BNPR (Generelt Persondataloven forordning) er på vej, udskiftning af EU 1995 Databeskyttelsesdirektivet, og det kommer til at ændre verden af personlige oplysninger til god. Præcis hvad vil ændre sig, og hvordan virksomhederne håndterer vores data kommer til at justere? Der er mange svar skal søges om BNPR, især for virksomhedsejere, både i Europa og uden for sine grænser. Med andre ord, fra 25 Maj 2018 fremefter den samlede behandling af personoplysninger organisationer vil være i overensstemmelse med den nye generelle forordning om databeskyttelse.
Hvad er personlig data?
Ifølge Business Dictionary, personlig information er:
Optaget information om en identificerbar person, som kan omfatte hans eller hendes (1) navn, adresse, e-mail-adresse, telefonnummer, (2) race, nationalitet, etnicitet, oprindelse, farve, religiøse eller politiske overbevisning eller foreninger, (3) alder, køn, seksuel orientering, Civilstand, familie status, (4) identifikationsnummer, kode, symbol, (5) fingeraftryk, blodtype, nedarvede egenskaber, (6) sundhedspleje historie, herunder oplysninger om fysisk / psykisk handicap, (7) uddannelsesmæssige, finansiel, kriminel, beskæftigelse historie, (8) andre’ mening om den enkelte, og (9) personlige synspunkter undtagen dem om andre personer.
Hvad er det BNPR Politik?
De BNPR regler er et sæt af politikker, der har været under udarbejdelse i år i Den Europæiske Union. I det væsentlige er de en gennemgribende revision af de eksisterende direktiver om databeskyttelse og deres vigtigste mål er at harmonisere love om private data på tværs af medlemslandene. Ifølge medlemmerne af Parlamentet, der er bag dens oprettelse, de nye mekanismer vil bidrage til at styrke kontrollen af data i hele EU. Debatterne og præparater sluttede, da reglerne blev endeligt godkendt på 14 April 2016. Den aftalte håndhævelse dato er 25 Maj 2018 når de nye regler vil blive obligatorisk.
De foreslåede ændringer og deres efterfølgende virkninger vil i sidste ende ændre, hvordan både virksomheder og offentlige organisationer håndtere informationer om enkeltpersoner. Der er mange store ændringer, der vil påvirke de gældende love om databeskyttelse i medlemsstaterne, mens vedtagelse proces sker. Både politikere og eksperter privatlivets fred bemærke, at dette er en af de største ændringer, hvis ikke den største enkeltstående forandring, i de seneste to årtier. Når de nuværende love blev foreslået og accepteret, en anden type organisation og industri eksisterede. I dag, efterhånden som flere og flere mennesker og klient enheder er involveret i indsamlingen og procession af personlige oplysninger opstå, så gør mulighederne for deres misbrug.
Der er en vigtig forskel mellem de BNPR regler og de tidligere data privatlivets fred love. Af natur den BNPR er skrevet som en forordning - en bindende retsakt. Ved lov skal det anvendes udelukkende i hele EU. Den tidligere databeskyttelse fungerer, at den erstatter defineres som et direktiv, der er ikke-obligatoriske og blot fastsat mål, som de enkelte lande skal opnå.
Ideen med databeskyttelse er ikke ny. Faktisk, Data Act er verdens første nationale databeskyttelseslovgivning, som blev vedtaget i Sverige på 11 Maj 1973. Denne databeskyttelseslovgivning trådte i kraft den 1 Juli 1974, og krævede licenser fra den svenske databeskyttelsesmyndighed for informationssystemer håndtering af personoplysninger.
Et andet eksempel er Data Protection Act 1998 accepteret i lov Storbritannien Parlamentets, og designet til at beskytte personoplysninger, der er lagret på computere og i papir arkiveringssystemer. Loven fulgte EU-direktivet om databeskyttelse 1995 , som siger, at individer har juridiske rettigheder til at styre oplysninger om sig selv.
Med hensyn til USA, der er ingen enkelt, omfattende føderalt (national) lov, der regulerer indsamling og anvendelse af personoplysninger, som forklarede af Thomson Reuters Praktisk lov.
Men, hver Congressional sigt bringer forslag at standardisere love på et føderalt niveau. I stedet, USA har et kludetæppe system for føderale og statslige love og regler, der kan undertiden overlapper, svalehale og modsiger hinanden. Desuden, der er mange retningslinjer, udviklet af statslige organer og branchegrupper, der ikke har retskraft, men er en del af selvregulerende retningslinjer og rammer, der anses “bedste praksis”. Disse rammer for selvregulering har ansvarlighed og håndhævelse komponenter, der i stigende grad bliver brugt som et redskab til håndhævelse af regulatorer.
Hvordan Virksomheder Behandl data Under BNPR?
Først og fremmest, enhver virksomhed, der er behandling og lagring af data for EU-borgere bør revurdere behovet for at gøre det. Når fortsatte, disse processer vedrørende data fra EU-borgere bør helt følge BNPR overholdelse.
Det er værd at nævne, at en helt ny undersøgelse foretaget af IBM forskere afslører, at ca. 60 procent af de adspurgte organisationer behandler BNPR som en chance for at forbedre privatlivets fred, sikkerhed, og datastyring. De nye regler er bredt accepteret som katalysator for nye forretningsmodeller, i stedet for blot en opfyldelse emne eller obstruktion. For at reducere deres eksponering, de fleste virksomheder er ved at blive mere selektiv og mere omhyggelige med de data, de indsamler og styre, med 70 procent bortskaffelse af data forud for fristen for overholdelse.
IBMs Institute for Business Value (IBV) nærmede mindst 1,500 virksomhedsledere, der er ansvarlige for BNPR overholdelse for organisationer på globalt plan, forskere rapporteret. Resultaterne fra IBM undersøgelse afslører, at:
– 84 procent mener, at beviset for BNPR overholdelse vil blive set som en positiv differentiator til det offentlige
– 76 procent sagde, at BNPR vil gøre det muligt mere betroede relationer med registrerede, der vil skabe nye forretningsmuligheder
– På trods af denne mulighed, kun 36 procent mener, at de vil være i fuld overensstemmelse med BNPR af maj 25 deadline.
Ifølge Cindy Compert, CTO, Datasikkerhed & Beskyttelse hos IBM Security, "BNPR vil være en af de største forstyrrende kræfter påvirker forretningsmodeller på tværs af brancher - og dens rækkevidde strækker sig langt ud over EUs grænser”.
”Starten af BNPR kommer også i en tid med stor mistro blandt forbrugerne mod virksomhederne evne til at beskytte deres personlige oplysninger. Disse faktorer tilsammen har skabt en perfekt storm for virksomheder at genoverveje deres tilgang til ansvarlighed data og begynde at genoprette den tillid er nødvendig i dagens data-drevne økonomi."
Kort, under BNPR, organisationer skal implementere principper for databeskyttelse, samt tekniske og organisatoriske foranstaltninger, med det ene formål at beskytte brugernes personlige oplysninger og brugernes ret til privatlivets fred. Organisationer udsat for de kommende regler skal påberåbe omfattende beskyttelse af personlige, i mellemtiden og sørg systemer og procedurer nøje at overholde de behov, datasikkerhed.
Datasikkerhed under BNPR
Eksperter har skitseret en kort tjekliste, der illustrerer de trin, der skal tages i retning BNPR overholdelse:
1.Kend dine data
2.Har god Risk Management
3.Gennemføre omfattende politikker og procedurer
4.Gennemføre passende og effektive Controls
5.Har effektive procedurer incident response
Faktisk disse trin har alt at gøre med sikkerheden på internettet strategi enhver organisation bør have på plads. Lad os tage den risikobaserede tilgang til den generelle tilstand af sikkerhed i en organisation. Denne tilgang er afgørende for både BNPR og cybersikkerhed strategi.
Mere specifikt, artikel 32 af BNPR kræver, at der gennemføres, skal sikre et tilstrækkeligt sikkerhedsniveau i forhold til risikoen:
Under hensyntagen til teknikkens stade, omkostningerne til implementering og naturen, anvendelsesområde, kontekst og formål behandlingen samt risikoen for varierende sandsynligheden og alvoren af de rettigheder og friheder fysiske personer, controlleren og processoren skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger for at sikre et tilstrækkeligt sikkerhedsniveau i forhold til risikoen [...].
Ret til sletning, eller retten til at blive glemt
Vidste du, at den såkaldte ”ret til at blive glemt”Kom ind i EU-domænet privatliv med den 2014 dom afsagt af EU-Domstolen i henhold forløberen for BNPR (Direktiv 95/46 / EF), i tilfælde C 131/12, i en sag vedrørende Google. Den herskende identificerede ret EU registrerede til at anmode om fjernelse af links af søgemaskiner, eller registeransvarlige. Retten til at blive glemt er nu ret til sletning og er en del af BNPR Denne ret er en grundlæggende registreredes ret i BNPR, både inden i og uden for rammerne af offentligt tilgængelige personlige oplysninger.
Hvad BNPR væsentligt gør er at udvide anvendelsesområdet for retten til at blive glemt, hvilket gør det en grundlæggende registreredes ret og kræver registeransvarlige til at gøre det muligt for EU-borgere at udøve retten.
I de officielle termer, retten til sletning gør det muligt for registrerede til hos den registeransvarlige sletter personoplysninger, der vedrører ham eller hende, uden unødig forsinkelse, hvor controlleren skal have pligt til at slette personlige data uden unødig forsinkelse.
Men, det bør være bemærkes at, som det sker med de fleste rettigheder, retten til sletning er det ikke absolut. BNPR betragtning 65 blandt andet dækker en registreredes ret til at få personoplysninger om ham / hende udbedret og retten til at blive glemt, hvor fastholdelse af personoplysninger ville krænke reglerne i den BNPR eller en anden lovgivning, som gælder for den registeransvarlige.
Må Organisationer Har altid til Slet personlige data på anmodning af brugere?
Den BNPR gør forordninger giver personer til at bede om deres data skal slettes, og organisationer behøver at opfylde, undtagen i følgende sager:
– personoplysningerne den pågældende virksomhed besidder er nødvendig for at udøve retten til ytringsfrihed;
– der er en juridisk forpligtelse til at holde, at data;
– af hensyn til den offentlige interesse (for eksempel folkesundhed, videnskabelig, forskningsformål statistiske eller historiske).
Brugerens samtykke, jf BNPR: Overholdelse
At sikre den måde, at registeransvarlige bruger data overholder BNPR er en prioritet nummer et. Det kan synes, at reglerne er klare, men i virkeligheden er der en række af vektorer, som gør overholdelse kompleks og endda forvirrende.
For én, BNPR kræver indsamling og behandling af data at være bundet til specifikke anvendelser. Men, dette er ikke altid muligt i den ligefremme forstand i overensstemmelse med forskrifterne. Det er et kendt faktum, at data indsamlet til ét formål, kan anvendes til at tjene forskellige behov. Dette er uundgåeligt i det sammenkoblede verden vi lever i, hvor virksomheder indsamle flere og flere data, og disse data bliver ofte tilsat andre datasæt. Den BNPR kræver fra organisationer og registeransvarlige til altid være i overensstemmelse med det specifikke formål oprindeligt givet samtykke til.
Som påpegede af sneplov Analytics, meget af dette underkastes fortolkning:
For markedsføring fagfolk i særdeleshed, samtykke er sandsynligvis det vigtigste grundlag for dataindsamling ud af de lovlige grunde skitseret af BNPR, som det er svært at se, hvordan anvende personoplysninger til markedsføring kan begrundes i henhold til nogen af de andre. Som beskrevet på EU BNPR hjemmeside, lovligt at indsamle data i regi af samtykke kræver, at, ”Den registrerede har givet samtykke til behandlingen af hans eller hendes personlige data til en eller flere specifikke formål.”
BNPR og Facebook
I april, Reuters rapporteret at Facebook har planer om at ændre sine vilkår for tjeneste, så dens 1.5 milliard ikke-europæiske brugere vil ikke længere være omfattet af persondataloven. Indtil nu, alle brugere uden for USA og Canada er blevet styret af hensyn til service kompatible med virksomhedens internationale hovedkvarter i Irland. Eftersom enhver brugerdata behandles i Irland er ved at falde under BNPR beskyttelse, Facebook ændrer aftalen på en måde, som brugerne i Afrika, Asien, Australien og Latinamerika er underlagt mere tolerante amerikanske lovgivning om privatlivets fred.
Stadig, der er vektorer, hvor Facebook bliver nødt til at overholde BNPR. I stedet for at reducere mængden af data, der indsamles, den sociale platform fokuserer på at få brugerens samtykke for sin indsamling af data, biometriske data inklusive.
Facebook har udviklet en sekvens af samtykke anmodninger, udtrykkeligt skitsere, hvordan de enkelte typer data vil blive brugt, Reuters sagde. Det skal bemærkes, at platformen har designet disse anmodninger på en sådan måde, der gør det sværere for brugere at fravælge end opt in.
BNPR: afgørende Tanker
I en nøddeskal, efter EU- 1995 Databeskyttelsesdirektivet, BNPR repræsenterer en mere raffineret tilgang til spørgsmål om databeskyttelse i EU retssystem. Den kommende regulering skal være anerkendt af organisationer er involveret i behandlingen af personoplysninger for EU-borgere. Med andre ord, den BNPR gælder for alle globale organisationer, der arbejder med personoplysninger om EU-borgere.
Sørg for at læse vores ultimative guide til at gøre din hjemmeside BNPR-kompatible.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: