律师事务所应继续关注GDPR的5大领域

GDPR目前正全面发挥作用,而且我们已经看到Facebook和Google等企业在其出现后的几天内因潜在的违规行为而受到抨击。截止日期前仅一个月,一项人群研究报告就宣布93%的受访者尚未“完全遵守”该法规。这里 TSG的首席应用程序作家Natasha Bougourd,专门研究IT支持,Office 365, 动态365 和商业智能,通过《 GDPR法规》合规性的持续复杂性和未来的优先事项,与《律师月刊》进行了交谈。

GDPR期待已久,但对于企业的要求还没有明确。好消息是,有80%的受访者将GDPR列为关键业务重点,而合规性更多的是持续的过程,而不是可以标记为已在25日完成的任务 2018年5月。

作为数据控制者和数据处理者,律师事务所尤其必须确保严格遵守新法规。为了保持与GDPR的合规性,您应该优先考虑哪些领域?

  1. 保护您的数据

企业拥有和处理的数据比以往任何时候都要多。其中很大一部分将是个人身份信息(PII);这是GDPR下重要的数据。

许多不存储客户个人信息的企业会误以为这不适用于他们;但是,所有企业至少都将保留员工信息。因此,所有企业都必须采取措施来保护该数字存储的数据。

  1. 加密,加密,加密

当涉及保护数据的最佳方法时,加密是最重要的。在整个GDPR文档中,建议您这样做不仅是使网络犯罪分子无法访问您的数据的一种可靠方法,而且建议您这样做。如果您持有的任何PII数据落入他人之手(无论是有意还是无意),加密都将使其变得难以理解。加密可以在文件,文件夹,设备甚至服务器级别上运行,从而提供最适合您的业务需求的保护级别。

  1. 制定政策并不断审查

根据GDPR,您必须实施政策,详细说明如何处理,访问和保护PII数据。它还指出,数据控制者必须“采用内部策略和实施措施,这些措施特别要符合通过设计保护数据和默认保护数据的原则。”当您充当数据处理器时,必须遵守数据控制器(客户端)及其限制。所有新政策,无论是否专门与GDPR相关,都必须采用“设计时的隐私权”模型进行编译。还应根据GDPR审查现有政策,包括您的数据保护政策,隐私政策和培训政策。

  1. 符合主题访问请求

GDPR的一个尚未得到媒体广泛报道的元素正在遵守主题访问请求。个人可以请求访问您拥有的数据,验证您是否在合法地处理这些数据,在某些情况下,可以要求擦除其数据-也称为“被遗忘的权利”。根据GDPR,您只有一个月的时间来回应这些要求,否则您将面临违规的风险。对此可以找到更多指导 在信息专员办公室(ICO)GDPR指南中.

  1. 如果发生最坏的情况该怎么办

无需企业考虑,但您需要知道在发生数据泄露时该怎么做;未向ICO报告此违规行为可能比违规本身更大。企业必须在发现后72小时内将其报告给信息专员办公室(ICO)。请特别注意这一点,因为与数据泄漏本身相比,不履行这一义务可能被认为是对GDPR的更大违反。在过去的一年中,Uber和Equifax都因掩盖违规行为,及时报告并保持隐患程度而备受抨击。

最后...不要惊慌

赋予消费者权力是GDPR的核心,而不是以企业为榜样。尽管对于要求的内容有很多困惑,但是很明显,网络安全势在必行,正如您对报告和响应义务的了解一样。重要的是要注意,仅仅经历网络攻击或数据泄露并不会自动导致经济处罚; GDPR明确指出,只要您证明自己采取了保护PII数据的措施,就不会受到最严厉的罚款。

发表评论