欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)将于2018年5月25日开始实施,处理与欧盟居民有关的任何个人数据的机构必须立即开始准备,如果它们尚未准备好的话。
大多数组织将需要指定一个数据保护官员(DPO), Steve Durbin说资讯保安论坛(ISF)是一个全球性、独立的信息安全机构,专注于网络安全和信息风险管理。
德宾本月早些时候在一份声明中表示:“GDPR正将数据保护措施置于全球商业议程的最前列。”“它的范围是其他任何国际法都无法比拟的,我们估计超过98%的ISF成员将受到它的要求的影响,因为他们处理欧盟居民的个人数据,或在欧盟的基地。”对大多数组织来说,未来18个月将是数据保护制度的关键时期,因为它们将确定GDPR的适用性以及管理合规和风险义务所需的控制和能力。”
2016年4月,经过五年多的努力,欧盟通过了《GDPR》,实现了欧盟数据监管的现代化。它适用于与欧盟居民有关的个人数据,无论这些数据是在哪里处理的。它还界定了欧盟数据保护立法的范围。而且,德宾指出,GDPR给了监管机构很大的压力——合规成本和罚款最高可达2000万欧元,占上一财年全球营业额的4%(以较高者为准)。
因此,它可以影响您的企业风险概况。德宾说,组织必须尽快了解它的影响。
你准备好接受数据保护条例了吗?
为此,ISF本月早些时候向其成员发布了一份简报,名为“为通用数据保护条例做准备”。的briefing outlines data protection concepts and the changes introduced by the GDPR. It also describes the foundation of the安全部队的方法,包括组织在准备他们的法规遵循计划时应该考虑的关键需求。
的安全部队的方法建议组织做以下工作:
- 确定GDPR对其个人资料处理活动的适用性。
- 评估新法规规定的控制要求。
- 评估组织能力以交付GDPR所要求的结果。
- 了解不合规的财务和运营后果
- 2018年5月25日前做好合规准备。
德宾说:“在实践中,组织应该在2018年5月之前完成他们的GDPR准备工作,以获得第三方的保证,并为第三方的要求提供保证。”“这将需要有专门知识和时间的资源来发出和处理这些请求。数据保护、法律和信息安全团队应该为这项任务做好计划,这样在接近执行期限时,他们就不会被大量请求压垮。”
德宾说,ISF说,大多数组织将需要一个DPO来指导他们完成这个过程。ISF表示,由于可能会出现技术人才短缺,企业招聘周期较长,企业面临着一个选择:现在就开始招聘,确定一位内部候选人,现在就开始培训,或者寻求外部专家来满足职位要求。
ISF计划在第二季度发布一份补充实施指南,旨在提供切实可行的指导,并更好地为有能力解释立法、准备合规和实施所需控制和能力的组织做准备。
这篇文章,“为什么你需要一个数据保护官”最初是由首席信息官 。