一般数据保护法规:它对您的业务意味着什么以及如何遵守?

数据是现代企业最宝贵的资源之一。您可以将其出售、盈利,或者使用它来了解您的用户并相应地改进您的产品/服务。

然而,权力越大,责任越大。安全漏洞和数据泄露可能会导致数百万美元的罚款和诉讼,最终甚至可能让你的企业蒙受损失。

为了解决这一问题,欧盟引入了《通用数据保护条例》(General Data Protection Regulation, GDPR),在数据收集和管理领域设定了明确的要求。这项规定无疑是有用的,但也给企业主带来了一些挑战。

在本文中,我们将回答一些与GDPR遵从性相关的最迫切的问题,并提供在您的业务中实现GDPR的路线图。

GDPR定义。你的网站/应用程序需要遵守吗?

GDPR代表什么?

一般资料保护规例(GDPR)是一项旨在加强和统一欧盟数据保护政策的立法。简单地说,它规范了企业对待用户数据的方式。

GDPR

谁必须遵守GDPR?

欧盟内任何通过其网站(例如通过联系人或订阅表格(包括第三方服务))收集、存储和处理用户数据的组织都有义务满足GDPR设定的标准。

然而,这一规定的影响将不仅限于在欧盟运营的公司。任何针对欧洲客户的企业也需要适应GDPR网站的要求。

什么时候生效?

GDPR于2016年首次引入,并于2018年5月25日正式生效。这意味着企业有两年的时间来准备,并安全地应对违反规定的可能风险。

如果我不服从怎么办?

未能满足新数据安全要求的企业将面临行政罚款(最高为2000万欧元,或上一财年全球销售额的4%,视更高金额而定)。面对如此高昂的代价,企业所有者需要认真对待GDPR的合规问题。

一般资料保障规例指引

数据安全

GDPR的5项主要合规原则企业所有者在构建产品时需要考虑的因素如下:

  • 提高数据透明度.GDPR赋予消费者知情权,让他们知道企业和组织如何对待他们的个人数据。
  • 数据可移植性原则旨在让用户更容易地切换提供商或将数据从一个企业转移到另一个企业。
  • 用户可以在任何时候自由地撤销对共享数据的同意.这意味着,如果他们不想再分享他们的数据,拥有数据的企业或组织必须立即删除数据(除非有合法的理由保留数据)。
  • 组织有义务如果用户的资料隐私受到侵犯,应通知用户. 如果出现安全漏洞,组织有72小时的时间通知当局以及所有受影响方。这允许用户通过尽快采取相应措施来保护其数据。
  • 任何产品或服务都应内置数据保护功能“设计和默认”。企业应该从发展的最初阶段就考虑到新确立的原则。

如何使一个网站符合GDPR ?

根据一项普华永道的调查在美国,92%的受访者(主要是美国人)认为GDPR准备就绪是他们安全议程上的最高优先事项或几个最优先事项之一。

如果你是其中之一,这里有一个简单的10步指南,让你开始。

GDPR合规性检查表

GDPR合规检查表:

  1. 了解GDPR的核心原则以及它们对您的业务可能产生的影响。从阅读文章开始官方文件
  2. 教育你的员工有权查阅有关新规的个人资料的人士。
  3. 审计识别应用程序收集的数据.您真的需要从用户请求的所有数据集吗?尽量将存储的个人数据量降到最低。
  4. 创建用户数据的安全注册表. 重要的是要知道它存储在哪里,谁有权访问它,与谁共享它等等。数据加密应该是存储此信息的默认解决方案。
  5. 确定所有的数据处理器,包括所有内部应用程序和第三方服务。确保它们都符合GDPR的要求。
  6. 明确你的资料私隐政策通过在相应的网站页面(或应用程序中)列出它们。您的用户需要知道是否正在收集他们的数据,包括您收集的数据类型、原因以及存储信息的时间。
  7. 介绍和测试事件响应计划.为了能够在紧急情况下采取必要的行动,要制定详细的缓解计划,并确保所有员工都知道这一点。
  8. 评估和检查现有的安全策略.找出它们是如何工作的(例如,使用加密、标记化或假名化)。
  9. 修正数据保护政策中不符合GDPR的任何方面
  10. 修改和重复.使GDPR合规成为您业务策略的一个组成部分。

数据保护

如果您还没有准备好彻底的修改,请考虑以下几点数据安全提示:

  • 集成安全的OAuth协议作为您的网站或应用程序的登录/启动选项。因此,您可以启用安全登录,而无需请求或存储用户的凭证(除了身份验证)。
  • 采用HTTPS来消除网站中的漏洞。
  • 正确使用cookie。虽然我们都讨厌cookies横幅或弹出窗口,但仍有必要告知用户cookies的使用情况,并为他们提供接受或拒绝cookies的选择。此外,确保cookies在用户注销后过期。
  • 加密用户日志。
  • 虽然在电子商务中跟踪用户的现场活动是一种常见做法,但他们应该意识到这一点,并同意您收集和使用此信息。
  • 尽可能使用双因素身份验证。

GDPR的实施是一个持续的过程。这就是为什么我们建议聘用指定的资料保障主任或者与可靠的技术合作伙伴合作,帮助您建立可靠的数据保护战略,使您的业务符合GDPR。

准备与东峰进行GDPR必威网站怎么打不开

根据Gartner,超过一半的受调查公司可能会受到GDPR引入的影响,但到2018年底,这些公司将无法完全遵守GDPR的要求。这意味着至少一半的企业可能会被罚款。考虑到处罚的规模,并不是所有人都能从中恢复过来。

如果您仍然想知道是否需要为GDPR准备您的网站,答案很可能是“是”。你得快点。采用新的数据保护原则的最佳方式是与专业人员合作,他们可以处理从a到Z的过程。

我们在Eas必威网站怎么打不开tern Peak与多家全球公司合作,包括Western Union和Gett,每天都在处理数据保护和安全问题。我们可以帮助您识别数据管理过程中的瓶颈,提出改进建议,并实施所需的更改,以使您的应用程序符合GDPR要求,并且不违反任何法律。

为了对你的网站或应用程序进行全面的数据安全检查,并开发一个全面的GDPR合规方法,今天就和我们联系

读也: