分解GDPR合规性及其如何保护欧盟公民的数据.
Topic Overview
多年来,欧盟各国拼凑的隐私和数据处理规则让人头疼, 欧盟于2016年通过了《ladbrokes立博中文版》(GDPR合规),使所有成员国的事情变得更容易. GDPR旨在保护所有欧盟居民的数据,并使组织更容易理解和遵守数据保护规则. 尽管GDPR于2016年正式通过, its formal implementation date is May 25, 2018, 给成员国大约两年的时间来加强准备工作.
即使您的组织在欧盟没有办公地点, 处理任何欧盟公民的个人资料, 您将需要遵守《ladbrokes立博中文版》,否则将面临高达公司年收入4%或高达2000万欧元的巨额罚款, whichever is higher.
Privacy By Design: GDPR的目的是保护欧盟公民的个人数据, including data such as their name, email address, financial or medical details, and even their IP address. As such, GDPR的一个关键组成部分是从一开始就在所有系统中建立隐私——被称为隐私设计——默认为所有最终用户提供.
Data Custodianship: 此外,更好的数据保管规则也是《ladbrokes立博中文版》的一部分. 法规规定,组织应该只保留他们绝对需要的数据,只要他们需要. 一旦不再需要这些数据,这些数据应该被销毁或匿名化.
Right To Erasure: 基于2006年针对谷歌的诉讼中引入的“被遗忘权”概念, the GDPR includes a right to erasure. 这意味着用户可以出于多种原因要求从组织中删除他们的个人数据, 包括涉嫌不遵守GDPR. Additionally, explicit consent, which must be given freely, ,以处理个人资料, 如果用户希望撤销同意,组织必须为用户提供同样的便利.
Breach Notification Requirements: 以及保护用户数据安全的要求, GDPR还包括强制性和严格的数据泄露通知规则. 在个人资料泄露的情况下, 违规行为必须在发现违规行为后72小时内向受影响的欧盟成员国监管机构报告. 取决于数据泄露的严重程度, 组织可能还需要通知受影响的用户.
1. 了解您的网络和您拥有的数据范围
确保您掌握了您的生态系统和您的组织所拥有的数据范围:谁可以访问它, and what kind of data is it? Once you have an idea of the scope, 您可以开始实施访问限制和监控,以确保没有未经授权的访问.
2. 评估控制和程序的强度
你需要测试和评估任何一种药物的功效 critical security controls 以及目前的项目——不仅仅是技术,还有人员和流程. Make sure to scan for vulnerabilities 定期发现自己的弱点,解决任何差距.
3. 正式实施通知程序
No one wants a data breach to occur, 但最好提前为最坏的情况做好准备. 建立一个正式的数据泄露通知流程,并进行几次试验, and be sure it includes threat detection and response capabilities.
《ladbrokes立博中文版》将于5月28日正式实施, 2018, 受影响的组织应该尽快开始向遵从性转移. 这不仅会让他们在法律面前顺从, 但是,不断改进您的安全堆栈从来都不是一个坏主意, 特别是在涉及个人数据的情况下. 了解有关遵守《ladbrokes立博中文版》的更多信息.