美国和欧盟的数据隐私当局去年征收了超过10亿美元的罚款,而2018年则略低于2.5亿美元。 Prosperoware的创始人兼总裁Keith Lipman着眼于不断扩大的数据隐私和网络法律网络。大多数隐私法的共同要求;律师事务所和公司必须遵循的步骤;以及必须制定的政策来避免您“a really bad day.”

当我们观察今天的隐私日(1月27日)时,会有很多事实和统计数据四处传播,但我们都应该很好地注意的一个突出事实是:美国和欧盟的数据隐私管理机构最近对10亿美元罚款。相比之下,2018年略低于2.5亿美元。 

在美国,网络安全和隐私法变得越来越严格和普遍:2020年1月,《加利福尼亚消费者隐私法》(CCPA)生效。 CCPA基于GDPR。 2019年7月,纽约州州长安德鲁·库莫(Andrew Cuomo)签署了《制止黑客和改善电子数据安全法》(简称SHIELD法),该法扩大了根据纽约州法律和纽约州管辖范围的数据泄露通知义务。

与GDPR一样,这项新法规不仅保护了这些州的公民,而且其影响范围也扩展到了全球企业。 难怪隐私和网络安全是每个公司董事会的首要任务。

每个组织都需要期待什么?首先,这将是非常糟糕的一天,并且会违反某些性质。 

监管机构和潜在的法院通常会将疏忽标准应用于组织的行为,并且有多种标准可以保护个人数据,包括ISO,AICPA(SOC2)到NIST。 ISO和NIST刚刚发布了新的隐私框架。 

大多数隐私法都有一种通用的方法。他们要求公司:

  • 保护需要了解的个人数据,
  • 允许人们询问公司他们拥有哪些数据(数据主题访问请求)
  • 许多人授予被遗忘的权利
  • 征询消费者同意如何使用其数据
  • 要求公司有数据图
  • 不再需要时删除个人数据(数据最小化)

实际上,公司在实施这些基本概念方面有很多自由。 关键是他们需要建立策略或控制。 建立这些控制措施需要整个公司的主要利益相关者的参与。 建立控件还不够。 公司需要将这些控制措施付诸实践,然后审核组织。 这种确保遵守控制措施的能力将成为避免被罚款的关键因素。

隐私和网络安全法实际上为帮助组织改进流程提供了机会。 对于律师事务所,他们需要集中精力改进法律业务和法律实践的流程。公司的每一部分都涉及一种事务。 它可能只是别的名字:项目,参与,达成,交易,机会,活动等。  公司必须在整个事件类型或过程的整个生命周期中思考个人数据的生命周期-GDPR术语中的设计隐私。 

对于许多公司而言,最大的挑战将是围绕他们的文档和电子邮件。 在每种类型的事件或过程类型中,公司都必须确定其中包含多少个人数据:(1)少量-仅保护文档(2)一些个人-仅保护文件夹(3)普遍的个人数据-确保安全这件事。 

个人数据将需要安全并且需要知道的人可以访问。 定义这将需要认真的政策制定,并且由于律师事务所之间的动态合作性质而变得困难-“我们只需要税务团队对这份文件的意见,”或“我们需要处理这份文件的文件文档”等等。

没有适当的技术,僵化的政策只会导致挫败感,延误甚至更糟。

对于每种案件类型,下一组工作是确定何时开始删除案件类型中包含的个人数据。 数据最小化的基本逻辑是减少数据暴露的风险。建立合法政策至关重要。 数据最小化的挑战在于,组织需要权衡在发生纠纷时需要文件保护自己的风险与隐私法规定的职责之间的平衡。 这意味着组织将需要制定非常精细的策略,以允许在保留关键支持文档的同时销毁与在争端中为自己辩护无关的数据。 

创建这些策略,实施然后审核其应用程序的辛苦工作将导致内部和外部利益相关者在晚上睡得更好。没有它,一家毫无戒心的公司可能会经历非常糟糕的一天,可能因罚款和声誉受损而造成毁灭性后果。

*//www.csoonline.com/article/3410278/the-biggest-data-breach-fines-penalties-and-settlements-so-far.html

*//www.enforcementtracker.com