Anonim

Luotto: Wright Studio / Shutterstock

Euroopan unionin yleinen tietosuojavaatimus (GDPR) on tullut virallisesti täytäntöönpanokelpoiseksi lakiin. Monet yritykset ovat viettäneet lukemattomia tunteja työskentelemällä politiikkojen toteuttamisessa ja laillisissa tarkasteluissa, mutta tutkimusten laajuuden mukaan yllättävän pieni määrä yrityksiä on GDPR-valmiita. Suuret teknologiayritykset, kuten Microsoft ja Facebook, ovat ilmoittaneet globaalin politiikan muutoksista lain mukaisesti ja ilmoittaneet, että muutoksia on tulossa. Jos yrityksesi palvelee EU: n käyttäjiä koskaan (jopa sattumalta), sinun on ryhdyttävä merkityksellisiin toimiin sääntöjen noudattamiseksi nyt, ellet vielä ole.

GDPR-asetusten noudattamatta jättäminen johtaa tiukeisiin seuraamuksiin: joko 20 miljoonaa euroa (noin 24, 7 miljoonaa dollaria) tai neljä prosenttia yrityksen tuloista, sen mukaan kumpi on suurempi. Se riittää sulkemaan pienen yrityksen hyväksi. Säännösten vastaisille yrityksille saattaa olla toivoa osoittamalla sääntelyviranomaisille, että olet pyrkinyt vilpittömästi ja pyrkii noudattamaan vaatimuksia palkkaamalla konsultti. Mutta on joitain asioita, jotka sinun pitäisi tietää GDPR-konsultteista ennen sopimuksen allekirjoittamista. [Tuntematon GDPR: n vaatimuksista ? Tässä on mitä pienyritysten on tiedettävä.]

Kokenut konsultit

Tietojenkäsittelykonsultit tietävät, että GDPR on luonut paljon kysyntää heidän palveluilleen, joten teollisuus on kukoistanut näennäisesti yön yli. CompliancePointin varatoimitusjohtaja ja toimitusjohtaja Greg Sparrow sanoi, että konsulttien nousu on jättänyt alan jakautuneeksi kahden pääkonsulttiryhmän kesken.

"On organisaatioita tai henkilöitä, jotka ovat olleet mukana viimeisen 10-20 vuoden ajan, ja GDPR on vain osa heidän urapolkuaan", Sparrow sanoi. "Tai on niitä, joilla ei todellakaan ole kovinkaan paljon kokemusta."

Tämä aiheuttaa ongelman yrityksille, varsinkin kun monet kilpailevat kelloa noudattamaan. Onneksi toimialajärjestöt, kuten IAPP, ovat alkaneet tarjota sertifiointiohjelmia konsultteille, jotka voivat auttaa yrityksiä tunnistamaan lailliset konsultit niistä, jotka yrittävät hyödyntää GDPR: n toteutusta. Mutta nämä GDPR-erityiset sertifikaatit ovat aivan uusia monille, että ne ovat suorittaneet. Myös Sparrow sanoi, sertifiointi yksin ei ehkä riitä.

"Yhdistäisin [sertifioinnin] myös alan kokemukseen", hän sanoi. "Monilla ihmisillä on sertifikaatit, mutta heillä ei ole käytännöllistä kokemusta teollisuudesta. He kävelivät yliopistosta ja sai sertifikaatin, koska he tietävät, että [tietosuoja] on kysyntä. [On tärkeää] löytää tämä yhdistelmä varmentamista ja alan kokemusta."

Sparrow suositteli kokeneen, sertifioidun konsultin löytämistä ja sitomista sitten koko yrityksen käytäntöjen toteuttamisprosessiin. Tämä tarkoittaa konsulttien, lakimiesten, myynti- ja markkinointiryhmien sekä liiketoiminnan yhdistämistä keskustelemaan pyöreän pöydän keskusteluista siitä, miten edetä parhaiten.

Mitä pienet yritykset voivat tehdä?

Pienyrityksille lasku kasvaa nopeasti. GDPR: n noudattaminen on valtava tehtävä, puhumattakaan päivittäisen toiminnan ylläpidosta tutkiessaan uusia politiikkoja. Joissain tapauksissa kaikkien GDPR: n tietojen avoimuutta ja kuluttajien valvontaa koskevien vaatimusten täyttäminen on logistinen painajainen pienille yrityksille, etenkin niille, joilla on budjetti. Mitä pienet yritykset voivat tehdä?

"Vaikka GDPR: n noudattaminen voi olla vaikeaa kaikille organisaatioille, pienyritykset kohtaavat useita ainutlaatuisia haasteita", sanoi AvePointin johtava riskien, yksityisyyden ja tietoturvan päällikkö Dana Simberkoff. "Jos pienten ja keskisuurten yritysten johtajat haluavat parantaa tietoturvaohjelmiaan pitäen samalla budjetteja hallinnassa, heille on tärkeintä ymmärtää, kuinka tiedot, ihmiset ja sijainti kutistuvat yhdessä luodakseen malleja - sekä hyviä että pahoja - poikittain ja sisällä niiden organisaatioihin. Vain ymmärtämällä olemassa olevat tietosi voit suojata niitä tehokkaasti. "

Simberkoff ehdotti seuraavia toimia pienille yrityksille, jotka ovat huolissaan GDPR: n noudattamisesta:

  • Luotta, mutta tarkista: Tietoja käsitteleviä työntekijöitä tulisi kouluttaa tunnistamaan ja luokittelemaan kaikki arkaluontoiset tiedot. Varmista säännöllisesti, että työntekijät ymmärtävät voimassa olevat politiikat sekä heille tarjotun koulutuksen ja työkalut ja että nämä kaikki integroidaan päivittäiseen toimintaan.
  • Ymmärrä organisaatiosi tiedot: ymmärrä täysin, miten tietoja luodaan, kerätään, käsitellään ja tallennetaan. Lisäksi sinun on tiedettävä, miten tiedot hävitetään. Perusteellinen ymmärtäminen auttaa yrityksiä kehittämään viisasta politiikkaa; esimerkiksi rajaaminen työhön liittyvien tietojen ja henkilökohtaisten tietojen välillä.

"Vaikka konsultti voi auttaa pienyrityksiä toteuttamaan näitä strategioita, omistajat ja heidän työntekijänsä voivat ehdottomasti huolehtia näistä tehtävistä itse", Simberkoff sanoi. "Tämä ei vain takaa, että ne ovat GDPR-yhteensopivia, mutta myös säästää heille rahaa ja vähentää riskiä, ​​että huijarit pääsevät turhaan arkaluontoisiin tietoihinsa."

Pienyrityksille, jotka ulkoistavat tietojenkäsittelyn yleisemmin kuin suuret yritykset, on tärkeää hallita, kuinka myyjät käyttävät keräämiä tietoja. Vaikka pieni yritys tekisi kaikkensa pysyäkseen vaatimusten mukaisina, yritys voisi joutua koukkuun, jos joku heidän myyjäkumppaneistaan ​​ei täytä GDPR: n asettamia normeja.

"Täytäntöönpano ei ole pelkästään EU: n vastuulla, koska yritysten on itse valvottava myyjiään varmistaakseen, että myyjien heidän puolestaan ​​hyödyntämät tiedot ovat tosiasiassa vaatimustenmukaisia. Jos ei, se avaa altistumisen", Thomas Pasquet. Oguryn perustaja. "Ne valmistelemattomat yritykset ovat lämpimässä vedessä, koska tietojen keräämis- ja käsittelytavan muuttaminen vie yli kaksi viikkoa."

Toisin sanoen paras aika aloittaa työskenteleminen vaatimustenmukaisuuden suhteen oli viime kuussa. Seuraava paras aika on juuri nyt; tänään.

Yritykseni sijaitsee Yhdysvalloissa Miksi minun pitäisi välittää?

Vaikka GDPR kattaa Euroopan unionin, tiedot ovat luonteeltaan sujuvia ja kansainvälisiä. Vaikka yrityksesi ei suoraan harjoittaisi liiketoimintaa Euroopassa, saatat siepata ja käsitellä EU: sta peräisin olevia tietoja. Se riittää sijoittamaan sinut täysin GDPR: n soveltamisalaan ja saattamaan riskin suurista sakoista, jos et noudata säännöksiä.

"Uusi asetus vaikuttaa kaikkiin yrityksiin, jotka käsittelevät EU: n kansalaisten tietoja", Pasquet sanoi. "Vaikka sinulla olisi vähän tietoa kansalaisista, jotka kuuluvat mihin tahansa GDPR: n täytäntöönpanoon osallistuvaan maahan, voit saada potentiaalisia sakkoja jopa 24, 7 miljoonaan dollariin tai 4 prosenttiin vuosiliikevaihdosta vakavimmista rikkomuksista. dire, se ei ole riskin arvoinen. "

Jopa sellaisille yrityksille, jotka ovat ehdottomasti täysin varmoja, etteivät ne kerää tietoja EU: n kansalaisilta (mikä ei ole helppo tehtävä) työskennellä jonkin verran näennäisesti GDPR: n noudattamisella, voisi olla hyötyä muutamasta syystä. Sparrow'n mukaan se ei ole vain hyvä brändinmuodostusharjoitus osoittaa kuluttajille, että välität heidän yksityisyydestään ja teet parhaansa, jotta pystyt suojelemaan sitä, vaan se myös asettaa yrityksesi mukautumaan paremmin, koska lisää säännöksiä, kuten GDPR, on väistämättä rajata.

"Kansainvälisesti tähän suuntaan asiat ovat menossa. Jos aiot toimia kansainvälisesti, tämä on jotain mitä sinun on käsiteltävä", Sparrow sanoi. "Riippumatta siitä, luuletko olevan GDPR-laajuinen tai ei, heidän pitäisi todennäköisesti aloittaa tällä tiellä jollakin muodolla tai tavalla. [Tulevia määräyksiä] parhaiten käsittelevät organisaatiot tekevät asioita tällä hetkellä."