数据隐私长出牙齿:2020 年 GDPR 罚款将跃升 40

对于日益增长的监管风险,有哪些潜在的解决方案?

数据隐私 GDPR

尽管 2020 年面临着独特的挑战,但全球数据保护立法和监管的步伐仍在继续加快。

加利福尼亚州消费者隐私法》(CCPA)出台已进入第二个年头,鉴于许多企业总部设在该州,美国和全球的企业都在熟悉该法。纽约州正在规划《纽约隐私法》(NYPA),美国联邦政府也在考虑这方面的选择

在欧洲,自 2018 年起实施的《 通用数据保护条例》(GDPR)继续对许多组织提出挑战。随着企业不断掌握相关要求,欧盟(EU)各地数据保护监管机构的期望值也在不断提高。

DLA Piper 最近关于 GDPR 罚款和数据泄露的调查表明,即使在近三年后,GDPR 仍会对许多企业构成挑战,根据 GDPR 征收的罚金在 2020 年将增加 40% 以上,达到 1.93 亿美元。

从与客户的交谈中,我们了解到企业对 GDPR 的要求有了广泛的了解,而且管理 GDPR 基本要素的基础工作也已到位。正如这些罚款所证明的,许多企业面临的关键挑战是将这些基本要素嵌入企业的运营流程中。

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;} .vc_custom_1631891849000{background-image: url(https://mitratech.com/wp-content/uploads/Green-A-Page-Header.png?id=42780) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;border-radius: 2px !important;}

信息图表:有效供应商入职指南

在建立稳固的供应商关系的同时降低风险。

我们能获得哪些启示?

研究中发现的关键问题包括与过于复杂的隐私通知有关的问题,这些问题影响了透明度规定。许多组织在处理个人信息时仍然没有征得同意。还有一些组织 未能妥善保护个人信息,包括监控对存储个人数据的数据库的访问和使用。另一个问题是 未能最大限度地减少保留的数据量,从而在发生安全漏洞时减少对个人的影响。

监管机构主要对大型企业处以罚款,因为这些企业每天收集的 GDPR 相关数据量最大。它们在人员、系统和工具方面的投资也最大,以管理其合规性。这 说明,随着企业的变化和不断收集更多的数据,要随时处理 GDPR 的所有细节是 一项挑战。这也凸显了那些在时间、资源和预算方面不那么富裕的企业所面临的运营挑战。

研究中提出的问题多种多样。不过,还是有一些共同的主题,主要是围绕着确保在日常工作中使用 GDPR 敏感数据的业务人员以合规的方式进行操作。虽然管理层和员工对 GDPR 有广泛的认识,但他们对适用于其运营系统和流程的法规细节缺乏了解,尤其是对传统应用程序或那些不在 IT 部门控制范围内的应用程序缺乏了解,这可能会使准备最充分的企业面临不合规的风险,甚至可能被处以罚款。

如何解决数据隐私合规问题

有几种方法可以解决这些问题:

统一的政策管理框架有助于将 GDPR 的原则和要求从根本上嵌入核心流程和应用程序中。 集中式政策存储库可以让依赖于 GDPR 数据的政策和程序接受管理层和 GDPR 团队的审查,以确保合规性。当政策发生变化时,可由双方共同审查和批准,以确保其始终合规,否则将有助于识别出现的任何合规问题。

这种集中式方法有助于防止同时使用多个不一致的政策版本--这种情况肯定会违反 GDPR。它还支持对用户如何应用 GDPR 进行测试,以帮助监控整体合规性培训和评估。它还可作为管理者证明合规性的证明引擎,提供可纳入企业 GRC 框架的指标。

另一个需要关注的领域是在企业 IT 环境之外存储个人信息的领域。终端用户计算(EUC) 应用程序--通常是电子表格--经常被用来快速解决紧迫的业务问题,因此可能包含 GDPR 下的个人信息。GDPR 团队通常无法识别、控制和监控这些应用程序。根据 GDPR,如果它们包含这些信息,就需要对其进行识别、主动监控,并让员工能够识别影响 GDPR 的数据变化。

虽然这些问题仅与 GDPR 有关,但同样明显的是,这些问题也会出现在全球类似的法规中,包括 CCPA 和 NYPA。任何与美国和欧盟市场有业务往来的组织,无论其规模大小和所处位置如何,都需要了解这些问题以及如何以最佳方式解决这些问题。

Enterprises should find a partner/provider with the comprehensive tools that make supporting data privacy straightforward and which are quick to implement.  Those solutions should encompass GDPR, CCPA, The Privacy Act, the Data Protection Act, and many other regulations.

管理您的影子 IT 电子表格

有了 ClusterSeven,您就能控制隐藏在企业内部的终端用户计算资产,这些资产可能会带来隐藏风险。