10个关键事实企业需要注意到GDPR
Microsoft向Woo IOS,Android和Linux开发人员寄出
Strathclyde大学升级它以支持学生的研究
英国政府邀请对色情网站年龄的评论检查计划
Telstra正在改变澳大利亚IT基础架构
Riverbed Buys软件定义的WAN专科ocedo
美国医院支付12,000英镑的赎金软件攻击者
去年12月在英国每秒制作52个非接触式付款
Telstra停电前往公司澳大利亚公司
面试:数字市场总监Tony Singleton为什么要离开G-Cloud
Nufield Trust说,NHS酋长需要“深化”他们对数字的理解
戴尔SDN的OS10承诺新的网络灵活性水平
经常账户交换率再次下降
GDS将帮助政府部门帮助自己
基于阿联酋的Ehosting DataFort推出思科ACI
泄露的文件预测澳大利亚国家宽带战略的问题
NRF 2016:Westfield Co-Ceo表示,购物中心将成为“经验的平台”
HSCIC开发覆盆子PI远程医疗套件
英国政府和欧盟议会加强大数据分析政策推动
NRF 2016:Emex首席执行官Chenault表示,企业必须为“Cannibalize”做好准备
Equinix Taps进入开放计算项目,构建开源数据中心生态系统
VISA为开发人员开辟了技术
虚拟疯狂:2016年年度用户在VR上大吗?
Shropshire社区健康NHS Trust for Servelec Rio EPR
Facebook开始在爱尔兰建造第二欧洲数据中心
雷诺运动公式1考虑部署VCE vxRail以获取轨迹旁观数据分析
Tony Singleton为商业,创新和技能部门留下了G-Cloud
事情互联网有助于跟踪菲律宾的杜冈
财务公司获取绩效数据库的小提琴全闪存阵列
报告称,企业将推动增强现实和可穿戴设备
CIO采访:凯瑟琳多兰,皇家邮政
BT按计划完成EE收购
电子产品供应商RS组件销售在线推动的业务流程系统
CIO采访:Yotel Digital副总裁Fergus Boyd
付款监管机构在引入竞争方面取得进展
维珍提供以太网连接,以满足Office超级计算机
消费者被广告宽带价格误导
RSAC16:美国与英国有关数据访问协议
IT决策者承认他们需要更多地保护数据
ISC要求在计划监督票据中获得更多清晰度
政府发布了ATOS合同的审查
Azure在微软的IoT愿景中的角色
AGS机场在希思罗机场分裂后出来
IT公司需要具有软技能的技术工人
MWC16:福特扩展了连接的车辆生态系统
单一部门计划确认承诺GAAP
Meg Whitman使用Q1结果争论戴尔/ EMC的情况
消费者每年浪费156英镑的过期宽带优惠
它可以帮助避免挪威医疗保健危机
IT行业未能破坏仅纯粹的刻板印象
您的位置:首页 >产品 > 智能硬件 >

10个关键事实企业需要注意到GDPR

2021-06-10 17:44:18 [来源]:

隐私律师和库平宫分析师Karsten Kinast表示,欧盟新的数据保护监管很复杂,但有10个关键事实企业需要了解企业。

“一般数据保护条例(GDPR)在不到两年的时间内生效,但组织开始回应这些关键事实并不为时已有,”他在慕尼黑告诉欧洲身份和云大会。

GDPR适用于全球所有公司处理欧盟(欧盟)公民的个人数据。

“欧洲委员会首次[EC]是将欧洲数据保护原则出口到世界其他地区,”Kinast说。

这意味着任何与欧盟公民有关的信息的公司都必须符合GDPR的要求,使其成为第一个全球数据保护法。

Kinast认为这方面仅对世界各地的所有公司贡献 - 包括欧洲的公司 - 更认真地追查数据隐私。

虽然个人数据的定义一直相当宽,但Kinast表示,GDPR进一步拓宽,促进了规则下的新型个人数据。

“这意味着它在过去的数据保护法不受影响的部分将需要企业的注意力,以确保他们遵守新的监管,”Kinast说。

GDPR考虑任何可用于标识待识别作为个人数据的数据。它包括遗传,精神,文化,经济或社会信息等事物。

“从现在来看,几乎没有任何个人数据不会落在GDPR下,使组织难以避免必须遵守其要求,”Kinast说。

根据Kinast的说法,有能力证明使用个人信息的有效同意可能是GDPR的最大挑战之一。

“组织需要确保他们在要求同意收集个人数据时使用简单的语言,他们需要清楚他们将如何使用这些信息,并且他们需要了解沉默或不活动不再构成同意,”他说。

GDPR要求收集个人数据的所有组织能够证明清楚和肯定的同意处理该数据。然而,Kinast表示,他在市场中看到的大多数同意机制都不在GDPR下有效。

“将来,对于组织来说,这将更重要,以便于他们收集的个人数据以及如何处理和使用。没有有效同意,任何个人数据处理活动都将被当局关闭,“他说。

当“核心活动”要求“大规模的数据受试者”或“大规模的数据”或“大规模的数据”或“大规模加工”或“大规模加工”或“大规模的处理”或“大规模加工”或“大规模加工”或“大规模的处理”或“大规模加工”或“大规模加工”或“大规模的处理”或“大规模加工”或“大规模加工”)时,请处理个人信息特殊类别的数据“。

根据国际隐私专业人士协会(IAPP)的一项研究,这项要求意味着,在欧洲,在未来两年内必须委任28,000名DPO。

“这将影响德国公司,在那里有要求为拥有10多名员工的组织任命DPO,”Kinast说。

“这是因为,随着当今的技术,有许多组织具有少于10名员工,这些员工可以处理成千上万人的个人数据,并且具有比许多更大组织更高的风险。

“GDPR与员工数量的标准脱离,并侧重于组织与个人信息有关。

“因此,任何取决于处理个人信息的企业将不得不指定一个DPO,谁将延伸数据保护机构,以确保个人数据流程,活动和系统通过设计符合法律,”他说。

根据Kinast的说法,GDPR中的强制性隐私影响评估(PIAS)主要是由于英国信息专员办公室的影响,这与过去的匹配有很多工作。

GDPR需要数据控制器进行PIAS,其中隐私漏洞风险很高,以最大限度地减少数据对象的风险。

“这意味着组织甚至可以开始涉及个人信息的项目,他们必须进行隐私风险评估,并与DPO合作,以确保他们遵守项目进展,”他说。

GDPR协调欧洲各种数据泄露通知法,旨在确保组织不断监控个人数据。

“该规定要求组织在发现它的72小时内通知当地数据保护权限数据泄露。这意味着组织需要确保他们有技术和流程,使他们能够检测和响应数据泄露,“Kinast说。

“对于许多组织来说,这可能需要相当多的培训。它还可能需要更改内部数据安全策略以及如何在组织中促进这一点,以确保数据泄露得到妥善了解,并将容易地识别出来,“他说。

Kinast表示,GDPR介绍了非常限制的,可执行的数据处理原理。

其中一个是数据最小化原则,需要组织不超过绝对必要的任何时间,而不是从最初收集的目的改变数据的使用,同时 - 他们必须删除数据主题请求的任何数据。

“这意味着组织必须在改变他们使用他们收集的数据的方式之前获得新的同意,”他说。

它还意味着组织确保他们有程序和技术,以响应数据科目的请求删除数据。

在过去,只有数据控制器被认为负责数据处理活动,但GDPR向触摸个人数据的所有组织扩展了责任。

“GDPR还涵盖了向数据控制器提供数据处理服务的任何组织,这意味着甚至是使用与个人数据一起使用的纯服务提供商的组织需要遵守数据最小化等规则,”Kinast表示。

GDPR要求通过设计中包含在系统和流程中的隐私。

“这意味着软件,系统和流程必须考虑符合数据保护原则,”Kinast说。

“但是,例如,可以正确地擦除信息,这不是软件中经常看到的。但是,在未来,所有软件都必须能够完全删除数据,这将是许多软件工程师的挑战,“他说。

在过去,爱尔兰很受美国公司,例如谷歌,因为该国相对允许的数据保护机构Kinast表示。

“然而,这一切都与GDPR消失,允许任何欧洲数据保护机构对组织采取行动,无论世界上都是基于世界的地方,”他说。

Kinast指出,这项执法也被高达2000万欧元或4%的年度全球营业额的重大罚款支持。

他说,业务的好处是,他们只需要一个监督权,而不是每个欧盟国家的不同权限。

“这将使组织更简单,更便宜,但与此同时,欧盟公民门槛有权接近他们选择的任何数据保护权给Lodge投诉,”Kinast说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。