GDPR 和 ATO 预防解决方案

你想要的一切了解GDPR（相对而言）简单的英语 为公司提供信息评估SpyCloud 保护公民数据简短的历史什么是GDPR？这对我的公司意味着什么?What应该这对我的公司意味着什么?GDPR和SPYCLOUD Protecting公民数据 到目前为止，大多数行业资深人士都认识到《通用数据保护条例》2016 / 679 (GDPR)需要积极而戏剧性的变革。对于欧盟公司来说，法规和影响比美国和其他国家更清晰必须遵守，但仍然有很多问题。 新的数据治理条例于2016年4月14日通过，并于25日生效May 2018. The regulation was designed, together by the European Parliament, the Council of欧洲和欧盟委员会将“保护所有欧盟公民免受隐私和数据的侵害在一个日益数据驱动的世界中，违规行为与GDPR的前身，即1995年的指令，已经建立。1 1200 引用的较旧的指令是13日生效的数据保护指令1995年12月。正式称为指令95 / 46 / EC，它未能解决现代2当涉及到保护每个公民的个人数据时，世界面临的挑战。数据无处不在，生活在超虚拟化的云计算环境中，第三方服务器，或在网络罪犯的地下市场上市“新鲜fullz”。 PETABYTES: 估计的的总和持有的数据在线存储和服务公司喜欢谷歌、亚马逊、微软和Facebook 专家估计，在线存储和服务公司持有的数据总额，如谷歌，亚马逊，微软和Facebook（“四大”）总计超过1200 PB。这不包括像Dropbox这样的其他公司。所有这些数据都是非常个人化的，包括PII，财务信息，亲密的个人照片和对话大多数人从来没有认为可能是“共享的”。欧盟制定了新的法规，试图减轻将众所周知的手推车(互联网)放在马面前的后果(隐私和个人数据保护）。法律的主要目标是“将控制权还给”公民和居民，并通过以下方式简化国际业务的监管环境统一欧盟内部的法规。这是一个令人钦佩的目标，但是欧盟为什么要设定要做到这一点，特别是在过去实施的类似政策失败之后？ A BriefHistory 1980年，经济合作与发展组织（OECD） 理事会关于隐私保护准则的建议个人数据的跨境流动。这是建议的七个无约束力的原则将纳入管理数据隐私保护的政策。欧盟将这些对进一步法规的建议，包括数据保护指令，然而，美国没有。相反，美国认可了它们，而没有将其实施为政策。这可能是欧盟更愿意遵守新协议之间当前差距的原因之一GDPR标准比美国 七项建议包括： 1.通知-在收集数据时，应通知数据主体； 2. Purpose-数据仅应用于所述目的，不得用于任何其他目的; 3.同意书-未经数据主体同意，不得披露数据； 4.安全收集的数据应保持安全，免受任何潜在的滥用； 5.披露-应告知数据主体谁在收集数据； 6. Access-应允许数据主体访问其数据并进行更正任何不准确的数据；以及 7.问责制-数据主体应该有一种可用的方法来保存数据收藏家对不遵循上述原则负责。 1981年，欧洲委员会通过谈判制定了《保护个人公约》。关于个人数据的自动处理。这是第一个具有约束力的国际“保护个人免受可能伴随个人数据的收集和处理，旨在同时规范个人数据的跨界流动。“。它还禁止在一个person ’ s race. Finally, it ’ provines the individual ’ s right to know that information is stored on他或她，并在必要时予以纠正。“该条约得到了所有成员的批准5欧洲委员会以及毛里求斯、塞内加尔和乌拉圭。 与此同时，美国没有批准任何类似的数据保护条约。由欧盟实施。美国在这个问题上的政策是在间接的基础上采取的，如作为1988年视频隐私保护法的通过，该法案是在罗伯特之后通过的博克的视频租赁历史是在他的最高法院提名期间发布的。公平1992年《信用报告法》和《健康保险流通和责任法案》1996年的（HIPAA）是后来的例子。 2012年，欧盟委员会提议合并数据保护法在欧盟，由不同成员国在其“通用数据保护”中制定法规。“其中包括将27项国家数据保护法规合并为一，关于公司数据传输到位置的数据传输政策的改进在欧盟之外，以及对任何特定用户对其隐私的控制的改进。该立法还旨在适用于将处理任何数据的非欧盟公司属于欧盟居民。这些意图演变成GDPR。7 GDPR处罚可以什么是GDPR? 相当大:在Mariott的案子,£9900万（1.12亿英镑或1.23亿英镑。） 《通用数据保护条例》的实施带来了许多主要的修改现有的欧盟数据保护法。以下类别:8其中一些变化总结在 扩大领土范围(域外适用性)GDPR更新了欧盟数据保护法的领土范围，该法律现在适用于：在欧盟内部成立的公司(无论他们是在处理欧盟还是非欧盟个人数据)；以及(2)在欧盟以外设立的处理个人数据的公司在欧盟的数据主体的数据。此外，所有非欧盟企业处理数据欧盟公民将不得不在欧盟任命一名代表。 处罚 GDPR规定了两层罚款：第一层最高为1000万欧元或全球年度罚款的2％上一年的营业额，以较高者为准。第二个高达2000万欧元或4%上一年的年营业额，以较高者为准。一般来说，违反控制器或处理器义务将在第一层内被罚款，并违反数据受试者的权利和自由将导致更高水平的罚款。并且该法规指出“云”不能免除GDPR的实施。 正如我们现在在实践中看到的那样，征收的罚款可能相当大-例如，在万豪，打算罚款9900万英镑（1.12亿欧元或1.23亿美元）。 同意书 GDPR提出了同意标准。 处理个人数据，同意必须满足这些新的更严格的要求。 这个规定最好直接传达，因为它是写的： 处理与他或她有关的个人数据，例如通过书面声明，包括通过电子手段或口头陈述。这可能包括打勾访问互联网网站时，选择信息社会的技术设置服务或其他声明或行为，在这种情况下清楚地表明数据主体接受对其个人数据的拟议处理。因此，沉默、预先打勾的方框或不活动不应构成同意。同意应涵盖为同一目的或多个目的而进行的所有处理活动。当处理有多个目的时，应同意所有这些目的。如果数据主体的同意是在请求后通过电子方式给出的，要求必须清晰、简洁，不能不必要地破坏它所提供的服务”。 GDPR还规定，“同意请求应以如下方式提出与其他事项明显不同，以可理解和易于访问的形式，使用清晰而朴实的语言。”换句话说，必须通过选择加入行动表示同意，并且数据主体必须被告知正在使用什么以及如何使用，这不能再被技术术语或法律术语掩盖。 数据保护官员 “数据保护官”是GDPR规定的新角色，负责监督公司的数据保护策略及其实施，以确保遵守法律要求。除非需要这样做，否则组织不一定需要任命DPOGDPR也是如此。这包括组织的核心处理活动包括处理“特殊类别的个人数据”，例如健康数据和/或相关数据种族和种族，大规模，和/或处理活动涉及定期并对数据主体进行大规模的系统监测。DPO必须确保与相关监管机构合作，遵守数据保护规则（SA）。SA是负责监控GDPR遵守情况的独立机构，并且在其管辖范围内处理个人数据，提供建议和听取公民的意见投诉。 现在要求管制员将其数据处理活动通知本地SA， 对于跨国公司来说，可能会带来一场官僚噩梦，大多数成员国都有不同的通知要求。 数据主体权利 违反通知 监管机构违规通知在所有成员国变得强制性数据泄露可能会“对个人的权利和自由造成风险”。通知要求仅为72小时。此违规通知要求延长向受影响的数据主体，其中违规行为可能导致权利的“高风险”，以及有关个人的自由。 进入权 数据主体有权要求确认其个人数据是否为正在处理，以及正在处理的此类个人数据的副本，以及其他信息，包括处理目的，相关个人数据的类别以及是否有任何第三方收到了这些数据。 改正权 数据主体有权要求组织存储的不正确数据更正。 如果你在美国和进程属于的数据欧盟公民,你有义务遵守GDPR “被遗忘的权利” 这项关于数据擦除的规定确保了数据主体有权从控制器删除有关他或她的个人数据，因为例如，数据是不再与原始处理目的相关，或数据主体撤回同意。 数据可移植性 根据某些要求，数据主体有权接收他们提供的数据以“结构化的、常用的和机器可读的格式”向组织发送。数据受试者还可以请求将这样的数据直接从一个控制器传输到另一个控制器。 对象权 在某些情况下，数据主体有权反对处理其个人数据，包括组织向个人或数据主体拒绝组织引用的“合法利益”用于处理个人数据。 设计隐私 从设计系统开始就必须包括数据保护，而不是事后考虑。更具体地说，是对设计系统开始时的保护，而不是添加。 这意味着什么为我的公司? 合规性不是可选的 GDPR现已生效，欧盟内部的所有公司都必须遵守或面临处罚。如果如果您在美国并处理属于欧盟公民的数据，您也有义务遵守。 如果你不遵守，它可能会伤害-很多人们只需要对英国航空公司的1.834亿英镑（2.3亿美元）处以罚款的意图。10对于2018年的违规行为，访问其网站的人被转移到一个欺诈性网站，收集的详细信息，包括姓名，帐单地址，电子邮件地址和付款信息。 避免巨额罚款归结为采取适当的数据保护措施，以及识别和报告违规行为的程序。公然无视GDPR规定不会飞，但在保护措施上做出正确的投资，并有一个尊重法律和尽你所能遵守的态度可以减少你面临的罚款，如果用户数据被破坏。 你可能无法免疫 每个组织现在都必须密切了解他们拥有的信息，这些信息适用于谁如果存在欧盟公民的个人身份信息(PII)，以及在哪里以及如何信息被处理。 10 https: / / www. cnet. com / news / british - airways - faces -破纪录- 230m - gdpr - fine - for - 2018 - data - break / What应该它的意思是为我的公司? 归根结底，遵守GDPR不仅仅是听取正确的法律建议并采取最佳措施来执行您的律师的建议。这意味着做您的客户，无论他们住在哪里，通过保护他们的个人数据和尊重他们的隐私，就像你希望其他组织为你做的那样。这意味着站在您的网站和营销材料的使命声明背后，不仅仅是advertising, asterisks and deceptively disappointing exceptions spelled out in legalese. As社交媒体变得更智能，现实变得增强，并“分享”我们最亲密的信息开始感觉越来越少的选择，也许是时候从旧世界。现在遵循黄金法则当然不会有什么坏处。 GDPR& SpyCloud SpyCloud是一家总部位于美国的公司，拥有欧盟客户，并且还处理个人数据的欧盟公民。因此, SpyCloud需要遵守GDPR。这对我们的客户了解SpyCloud如何在GDPR下处理个人数据以及您如何可以合法地保护自己免受使用SpyCloud的帐户接管（ATO）而不会犯规GDPR的。 根据GDPR，在处理个人数据之前，组织必须建立“合法的它依赖“基础” (或“基础”的组合)来处理个人数据。 通常可以依赖的关键法律依据是“合法利益”，即存在合法的处理个人数据的组织所追求的兴趣，处理为此目的是必要的，个人的利益不会凌驾于合法的追求的利益。 在SpyCloud依赖“合法利益”的情况下，一般来说，SpyCloud进行的数据处理是识别个人或公司信息我们的客户已经接触到犯罪分子。我们的大多数客户都不知道他们的账户已经被泄露。使用我们的专有软件和人类情报，我们能够在ATO流程的早期识别出ATO面临风险的账户提醒客户一个问题，并帮助客户主动防止网络犯罪。 无需以这种方式与SpyCloud客户、客户处理和共享信息不太可能能够保护自己及其员工和消费者网络犯罪。 我们的客户 作为SpyCloud的客户，当您处理SpyCloud数据时，您的目的是保护您的组织、用户、员工或客户免受欺诈和网络犯罪的侵害