Gdpr bermula hari ini! apa yang anda perlu tahu

Bermula hari ini, 25 Mei 2018, Undang-undang Perlindungan Data Umum (EU) Peraturan Perlindungan Data (GDPR) secara berkesan akan menjadi undang-undang global apabila ia membabitkan persoalan bagaimana data peribadi mesti dikendalikan oleh perniagaan. Walaupun anda mungkin berfikir bahawa undang-undang perlindungan data yang disahkan di Eropah akan terpakai hanya kepada orang Eropah, anda akan salah. Ini kerana GDPR melindungi semua warga EU di mana sahaja mereka tinggal dan tidak kira siapa mereka menjalankan perniagaan, bermakna bahawa syarikat-syarikat Amerika dengan pelanggan EU adalah tertakluk kepada syarat GDPR dan, lebih buruk lagi, penalti. Lebih buruk lagi, menurut satu laporan baru-baru ini dari Rakan Penyelidik Ramai, hanya 7 peratus syarikat berada di landasan untuk mematuhi GDPR oleh tarikh akhir hari ini.

Dan sementara ada langkah-langkah yang dapat anda ambil bahkan hari ini untuk memastikan syarikat anda sekurang-kurangnya agak selamat dari GDPR, mencapai pematuhan penuh bukanlah projek yang ringan. Proses pengumpulan data mestilah berkaitan dengan bagaimana data akan digunakan oleh syarikat (contohnya, data belanja pengguna tetapi bukan data sejarah perubatan untuk syarikat e-dagang). Syarikat harus bersedia dan dapat menjelaskan dengan tepat data yang telah dikumpulkan dan mengapa. Amalan keselamatan mestilah menunjukkan keupayaan yang jelas untuk melindungi daripada kerugian, kerosakan dan kemusnahan, dan data tidak boleh dipegang lebih lama daripada yang diperlukan. Mana-mana syarikat yang tidak mematuhi peraturan akan tertakluk kepada pelucuthakan pendapatan tahunan 4 peratus.

"Ini bukan satu set peraturan dan peraturan tanpa gigi, " kata Pengetua Penyelesaian Strategik Ankur Laroia di Alfresco pembekal sistem pengurusan maklumat. Permainania membuat kes yang beberapa isu dalam undang-undang peraturan akan menjadikan sukar bagi syarikat untuk tetap mematuhi peraturan. Sebagai contoh, beberapa isu termasuk peraturan yang ditulis secara abstrak untuk mengapakah data dikumpulkan, keperluan yang terlalu tinggi untuk menggosok data pelanggan apabila diminta, dan keperluan bagi sesetengah syarikat untuk benar-benar mengubah prosedur keselamatan semata-mata untuk tujuan pematuhan. Namun, Laroia tidak berfikir bahawa EU sedang meraba-raba.

"EU akan pergi selepas pesalah, " beliau meramalkan. "Sekiranya ini telah digubal, Equifax akan mengalami banyak masalah."

GDPR, sambil memberi tumpuan terutamanya kepada warga EU, juga memberikan senario mimpi ngeri bagi pemilik perniagaan Amerika., kami akan memecah apa yang rakyat Amerika perlu tahu untuk memulakan perjalanan ke arah pematuhan GDPR.

1. Syarikat Amerika Perlu Mematuhi

Jika kedai buku ibu-dan-pop anda tidak pernah menghantar pakej di luar bandar rumah anda, maka anda mungkin tidak perlu membimbangkan diri dengan GDPR. Walau bagaimanapun, jika anda mempunyai seorang pelanggan yang berpangkalan di EU, maka anda perlu memulakan proses menjadi patuh kepada GDPR dengan segera. Di bawah undang-undang tersebut, data warga EU mesti dilindungi dan anda mesti memberikan warganegara dengan data tersebut jika dia memintanya. Lebih penting lagi, anda mungkin diminta untuk membersihkan data tersebut dari sistem anda jika dan ketika warga membuat permintaan. Sekiranya anda tidak dan pemerhati GDPR mendapati, maka anda akan kehilangan 4 peratus daripada pendapatan tahunan anda.

"Walaupun ia merupakan arahan EU, ia memberi kesan kepada mana-mana syarikat di seluruh dunia yang mempunyai penduduk EU sebagai pelanggan, " kata Pete Lindstrom, Naib Presiden Penyelidikan Keselamatan di IDC. "Jika anda mempunyai medan alamat dan alamat Eropah, mereka mungkin akan dianggap Eropah."

Tidak ada perbezaan antara syarikat yang beribu pejabat di EU atau di bandar seperti Skokie, Illinois. Undang-undang itu menumpukan kepada maklumat peribadi (PII) dan di mana orang yang berkaitan dengan data itu tinggal. Sesiapa sahaja yang mempunyai apa-apa jenis data PII pada pelanggan Eropah perlu mematuhi.

Walaupun syarikat anda mempunyai beberapa pelanggan berasaskan EU, sangat tidak mungkin kedai buku tempatan anda akan diaudit oleh pengawas GDPR. Tetapi syarikat-syarikat besar, seperti Facebook dan Yahoo, tidak akan dapat menuntut kesetiaan Amerika sebagai cara untuk memakai GDPR.

"Jika anda seorang ibu-dan-pop dan anda mempunyai pelanggaran, anda bertanggungjawab secara sah, " kata Laroia. "Adalah sukar untuk mengatakan jika mereka akan realistik datang selepas anda… setiap negara anggota EU akan mempunyai pejabat pematuhan. Pejabat itu akan mula meminta skim pematuhan semua orang. Mereka akan membuat inventori syarikat yang menjalankan perniagaan di geografi mereka. Mereka akan mencari orang yang lebih besar dan mula bertanya."

Syarikat-syarikat Amerika yang tidak mematuhi seharusnya tidak mengharapkan kerajaan AS melindungi mereka apabila negara EU yang disokong GDPR cuba untuk mengutip hasil yang terlucut. "Kerajaan Amerika Syarikat terpaksa memastikan bahawa pertimbangan itu dikuatkuasakan, " kata Laroia. "Sama ada mereka dikuatkuasakan masih belum dapat dilihat, tetapi kerajaan di EU perlu berjuang."

2. Mei 25 Berarti 25 Mei

Walaupun peraturan itu berkuat kuasa hari ini, 25 Mei 2018, undang-undang itu telah disahkan oleh Parlimen EU pada 14 April 2016. Ini bermaksud sejauh mana persoalan EU, syarikat mempunyai banyak masa untuk meletakkan amalan patuh GDPR ke tempatnya. Jadi, jika syarikat anda dilanda cyberattack yang besar esok dan data data yang anda kumpulkan pada pelanggan, pelawat laman web, dan juga rakan-rakan yang keluar ke web gelap yang jahat, maka anda tidak boleh menuntut "masa yang tidak mencukupi" sebagai alasan untuk mendedahkan data warga EU.

"Ketetapan itu berkuat kuasa, " kata Laroia. "Anda boleh diminta untuk menunjukkan perjalanan anda menjadi pematuhan sudah Adakah anda inventori? Apa protokol anda untuk warga EU untuk bertanya tentang data anda? Syarikat-syarikat ini boleh diminta untuk maklumat ini sekarang. Mereka akan mula didenda tahun depan jika mereka tidak boleh menunjukkan pematuhan selepas Mei."

3. Jangan Mengharapkan Pelanjutan

Tidak seperti kebanyakan peraturan perundangan yang kita ada di Amerika Syarikat (misalnya, Net Neutrality), tidak ada seorang pun di EU melangkah pada 24 Mei 2018 untuk mencabar GDPR dan dengan itu menangguhkan peraturan selama-lamanya. Eropah mahu ini dan kini mereka telah mendapatnya.

"Inilah keindahan peraturan yang telah ditetapkan, " kata Laroia. "Kerana mereka memberi perbadanan setahun untuk membuat tindakan mereka betul-betul, tidak ada cabaran di sana dari perspektif litigasi, jika kita akan melihatnya, sudah pasti sudah berlaku. Mungkin ada orang yang melakukannya selepas mereka dituduh? Saya pasti mereka akan cuba, tetapi ia akan kelihatan buruk pada mereka pada ketika itu."

4. Apa Yang Perlu Anda Lakukan untuk Mematuhi

Seperti yang diperlukan oleh peraturan, anda perlu meletakkan seseorang yang bertanggungjawab menguruskan proses pematuhan. Orang ini, yang mana undang-undang GDPR melabur "Pegawai Perlindungan Data" (DPO), akan menjadi orang yang bertanggungjawab untuk berjalan dalam pasukan pengawasan GDPR menerusi cara syarikat anda memperoleh datanya. Orang ini juga akan bertanggungjawab untuk menarik bersama-sama rangkaian perniagaan yang berbeza di dalam syarikat anda untuk menghasilkan metodologi untuk mendapatkan dan kekal mematuhi GDPR.

Secara ringkasnya, tugas DPO akan dipecahkan kepada empat kategori utama:

• Pertama, mereka perlu cukup akrab dengan butiran GDPR untuk bertindak sebagai orang penting bukan sahaja untuk proses pematuhan awal tetapi untuk semua soalan pengendalian data yang berkaitan dengan GDPR pada masa akan datang, dan sudah tentu cukup sehingga mereka boleh menjawab soalan oleh kedua-dua kanan eksekutif dan pengendalian data pengendalian IT di lapangan.
• Kedua, mereka perlu dapat memantau semua proses pengendalian data yang berterusan dalam organisasi anda dan menilai keberkesanannya berkaitan dengan keselamatan data peribadi.
• Ketiga, mereka perlu memiliki keupayaan pengauditan dan pemantauan ke atas mana-mana bidang perniagaan Anda yang mungkin terpengaruh oleh GDPR dan menilai mereka untuk pematuhan secara teratur.
• Dan yang terakhir, mereka perlu berhubung dengan pihak berkuasa GDPR untuk industri anda, bekerjasama dengan mereka, dan bertindak sebagai orang penting untuk sebarang permintaan yang datang dari pihak berkuasa itu.

Kesemua ini beralih kepada individu yang memahami aliran data, dan langkah-langkah dan teknologi perlindungan data, serta pengetahuan tentang perundangan perundangan GDPR tetapi juga pengetahuan tentang undang-undang EU berkaitan dan berkaitan, seperti Arahan E-Privasinya. Kekurangan kemahiran ini telah mewujudkan peluang lapangan hijau untuk perniagaan dan perundingan IT tetapi, jika anda ingin mengembangkan bakat ini di dalam rumah, maka pertaruhan yang baik adalah mencari sumber pembelajaran dalam talian berbahasa Inggeris, kebanyakannya telah membangunkan perisian DPO GDPR untuk tujuan ini. Di samping itu, terdapat organisasi industri multinasional, seperti Persatuan Profesional Privasi Antarabangsa (IAPP), yang menawarkan kursus latihan dan pensijilan latihan GDPR.

Dengan nota yang lebih teknikal, untuk tetap mematuhi, anda perlu menggunakan sekurang-kurangnya satu kaedah penyulitan untuk pelayan fizikal, storan yang dilampirkan rangkaian (NAS), cakera dan pemacu, dan akses rangkaian. Anda perlu mengesahkan identiti pekerja dan memulakan pengesahan multifaktor (MFA) ketika mengakses PII dan untuk transaksi yang termasuk data PII. Anda perlu memotong apa-apa amalan yang mengakses atau memproses data untuk tujuan yang tidak dibenarkan, sentiasa memantau dan mengesahkan data untuk memastikan relevan, dan memadamkan data pelanggan sepenuhnya dan tidak boleh dipulihkan apabila diminta berbuat demikian. Organisasi akan dikehendaki menjalankan penilaian risiko penuh dan bekerjasama dengan rakan-rakan, terutama yang berkaitan melalui antaramuka pengaturcaraan aplikasi (API), untuk memastikan pematuhan yang berterusan.

Akhirnya, jika data organisasi anda dilanggar, maka anda perlu memaklumkan kepada penyelia GDPR anda dengan segera untuk menerangkan pelanggaran dan akibatnya sepenuhnya. Dan anda perlu mengkomunikasikan ramalan pelanggaran kepada pelanggan yang berpengaruh.

5. Pelanggan AS

Gameia berkata ia adalah usaha perniagaan yang baik untuk menjaga dan menjadi pelayan utama maklumat pelanggan. "Anda perlu melihat ini dari sudut pandang pelanggan akhir, " kata Laroia. "Mereka adalah sebab syarikat-syarikat ini dalam perniagaan, ya, walaupun ia menyakitkan untuk perniagaan, syarikat tidak melabur dalam teknologi atau terus dengan inovasi."

Malangnya, peraturan Amerika yang sama tidak ada di dalam buku. Syarikat-syarikat yang menjalankan perniagaan di New York di bawah Keperluan Keselamatan Siber Jabatan Perkhidmatan Kewangan Jabatan New York telah diliputi oleh tahap tertentu. Peraturan ini memerlukan perniagaan yang berpangkalan di New York untuk melaksanakan dan menyelenggarakan dasar atau kebijakan tertulis, yang diluluskan oleh Pegawai Kanan atau lembaga pengarah yang Dilindungi (atau jawatankuasa yang sesuai) atau badan pentadbiran yang bersamaan. Ini menetapkan dasar dan prosedur Covered Entity untuk melindungi Sistem Maklumat dan Maklumat Bukan Publik yang disimpan di Sistem Maklumat tersebut, mengikut undang-undang bertulis.

Negeri-negeri lain, seperti Colorado, telah membincangkan pelaksanaan peraturan yang sama. Walau bagaimanapun, tiada undang-undang persekutuan AS yang menyapu wujud. Tetapi Laroia optimis AS akan datang. "Orang Amerika tidak mempunyai hak seperti itu, " katanya. "Tetapi berikan lima tahun."