遵守欧盟一般数据保护条例(GDPR)的最后期限是2018年5月25日。许多组织已经花费了无数的时间来准备最后期限,而其他组织只是抽出时间来阅读它。
GDPR与几十年前的千年虫一样,具有国际影响,对一些组织来说必须加以解决,因为GDPR将影响其业务的命脉,而对大多数组织来说,需要进行一些尽职调查,以确保它们符合法规的要求。
GDPR是今天的千年虫
我之所以提到千年虫问题,是因为我是美国白宫千年虫问题顾问之一,在千禧年转换之前的十年的后半部分,我在全球各地帮助各雷竞技比分组织为2000年1月1日做准备。今天有了GDPR,就像我在2000年做的一样,我相信每个组织都需要做一些基本的事情来为最后期限做好准备,但是不要被炒作和过度的猜测所困扰,这些细节会让你发疯。
什么是GDPR?
为了帮助那些赶上GDPR是什么,调控技术上生效于2016年和遵守的截止日期为5月25日,2018年的事情,着实让人的是,对不遵守的罚款高达20万欧元或4% of the company’s prior year worldwide revenue, which is an alarming number that gets everyone’s attention.
虽然GDPR有许多原则,但我将其归结为三件主要事情:
- 防止“跟踪”个人:这是GDPR的一件大事大互联网公司(谷歌,Facebook,亚马逊),其通过跟踪的信息收集个人的个人信息,跟踪他们通过cookie访问的网站,积极宣传个人以后去。GDPR直接解决了他们,不仅需要同意搜索的做法,并收集关于哪些人购买信息,他们访问网站的过程和内容,但也有什么信息将被用于明确规定的目的。
- 防止保留个人身份信息(PII):这一原则是不是很新,一直在世界各地大法例,保护个人的隐私。GDPR,像PII其他全球性法规,对哪些个人信息可以收集集极限(姓名,出生日期,地址等),如何个人信息需要存储和保护,需要的情况下做什么违约。
- 跨境信息传递:GDPR规定,欧盟居民(在欧盟临时工作和居住的公民甚至个人)的信息应该留在欧盟,或者,如果信息离开欧盟,存储信息的目标目的地符合欧盟委员会的具体批准
在我提到的GDPR的三个主要原则中,第二个和第三个原则是我们已经与GDPR的前身(DPD 95/46/ec)和已经生效的各种隐私/PII法律一起解决了一段时间的问题。因此,GDPR的重点在于收集、存储和跟踪网络组织通常为网络购物者和社交媒体参与者使用的机制。这些组织在过去的几年里一直在努力工作,已经设计出了各种方式来通知、获得同意,并以符合GDPR要求的方式处理跟踪。
GDPR的原则
还有一些其他的原则是组织需要注意的,并且经常在关于GDPR的讨论中被讨论。它们包括:
- 资料保护主任及供应商管理:GDPR规定,受GDPR影响的组织需要有一个数据保护办公室,并有一个与GDPR相关的供应商管理流程。该人员将负责监督公司内部和供应商是否遵守GDPR。
- 行为守则:GDPR要求组织制定行为准则,说明数据将如何被提取、使用,使用的时间范围,组织将如何保护被提取数据的个人的隐私和权利,并提供用户要求清除“他们的数据”的权利。
- 数据剖析/数据同意:如前所述,GDPR有严格的规则,因为它涉及到使用数据来描述个人,这些个人可以直接关联到指定的个人。使用可识别信息(如cookie)需要明确的同意。
- 跨境传输:另外,正如前面提到的,GDPR对欧盟数据在欧盟内部的保存有严格的规定,或者欧盟数据的目标目的地必须符合存储在欧盟的信息的相同标准
- 数据可移植性:GDPR有一个数据便携性原则,允许用户请求他们的信息将被允许“移动”到另一个供应商。就像在美国的电话号码可携允许个人以保持他们的电话号码,因为他们从一个电话运营商切换到雷竞技比分另一个,GDPR数据的便携性使用户可以要求他们的电子邮件,照片,文件的权利等要转让。
- 个人资料Pseudonymizing:这个词很花哨,但实际上是数据的随机化,因此它不能被归到任何特定的个体,有效地使数据匿名。然而,GDPR确实规定,仅仅因为数据是随机的,就不允许一个组织随意收集和使用这些信息。GDPR有规定,要求组织证明他们为什么收集信息,他们计划如何处理这些数据,并有明确的定义,当这些规定的目的不再有效或适用时,如何消除这些数据
- 数据违反通知:GDPR缩短了网络安全漏洞通知的时间,要求网络安全漏洞通知最快在72小时内通知被发现的组织。该通知有一些变体,如果可以(个人)归口的信息被破坏了,需要通知个人,但如果信息是假的,只需要通知欧盟委员会(European Commission)。
企业GDPR(非网络/社交媒体提供商)
由于GDPR的重心主要集中在网络/社交媒体提供商(Facebook、谷歌、亚马逊等),企业(企业、小企业、总部在欧盟内外的公司)面临的共同问题是,与GDPR相比,一个典型的企业需要考虑哪些方面?
首先,根据企业的规模,GDPR既不是大的东西,也不是小的东西。无论组织的规模、总部在哪里、行业类型如何,GDPR的要求都是相同的。GDPR也适用于每一个与欧盟公司有业务往来的组织,有欧盟公民雇员的组织,甚至有在欧盟居住和工作的外国公民雇员的组织。因此,谁必须遵守GDPR的范围相当广泛。
一个常见的问题是,在美国托管的电子邮件系统是否符合GDPR的要求。雷竞技比分对于已经迁移到由Microsoft托管的服务(如Office 365)或谷歌(G-Suite)的组织,两者都适用微软和谷歌已经正式表示,他们的云服务将在2018年5月18日,截止日期前GDPR标准。这些服务将兼容的方式是因为欧洲委员会已经批准并通过了欧盟和美国隐私保护。
虽然GDPR并没有特别提到EU-US Privacy Shield,但它明确承认了当前对处理器和控制器的公司规则(BCR)的约束要求。BCR确认是通过审计师对组织在全球范围内数据移动的合规性进行验证和认证而获得的。EU-US Privacy Shield符合GDPR认为可以接受的经认证的有约束力的公司规则,因为它允许欧盟委员会(European Commission)进行定期审查,以确保数据跨境传输过程中存在足够程度的数据保护。对于这些云提供商来说,剩下的就是正式的“签字”,表明它们确实符合GDPR的规定,预计这些规定将会毫无阻力地获得批准。
注意:对于跨境转移的话题,人们可能会听到最常见的跨境认证,“安全港”,已经无效了GDPR,这是真的。在2015年10月6日,司法部的欧洲法院无效的美国 - 欧盟安全港框架。然而,结合公司规则(BCRS)也仍然有效。
此外,企业可以依靠由欧盟委员会批准的标准合同条款(SCCS)。SCC的是欧盟出口(即:欧盟子公司)之间的协议和数据进口商(即:美国母公司或服务提供商),跨境传输的处理。大企业在SCC批准申请认证,使他们能够在世界各地公司办公室和数据中心之间移动企业数据。
SCC验证不容易获得,因为它们需要对整个企业的数据管理、安全性、处理和信息处理进行审计。然而,一旦企业拥有了SCC,它们就可以更自由地在整个组织中移动信息。
处理GDPR的内部文件和内容
企业普遍存在的一个问题是电子邮件和商务文件是否符合GDPR的要求。答案通常是否定的,业务文档是用于指导组织业务的业务文档。当然,如果文件包含员工姓名、家庭住址、手机号码和其他个人身份信息,那么该文件就属于GDPR以及其他现有的有关信息隐私的法律法规。
但是商业合同,营销材料,客户端的文档,建筑图纸等业务的正常过程中交换不是“私人文件”嵌入“个人资料”非正当的商业用途。
关键要处理内部文件和内容,以确保文档不包含的内容受到GDPR或其他PII限制规定是使用内容分类。微软Office 365内置的技术能够扫描内容(电子邮件,文件,备忘录)和自动分类的内容为具有似乎包含个人身份信息(出生日期,社会安全号码等)的内容。
通过对内容进行自动分类,可以将策略规则应用于允许内容创建者选择谁可以访问信息的内容。通过给予内容的发起者控制权,满足GDPR的要求,即给予内容所有者对内容的自由和直接控制权,以及可以与谁共享内容。
雇主可否强迫雇员同意他们的个人资料私隐?
简短的回答是否定的,GDPR非常清楚地表明,除非“自愿地、具体地、知情地、明确地”,否则同意是无效的。这意味着,一名员工如果选择不同意统一的政策,就不会受到训斥或歧视。这就是为什么内容分类变得如此重要的原因,它使组织能够要求用户提供同意,分类,或重新分类他们认为合适的内容在一个案例的基础上。
收集和GDPR下处理员工和客户信息
GDPR明确指出,组织需要向用户、访问者和员工提供关于收集哪些数据以及如何使用这些数据的详细信息。显然,这首先假设了个人信息是首先被收集的。
虽然一些简单常见的业务应用程序,如Web浏览器,一个员工使用可能在默认情况下启用了饼干和被存储和跟踪Web浏览器的用户,一个简单的企业解决它设置所有的Web浏览器以私人或“的Web访问隐身”模式。这将防止Cookie跟踪以及通过GDPR保护数据的存储。用户可以被允许,如果他们选择关闭私人模式,这将是他们的决定,他们的个人同意以潜在跟踪的内容。