Gartner欧盟《通用数据保护条例》预测(GDPR)实施之日,半数以上受到影响GDPR影响的企业将不能完全满足其法规条例要求。
当GDPR2018年5月25日生效时,其影响将超过整个欧盟(EU)的范围。它将适用于所有处理和持有欧盟居民个人资料的公司,而不论公司地理位置设置在哪里。随着对个人数据主体的重新关注,以及高达2000万欧元或超过4%全球年营业额的罚款威胁,企业别无选择,只能重新评估安全处理个人数据的措施。
GDPR有效时,组织必须注重五个高度优先的变化,以确保合规:
1. 确定你在GDPR下的角色
任何决定为什么以及如何处理个人数据的组织本质上都是一个“数据控制者”。因此,GDPR不仅适用于欧盟企业,也适用于所有处理个人数据提供商品和服务或监控欧盟内部数据主体的行为。这些组织应指定一名代表作为数据保护部门(DPA)和数据主体的联络人。
2. 任命数据保护官
由于GDPR许多组织将被要求指定数据保护官员(DPO)。当组织是需要定期和系统监控的公共机构或大规模加工活动时,这一点尤为重要。“大规模”并不一定意味着成千上万的数据对象——GDPR早期草案提到在任何12个月内处理5000多个科目的数据。
3. 证明所有处理活动中的问责制
在开始新的处理活动时,应确定数据质量和数据相关性,但也适用于现有的处理活动。这将有助于维护未来个人数据处理活动的合规性。组织必须在个人数据处理活动的所有决策中表现出问责和透明度。
还必须遵守第三方服务提供商(即数据处理器),这将影响组织的供应,改变管理和采购流程。GDPR下一个问责制要求适当数据主体同意的获取和注册。预选框和隐含同意将不再足够。相反,组织将要求简化技术以获得和撤回文件的同意。
4. 检查跨境数据流量
欧盟28个成员国中的任何一个仍将被允许传输数据,挪威、列支敦士登和冰岛也将被允许。欧盟委员会(EC)认为具有“适当”其他11个保护国家中的任何一个也有可能转移。除此之外,组织还应采取适当的保护措施,如“有约束力的公司规则”(BCR)标准合同条款(即“欧盟示范合同”)。
5. 准备行使权利的数据主体
数据主体在GDPR有扩展的权利。这些包括被遗忘的权利、数据可移植的权利和被告知的权利据泄露或接收解释时,例如在机器学习系统的自动决策中)。
如果企业还没有准备好充分处理数据泄露事件和主体行使权利,是时候开始实施额外的控制了。
GDPR:让数据安全走上正轨!
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。