《欧盟通用数据保护法》(GDPR)合规性的*** *** 是假设你不需要保留个人数据,而不是通过相反的方式。
20182005月,欧盟《通用数据保护法案》(GDPR)对于正式生效GDPR一些尽职尽责地遵守法律法规的企业也表现出了充分的自信。但是,要知道,GDPR合规规则不像乍一看那么简单,每个公司都应该考虑一些特殊的用例。如果合规专家只检查并确认表格,则没有仔细评估GDPR其范围及其与公司数据收集实践的关系,肯定会在合规计划中出错。
以下是公司最容易忽视的三个GDPR任何合规问题都足以使公司陷入危险境地:
1. GDPR合规不仅与消费者数据有关
GDPR旨在为消费者提供更多的保护(其数据由不同的公司收集)。然而,它的监管范围更广,可以应用于许多公司在其初始合规计划中没有考虑的方式。除消费者个人数据外,公司还需要采用新的保护标准来处理员工、求职者和非客户(如填写个人信息但未购买公司商品或服务的人)的个人数据。
法律规定,所有数据处理活动都应该有法律依据,因此***实践是收集消费者、求职者和其间所有人的基本数据处理活动所必需的数据。公司应最小化数据,以确保数据处理实践GDPR合规性较低。
建议:
不仅要审查数据获取实践,还要审查所有数据的数据保留实践。确保您正确处理旧简历、员工个人数据和任何其他使用期限的记录。
2. 政策vs.现实
任何旨在处理个人数据的公司都必须制定规范数据收集、存储和处理过程的政策,以确保其和谐GDPR保持一致。虽然良好的数据治理是GDPR合规基石,但仅仅制定政策是不够的。公司必须进一步确保员工履行GDPR规定的数据处理义务。本质上,这意味着公司有义务确保员工的日常工作和GDPR政策保持一致。行为不符合公司标准的,必须采取纠正措施。
通常员工违反政策是无意的——例如,如果客户支持 *** 人在线通话,并将客户的个人信息保存在不属于客户的系统中;或者,如果是***进取心的员工试图使用新软件或建立免费软件,即服务账户,并忘记向公司的合规专家报告。虽然上述情况可能看起来无关紧要,但它会给公司带来巨大的风险,因为这两个例子都属于GDPR违规行为。
建议:
为了降低风险,我们建议您经常这样做“迷你”审计。我们的安全合规团队客观、切实地了解到,只有当审计成为工作流程的一部分时,合规才最容易纳入日常工作流程。虽然大多数公司将进行季度审计,无论年度审计有多糟糕,但我们提出“迷你”审计概念将向公司发出信号——也就是说,合规不是年度或季度事件,而是一种持续的做法。更好的实践 *** 是使用工具自动审计过程,以便在政策偏离现实时立即得到反馈。
3. 临界情况
GDPR“个人信息”数据不像基本的人口统计信息那么简单。“职称”就是一种意想不到的个人信息。大多数情况下,职称并不被视为受GDPR保护个人信息,但也取决于具体情况。例如,想象一下这个职称:德国总理。毫无疑问,世界上只有一个人有这样的职位,这意味着个人身份可以通过这个特定的细节来揭示。因此,在这种情况下,职称必须被视为GDPR所提及的“个人信息”,当然,它属于受保护的数据类别。问题是,如果一个职位的名称被视为个人信息,那么所有的职称都必须被视为潜在的个人信息,并得到同样的对待。
建议:
作为常规数据审核的一部分,请花一些时间查看您收集的未标记为个人信息的数据。想象一下,如果你只使用它“非个人”标记信息时,您能区分数据点是否属于特定人员吗?如果没有,你可能需要重新考虑什么是个人信息,什么不是。
满足GDPR合规要求比我们想象的要复杂和广泛,但它绝不是一个不可能的标准。***建议是假设你不需要任何数据,而不是像你现在练习的那样——尽可能多地收集和存储数据。只有这样才符合GDPR保护客户数据的本质精神——公司有可能为其用户提供服务***个人数据保护,确保个人数据处理任务在整个组织中尽职尽责。
【本文是51CTO专栏作者“李少鹏”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。