您的位置首页 >观点 >

看看GDPR的含义和合规风险的变化

拉杰夫·库玛(Rajeev Kumar)

数据是数字经济中最有价值的资产,也是最大的推动力。对于大多数公司和个人而言,违反数据是他们最大的恐惧。通用数据保护条例(GDPR)于2018年5月25日生效,可以说是旨在解决这些数据隐私和保护问题的隐私立法中最大的变革之一。

我们所有人最近都开始在各种社交媒体平台上收到更新和检查我们的隐私政策的通知。现在,我们可以选择公司是否可以进一步使用该应用程序上可用的个人信息来自定义广告,共享供稿等。

所有这些主要归功于GDPR,这是一项全面,最严格的欧盟隐私法规。让我们进一步深入研究GDPR的确切含义及其对印度的影响。

相关新闻Ather 450X以99,000卢比的起价推出OnePlus,将在印度开设100家体验店数据隐私日/了解在线保护个人信息的必要性

GDPR是欧盟具有里程碑意义的立法,它通过为欧盟公民提供更强大的数据保护和数字隐私法律,赋予了人们足够的权力来接管犯有错误个人资料的公司。GDPR取代了1995年的《数据保护指令》,GDPR旨在使互联网用户在如何使用其数据方面拥有更多发言权,并要求公司遵守有关如何收集,存储和利用数据的严格准则。

法规重点领域

这清楚地将数据泄露定义为导致意外或非法销毁,丢失,更改,未授权披露或访问个人数据的安全破坏。它还将“个人数据”定义为可以直接或间接与在世个人相关联的任何数据,这是一个非常广泛的范围,例如现在包括IP地址。

它通过提供“如果有适当的技术和组织措施”来保护数据(特别是呼吁对数据加密)的公司,为组织提供了强有力的安全措施,公司无需报告违规行为。

违规通知是GDPR中最严格的形式。在2018年5月25日之后发生应通报的违反欧盟个人数据的公司,必须在知悉此事后不迟于72小时内毫不延迟地发出通知。识别公司在检测到事件后的72小时内可能不知道许多确定的事实,它还允许分阶段提供通知。

向谁通知GDPR建立了一个更简单的两轨模式。如果违反欧盟个人数据对个人的权利和自由构成风险,则公司必须通知其主要数据保护机构(DPA)。如果违规对个人构成高风险,公司还必须通知他们。

它对不遵守法规的行为处以最高2000万欧元的罚款,或违规公司年度全球总收入的4%(以较高者为准),从而规定了前所未有的罚款。

在验尸文档中,GDPR要求经历数据泄露的公司记录与泄露有关的事实以及为防止再次发生而采取的补救措施。

针对处理欧盟数据的组织的行动计划在整个企业范围内提高认识第一步是在组织的各个层面上提高对GDPR的认识。开发记录保存并监控最佳实践,参与正在进行的培训,概述违反情况和原因,并在整个组织中建立安全文化。确保员工不仅了解这些新法规的影响,而且让他们感到很自在地发出警报,并且知道在担心的情况下应该与谁联系。指定数据保护官(GPO)GDPR概述了必须正式指定员工的特定组织。 DPO,包括公共当局(法院除外)和私人组织,其核心活动包括处理操作,这些操作需要定期和系统地监控个人信息,大规模或大规模处理敏感数据或与刑事定罪或犯罪有关的数据。欧盟或成员国的法律在其他情况下也可能需要指定DPO。创建数据清单要了解与信息处理,存储和传输方式相关的风险,组织必须完全了解其收集和处理的数据。一旦创建了详细的数据类型清单清单,就应在整个组织的技术基础架构中将每个数据集端到端映射,以识别保存数据的所有物理和虚拟位置。评估风险并进行差距分析下一步将是盘点数据和流程,并将其与GDPR要求进行比较。确保包括第三方供应商和供应商。合规方面的差距在哪里?将来是否有可能存在违规风险?公司要满足GDPR合规性最迫切的需求是什么?制定路线图确定了所有潜在的GDPR合规性差距后,组织应制定路线图,概述为符合GDPR要求而对流程和系统进行的必要更改。这些更改中的一些可能会导致现有控件的收紧,而其他更改可能需要开发新的控件和流程。监控并报告进度和合规性

GDPR法规要求“设计安全”,这要求所有IT专业人员在捕获,处理或存储数据的未来业务运营的设计中建立合规性。DPO应与所有必要的业务和IT团队合作,以确保操作系统和数据管理工作流保持合规性,并与GDPR声明或变更保持最新。

在印度对我们意味着什么?

世界比我们想象的要融合得多。互联网使它看起来更小了。因此,我们现在在印度有ITES公司,在欧洲和美洲以外的地区实时为外国公司的客户提供服务。如果没有这些前沿组织的数据共享,这将是不可能的,而这将是新法规生效后的主要影响。

根据风险偏好,公司需要根据E&O和D&O政策审查其限制,而那些没有这样做的公司则必须立即采取行动。

此外,正如我们所看到的,这种隐私问题已经在争论中,在家中实施更严格的新法规只是时间问题。显然,这意味着处理本地客户数据的公司需要迅速做好准备。

无论组织是在处理欧洲还是印度公民的数据,重要的是提高员工的隐私意识,以确保他们能够识别并适当响应数据主体的请求。应对这些权利的任何过程均应明确记录在案,并嵌入到业务实践中。

风险与合规部门有明确的议程;审查当前的数据处理活动;进行影响评估以确定是否存在侵权风险;建立必要的政策和流程来满足所有隐私要求(例如安全性,投诉处理,数据准确性,泄露)报告等);更新有关个人数据的最新政策,并对业务运营进行必要的更改。

因此,与其等待严格的法规出台,重要的是立即采取必要的措施,以摆脱印度公司所采取的松懈态度,并损害该组织的命运,即使这些公司未处理欧盟客户的数据也是如此。

(作者是巴亚杰·安联保险公司首席风险官)
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。