GDPR 对数据控制者(拥有数据的组织)和数据处理者(帮助管理该数据的外部组织)承担同等责任。不合规的第三方处理器意味着您的组织不合规。新法规也有严格的违规报告规则,链中的每个人都必须能够遵守。组织还必须告知客户他们在 GDPR 下的权利。这意味着与处理者(例如,云提供商、SaaS 供应商或薪资服务提供商)和客户的所有现有合同都需要阐明责任。修订后的合同还需要为如何管理和保护数据以及如何报告违规行为定义一致的流程。法律服务提供商 Axiom 的银行和监管业务全球主管马修刘易斯说:“最大的活动是在房子的采购方面——你的第三方供应商,你的采购关系代表你处理数据。” “有一整组供应商可以访问这些个人数据,而 GDPR 非常明确地规定你需要确保所有这些第三方都遵守 GDPR 并相应地处理数据。”刘易斯说,客户合同还需要反映监管变化。“客户合同有多种不同的形式,无论是在线点击还是您承诺如何查看、访问和处理数据的正式协议。”在修改这些合同之前,业务负责人、IT 和安全团队需要了解数据的存储和处理方式,并就合规的报告流程达成一致。“技术团队、CISO 和数据治理团队需要进行相当大的练习,以了解哪些数据适用于公司内部、存储或处理数据的位置以及将数据导出到公司外部的位置。一旦您了解了这些数据流及其对业务的影响,您就可以开始从信息安全的角度确定您需要最关注的供应商,您如何管理这些关系,以及您如何在合同中记录这些关系本身,”刘易斯说。GDPR 还可能改变业务和安全团队对数据的看法。刘易斯说,大多数公司都将他们的数据和用于挖掘数据的流程视为一种资产,但这种看法将会改变。“鉴于 GDPR 的明确同意,以及公司需要更细化地理解数据和数据流,现在随着数据的积累存在一整套责任,”Lewis 说。“对于法律和合规性而言,这是一种截然不同的心态,但对于企业思考数据的积累和使用的方式以及信息安全团队以及他们思考管理数据的方式来说可能更为重要。”“数据正以各种方式离开公司,”刘易斯说。“虽然 CISO 和技术团队需要能够跟踪所有这些,但你也需要将保护措施落实到位。” 这些保护措施需要在合同中详细说明,以便外部公司了解他们可以和不能对数据做什么。Lewis 指出,通过定义义务和责任的过程,它可以让公司做好在运营上处理 GDPR 合规性的准备。“如果你的供应商之一说,'你昨晚被黑了',他们是否知道该给谁打电话以及如何响应以满足监管要求,”他说。GDPR 要求的 72 小时报告窗口使得供应商知道如何正确报告违规行为尤为重要。“如果供应商遭到黑客攻击,而你是成千上万的客户之一,他们会通知你的采购部门或会计人员或应收账款人员吗?它可以以各种方式出现,”刘易斯说。您希望在合同中明确定义路径,以便将信息传递给组织中负责报告违规行为的人员。“监管机构不会说你不应该有违规行为。他们会说你应该有适当的政策、程序和响应结构来快速解决这个问题,”刘易斯说。较大的公司可能有数千份合同需要更新。使这一挑战复杂化的是,它需要在合规流程的后期完成。在定义职责和责任之前,您必须确切地知道您拥有哪些数据、在何处以及如何处理这些数据以及数据流向。“这使得许多机构在截止日期前竞相完成技术和运营问题,并且不得不赶上制定正确的合同以执行该任务。许多公司没有对合同条款进行任何重新谈判。”❓这就引出了一个问题:如果合同没有在 5 月的最后期限前全部到位,会发生什么情况?刘易斯看到了不完成合同的几个风险:- 运营:如果您尚未与供应商就您的流程达成一致,则不清楚您将如何在 GDPR 下运营。
- 供应商管理:根据 GDPR,您需要了解您的供应商如何运作,包括他们的安全框架以及他们如何管理数据。没有这些知识,您就不知道它们存在的风险。
- 监管罚款:刘易斯指出,众所周知,欧盟愿意对违规行为征收高额罚款。如果发生违规行为,没有签订合同可能会对公司不利。“没有合同表明您不知道您的供应商在做什么,这是一个更大的管理问题,涉及您正在使用的基础设施以及您如何处理数据,”Lewis 说。“它让监管机构了解你的组织程度以及你对数据流的理解程度。”
GDPR 允许对违规行为处以高达 2000 万欧元或全球年营业额的 4%(以较高者为准)的高额罚款。然而,到目前为止,大部分罚款金额都相对较小。 根据GDPR Enforcement Tracker 的数据,截至 2000 年 5 月 29 日,欧盟已发出 282 项罚款。这些罚款中的绝大多数都在数千和数万欧元的范围内。根据 DLA Piper 从 2020 年 1 月开始的GDPR 数据泄露调查,最大的罚款是在 1 月份对谷歌处以 5000 万欧元的罚款。该罚款是由于缺乏透明度和有效同意而发出的。 监管机构承认,他们没有资源来处理他们收到的大量违规报告,因此建立可识别的先例需要时间。增加这种不确定性的是在不同 ICO 之间应用罚款的感知不一致。“问两个不同的监管机构应该如何计算 GDPR 罚款,你会得到两个不同的答案。我们还需要很多年才能在这个关键问题上获得法律确定性,”DLA Piper 国际数据保护实践主席 Patrick Van Eecke 在该公司的报告。目前,表现出善意努力遵守的能力应该可以保护公司免受严厉处罚。在 2018 年的一次演讲中,英国信息专员 Liz Denham 对关注 GDPR 罚款的组织这样说:“......我希望你现在知道执法是最后的手段......将对那些持续、故意或疏忽地藐视法律的组织处以巨额罚款。那些自我报告、与我们合作解决问题并展示有效的问责安排的组织可以期望这会成为我们考虑任何监管行动时的一个因素。”
GDPR 要求将迫使美国公司改变他们处理、存储和保护客户个人数据的方式。例如,只有在个人同意的情况下,公司才可以存储和处理个人数据,并且“不超过处理个人数据的目的所需的时间”。个人数据也必须可以从一家公司转移到另一家公司,而且公司必须根据要求删除个人数据。最后一项也称为被遗忘权。有一些例外。例如,GDPR 不会取代组织维护特定数据的任何法律要求。这将包括 HIPAA 健康记录要求。一些要求将直接影响安全团队。一是公司必须能够为欧盟公民提供“合理”水平的数据保护和隐私。GDPR 中“合理”的含义没有明确定义。可能具有挑战性的要求是,公司必须在检测到数据泄露后的 72 小时内向监管机构和受泄露影响的个人报告数据泄露。另一项要求是执行影响评估,旨在通过识别漏洞以及如何解决漏洞来帮助降低违规风险。*文章来源:csoonline.com
*原标题:一般数据保护条例 (GDPR):您需要了解什么才能保持合规性
*整理编辑:A隐小私(yinxiaosi00)
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
GDPR(通用数据保护条例)存在的意义及对公司的作用
想了解IAPP哪个证书适合你?
-End-
扫描下方二维码咨询详情
IAPP认证(国际隐私专业保护认证)
IAPP三大方向(CIPP/CIPT/CIPT)
DASCA认证(美国数据科学委员会认证)
备考经验分享|全球隐私动态|
干货分享|考试资讯
想知道IAPP哪个证书适合你吗?
资格评价可直接扫描码
免费评价/赠送一份国际隐私认证学习资料一份