva o privatnosti. Vjerojatni nedostatak ovih vještina stvorio je nešto zeleno polje za poslovne i IT konzultantske usluge, no, ako želite razviti taj talent u vlastitoj kući, onda je dobra oklada tražiti europske internetske resurse za učenje engleskog jezika, od kojih su mnogi razvili GDPR DPO tečajeve za ovu svrhu. Uz to, postoje organizacije multinacionalne industrije, poput Međunarodnog udruženja profesionalaca za zaštitu privatnosti (IAPP), koje nude GDPR tečajeve za obuku i certifikate.

Uz tehničku napomenu, da biste ostali usaglašeni, morat ćete upotrijebiti barem jednu metodu šifriranja za fizičke servere, mrežnu pohranu (NAS), diskove i pogone te mrežni pristup. Trebat ćete provjeriti identitete zaposlenika i uspostaviti višefaktornu provjeru autentičnosti (MFA) prilikom pristupa PII-u i za transakcije koje uključuju podatke o PII-u. Trebat ćete isključiti sve prakse koje pristupe podacima ili ih obrađuju u neovlaštene svrhe, neprestano nadgledaju i provjeravaju podatke kako bi se osigurala relevantnost te u potpunosti i nepovratno čistili podatke o klijentima kada se to od vas zatraži. Od organizacija će se tražiti da provode cjelovite procjene rizika i rade s partnerima, posebno onima povezanima putem aplikacijskih programskih sučelja (API-ja) kako bi osigurali stalnu usklađenost.

Konačno, ako su podaci vaše organizacije prekršeni, morat ćete odmah obavijestiti svog povezanog nadzornika GDPR-a da u cijelosti opišete kršenje i njegove posljedice. I morat ćete priopćiti ugroženim kupcima posljedice kršenja.

5. Kupci u SAD-u

Laroia je rekla da je u konačnici dobar poslovni smisao čuvati i biti dobri stjecatelji korisničkih informacija. "Na ovo morate gledati sa stajališta krajnjeg kupca", rekla je Laroia. "Oni su razlog zbog kojeg ove tvrtke posluju. Da, iako je to bolno za posao, tvrtke nisu uložile u tehnologiju ili držale korak s tempom inovacija."

Nažalost, slični američki propisi ne postoje u knjigama. Tvrtke koje posluju u New Yorku u skladu s Zahtjevima kibernetičke sigurnosti Odjela financijskih usluga u New Yorku. Ova uredba zahtijeva da tvrtke sa sjedištem u New Yorku provode i održavaju pisanu politiku ili politike, koje je odobrio viši dužnosnik ili upravni odbor pokrivenog entiteta (ili odgovarajući odbor tog tijela) ili ekvivalentno upravljačko tijelo. Ovo utvrđuje politike i postupke pokrivenog entiteta za zaštitu njegovih informacijskog sustava i nejavnih podataka pohranjenih u tim informacijskim sustavima, u skladu s pisanim zakonom.

Ostale države, poput Colorada, razgovarale su o provođenju sličnih propisa. Međutim, ne postoji brzi američki savezni zakon. Ali Laroia je uvjeren da će SAD biti sljedeće. "Amerikanci nemaju takva prava", rekao je. "Ali dajte mu pet godina."