GDPR 在三年前生效時,只有部分與歐洲有業務往來的公司受到影響。儘管這已涵蓋了不少業務,但當時許多企業都沒有太過擔心。
但是,GDPR 現在幾乎成了所有企業都必須面對的問題。GDPR 是新領域(例如加州消費者隱私保護法(CCPA))中新規則的基礎。簡言之,GDPR 幾乎無所不在。
於此同時,三年已過去,許多企業仍在為了合規性而奮鬥,即使是那些早就掌握 GDPR 的企業,也看到了他們的業務因必須持續適應合規性規定而發生的變化。
同時,GDPR 及類似 GDPR 規定的執行變得越來越嚴格,罰款依舊很高,而且合規性調查極具殺傷力。
Progress 了解,不是每個人都能掌握 GDPR,因此,我們請撰寫《GDPR 越來越難-如何精通棘手的部分(GDPR isn’t Getting Any Easier – How to Master the Tough Parts)》的 Osterman Research 專家來說明此議題。
Osterman 的專家詳細解說了 GDPR 是什麼以及這些年來的變化。瞭解規定以及新的改編和相關法規,對合規實踐很重要。
不合規,首先就代表您的環境不安全,因此就算您技術上不受 GDPR 法規的約束,把它當成需要做的事也是一種優良實務。不合規罰款的情況已越來越多,這是因為他們被罰款的頻率越高,金額也越大。您可能會面臨高達4%年營收或2,420萬美元的罰款-視何者較高。
同時,違反 GDPR 規定也意味著會擾亂您業務的深入調查,而監管機構甚至可以限制您現有的流程或完全停止這些流程。
調查本身就可能引起最大的問題。Osterman 的報告指出:「監督機關所進行的調查可能會在整個組織中引起顯著的混亂,進而造成更大的財務衝擊,使客戶、潛在客戶、利益相關者及員工失去信心。如果是上市公司,也可能影響股東的支持以及股價。此外,如果稽核員發現其他可能需要進一步調查及補救的問題,風險又更高了。」
良好的資料治理是合規性的關鍵,企業必須保留涉及個人資料的所有相關處理活動之紀錄,而且必須謹慎地對待這些資料,包括移動及靜止時進行加密、僅在絕對有必要時收集個人資料,以及僅在完全有必要時處理個人資料。移動資料時,必須安全地移動,僅發送給有權查看資料的人員,並以安全且可追蹤的方式發送。
Osterman 認為,「必須透過設計及預設的方式進行資料保護,」而且「此要求符合對資料主體的權利與自由的損害最小化的優先原則,同時包含採取健全的組織與技術措施的命令。」
事實上,Telecom GmbH 及 Marriott International 等公司被罰款是因為「缺乏確保資訊安全的充分技術與組織措施」。
網路安全必須廣泛且深入。「所有端點、閘道、網路應用程式、雲端服務等,都必須具有健全的防護措施,以防止未經授權的存取、阻擋未經授權的變更,並保護任何類型的個人資料免遭試圖危害資料完整性的惡意威脅,」Osterman 表示,「異常活動應該產生警示,以利進一步調查,且若為高風險情況,應開始採取能保護個人資料的自動化行動。安全工具也應該不斷地評估端點、伺服器及其他系統發生新威脅的可能性,以判定是否存在過時且未修補的作業系統與應用程式。」
點此閱讀 Osterman 的獨家報告「GDPR 越來越難-如何精通棘手的部分」。
許多資料洩漏是發生於檔案在您的公司內移動或傳輸給合作夥伴及具有既得利益的其他公司之時。這些洩漏會招致 GDPR 調查,且經常導致嚴重的罰款。借助 Progress 的 MOVEit,您可建立安全的協作及敏感個人資料的自動檔案傳輸。這些文件不僅能安全地移動,而且還有加密及活動追蹤,確保符合 GDPR、PCI 以及 HIPAA。
如此一來,您便不再需要依賴您的員工透過電子郵件將個人資料發送給其他員工或外部實體,或是使用不安全的檔案共享服務。使用安全檔案傳輸-又稱為檔案傳輸管理(MTF),可以消除使用者錯誤,且能追蹤並報告每次檔案傳輸的詳細資訊。
瞭解更多關於檔案傳輸管理的資訊:https://www.progress.com/tw/moveit。