Gdpr bắt đầu từ hôm nay! Những gì bạn cần biết

Bắt đầu từ hôm nay, ngày 25 tháng 5 năm 2018, luật pháp Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu (EU) sẽ thực sự trở thành luật toàn cầu khi đặt câu hỏi về cách xử lý dữ liệu cá nhân của các doanh nghiệp. Mặc dù bạn có thể nghĩ rằng luật bảo vệ dữ liệu được phê chuẩn ở châu Âu sẽ chỉ áp dụng cho người châu Âu, nhưng bạn đã sai. Đó là bởi vì GDPR bảo vệ tất cả công dân EU bất kể họ sống ở đâu và bất kể họ đang kinh doanh với ai, có nghĩa là các công ty Mỹ có khách hàng EU phải tuân theo các yêu cầu GDPR và tệ hơn là phạt. Tồi tệ hơn bởi vì, theo một báo cáo gần đây từ Crowd Research Partners, chỉ có 7 phần trăm các công ty đang trên đà tuân thủ GDPR theo thời hạn hôm nay.

Và trong khi có những bước bạn có thể thực hiện ngay cả hôm nay để giữ cho công ty của bạn ít nhất là an toàn GDPR, thì việc tuân thủ đầy đủ không phải là một dự án nhẹ. Các quy trình thu thập dữ liệu phải phù hợp với cách dữ liệu sẽ được sử dụng bởi công ty (ví dụ: dữ liệu mua sắm của người tiêu dùng nhưng không phải dữ liệu lịch sử y tế cho các công ty thương mại điện tử). Các công ty nên sẵn sàng và có thể giải thích chính xác dữ liệu nào đã được thu thập và tại sao. Thực tiễn bảo mật phải thể hiện khả năng rõ ràng để bảo vệ chống lại sự mất mát, thiệt hại và phá hủy và dữ liệu không nên được giữ lâu hơn mức cần thiết. Bất kỳ công ty nào không tuân thủ quy định sẽ bị tịch thu 4% doanh thu hàng năm.

"Đây không phải là một bộ quy tắc và quy định vô bổ", Ankur Laroia, Trưởng nhóm Giải pháp Chiến lược tại nhà cung cấp hệ thống quản lý thông tin Alfresco cho biết. Laroia đưa ra trường hợp rằng một số vấn đề trong quy định của quy định sẽ gây khó khăn cho các công ty trong việc tuân thủ. Ví dụ, một số vấn đề bao gồm các quy tắc được viết một cách trừu tượng về lý do tại sao dữ liệu được thu thập, phản ứng thái quá các yêu cầu để xóa dữ liệu khách hàng khi được yêu cầu và một số công ty cần hoàn toàn sửa đổi các quy trình bảo mật chỉ nhằm mục đích đảm bảo tuân thủ. Tuy nhiên, Laroia không nghĩ rằng EU đang gây rối.

"EU sẽ theo đuổi những kẻ phạm tội", ông dự đoán. "Nếu điều này được ban hành, Equachus sẽ gặp nhiều rắc rối."

GDPR, trong khi tập trung chủ yếu vào các công dân EU, cũng đưa ra một kịch bản ác mộng cho các chủ doanh nghiệp Mỹ., chúng tôi sẽ chia nhỏ những gì người Mỹ cần biết để bắt đầu hành trình tuân thủ GDPR.

1. Các công ty Mỹ sẽ cần phải tuân thủ

Nếu cửa hàng sách mẹ và con của bạn chưa bao giờ vận chuyển một gói bên ngoài thành phố của bạn, thì có lẽ bạn sẽ không cần phải quan tâm đến GDPR. Tuy nhiên, nếu bạn thậm chí có một khách hàng ở EU, thì bạn sẽ cần bắt đầu quá trình trở thành tuân thủ GDPR ngay lập tức. Theo quy định, dữ liệu công dân EU phải được bảo vệ và bạn phải cung cấp cho công dân dữ liệu nói trên nếu họ yêu cầu. Quan trọng hơn, bạn có thể được yêu cầu thanh lọc dữ liệu đó khỏi hệ thống của mình nếu và khi công dân đưa ra yêu cầu. Nếu bạn không và cơ quan giám sát GDPR phát hiện ra, thì bạn sẽ mất 4% doanh thu hàng năm.

"Mặc dù đó là một chỉ thị của EU, nhưng nó tác động đến bất kỳ công ty nào trên thế giới có cư dân EU là khách hàng", Pete Lindstrom, Phó Chủ tịch Nghiên cứu An ninh tại IDC cho biết. "Nếu bạn có các trường địa chỉ và chúng là một địa chỉ châu Âu, chúng có thể sẽ được coi là châu Âu."

Không có sự phân biệt giữa một công ty có trụ sở tại EU hoặc trong một thành phố như Skokie, Illinois. Luật thay vào đó tập trung vào thông tin nhận dạng cá nhân (PII) và nơi người liên quan đến dữ liệu cư trú. Bất kỳ ai có bất kỳ loại dữ liệu PII nào về khách hàng châu Âu đều phải tuân thủ.

Ngay cả khi công ty của bạn có một vài khách hàng ở EU, rất có thể cửa hàng sách địa phương của bạn sẽ bị kiểm tra bởi các cơ quan giám sát GDPR. Nhưng các công ty lớn, chẳng hạn như Facebook và Yahoo, sẽ không thể tuyên bố sự trung thành của Mỹ như một cách để vượt qua GDPR.

Laroia nói: "Nếu bạn là một bà mẹ và bạn vi phạm, bạn phải chịu trách nhiệm pháp lý". "Thật khó để nói rằng họ sẽ đến một cách thực tế sau khi bạn, mỗi quốc gia thành viên EU sẽ có một văn phòng tuân thủ. Văn phòng đó sẽ bắt đầu yêu cầu kế hoạch tuân thủ của mọi người. Họ sẽ tạo ra một kho lưu trữ các công ty kinh doanh theo khu vực địa lý của họ. Họ sẽ phát hiện ra những người lớn hơn và bắt đầu đặt câu hỏi. "

Các công ty Mỹ không tuân thủ không nên mong đợi chính phủ Hoa Kỳ bảo vệ họ khi các quốc gia EU được GDPR hỗ trợ cố gắng thu tiền bị tịch thu đó. "Chính phủ Mỹ buộc phải đảm bảo những phán quyết đó được thi hành", ông Laroia nói. "Cho dù họ được thi hành vẫn chưa được nhìn thấy, nhưng chính phủ ở EU sẽ phải chiến đấu."

2. Ngày 25 tháng 5 có nghĩa là ngày 25 tháng 5

Mặc dù quy định có hiệu lực vào ngày hôm nay, 25 tháng 5 năm 2018, luật đã được Nghị viện EU phê chuẩn vào ngày 14 tháng 4 năm 2016. Điều này có nghĩa là theo như EU có liên quan, các công ty đã có nhiều thời gian để áp dụng các biện pháp tuân thủ GDPR . Vì vậy, nếu công ty của bạn bị tấn công bởi một cuộc tấn công mạng lớn vào ngày mai và những thông tin dữ liệu bạn đã thu thập về khách hàng, khách truy cập trang web và thậm chí các đối tác thoát ra khỏi trang web đen tối bất chính, thì bạn không thể tuyên bố "không đủ thời gian" là một lý do để tiết lộ dữ liệu công dân EU.

"Các đạo luật đã có hiệu lực, " Laroia nói. "Bạn có thể được yêu cầu thể hiện hành trình tuân thủ của mình. Bạn đã phát minh ra chưa? Giao thức nào cho công dân EU hỏi về dữ liệu của bạn? Các công ty này có thể được yêu cầu cung cấp thông tin này ngay bây giờ. Họ sẽ bắt đầu bị phạt vào năm tới nếu họ không thể chứng minh sự tuân thủ sau tháng Năm. "

3. Đừng mong đợi một phần mở rộng

Không giống như hầu hết các cuộc chiến quy định pháp lý mà chúng tôi có ở Hoa Kỳ (ví dụ: Net Neutrality), không ai ở EU bước vào ngày 24 tháng 5 năm 2018 để thách thức GDPR và do đó hoãn quy định này vô thời hạn. Người châu Âu muốn điều này và bây giờ họ đã có nó.

"Đây là nét đẹp của cách các quy định đã được thiết lập, " Laroia nói. "Bởi vì họ đã cho các tập đoàn một năm để thực hiện đúng hành vi của họ, không có bất kỳ thách thức nào từ góc độ kiện tụng. Nếu chúng ta sẽ thấy điều đó, nó đã xảy ra rồi. Có ai có thể làm điều đó sau khi họ bị kiện không? Tôi chắc chắn họ sẽ cố gắng, nhưng nó sẽ trông kém về họ vào thời điểm đó. "

4. Bạn cần làm gì để tuân thủ

Theo quy định yêu cầu, bạn sẽ cần phải có người chịu trách nhiệm quản lý quy trình tuân thủ. Người này, người mà luật GDPR gọi là "Nhân viên bảo vệ dữ liệu" (DPO), sẽ là người chịu trách nhiệm dẫn dắt nhóm giám sát GDPR thông qua các cách thức mà công ty bạn đang bảo mật dữ liệu của mình. Người này cũng sẽ chịu trách nhiệm tập hợp các ngành kinh doanh khác nhau trong công ty của bạn để tạo ra một phương pháp để đạt và duy trì tuân thủ GDPR.

Tóm lại, nhiệm vụ của DPO sẽ được chia thành bốn loại chính:

• Trước tiên, họ cần phải đủ quen thuộc với các chi tiết GDPR để đóng vai trò là người điểm không chỉ cho quy trình tuân thủ ban đầu mà còn cho tất cả các câu hỏi xử lý dữ liệu liên quan đến GDPR trong tương lai, và chắc chắn đủ để họ có thể trả lời các câu hỏi của cả hai cấp cao giám đốc điều hành và xử lý dữ liệu các hoạt động CNTT trên mặt đất.
• Thứ hai, họ cần có khả năng giám sát tất cả các quy trình xử lý dữ liệu đang diễn ra trong tổ chức của bạn và đánh giá hiệu quả của chúng liên quan đến an toàn dữ liệu cá nhân.
• Thứ ba, họ cần có khả năng kiểm toán và giám sát đối với bất kỳ lĩnh vực kinh doanh nào của bạn có thể bị ảnh hưởng bởi GDPR và đánh giá chúng để tuân thủ một cách thường xuyên.
• Và cuối cùng, họ cần liên lạc với các cơ quan GDPR cho ngành của bạn, hợp tác với họ và đóng vai trò là người chỉ điểm cho bất kỳ yêu cầu nào đến từ cơ quan đó.

Tất cả những điều đó tập trung vào một cá nhân hiểu được các luồng dữ liệu, các biện pháp và công nghệ bảo vệ dữ liệu, cũng như không chỉ hiểu biết về các chi tiết pháp luật GDPR mà còn cả kiến ​​thức về luật pháp liên quan và liên quan của EU, như Chỉ thị về quyền riêng tư điện tử của EU. Việc thiếu các kỹ năng này đã tạo ra cơ hội lĩnh vực xanh cho các chuyên gia tư vấn CNTT và kinh doanh, nhưng, nếu bạn đang muốn phát triển tài năng này trong nhà, thì một cách tốt là tìm kiếm các tài nguyên học trực tuyến châu Âu nói tiếng Anh, nhiều trong số đó đã phát triển phần mềm khóa học GDPR DPO cho mục đích này. Ngoài ra, có các tổ chức công nghiệp đa quốc gia, chẳng hạn như Hiệp hội Chuyên gia Quyền riêng tư Quốc tế (IAPP), đang cung cấp các khóa học và chứng chỉ đào tạo GDPR.

Trên một lưu ý kỹ thuật hơn, để tuân thủ, bạn sẽ cần sử dụng ít nhất một phương thức mã hóa cho máy chủ vật lý, lưu trữ gắn mạng (NAS), đĩa và ổ đĩa và truy cập mạng. Bạn sẽ cần xác minh danh tính nhân viên và xác thực đa yếu tố (MFA) khi truy cập PII và cho các giao dịch bao gồm dữ liệu PII. Bạn sẽ cần phải cắt bỏ mọi thực hành truy cập hoặc xử lý dữ liệu cho các mục đích trái phép, liên tục theo dõi và xác minh dữ liệu để đảm bảo mức độ liên quan và thanh lọc hoàn toàn và không thể đảo ngược dữ liệu của khách hàng khi được yêu cầu. Các tổ chức sẽ được yêu cầu thực hiện đánh giá rủi ro đầy đủ và làm việc với các đối tác, đặc biệt là những người được kết nối thông qua giao diện lập trình ứng dụng (API), để đảm bảo tuân thủ liên tục.

Cuối cùng, nếu dữ liệu của tổ chức của bạn bị vi phạm, thì bạn sẽ cần thông báo cho người giám sát GDPR liên quan của mình ngay lập tức để mô tả đầy đủ về vi phạm và hậu quả của nó. Và bạn sẽ cần truyền đạt sự phân nhánh vi phạm đến các khách hàng bị ảnh hưởng.

5. Khách hàng Mỹ

Laroia cho biết cuối cùng ý thức kinh doanh tốt là bảo vệ và là người quản lý tốt thông tin khách hàng. "Bạn phải xem xét điều này từ quan điểm thuận lợi của khách hàng cuối cùng, " Laroia nói. "Chúng là lý do khiến các công ty này kinh doanh. Vâng, trong khi điều đó gây đau khổ cho doanh nghiệp, các công ty đã không đầu tư vào công nghệ hoặc theo kịp tốc độ đổi mới."

Thật không may, các quy định tương tự của Hoa Kỳ không có trên sách. Các công ty kinh doanh tại New York thuộc Bộ Yêu cầu An ninh mạng của Bộ Dịch vụ Tài chính New York được bảo vệ ở một mức độ nhất định. Quy định này yêu cầu các doanh nghiệp có trụ sở tại New York thực hiện và duy trì chính sách hoặc chính sách bằng văn bản, được phê chuẩn bởi một Giám đốc cấp cao hoặc ban giám đốc của Thực thể được bảo hiểm (hoặc một ủy ban thích hợp) hoặc cơ quan quản lý tương đương. Điều này đặt ra các chính sách và quy trình của Thực thể được Bảo vệ để bảo vệ Hệ thống Thông tin và Thông tin Không công khai được lưu trữ trên các Hệ thống Thông tin đó, theo luật bằng văn bản.

Các tiểu bang khác, như Colorado, đã thảo luận về việc thực hiện các quy định tương tự. Tuy nhiên, không có luật liên bang Hoa Kỳ tồn tại. Nhưng Laroia lạc quan, Mỹ sẽ là người tiếp theo. "Người Mỹ không có quyền như vậy", ông nói. "Nhưng cho nó năm năm."