11月 2018

《欧盟一般数据保护条例》 (EU GDPR)

GDPR 一个小但重要的元素是：借助金士顿加密 USB 设备保持合规性：

管理威胁并降低风险

可用选项满足从个人、企业到政府的各种需求。

100% 合规的加密 USB 数据存储
简单、易于使用、无需软件或驱动程序
旨在实现快速、高效的部署

EU GDPR：需要了解的五个主要领域

加密 - 数据处理安全性标准（第 32 条，处理安全性
任命数据保护官 (DPO)
制定网络安全计划
记录在案的责任
理解同意

不合规是否会导致任何处罚？

Are there any penalties for non-compliance?

根据 GDPR，违反 GDPR 的组织可能面临高额罚款，高达全球年营业额的 4% 或大约 2195.2 万美元（2000 万欧元，以较大者为准）。
公司可能因以下行为面临 2% 的罚款：没有保持井然有序的记录（第 28 条）、没有向监管机构和数据主体通知泄漏事件，或没有实施影响评估。
需要注意到是，这些规定适用于控制者和处理者，意味着“云”将不会被 GDPR 法规豁免。

我需要了解什么？

这将如何影响我的企业？

任何处理欧盟公民相关信息的公司必须遵守
需要注意到是，这些规定适用于控制者和处理者，意味着“云”将不会被 GDPR 法规豁免
适用于所有处理欧盟公民数据的欧盟或非欧盟组织
要求处理或保留个人身份识别信息的组织实施合适的安全举措，以防止个人数据丢失。

我的企业如何做到合规？

自我评估 - 拥有 250 名或更多员工的公司需要设立数据保护官。组织需要对组织员工和客户的个人身份识别信息处理情况执行内部审核
映射存储数据的内部和外部产品/设备 - 记录使用的公司设备并将其纳入您的数据安全策略管辖范围，同时确保数据加密得到利用。物品包括但不限于：服务器、传统硬盘、固态硬盘、USB 闪存盘、计算机和移动设备
库存分析 - 评估全部个人数据数量
清除 - 删除多余个人身份识别信息 (PII) 的归档
信息控制者 - 审核隐私风险和影响评估
合同 - 现在制定将在 2018 年 5 月生效开始日期后强制执行的政策，让您的企业为未来做好准备
数据泄漏 - 法规要求在 72 小时内发出通知

解决方案 - 实施合适的防范措施、技术标准和策略，例如：可缓解不合规风险的个人数据/个人身份识别信息 (PII) 数据加密了解更多信息

数据加密

金士顿和 IronKey 加密 USB 闪存盘是实现数据加密合规的标准化解决方案之一。
实施“恰当的技术和和组织举措，以确保安全性水平与风险相称，其中包括个人数据加密”（第 32 条处理安全性）
提案要求组织为传输中数据和静态数据加密。
要求处理或保留欧盟居民个人身份识别信息的组织实施合适的安全举措，以防止个人数据丢失。
组织将被要求在他们与第三方服务提供商签订的合同中包含这些增强的数据处理标准。

更大的地域范围（治外法权适用性）

可以说这是数据隐私监管格局的最大变化。

GDPR 扩大的管辖范围适用于处理欧盟居住的数据主体个人数据的所有公司，而无论公司位于哪里。

泄漏通知

在可行的情况下，必须在获知泄漏的 72 小时内完成数据泄漏通知，尽管在泄漏不大可能对个人权利或自由造成风险的情况下，无需通知 DPA。

新消费者权利

消费者所获益处

Consumer Benefits

获得 GDPR 的更多保护并能够保持匿名
在消费者不愿共享数据时授权他们这项权利，为消费者提供力量
增强的新消费者权利 - “被遗忘权” - “数据可移植性权利”要求公司终止使用他们的数据
侵犯这些消费者权利的公司将遭受更多来自消费者和法律实体的诉讼

同意

关于同意的条件经过强化，公司将不能再使用充满法律术语的冗长条款和条件，关于同意的请求必须以容易理解、易于访问的形式提供，目的是让数据处理与这种同意建立关联。

同意必须显而易见，并与其他事项区分开，同时使用简单明了的语言以容易理解、易于访问的形式提供。撤销同意必须和给予同意一样容易。

被遗忘权

被遗忘权又称数据擦除，让数据主体有权让数据控制者擦除他/她的个人数据、停止进一步散播此数据，并可能让第三方停止处理此数据。正如（第 17 条）规定的，擦除条件包括数据不再与原始处理目的存在关联或数据主体撤销同意。

还应注意，此权利要求控制者在考虑此请求时，应比较主体的权利与“数据可用性公共利益”。

个人身份识别信息 (PII) 是什么？

个人身份识别信息 (PII) 是指持有的关于欧盟公民的数据，一旦被披露，可能对信息被泄漏者造成伤害。PII 可能包含医疗记录、生物特征数据、护照编号，以及个人身份识别财务信息 (PIFI)，例如社会保障和信用卡详细信息。对于姓氏和名字等可能不被视为 PII 的信息，如果与其他数据关联，也可能变成 PII。.