类别
最新消息

评论:快乐隐私日–2019年第五次罚款二零一六年

Keith Lipman,创始人和PlashingOware总裁,了解数据隐私和网络法的拓宽;大多数隐私法共同的要求;律师事务所和公司必须采取的步骤遵守;以及必须到位的政策以避免你拥有“a really bad day.”

美国和欧盟数据隐私当局去年征收超过10亿美元的罚款,而2018年略低于250米。 Keith Lipman,创始人和PlashingOware总裁,了解数据隐私和网络法的拓宽;大多数隐私法共同的要求;律师事务所和公司必须采取的步骤遵守;以及必须到位的政策以避免你拥有“a really bad day.”

正如我们今天(1月27日)在今天(1月27日)在临时的那些情况下,那里有很多事实和统计数据,而且我们都会很好地关注这一点:美国和欧盟数据隐私当局征收超过10亿美元的罚款年份与2018年略低于250米。* 

在美国,网络安全和隐私法变得更加严格,更为普遍:1920年1月加州消费者隐私法(CCPA)生效。 CCPA基于GDPR。 2019年7月,纽约州长安德鲁库米签署了停止黑客,提高了电子数据安全法令(盾牌法案),该法案扩大了纽约法律和国家管辖范围内的数据泄露通知义务。

像GDPR一样,这项新规定不仅可以保护这些国家的公民,而且它的范围延伸到全球企业。 毫无疑问,隐私和网络安全是每个公司董事会的头脑。

每个组织需要预测什么?首先,它会有一个非常糟糕的一天,并将违反一些性质。 

监管机构和可能的法院通常将疏忽标准对本组织的行为应用,以及如何保护从ISO,AICPA(SOC2),NIST的个人数据的标准。 ISO和NIST刚刚发布了新的隐私框架。  

大多数隐私法都有一个共同的方法。他们要求公司:

  • 将个人数据安全到需要知道的人,
  • 允许人们向公司询问他们对其有哪些数据(数据主题访问请求)
  • 许多人授予被遗忘的权利
  • 要求消费者同意如何使用他们的数据
  • 要求公司拥有数据图
  • 删除不再需要的个人数据(数据最小化)

实际上,公司有很多自由来实现这些基本概念。 关键是他们需要建立政策或控制。 创建这些控件需要在整个公司中参与主要利益相关者。 建立控制是不够的。 该公司需要将这些控件放入行动,然后审核本组织。 这种能够提供保证,即控件正在遵循的控制将是避免被罚款的关键元素。

隐私和网络安全法实际上提供了有机会帮助组织改善流程。 对于律师事务所,他们需要专注于改善法律业务和实践的过程。一家公司的一部分都参与了一种物质。 它可能被称为其他东西:项目,参与,近,交易,机会,运动等。  公司必须通过在整个事物类型或过程中的个人数据的生命周期中思考 - 在GDPR Lingo中的设计隐私。 

对于许多公司来说,最大的挑战将会围绕他们的文件和电子邮件。 在每种类型的物质或类型的过程中,公司必须确定其中包含多少个人数据:(1)一点 - 只需确保文件(2)一些个人 - 安全只是文件夹(3)普遍存在的个人数据 - 安全这件事。 

个人数据需要通过需要知道的人来安全和可访问。 定义这将采取严重的政策开发,由于律师事务所中发生的合作的动态性质,“我们只需要从税务团队就此文件中的意见,”或“我们需要文件处理来处理这个文件文件,“等等。

如果没有相应的技术,严格的政策只是将导致沮丧,延迟或更糟。

对于每种问题类型,下一组工作是确定何时开始删除现有类型中包含的个人数据。 数据最小化的底层逻辑是降低数据曝光的风险。建立合法政策至关重要。 数据最小化的挑战是,组织需要平衡风险,以便在隐私法下的争执与争执的情况下辩护。 这意味着组织需要拥有非常精细的政策,允许破坏在争议时在争议时不相关的数据,同时保留关键的支持文件。 

创建这些政策,实施然后审核其申请的努力工作将导致内部和外部利益相关者在晚上睡得更好。没有它,一个毫无戒心的公司可能会有一个非常糟糕的一天,这可能具有罚款和声誉损害的破坏性后果。

*//www.csoonline.com/article/3410278/the-biggest-data-breach-fines-penalties-and-settlements-so-far.html

*//www.enforcementtracker.com