Gdpr يبدأ اليوم! ما تحتاج إلى معرفته

بدءًا من اليوم ، 25 أيار (مايو) 2018 ، سيصبح التشريع الخاص بحماية البيانات العامة (EU) الصادر عن الاتحاد الأوروبي قانونًا عالميًا بشكل فعال عندما يتعلق الأمر بمسائل حول كيفية التعامل مع البيانات الشخصية من قبل الشركات. على الرغم من أنك قد تعتقد أن قانون حماية البيانات الذي تم التصديق عليه في أوروبا ينطبق فقط على الأوروبيين ، إلا أنك ستكون مخطئًا. ذلك لأن الناتج المحلي الإجمالي يحمي جميع مواطني الاتحاد الأوروبي بغض النظر عن المكان الذي يعيشون فيه وبغض النظر عن من يتعاملون معه ، وهذا يعني أن الشركات الأمريكية التي لديها عملاء في الاتحاد الأوروبي تخضع بشكل مباشر لمتطلبات الناتج المحلي الإجمالي والعقوبات. الأسوأ من ذلك ، وفقًا لتقرير حديث صادر عن Crowd Research Partners ، أن 7 بالمائة فقط من الشركات تسير على الطريق الصحيح لتكون متوافقة مع الناتج المحلي الإجمالي بحلول الموعد النهائي اليوم.

وعلى الرغم من أن هناك خطوات يمكنك اتخاذها حتى اليوم للحفاظ على شركتك على الأقل آمنة إلى حد ما من إجمالي الناتج المحلي ، فإن تحقيق الامتثال الكامل ليس مشروعًا خفيف الوزن. يجب أن تكون عمليات جمع البيانات ذات صلة بكيفية استخدام البيانات من قِبل الشركة (على سبيل المثال ، بيانات التسوق للمستهلكين ولكن ليس بيانات السجل الطبي لشركات التجارة الإلكترونية). يجب أن تكون الشركات مستعدة وقادرة على شرح بالضبط البيانات التي تم جمعها والسبب في ذلك. يجب أن تُظهر ممارسات الأمان قدرة واضحة على الحماية من الفقد والأضرار والتدمير ، ويجب ألا يتم الاحتفاظ بالبيانات لفترة أطول مما هو ضروري. ستخضع أي شركة تفشل في الامتثال للوائح إلى 4 في المائة من مصادرة إيراداتها السنوية.

وقال أنكور لارويا ، قائد الحلول الاستراتيجية في مزود نظام إدارة المعلومات ألفريسكو: "هذه ليست مجموعة من القواعد واللوائح بلا أسنان". توضح Laroia أن العديد من المشكلات داخل اللوائح التنظيمية ستجعل من الصعب على الشركات أن تظل متوافقة. على سبيل المثال ، تشمل بعض القضايا قواعد مكتوبة بشكل مجردة عن سبب جمع البيانات ، والإفراط في متطلبات مسح بيانات العميل عند الطلب ، والحاجة لبعض الشركات إلى تجديد إجراءات الأمن تمامًا فقط لغرض ضمان الامتثال. ومع ذلك ، لا تعتقد لارويا أن الاتحاد الأوروبي يعاني من العبث.

ويتوقع أن "الاتحاد الأوروبي سوف يلاحق المجرمين". "لو تم سن هذا ، لكان Equifax قد واجه الكثير من المتاعب."

الناتج المحلي الإجمالي ، مع التركيز في المقام الأول على مواطني الاتحاد الأوروبي ، كما يقدم سيناريو كابوس لأصحاب الأعمال الأمريكية. ، سنقوم بتفصيل ما يحتاج الأمريكيون إلى معرفته لبدء الرحلة نحو امتثال إجمالي الناتج المحلي.

1. الشركات الأمريكية سوف تحتاج إلى الامتثال

إذا لم تشحن مكتبة mom-and-pop الخاصة بك حزمة خارج مدينتك ، فلن تحتاج على الأرجح إلى الاهتمام بنفسك في إجمالي الناتج المحلي. ومع ذلك ، إذا كان لديك عميل واحد مقيم في الاتحاد الأوروبي ، فستحتاج إلى بدء عملية لتصبح متوافقة مع إجمالي الناتج المحلي على الفور. بموجب اللوائح ، يجب حماية بيانات مواطن الاتحاد الأوروبي ويجب عليك تزويد المواطن بالبيانات المذكورة إذا طلب ذلك. الأهم من ذلك ، قد تكون هناك حاجة لتطهير تلك البيانات من أنظمتك إذا وعندما يقوم المواطن بتقديم الطلب. إذا لم تفعل ذلك وتكتشف وكالة مراقبة الناتج المحلي الإجمالي ، فسوف تخسر 4 في المائة من إيراداتك السنوية.

وقال بيت ليندستروم ، نائب رئيس أبحاث الأمن في آي دي سي: "رغم أنه توجيه من الاتحاد الأوروبي ، فإنه يؤثر على أي شركة في جميع أنحاء العالم لديها سكان من الاتحاد الأوروبي كزبائن". "إذا كان لديك حقول عناوين وهي عنوان أوروبي ، فمن المحتمل أن تعتبر أوروبية."

لا يوجد فرق بين شركة مقرها في الاتحاد الأوروبي أو في مدينة مثل Skokie ، إلينوي. يركز القانون بدلاً من ذلك على معلومات التعريف الشخصية (PII) ومكان وجود الشخص المرتبط بالبيانات. يجب على أي شخص لديه أي نوع من بيانات PII على عميل أوروبي الامتثال.

حتى لو كان لشركتك عدد قليل من العملاء المقيمين في الاتحاد الأوروبي ، فمن غير المرجح أن تتم مراجعة مكتبتك المحلية من قبل هيئات مراقبة الناتج المحلي الإجمالي. لكن الشركات الكبيرة ، مثل Facebook و Yahoo ، لن تكون قادرة على المطالبة بالولاء الأمريكي كوسيلة للتغلب على إجمالي الناتج المحلي.

وقال لارويا: "إذا كنت من أم البوب ​​ولديك خرق ، فأنت مسؤول قانونيًا". "من الصعب القول ما إذا كانت ستتبعك بشكل واقعي… سيكون لكل دولة عضو في الاتحاد الأوروبي مكتب امتثال. سيبدأ هذا المكتب في طلب خطة امتثال الجميع. سيخلقون قائمة بالشركات التي تمارس أعمالًا في مناطقها الجغرافية. سيقومون بالتحقق من الرجال الكبار والبدء في طرح الأسئلة."

لا ينبغي أن تتوقع الشركات الأمريكية التي لا تمتثل لحكومة الولايات المتحدة أن تحميها عندما تحاول دول الاتحاد الأوروبي المدعومة من إجمالي الناتج المحلي تحصيل تلك الإيرادات المفقودة. وقال لارويا: "الحكومة الأمريكية مضطرة للتأكد من أن هذه الأحكام مطبقة". "ما إذا كان سيتم فرضها حتى الآن ، لكن يتعين على الحكومة في الاتحاد الأوروبي القتال".

2. 25 مايو يعني 25 مايو

على الرغم من أن اللائحة تدخل حيز التنفيذ اليوم ، 25 مايو 2018 ، تم التصديق على القانون من قبل برلمان الاتحاد الأوروبي في 14 أبريل 2016. وهذا يعني بقدر ما يتعلق الأمر بالاتحاد الأوروبي ، كان لدى الشركات متسع من الوقت لوضع ممارسات متوافقة مع الناتج المحلي الإجمالي موضع التنفيذ. لذلك ، إذا تعرضت شركتك لشن هجوم إلكتروني كبير غدًا وشرائح من البيانات التي جمعتها على العملاء وزوار موقع الويب وحتى الشركاء يخرجون إلى الويب المظلمة الشائنة ، فلا يمكنك المطالبة "بوقت غير كاف" باعتبارها عذرا لإفشاء بيانات مواطن الاتحاد الأوروبي.

وقال لارويا: "دخلت القوانين حيز التنفيذ". "يمكن أن يُطلب منك إظهار رحلتك إلى الامتثال بالفعل. هل جردت؟ ما هو البروتوكول الذي يجب على مواطن الاتحاد الأوروبي أن يسأله بشأن بياناتك؟ يمكن أن تُطلب هذه الشركات من هذه المعلومات الآن. وستبدأ تغريمها في العام المقبل إذا لا يمكنهم إثبات الامتثال بعد مايو ".

3. لا تتوقع تمديد

على عكس معظم معارك التنظيم القانوني التي لدينا في الولايات المتحدة (على سبيل المثال ، صافي الحياد) ، لم يتدخل أي شخص في الاتحاد الأوروبي في 24 مايو 2018 لتحدي الناتج القومي الإجمالي وبالتالي تأجيل التنظيم إلى أجل غير مسمى. أراد الأوروبيون هذا والآن لديهم.

وقال لارويا "هذا هو جمال الطريقة التي وضعت بها اللوائح". "نظرًا لأنهم منحوا الشركات عامًا لاتخاذ إجراء صحيح ، لم تكن هناك أية تحديات من منظور التقاضي. إذا كنا سنرى ذلك ، فسيحدث ذلك بالفعل. هل يمكن لشخص ما فعل ذلك بعد أن يتم مقاضاته؟ أنا متأكد من أنهم سيحاولون ، لكنها ستبدو سيئة عليهم في هذه المرحلة."

4. ما عليك القيام به للامتثال

وفقًا لما تقتضيه اللوائح ، ستحتاج إلى تعيين شخص مسؤول عن إدارة عملية الامتثال. سيكون هذا الشخص ، الذي يصفه قانون الناتج المحلي الإجمالي "موظف حماية البيانات" (DPO) ، هو الشخص المسؤول عن قيادة فريق الإشراف على إجمالي الناتج المحلي من خلال الطرق التي تقوم بها شركتك بتأمين بياناتها. سيكون هذا الشخص مسؤولًا أيضًا عن تجميع خطوط العمل المختلفة داخل شركتك لإنتاج منهجية للحصول على والبقاء متوافقًا مع إجمالي الناتج المحلي.

باختصار ، سوف تنقسم واجبات DPO إلى أربع فئات رئيسية:

• أولاً ، يجب أن يكونوا على دراية كافية بتفاصيل الناتج المحلي الإجمالي للعمل كشخص أساسي ليس فقط من أجل عملية الامتثال الأولية ولكن لجميع أسئلة التعامل مع البيانات المتعلقة بالناتج المحلي الإجمالي في المستقبل ، وبالتأكيد بما يكفي حتى يتمكنوا من طرح الأسئلة من قبل كل من كبار السن المديرين التنفيذيين ومعالجة البيانات نشطاء تكنولوجيا المعلومات على أرض الواقع.
• ثانياً ، يجب أن يكونوا قادرين على مراقبة جميع عمليات معالجة البيانات الجارية في مؤسستك وتقييم فعاليتها فيما يتعلق بسلامة البيانات الشخصية.
• ثالثًا ، يحتاجون إلى امتلاك قدرات تدقيق ومراقبة في أي مجال من مجالات عملك قد يتأثر الناتج المحلي الإجمالي وتقييمها للتأكد من الامتثال على أساس منتظم.
• وأخيرًا ، يجب أن يكونوا على اتصال بسلطات إجمالي الناتج المحلي بالنسبة لصناعتك ، والتعاون معهم ، والعمل كشخص مهم لأي طلبات تأتي من تلك السلطة.

كل هذا يتلخص في فهم الشخص لتدفقات البيانات ، وإجراءات وتقنيات حماية البيانات ، وكذلك ليس فقط لمعرفة تفاصيل تشريعات الناتج المحلي الإجمالي ولكن أيضًا معرفة بتشريعات الاتحاد الأوروبي ذات الصلة وذات الصلة ، مثل توجيه الخصوصية الإلكترونية. أدى الافتقار المحتمل إلى هذه المهارات إلى توفير فرصة خضراء لاستشارات الأعمال وتكنولوجيا المعلومات ، ولكن إذا كنت تتطلع إلى تطوير هذه الموهبة داخل الشركة ، فإن الرهان الجيد هو البحث عن مصادر تعلم أوروبية ناطقة باللغة الإنجليزية عبر الإنترنت ، قام العديد منها بتطوير المناهج التعليمية الخاصة بإجمالي الناتج المحلي DPO لهذا الغرض. بالإضافة إلى ذلك ، هناك منظمات صناعية متعددة الجنسيات ، مثل الرابطة الدولية لمتخصصي الخصوصية (IAPP) ، والتي تقدم المناهج التعليمية وشهادات التدريب على إجمالي الناتج المحلي.

في ملاحظة تقنية أكثر ، لكي تظل متوافقًا ، ستحتاج إلى استخدام طريقة تشفير واحدة على الأقل للخوادم الفعلية ووحدات التخزين المتصلة بالشبكة (NAS) والأقراص ومحركات الأقراص والوصول إلى الشبكة. ستحتاج إلى التحقق من هويات الموظفين وإنشاء مصادقة متعددة العوامل (MFA) عند الوصول إلى PII وللحسابات التي تتضمن بيانات PII. ستحتاج إلى قطع أي ممارسات تصل إلى البيانات أو تعالجها لأغراض غير مصرح بها ، وتراقب وتحقق باستمرار من البيانات لضمان ملاءمتها ، وتطهير بيانات العميل تمامًا ولا رجعة فيه عندما يُطلب منك ذلك. سيُطلب من المؤسسات إجراء تقييمات كاملة للمخاطر والعمل مع الشركاء ، خاصةً أولئك المتصلين عبر واجهات برمجة التطبيقات (API) ، لضمان الامتثال المستمر.

أخيرًا ، إذا تم اختراق بيانات مؤسستك ، فستحتاج إلى إخطار مشرف الناتج المحلي الإجمالي المرتبط فورًا لوصف الاختراق وعواقبه بالكامل. وستحتاج إلى إيصال تداعيات الخرق إلى العملاء المتأثرين.

5. عملاء الولايات المتحدة

وقال لارويا إنه من الجيد في نهاية المطاف الحفاظ على المعلومات التجارية والقيام بالإشراف الجيد على معلومات العملاء. وقال لارويا "عليك أن تنظر إلى هذا من وجهة نظر العميل النهائي". "إنها السبب في أن هذه الشركات تعمل. نعم ، رغم أنها مؤلمة بالنسبة للشركات ، لم تستثمر الشركات في التكنولوجيا أو مواكبة وتيرة الابتكار."

لسوء الحظ ، لا توجد قوانين أمريكية مماثلة على الكتب. تتم تغطية الشركات التي تمارس نشاطًا تجاريًا في نيويورك بموجب متطلبات الأمن السيبراني الصادرة عن إدارة الخدمات المالية في نيويورك إلى حد ما. تتطلب هذه اللائحة من الشركات التي تتخذ من نيويورك مقرا لها أن تنفذ وتحافظ على سياسة أو سياسات مكتوبة ، معتمدة من قبل كبير الموظفين أو مجلس إدارة الكيان المشمول (أو لجنة مناسبة منه) أو هيئة إدارة معادلة لها. يحدد هذا سياسات وإجراءات الكيان المشمول بحماية أنظمة المعلومات والمعلومات غير العامة المخزنة على أنظمة المعلومات هذه ، وفقًا للقانون المكتوب.

وقد ناقشت ولايات أخرى ، مثل كولورادو ، تطبيق اللوائح المماثلة. ومع ذلك ، لا يوجد قانون اتحادي شامل للولايات المتحدة. لكن لارويا متفائل بأن الولايات المتحدة ستكون التالية. وقال "الأمريكيون ليس لديهم مثل هذه الحقوق". "لكن اعطها خمس سنوات."