Ang nakaraang linggo ay mahalaga para sa iyo at sa iyong personal na impormasyon, man o hindi ka nakatira sa EU.
Ang GDPR, ang Pangkalahatang Regulasyon ng Proteksyon ng Data na nagtatakda ng mga patnubay tungkol sa kung paano nakolekta at naproseso ang personal na impormasyon ng mga mamamayan ng EU, ay opisyal na ngayon. Napakagandang ideya - ang magkakatulad na mga patakaran tungkol sa kung paano natipon ang iyong impormasyon, kung paano ito nakaimbak, at kung paano mo ito maibabalik, ay matagal nang napapanahon. Nagkaroon (at magpapatuloy na) maraming talakayan tungkol sa kung ano ang mabuti, masama at pangit tungkol sa GDPR, ngunit ang karamihan sa mga tao na nagtatrabaho sa seguridad ng impormasyon ay sumasang-ayon na ang mga layunin ay maayos na naglalayong at magbibigay ng uri ng mga proteksyon na kailangan nating lahat sa ika-21 siglo.
Ang isang grupo ng mga tanyag na website ay hindi magagamit sa mga bisita sa Europa dahil hindi ka sumusunod sa GDPR.
Ang mga indibidwal na artikulo ng GDPR, gayunpaman, ay hindi napupuri sa pangkalahatan. Natapos ang Biyernes, Mayo 25, nakita na natin ang pagbagsak: ang New York Daily News, Chicago Tribune, LA Times at iba pang mga high-profile na website ay hindi magagamit sa mga bansa na nasasakop sa ilalim ng mga regulasyon ng GDPR dahil hindi sila handa sa mga bagong patakaran. Maraming iba pang mga website at mga serbisyo sa online ang nagbomba sa mga gumagamit ng mga bagong termino upang sumang-ayon, at ang mga reklamo ay na-file laban sa mga kilalang tech na higante ng Google at Facebook dahil hindi sila nag-aalok ng mga libreng serbisyo nang hindi pinapayagan ang mga gumagamit na mag-opt out sa pagkolekta ng data.
Higit pa: Mas madaling maunawaan at pamahalaan ng Google ang data ng gumagamit na kinokolekta nito {.cta.large}
Ang mga isyu tulad nito ay hindi nakakagulat. Hindi rin ang damdamin na ang mga serbisyo na batay sa ulap ay mawawalan ng kita at mapipilit na itaas ang mga presyo bilang resulta ng GDPR, na kalahati ng mga dadalo ng Infosecurity Europe 2018 sa palagay ay malapit nang mangyari. Nararamdaman din nila na ang GDPR ay pipigilan ang pagiging makabago dahil ang mga maliliit na samahan ay hindi makakaya sa kinakailangang imprastraktura upang masunod. Ito ay magandang talakayan ng mga tao na kailangang talakayin ito. Ang mas mahusay na privacy ay nagkakahalaga ng mga oras ng pabalik-balik na kinakailangan upang makuha ito ng tama.
Ngunit mayroong isang bahagi ng GDPR na sa palagay ko ay gagawa ng higit na pinsala kaysa sa mabuti - Ang 72 na oras na pag-uulat ng 72 na oras ng Artikulo 33. Maaari mong basahin ang buong teksto dito, ngunit ang gist nito ay ang isang kumpanya na nagpapanatili ng personal na pagkakakilanlan ng mga mamamayan ng EU ay ganap na responsable para sa anumang paglabag sa seguridad, anupaman ang dahilan, at dapat magbigay ng buong pagsisiwalat sa isang tagapangasiwa ng pangangasiwa sa loob ng 72 oras ng isang paglabag. Walang mahusay tungkol sa panuntunang ito, ngunit ang dalawang bahagi ay pupunta sa mga service provider na sumasaklaw sa mga paglabag sa data sa halip na responsable ang pag-uulat sa kanila.
Ang una ay ang committee ng supervisory. Ang iba't ibang mga bansa ay may iba't ibang mga paraan ng pamamahala sa kanilang mga mamamayan, ngunit ang isang bagay na ang lahat ay magkakapareho ay ang kagustuhan sa paggamot pagdating sa paglikha at kawani ng anumang opisyal na komite. Ang isang kaibigan ng isang kaibigan o ang ikatlong pinsan na hindi maaaring tumigil sa paghiling ng isang handout ay ang mga pangunahing kandidato para sa anumang upuan ng komite, at kapag ang pangunahing layunin ay protektahan ang data ng gumagamit, tanging ang mga pinaka-kwalipikadong indibidwal ang dapat isaalang-alang. Inaasahan natin na eksakto kung ano ang nagawa dito at ang mga regulasyon ay maaaring maiakma at maipapatupad ng mga taong may pinakamahuhusay nating interes at kwalipikado.
Ang mga maliliit na kumpanya na walang mapagkukunan na kinakailangan upang gumawa ng isang buong pagsisiyasat sa paglabag ay maaaring pumili upang masakop ang mga ito.
Ang isang malaking isyu ay ang pinilit na 72-oras na pag-uulat. Kahit na isang ganap na staffed Fortune 500 na organisasyon ay hindi malalaman ang tungkol sa isang paglabag sa data upang simulan ang pag-file ng mga ulat sa isang ahensya ng gobyerno. Dahil sa isang maikling panahon, asahan nang kaunti pa kaysa sa isang opisyal ng seguridad ng impormasyon ng kumpanya na nagsabing mayroong paglabag at hindi pa namin sigurado ang anumang mga detalye. Iyan ay kaunti pa sa isang pag-aaksaya ng oras para sa lahat na kasangkot, at mas gugustuhin ko na ang oras ay gugugol na subukan upang malaman kung bakit, kung paano, kailan, at kung sino ang nakapalibot sa anumang uri ng paglabag sa data.
Ang isang mas maliit na kumpanya na maaaring nahihirapan upang matugunan ang pagsunod sa GDPR ay matutukso upang siyasatin kung maaari itong maglaman ng paglabag at mabawasan ang mga pinsala sa sarili nang walang anumang mga ulat. Kapag nasa ilalim ka ng presyur at walang pagkabalisa, ang isang takip-up ay maaaring tunog tulad ng tamang pagpipilian.
Maliwanag, hindi kailanman. Ngunit ang mga kumpanya na malaki at maliit ay kilala upang pumili ng maling pagpipilian oras at oras muli kapag bumaba sa wire. Ang anumang regulasyon na idinisenyo upang maprotektahan ang mga gumagamit mula sa mga kumpanyang gumagawa ng hindi magandang pagpapasya ay mas mahusay nang walang isang patakaran na maaaring itulak sa kanila na gawin lamang iyon.
Ang responsable at agad na pag-uulat ng isang data heist ay dapat. Ang pagpilit sa mga kumpanya na umaani at humahawak ng aming data upang gawin ang tamang bagay ay hindi gaanong ginagamit kung wala ito. Ang paglikha ng tamang komite ng pangangasiwa na puno ng tamang mga tao upang baguhin kung paano ginagamot ang break-in - o kahit na nag-aalok ng tulong kapag nangyari ito - ay pupunta sa isang mahabang paraan upang gawing template ang GDPR para sa susunod na mundo.
