EU GDPR

欧盟一般数据保护条例

强制执行日期:2018 年 5 月 25 日 - 届时不合规的组织将面临高额罚金。

《欧盟一般数据保护条例》 (EU GDPR)

GDPR 一个小但重要的元素是:借助金士顿加密 USB 设备保持合规性:

管理威胁并降低风险

可用选项满足从个人、企业到政府的各种需求。

  • 100% 合规的加密 USB 数据存储
  • 简单、易于使用、无需软件或驱动程序
  • 旨在实现快速、高效的部署
EUGDPR Compliance LogosKeep Compliant with Kingston

EU GDPR:需要了解的五个主要领域

  1. 加密 - 数据处理安全性标准(第 32 条,处理安全性
  2. 任命数据保护官 (DPO)
  3. 制定网络安全计划
  4. 记录在案的责任
  5. 理解同意

我需要了解什么?

这将如何影响我的企业?

  • 任何处理欧盟公民相关信息的公司必须遵守
  • 需要注意到是,这些规定适用于控制者和处理者,意味着“云”将不会被 GDPR 法规豁免
  • 适用于所有处理欧盟公民数据的欧盟或非欧盟组织
  • 要求处理或保留个人身份识别信息的组织实施合适的安全举措,以防止个人数据丢失。

我的企业如何做到合规?

  • 自我评估 - 拥有 250 名或更多员工的公司需要设立数据保护官。组织需要对组织员工和客户的个人身份识别信息处理情况执行内部审核
  • 映射存储数据的内部和外部产品/设备 - 记录使用的公司设备并将其纳入您的数据安全策略管辖范围,同时确保数据加密得到利用。物品包括但不限于:服务器、传统硬盘、固态硬盘、USB 闪存盘、计算机和移动设备
  • 库存分析 - 评估全部个人数据数量
  • 清除 - 删除多余个人身份识别信息 (PII) 的归档
  • 信息控制者 - 审核隐私风险和影响评估
  • 合同 - 现在制定将在 2018 年 5 月生效开始日期后强制执行的政策,让您的企业为未来做好准备
  • 数据泄漏 - 法规要求在 72 小时内发出通知

解决方案 - 实施合适的防范措施、技术标准和策略,例如:可缓解不合规风险的个人数据/个人身份识别信息 (PII) 数据加密 了解更多信息

数据加密

  • 金士顿和 IronKey 加密 USB 闪存盘是实现数据加密合规的标准化解决方案之一。
  • 实施“恰当的技术和和组织举措,以确保安全性水平与风险相称,其中包括个人数据加密”(第 32 条处理安全性)
  • 提案要求组织为传输中数据和静态数据加密。
  • 要求处理或保留欧盟居民个人身份识别信息的组织实施合适的安全举措,以防止个人数据丢失。
  • 组织将被要求在他们与第三方服务提供商签订的合同中包含这些增强的数据处理标准。

更大的地域范围(治外法权适用性)

可以说这是数据隐私监管格局的最大变化。

  • GDPR 扩大的管辖范围适用于处理欧盟居住的数据主体个人数据的所有公司,而无论公司位于哪里。

泄漏通知

在可行的情况下,必须在获知泄漏的 72 小时内完成数据泄漏通知,尽管在泄漏不大可能对个人权利或自由造成风险的情况下,无需通知 DPA。

新消费者权利

消费者所获益处

Consumer Benefits

  • 获得 GDPR 的更多保护并能够保持匿名
  • 在消费者不愿共享数据时授权他们这项权利,为消费者提供力量
  • 增强的新消费者权利 - “被遗忘权” - “数据可移植性权利”要求公司终止使用他们的数据
  • 侵犯这些消费者权利的公司将遭受更多来自消费者和法律实体的诉讼

同意

关于同意的条件经过强化,公司将不能再使用充满法律术语的冗长条款和条件,关于同意的请求必须以容易理解、易于访问的形式提供,目的是让数据处理与这种同意建立关联。

  • 同意必须显而易见,并与其他事项区分开,同时使用简单明了的语言以容易理解、易于访问的形式提供。撤销同意必须和给予同意一样容易。

被遗忘权

被遗忘权又称数据擦除,让数据主体有权让数据控制者擦除他/她的个人数据、停止进一步散播此数据,并可能让第三方停止处理此数据。正如(第 17 条)规定的,擦除条件包括数据不再与原始处理目的存在关联或数据主体撤销同意。

还应注意,此权利要求控制者在考虑此请求时,应比较主体的权利与“数据可用性公共利益”。

个人身份识别信息 (PII) 是什么?

个人身份识别信息 (PII) 是指持有的关于欧盟公民的数据,一旦被披露,可能对信息被泄漏者造成伤害。PII 可能包含医疗记录、生物特征数据、护照编号,以及个人身份识别财务信息 (PIFI),例如社会保障和信用卡详细信息。对于姓氏和名字等可能不被视为 PII 的信息,如果与其他数据关联,也可能变成 PII。.

  • 一家组织的数据资产应作为风险评估的一部分加以识别,包括数据是如何存储和访问的、数据暴露于什么风险水平,以及数据是否包含 PII。数据资产可能存储在应用程序数据库、服务器文件系统和最终用户设备中。
What is Personal Identifiable Information (PII)?

高亮部分

  • 一套欧盟范围的法规 — 一套欧盟范围的数据保护法律,预计每年带来 23 亿欧元节省
  • 负责数据保护的数据保护官将由政府当局和大规模处理数据的企业指定
  • 一站式服务 – 企业只需与一个监管机构打交道(在它们总部所在的欧盟国家)
  • 适用非欧盟公司的欧盟法规 – 当向欧盟内的个人提供服务或商品或监控其行为时,总部设在欧盟以外地区的公司必须遵守相同法规
  • 有利创新的法规 – 保证从开发最早阶段就将数据保护保障举措融入产品和服务中(特意为之和默认的数据保护)
  • 有利隐私的技术,例如假名化(即数据记录中的识别字段被替换为一个或多个虚假标识符)和加密(即数据编码方式确保仅获授权方可以读取数据)
  • 影响评估 – 当数据处理可能对个人权利和自由造成高度风险时,企业将必须实施影响评估
  • 记录保存 – 中小型企业不被要求保存处理活动的记录,除非处理是定期性的或可能对被处理数据的所有者的权利和自由造成风险

其他

《一般数据保护条例》 (GDPR) 中的关键数据

  • 2018 年 1 月 31 日 PCI-DSS v3.2 – 关于多重身份验证的要求 (8.3.1) - 影响全球组织
  • 2018 年 6 月 30 日 PCI-DSS v3.2 – 关于升级 SSL 加密的要求(2.2.3、2.3、4.1) - 影响全球组织
  • 2018 年 4 月 PSD2 – 支付服务指令 2 - 影响欧洲企业
  • 2018 年 5 月 GDPR – 一般数据保护条例 - 影响全球组织