10个关键事实企业需要注意到GDPR 奥德姆力量BT OpenReach削减批发租赁线价格 斯德哥尔摩的公共部门推动了发展的生产力 IT求职者希望让更大的职业生涯移动 CIO采访:Stuart Birrell,希思罗机场 新加坡获得三星支付和Apple Pay 维珍媒体连接飙升作为项目闪电 以色列志愿者准备了他们的网络防御作为匿名关联公司的攻击 罗马尼亚公司希望吸引程序员 国家网络安全中心是英国信息安全的权威 波音将ViaSAT插入新的AH-64E Apache直升机 Microsoft向Woo IOS,Android和Linux开发人员寄出 在三年内,财富100家公司的OpenStack设置100% NHS伦敦采购合作伙伴关系为EPR框架招标 调查显示,社会工程是热门的黑客方法 Windows PowerShell绑定到超过三分之一的网络攻击 TFL在数字保存推动中将公司存档转移到AWS公共云 MK:SMART INGISS IOT供应商Thingworx快速发展 Marks&Spencer任命新的首席数字人员 Telstra正在改变澳大利亚IT基础架构 Strathclyde大学升级它以支持学生的研究 1亿美元的网络银行抢劫拼写错误 将边缘数据中心与商业物业构建相结合,可以提高可持续性 RSAC16:网络攻击者仍然在低悬挂水果后,黑暗的网络研究表明 将边缘数据中心与商业物业构建相结合,可以提高可持续性 英国政府邀请对色情网站年龄的评论检查计划 作为对扑发的需求增长,建立第三爱尔兰数据中心的内部 TFL在数字保存推动中将公司存档转移到AWS公共云 在平民的政府草案打击网络犯罪 美国IT专业人员在网络攻击检测中过度自信,研究发现 数据主权问题推动欧洲CIO云的成本 电信公司为女孩推出茎辅导计划 调查表明,缺乏安全知识限制的业务举措 IT外包咨询alsbridge进入澳大利亚忽视 服务提供商使用atlantis将RAM转换为VDI存储 NHS 24承认117米IT项目的“系统失败” 调查确认了英国青少年的网络犯罪活动 美国医院支付12,000英镑的赎金软件攻击者 Riverbed Buys软件定义的WAN专科ocedo 女孩竞争网络轨道职业生涯 美品有饭—做消费者信赖品牌,打造健康饮食新生态 德国 - 芬兰海底电缆推向欧洲数据中心市场增长 SUSE研究表明,21%的英国IT专业人士现在使用Openstack 网络敲诈勒索是一种不断增长的,但很大程度上隐患 埃森哲说,投资人或风险“数字文化冲击” Ofcom探测ee超过计费事故 去年12月在英国每秒制作52个非接触式付款 RSAC16:微软的Windows PowerShell完全武器,安全专家警告 沃达丰的全球税收负担下降5亿英镑 Telstra停电前往公司澳大利亚公司
您的位置:首页 >数据库 >

10个关键事实企业需要注意到GDPR

隐私律师和库平宫分析师Karsten Kinast表示,欧盟新的数据保护监管很复杂,但有10个关键事实企业需要了解企业。

“一般数据保护条例(GDPR)在不到两年的时间内生效,但组织开始回应这些关键事实并不为时已有,”他在慕尼黑告诉欧洲身份和云大会。

GDPR适用于全球所有公司处理欧盟(欧盟)公民的个人数据。

“欧洲委员会首次[EC]是将欧洲数据保护原则出口到世界其他地区,”Kinast说。

这意味着任何与欧盟公民有关的信息的公司都必须符合GDPR的要求,使其成为第一个全球数据保护法。

Kinast认为这方面仅对世界各地的所有公司贡献 - 包括欧洲的公司 - 更认真地追查数据隐私。

虽然个人数据的定义一直相当宽,但Kinast表示,GDPR进一步拓宽,促进了规则下的新型个人数据。

“这意味着它在过去的数据保护法不受影响的部分将需要企业的注意力,以确保他们遵守新的监管,”Kinast说。

GDPR考虑任何可用于标识待识别作为个人数据的数据。它包括遗传,精神,文化,经济或社会信息等事物。

“从现在来看,几乎没有任何个人数据不会落在GDPR下,使组织难以避免必须遵守其要求,”Kinast说。

根据Kinast的说法,有能力证明使用个人信息的有效同意可能是GDPR的最大挑战之一。

“组织需要确保他们在要求同意收集个人数据时使用简单的语言,他们需要清楚他们将如何使用这些信息,并且他们需要了解沉默或不活动不再构成同意,”他说。

GDPR要求收集个人数据的所有组织能够证明清楚和肯定的同意处理该数据。然而,Kinast表示,他在市场中看到的大多数同意机制都不在GDPR下有效。

“将来,对于组织来说,这将更重要,以便于他们收集的个人数据以及如何处理和使用。没有有效同意,任何个人数据处理活动都将被当局关闭,“他说。

当“核心活动”要求“大规模的数据受试者”或“大规模的数据”或“大规模的数据”或“大规模加工”或“大规模加工”或“大规模的处理”或“大规模加工”或“大规模加工”或“大规模的处理”或“大规模加工”或“大规模加工”或“大规模的处理”或“大规模加工”或“大规模加工”)时,请处理个人信息特殊类别的数据“。

根据国际隐私专业人士协会(IAPP)的一项研究,这项要求意味着,在欧洲,在未来两年内必须委任28,000名DPO。

“这将影响德国公司,在那里有要求为拥有10多名员工的组织任命DPO,”Kinast说。

“这是因为,随着当今的技术,有许多组织具有少于10名员工,这些员工可以处理成千上万人的个人数据,并且具有比许多更大组织更高的风险。

“GDPR与员工数量的标准脱离,并侧重于组织与个人信息有关。

“因此,任何取决于处理个人信息的企业将不得不指定一个DPO,谁将延伸数据保护机构,以确保个人数据流程,活动和系统通过设计符合法律,”他说。

根据Kinast的说法,GDPR中的强制性隐私影响评估(PIAS)主要是由于英国信息专员办公室的影响,这与过去的匹配有很多工作。

GDPR需要数据控制器进行PIAS,其中隐私漏洞风险很高,以最大限度地减少数据对象的风险。

“这意味着组织甚至可以开始涉及个人信息的项目,他们必须进行隐私风险评估,并与DPO合作,以确保他们遵守项目进展,”他说。

GDPR协调欧洲各种数据泄露通知法,旨在确保组织不断监控个人数据。

“该规定要求组织在发现它的72小时内通知当地数据保护权限数据泄露。这意味着组织需要确保他们有技术和流程,使他们能够检测和响应数据泄露,“Kinast说。

“对于许多组织来说,这可能需要相当多的培训。它还可能需要更改内部数据安全策略以及如何在组织中促进这一点,以确保数据泄露得到妥善了解,并将容易地识别出来,“他说。

Kinast表示,GDPR介绍了非常限制的,可执行的数据处理原理。

其中一个是数据最小化原则,需要组织不超过绝对必要的任何时间,而不是从最初收集的目的改变数据的使用,同时 - 他们必须删除数据主题请求的任何数据。

“这意味着组织必须在改变他们使用他们收集的数据的方式之前获得新的同意,”他说。

它还意味着组织确保他们有程序和技术,以响应数据科目的请求删除数据。

在过去,只有数据控制器被认为负责数据处理活动,但GDPR向触摸个人数据的所有组织扩展了责任。

“GDPR还涵盖了向数据控制器提供数据处理服务的任何组织,这意味着甚至是使用与个人数据一起使用的纯服务提供商的组织需要遵守数据最小化等规则,”Kinast表示。

GDPR要求通过设计中包含在系统和流程中的隐私。

“这意味着软件,系统和流程必须考虑符合数据保护原则,”Kinast说。

“但是,例如,可以正确地擦除信息,这不是软件中经常看到的。但是,在未来,所有软件都必须能够完全删除数据,这将是许多软件工程师的挑战,“他说。

在过去,爱尔兰很受美国公司,例如谷歌,因为该国相对允许的数据保护机构Kinast表示。

“然而,这一切都与GDPR消失,允许任何欧洲数据保护机构对组织采取行动,无论世界上都是基于世界的地方,”他说。

Kinast指出,这项执法也被高达2000万欧元或4%的年度全球营业额的重大罚款支持。

他说,业务的好处是,他们只需要一个监督权,而不是每个欧盟国家的不同权限。

“这将使组织更简单,更便宜,但与此同时,欧盟公民门槛有权接近他们选择的任何数据保护权给Lodge投诉,”Kinast说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。