先科普下GDPR(通用数据保护条例)是什么?
2016年4月欧盟议会通过了GDPR(通用数据保护条例),以此取代1995年过时的数据保护指令。该条例规定企业必须保护在欧盟成员国内发生交易的个人数据和隐私。GDPR还对欧盟境外的个人数据输出加以管制。
新条例直接适用于28个欧盟成员国,这也意味着在欧盟内部企业只有着一个标准。但这个标准相当高,而且需要大多数企业进行大量投资才能满足条例中提出的管理数据条件。
更离谱地是,一家国外分析机构Senzing经过对欧盟企业(英国,法国,德国,西班牙和意大利)的1000位高管调研发现,60%的欧盟企业领导者承认,对新的数据保护条例,他们的企业还没准备好。24%的受访者表示认为自家企业在GDPR合规方面处于“风险”状态。36%的受访者认为即将面临挑战,仅40%的受访者号称已然准备就绪。
还有一家国外机构Ovum则在报告中称,约三分之二的美国企业认为GDPR会让他们重新思考在欧洲的战略。85%的美国企业则认为GDPR让它们在与欧洲公司竞争时处于劣势。
欧盟企业说还没准备好,美国企业直接表示自己压力山大。
GDPR会影响哪些公司呢?
任何存储或处理欧盟国家内欧盟公民个人信息的企业,只要在欧盟境内,即使没有业务,也必须遵守GDPR。需要遵守的具体标准的企业包括:
在欧盟国家内。
不在欧盟国家内,但有处理欧洲公民个人数据业务。
超过250名员工。
少于250名员工,但其数据处理影响了数据当事人的权利和自由,不是偶一为之,或者包括某些敏感的个人数据。这几乎意味着条例对所有公司有效。
企业什么时候需要遵守?
公司必须要在2018年5月25日之前显示自身的合规性。
在以上表述的企业内谁要负责合规?
GDPR规定了若干确保合规性的管理者角色:数据管理人员(data controller),数据处理人员(data processor)和数据保护专员。数据管理人员规定个人数据的处理方式和处理目的,并且要确保外部承包商遵守条例。
数据处理人员可以是一个内部团队,负责维护并处理个人数据记录或是维护执行全部或部分这行业务的所有外包公司。GDPR要求处理人员对这些公司的违规行为负责。也就是说,即使完全是企业的数据处理合作伙伴(如云提供商)的过错,双方都必须要承担处罚责任。
GDPR还要求数据管理和处理人员指定一个数据保护专员对数据安全策略和GDPR合规性进行监督。如果企业需要处理或存储大量欧盟公民的数据,处理或存储特殊个人数据,定期监测数据主体,或是政府相关部门,就必须要有数据保护专员。执法机构等部门可免除数据保护专员的要求。
企业着手GDPR的准备工作需要花费的费用?
据普华永道调查,68%的美国企业预计将花费100万到1000万美元来满足GDPR的要求。另有9%的企业预计花费超过1000万美元。
如果我的企业不符合GDPR规定会怎样?
GDPR允许予以高达2000万欧元的巨额罚款或4%的全球年营业额(以较高者为准)。根据Ovum的报告显示,52%的公司认为它们会因违规被罚款。管理咨询公司Oliver Wyman预测,欧盟在第一年可能会收取高达60亿美元的罚款。
在5月25日最后期限之前,有企业依旧没有遵守规定,也不会孤单。大约一半应当合规的美国公司不满足所有要求。根据Solix Technologies在12月发布的调查报告显示,22%的企业仍然没意识到它们必须遵守GDPR。38%的企业则称,它们处理的个人数据在生命周期内的每个阶段都不会被滥用而且无法避免其它非法访问。
这让很多组织机构轻易就要受罚。最大的悬而未决的问题是如何对于惩罚评级。例如,一家给当事群体带来影响最小的违规公司和一家因暴露了当事群体的个人身份信息(PII)而导致实际损失的违规公司,两者处罚有何不同?相对达成一致的是,监管机构会对一些早期发现不合规的公司迅速采取行动,发送信息。然后就可以更好地评估在发现不合规情况时的预想结果。
GDPR保护哪些类型的隐私数据?
基本的身份信息,如姓名,地址和身份证号码;
网络数据,如位置,IP地址,Cookie数据和RFID标签;
健康和基因数据;
生物识别数据;
种族或民族数据;
政治观点;
性取向;
哪些GDPR规定会影响哪些企业?
GDPR的新规定将迫使一些公司改变它们处理,存储和保护客户个人数据的方式。例如,只有在个人同意的情况下,企业才能被允许存储和处理个人信息,并且“个人信息的处理目的不再是必要的”。个人信息必须能够从一家公司转移到另一家公司,企业还必须按要求删除个人资料。
最后一项规定被称为被遗忘的权利。例如,GDPR不是说取代企业维护某些数据的任何法律规定,也就是代表追加。这也包括HIPAA(健康流通与保险责任法案)健康记录规定。
有几项规定会直接影响安全团队。其一是公司必须能够为欧盟公民提供“合理”的数据保护和隐私。非常意味深长地是GDPR所述的“合理”含义并不明确。
还有一个极具挑战性的要求是,企业必须在发现违规事件的72小时内向监管部门和受到违规影响的个人举报数据违规行为。另一个关系到影响评估的要求是它希望企业通过识别和解决漏洞来帮助减轻违规的风险。