违反欧盟数据法大修的最大影响的违约通知说法
据律师事务所Olswang的罗斯McKean伙伴统一,强制性违反欧洲数据法的通知要求可能对英国企业产生最大的影响。
“目前英国没有一般数据违约通知要求,大多数公司如果可以避免它,大多数公司选择不公开,以避免受到他们的声誉,”他在伦敦告诉上下文信息安全“的oasissymposium。
但欧盟的一般数据保护条例(GDPR)和网络信息安全(NIS)指令 - 两者都预计将在2015年底之前完成 - 将改变,使得大多数数据违约的通知是必要的。
这意味着大多数英国公司将不得不改变其对数据违规行为的方法,并确保他们有程序遵守规则。
McCanean表示,大型美国零售商目标的案例举例说明了数据泄露通知的破坏性效果。
季度利润下降了46%,遵循了公司的大量违约通知;据报道,与违约的成本达到25200万美元(不包括在品牌中重建信任的持续成本);和违规导致了辞职公司首席执行官和首席信息官。
“当事情变坏时,这就是强制违约通知的结果发生的事情,”麦当班说,加入英国公司应该向美国看看并学习。
一旦欧盟数据违规通知法生效,英国公司将冒险危险,以便在地毯下彻底泄露违规行为 - 但他们可以在发现数据违约时涉及合法团队来限制他们的曝光。
在美国,McKean表示,相对较少的公司从一开始就获得祂的律师,以利用法律特权,这意味着任何包含违约细节的内部报告将通过监管机构和受违规影响的人的法律团队访问任何内部报告。
他说,特权是关键,但在美国制定法医报告的一半以上,没有按照特权的基础准备 - 尽管这一事实是,通常发生的是美国州检察官请求副本法医报告。
“除非您可以申请特权,否则您必须交出它,此类报告往往是相当全面的,”麦当班说。这为第三方访问了有关组织IT基础架构和所有现有安全漏洞的详细和敏感信息。
他说,GDPR将为英国带来基本变化,特别是关于违反通知,因为法律将适用于触及个人数据的每个数据控制器和服务提供商。
预计只有当史的损失有“高风险”时,预计GDPR就会需要通知 - 但是,考虑到“高风险”被定义为欺诈或身份盗窃的风险,该阈值可能会非常低。
GDPR将使数据处理器负责进行数据保护,并首次进行罚款。
“数据处理器或供应商也必须立即通知客户(数据控制器)任何数据漏所,并且数据控制器必须要记录数据漏洞,这意味着它们将不得不将监控和其他系统提供支持,“麦当班说。
他说,另一个大变化是,未能遵守GDPR将导致基于收入的罚款,这些罚款可能总比高于当前关于货币惩罚的500万英镑的上限,即信息专员办公室可以施加违反英国数据的货币处罚保护法。
根据GDPR,不合规的罚款可以高达100万欧元(70米)的年度全球营业额的5%或高达5% - 尽管有些评论员认为这将降至2%。
鉴于这些变化,他表示,英国公司应改变他们的事件响应流程,以包括法律参与 - 从内部或外部 - 从一开始,以确保所产生的任何产生的法医报告都受到特权保护。
然而,根据McKean的说法,剩下的时间剩余地开始进程变化到位是相对较短的,据麦克盟表示,谈判过程靠近协商过程的源相信GDPR的最终版本的英语文本将由2015年圣诞节发布。
“GDPR仍然必须转化为所有官方欧洲语言,这可能需要两到三个月,但这意味着时钟可以在2016年3月或4月开始立即开始,”他说。
之后,欧洲公司将只有两年的时间,以确保他们拥有所有进程,并在成为法律时遵守GDPR。
“这不是一个特别长的窗口,为公司从帖子框遵守到真正的合规性,对于许多公司来说,对于许多公司来说,将需要改变他们处理数据的全部方式 - 两年是实现这一转型的大部分时间, “麦当班说。
但是,他为英国公司列出了一些指导方针,以便在剩余的时间内建立更好的合规性能力。
“与企业的参与是改变企业的关键,以准备GDPR,而不是使用”合法“和”合规“的单词有帮助,”麦当班说。
“找到尽可能多的人在业务中共鸣的东西 - 例如安全违规问题以及对欺诈的一般关注,这使其成为建设参与的肥沃。”
战争游戏或网络攻击模拟提供了另一种有用的建设参与方式,通过涉及来自信息安全,信息技术,通信,法律和任何其他组织危机团队的一部分的人。
“提供这个网络机会存在真正的价值,因为,当有违约时,需要处理它的所有人都会互相遇到并在模拟危机情况下相似的情景共同努力,”麦当班说。“
他说,在建立订婚时,他说,重要的是保持简单,并遵循十大“数据诫命”,即OLSWANG已编译。
是透明的。为什么你正在收集他们的信息并尽可能最大限度地减少它。“如果你不必收集数据,那么不要 - 因为你收集的越多,风险越大,”麦当班说.JUSTIFIED IT.审查有一个充分的充分理由收集个人数据。“并确保您拥有GDPR可能需要的必要同意,”McKean.Chect的首选自由。没有法律要求建立一个“偏好中心”,但麦克氏表示,通过这样做,公司可以与客户建立信任。录音框惊喜。“不要让人感到惊讶。意外导致声称,“威严的安全。不要让它保持太久。”当我们做审计时,我们经常发现非常旧的信息,但现在是遵守数据保留和数据擦除的时间,因为合规是如果涉及的数据较少,则更容易,“mckean.com符合数据传输限制。照顾供应商。”这很重要,因为最薄弱的联系往往是组织供应链的某个地方。由于GDPR,我们可能会看到的是,在整个供应链中的治理,透明度和审计都会更加重视。再次,真正的合规性而不是勾选框合规性,“McKean.Be负责任。在勇敢的新世界,在GDPR生效之后,它是关于做正确的事情并被视为正确的事情事情,“麦当班说。对于任何符合实质性的公司,政策,隐私影响评估和其他文件决策的其他方式对于展示该公司遵守的内容来说,这是非常重要的,这是据说据说据说该公司所做的遵守情况。