国际IT贸易集团敦促公司为GDPR做好准备
国际IT贸易集团敦促美国公司特别为欧洲联盟的一般数据保护条例(GDPR)为2018年生效。
成千上万的美国公司直接或在线与欧洲客户在线或在线携带欧洲客户需要加以处理法规,并警告国际信息技术资产管理人员(IAITAM)协会。
但警告适用于所有其他地区的公司,在欧洲做生意,包括欧洲公司,这些公司尚未开始准备过度的变化。
特别是,协会表示,IT资产管理人员需要掌握数据违约披露和数据保护人员的规则。
“这些正在改变个人和公司数据如何处理。他们对美国企业的许多方面具有深远的影响,特别是在如何解决信息安全问题方面,“伊塔姆首席执行官Barbara Rembiesa说。
“当我们的企业只担心遵守美国的法律和规则时,这几天过去了。现在未开始计划处理GDPR要求的公司将是一个真正的震惊,“她说。
Rembiesa的评论呼应了伦敦的法律专家的观点,他表示全球的组织在欧洲或与欧洲开展业务,但在2016年4月14日在采取行动之前被调发,可能已经留下了太晚。
“未来存在挑战。很多公司将在亨顿&威廉姆斯的合伙人的Bridget Treacce说,他们的工作将削减他们符合要求,以便遵守。“
“所有没有这样做的组织,真的必须开始以非常务实的宗旨来思考GDPR对业务的意义以及他们将如何处理数据资产,因为两年没有太多时间,”她说。
Stewart房间,网络安全和数据保护合作伙伴(PWC)表示,最终警报响铃已经响起。
“此后没有更多的警报响铃。没有更多的假装。他说,所有没有开始准备的组织都需要认真对待这一点,“他说。
只需两年即可剩下,房间表示,任何未能遵守GDPR的组织有效地运行了一段时间。
根据房间,GDPR落后的最佳行动计划是迅速行动,以确定所有风险,并在GDPR生效时,他们期望成为最紧迫的风险。
IAITAM已经确定了欧盟规定在任何组织上的前五项影响,如下所述。
GDPR指出,个人数据泄露是违反安全,导致意外或非法销毁,丢失,更改,未经授权的披露或访问,存储或以其他方式处理的个人数据的违反。
IAITAM表示,GDPR对数据泄露定义的变化是重要的。如果组织经历了数据泄露,现在必须在公司的72小时内报告,这是违反违约的72小时。
协会表示,直到这一点,在这一点上,数据违反违反违约之手泄露给公众或媒体时的数据违反。
GDPR要求从事签发的所有组织,以指定数据保护官(DPO)。
这一要求可能对将首次雇用,任命或签订DPO的组织产生重大影响,并“专业的数据保护法和实践以及履行其任务的能力”。
一项研究表明,这将意味着28,000名DPO必须在未来两年内单独在欧洲任命。
GDPR指出数据控制器对数据主体同意处理其数据的证据负担,以便为指定的目的处理其数据。
IAITAM表示,GDPR的这一方面需要用户积极接受用户的条款和条件。因此,用户只能“使用”将不再足够接受条款和条件。这意味着许多公司将不得不建立同意机制,以满足GDPR要求。
GDPR指出,如果符合条例的规定,则只能在第三国或国际组织将个人数据转移到第三国或国际组织的转移 - 由控制器或处理器遵守规定的条件。这包括向第三国或国际组织的个人数据转移到另一个第三国或另一个国际组织。
这条规定是在GDPR创建的,以专门保护欧盟公民的数据一旦迁移到欧盟以外。
IAITAM表示,这意味着任何国际范围和处理欧盟公民的个人信息的组织,例如电话号码,地址或任何其他识别信息,将受到GDPR。任何收到信息“三手”的组织也将受到监管。
监管将征收高达2000万欧元或4%的全球年度营业额的罚款,以违反具体规定,例如违反国际转移规定。它还将强制执行高达1000万欧元或2%的全球年度营业额的罚款,以便未能按照GDPR维持加工记录。
除了这些罚款之外,IAITAM还警告规定,欧盟成员国施加违反不受行政罚款的侵权行为的处罚。
GDPR表示,这种处罚应为“有效,比例和讨厌”。国际奥地姆表示,根据美国将被称为“侵权”,该组织将由成员国缴付,以确保全部对杀戮的损失是全部的,除了处罚和罚款意味着妨碍任何额外的违规行为。
“这种执法可能会越来越有效,导致达到数十亿的货币处罚,”Iaitam说。
“这是什么重要的是,在这里剥夺任何组织,这些组织从欧盟公民的流程或处理数据必须熟悉这种立法,并充分了解它对日常业务流程的影响,”伊伊曼的雷布斯表示。
“在GDPR和惩罚结构的扫描范围之间,这是一项法律,应该认真对待,并以确保完全合规的方式,”她说。
国际亚洲局建议企业寻求了解有关GDPR的更多信息,请咨询欧盟一般数据保护监管门户网站和国际隐私专业人士协会的GDPR的10个运营影响。