אלוקים מתחיל היום! מה שאתה צריך לדעת

החל מהיום, 25 במאי 2018, חקיקת תקנות הגנת המידע הכללית של האיחוד האירופי (EU) תקנה למעשה לחוק גלובאלי בכל מה שקשור לשאלות כיצד צריך לטפל בנתונים אישיים על ידי עסקים. אמנם אתה עשוי לחשוב שחוק הגנה על נתונים שאושרר באירופה יחול רק על אירופאים, אך אתה טועה. הסיבה לכך היא כי ה- GDPR מגן על כל אזרחי האיחוד האירופי, לא משנה היכן הם גרים ולא משנה עם מי הם עושים עסקים, כלומר, חברות אמריקאיות עם לקוחות האיחוד האירופי כפופות באופן מדויק לדרישות ה- GDPR וגרוע מכך - קנסות. גרוע מכך, על פי הדיווח שפורסם לאחרונה על ידי Crowd Research Partners, רק 7 אחוזים מהחברות נמצאים בדרך לעמוד בתאריך ה- GDPR עד למועד האחרון של היום.

ובעוד ישנם צעדים שתוכלו לנקוט גם בימינו בכדי לשמור על בטיחות החברה לפחות במידה מסוימת ב- GDPR, השגת תאימות מלאה אינה פרויקט קל. התהליכים לאיסוף נתונים חייבים להיות רלוונטיים לאופן בו הנתונים ישמשו את החברה (לדוגמא, נתוני קניות צרכנים אך לא נתוני היסטוריה רפואית עבור חברות מסחר אלקטרוני). חברות צריכות להיות מוכנות ומסוגלות להסביר בדיוק אילו נתונים נאספו ומדוע. על נוהלי אבטחה להפגין יכולת ברורה להגן מפני אובדן, נזק והרס, ואסור להחזיק נתונים יותר מהנדרש. כל חברה שלא תציית לתקנה תחול על חילוט הכנסותיה השנתיות של 4 אחוזים.

אנקור לרויה, מנהיג פתרונות אסטרטגיים מספק מערכות ניהול המידע Alfresco, אמר: "זו לא קבוצה של חוקים ותקנות ללא שיניים." לרויה מבהירה כי מספר סוגיות במסגרת חוקי העזר של התקנה תקשו על חברות להישאר תואמות. לדוגמה, כמה סוגיות כוללות כללים הכתובים בצורה מופשטת מדוע נאספים נתונים, דרישות מתייעלות על קרצוף נתוני לקוחות כאשר מבקשים אותם, והצורך של חברות מסוימות לחדש לחלוטין את נהלי האבטחה אך ורק לצורך הבטחת ציות. ובכל זאת, לרויה לא חושבת שהאיחוד האירופי מתעסק בזה.

"האיחוד האירופי הולך ללכת על עבריינים", הוא צופה. "אילו זה נחקק, אקוויפקס הייתה מסתבכת בהרבה צרות."

GDPR, תוך התמקדות בעיקר באזרחי האיחוד האירופי, מציג גם תרחיש סיוט עבור בעלי עסקים אמריקאים. אנו נשבר את מה שאמריקאים צריכים לדעת בכדי להתחיל את המסע לעבר תאימות ה- GDPR.

1. חברות אמריקאיות יצטרכו לעמוד

אם חנות הספרים של אמא שלך ופופ מעולם לא שלחה חבילה מחוץ לעיר הבית שלך, סביר להניח שלא תצטרך לדאוג לעצמך ב- GDPR. עם זאת, אם יש לך אפילו לקוח אחד שבסיסו באיחוד האירופי, תצטרך להתחיל בתהליך ההפכה מיידית לתקן GDPR. על פי חוקי העזר, יש להגן על נתוני אזרחי האיחוד האירופי ועליכם לספק לאזרח נתונים כאמור אם הוא או היא מבקשים זאת. חשוב מכך, יתכן שתידרש לטהר נתונים אלה ממערכותיך אם וכאשר האזרח יגיש את הבקשה. אם לא תמצא זאת וכלב השמירה של ה- GDPR, תעמוד לאבד 4 אחוזים מההכנסה השנתית שלך.

פיט לינדסטרום, סגן נשיא למחקר אבטחה במרכז הבינתחומי, אמר: "למרות שמדובר בהנחיה של האיחוד האירופי, זה משפיע על כל חברה בעולם שיש לה תושבי האיחוד האירופי כלקוחות. "אם יש לך שדות כתובת והם כתובת אירופאית, הם כנראה יחשבו אירופיים."

אין הבחנה בין חברה שבסיסה באיחוד האירופי או בעיר כמו סקוקי, אילינוי. החוק מתמקד במקום זאת במידע המאפשר זיהוי אישי (PII) ובמקום בו שוכן האדם הקשור לנתונים. כל מי שיש לו כל סוג של נתוני PII על לקוח אירופי יצטרך לציית.

אפילו אם לחברה שלך יש כמה לקוחות מבוססי האיחוד, לא סביר מאוד שחנות הספרים המקומית שלך תיבדק על ידי כלבי השמירה של GDPR. אבל חברות גדולות, כמו פייסבוק ויאהו, לא יוכלו לטעון נאמנות אמריקאית כדרך לחצאית את ה- GDPR.

"אם אתה אמא-ופופ ויש לך הפרה, אתה חייב באחריות משפטית, " אמרה לרויה. "קשה לומר אם הם יבואו באופן מציאותי אחריך… לכל מדינה באיחוד האירופי תהיה משרד של ציות. משרד זה יתחיל לבקש את תוכנית הציות של כולם. הם ייצרו מלאי של חברות שעושות עסקים בגיאוגרפיות שלהן. הם הולכים לבדוק את הבחורים הגדולים יותר ולהתחיל לשאול שאלות."

חברות אמריקאיות שאינן מצייתות להן לא צריכות לצפות מממשלת ארה"ב שתגן עליהן כשמדינות האיחוד האירופי הנתמכות ב- GDPR מנסות לגבות הכנסות שהוחלפו. לרואה אמר כי "ממשלת ארה"ב נאלצת לוודא כי פסקי הדין הללו נאכפים. "עדיין לא נראה אם ​​הם נאכפים, אבל הממשלה באיחוד האירופי תצטרך להילחם."

2. 25 במאי פירושו 25 במאי

למרות שהתקנה נכנסת לתוקף היום, 25 במאי 2018, החוק אושר על ידי הפרלמנט של האיחוד האירופי ב- 14 באפריל 2016. פירוש הדבר מבחינת האיחוד האירופי, חברות הספיקו זמן רב להוציא לפועל שיטות תואמות GDPR.. לכן, אם החברה שלך נפגעת ממתקפת רשת ענקית מחר וקטעי הנתונים שאספת על לקוחות, מבקרים באתר ואפילו פרטנרים יוצאים לרשת האפלה המצערת, אינך יכול לטעון ל"לא מספיק זמן "כ תירוץ לחשיפת נתונים על אזרחי האיחוד האירופי.

"החוקים נכנסו לתוקף", אמרה לרויה. "אתה יכול להתבקש להציג את המסע שלך אל תאימות. האם המצאת? מה הפרוטוקול שלך שאזרח באיחוד האירופי ישאל לגבי הנתונים שלך? חברות אלו יכולות לבקש מידע זה ברגע זה. הן יתחילו להיקנס בקנס בשנה הבאה אם הם לא יכולים להפגין ציות אחרי מאי."

3. אל תצפו להרחבה

בשונה מרוב קרבות הרגולציה החוקית שיש לנו בארה"ב (למשל, ניטרליות נטו), אף אחד באיחוד האירופי לא נכנס לדרך ב24- במאי 2018 כדי לאתגר את ה- GDPR ובכך לדחות את התקנה ללא הגבלת זמן. האירופים רצו את זה ועכשיו יש להם את זה.

"זה היופי שבאופן קביעת התקנות", אמרה לרויה. "מכיוון שהם נתנו לתאגידים שנה כדי לממש את המעשה שלהם, לא היו שום אתגרים בחוץ מבחינה משפטית. אם היינו רואים את זה, זה כבר היה קורה. האם מישהו יכול לעשות את זה אחרי שהם יתבעו? אני בטוח שהם ינסו, אבל זה ייראה עליהם לא טוב באותה נקודה."

4. מה שתצטרכו לעשות בכדי לעמוד

כפי שהתקנה דורשת, תצטרך להעמיד מישהו האחראי על ניהול תהליך הציות. אדם זה, שחוק ה- GDPR מכנה את "קצין הגנת המידע" (DPO), יהיה האדם הנקי האחראי להליכת צוות הפיקוח של GDPR בדרכים בהן החברה שלך מאבטחת את הנתונים שלה. אדם זה יהיה אחראי גם על איחוד קווי העסקים השונים בחברה שלך כדי לייצר מתודולוגיה להשגת תואם ל- GDPR.

על קצה המזלג, חובות ה- DPO יתפלגו לארבע קטגוריות מפתח:

• ראשית, הם צריכים להכיר מספיק את פרטי ה- GDPR בכדי לשמש כאיש הצבע לא רק לצורך תהליך הציות הראשוני אלא לכל שאלות הטיפול בנושא נתונים הקשורות ל- GDPR בעתיד, ובוודאי די בכדי שיוכלו לשאול שאלות על ידי שני בכירים מנהלים ונתונים המטפלים בפעילי IT בשטח.
• שנית, הם צריכים להיות מסוגלים לפקח על כל תהליכי הטיפול בנתונים השוטפים בארגון שלך ולהעריך את יעילותם ביחס לבטיחות הנתונים האישיים.
• שלישית, עליהם להיות בעלי יכולות ביקורת ופיקוח על כל תחום בעסק שלך שעשוי להיות מושפע מ- GDPR ולהעריך אותם אם הם עומדים על בסיס קבוע.
• ולבסוף, הם צריכים להיות בקשר עם רשויות ה- GDPR עבור הענף שלך, לשתף פעולה איתם ולפעול כאדם נקודתי בכל בקשה שמגיעה מאותה רשות.

כל זה מסתכם באדם שמבין בזרימת נתונים, באמצעים וטכנולוגיות להגנה על נתונים, כמו גם לא רק ידע על פרטי חקיקת GDPR אלא גם ידע על חקיקה קשורה ורלוונטית באיחוד האירופי, כמו למשל הוראת הפרטיות האלקטרונית שלה. המחסור במיומנויות אלה יצר אולי הזדמנות שדה ירוקה לייעוץ עסקי ו- IT, אך אם אתם מחפשים לפתח כישרון זה בתוך הבית, אז הימור טוב הוא לחפש משאבי למידה מקוונים אירופיים דוברי אנגלית, רבים מהם פיתחו תוכנות לימוד ללימודי DPO למטרה זו. בנוסף, ישנם ארגונים רב-לאומיים בתעשייה, כמו האיגוד הבינלאומי למקצוענים בתחום הפרטיות (IAPP) המציעים לימודי הכשרה והסמכות של GDPR.

בנימה טכנית יותר, כדי להישאר תואם, תצטרך להשתמש בשיטת הצפנה אחת לפחות עבור שרתים פיזיים, אחסון מחובר לרשת (NAS), דיסקים וכוננים, וגישה לרשת. יהיה עליך לאמת את זהות העובדים ולהקים אימות מולטי-פקטור (MFA) כשאתה ניגש ל- PII ולעסקאות הכוללות נתוני PII. יהיה עליכם לחתוך כל פרקטיקות הגישה או לעיבוד נתונים למטרות בלתי מורשות, לפקח ולאמת כל הזמן נתונים על מנת להבטיח רלוונטיות, ולנקות באופן מוחלט ובלא הפיך את נתוני הלקוחות כשתתבקשו לעשות כן. ארגונים יידרשו לבצע הערכות סיכון מלאות ולעבוד עם שותפים, במיוחד אלה המחוברים באמצעות ממשקי תכנות יישומים (API), על מנת להבטיח תאימות שוטפת.

לבסוף, אם נתוני הארגון שלך נפרצים, תצטרך ליידע את מפקח ה- GDPR המשויך מייד לתיאור ההפרה והשלכותיה במלואה. ותצטרך לתקשר את השלכות ההפרה ללקוחות שנפגעו.

5. לקוחות אמריקאים

לרויה אמרה שבסופו של דבר, התחושה העסקית הטובה היא לשמור ולהיות נציגי מידע טובים על הלקוחות. "אתה צריך להסתכל על זה מנקודת המבט של הלקוח הסופי, " אמרה לרויה. "הם הסיבה שהחברות הללו בעסקים. כן, למרות שזה כואב לעסק, חברות לא השקיעו בטכנולוגיה ולא המשיכו לעמוד בקצב החדשנות."

למרבה הצער, תקנות ארה"ב דומות אינן מופיעות בספרים. חברות העושות עסקים בניו יורק במסגרת הדרישות לאבטחת הסייבר של המחלקה הניו יורקית מכוסות במידה מסוימת. תקנה זו מחייבת עסקים מבוססי ניו יורק ליישם ולקיים מדיניות או מדיניות כתובים, שאושרו על ידי קצין בכיר או דירקטוריון הגורם המכוסה (או וועדה מתאימה שלה) או גוף ממשל שווה ערך. זה קובע את המדיניות והנהלים של ישויות המכוסות להגנה על מערכות המידע שלה ומידע שאינו ציבורי המאוחסן במערכות מידע אלה, על פי החוק הכתב.

מדינות אחרות, דוגמת קולורדו, דנו ביישום תקנות דומות. עם זאת, לא קיים חוק פדרלי ארה"ב גורף. אבל לרויה אופטימית שארה"ב תהיה הבאה. "לאמריקאים אין זכויות כאלה", אמר. "אבל תן לזה חמש שנים."