为欧盟GDPR做准备的7个技巧

2016年12月9日 通过 米拉格罗斯·加梅罗(Milagros Gamero)

尽管许多企业可能会觉得GDPR指南乏味而苛刻,但实际上应该将其视为重新关注数据安全性的机会。欧盟’自己的数据保护指令已有20多年的历史了,鉴于这段时间的技术发展,此更新是及时的,非常需要–特别是考虑到网络攻击的数量越来越多。

We’重新离开欧盟,GDPR对我们仍然有意义吗?

GDPR将于2018年年中生效,因此我们仍然需要遵守该规定,因为:

  1. 那时我们仍将是欧盟成员国
  2. GDPR适用于为欧盟公民服务或位于欧盟的所有企业。最近,信息专员在10月确认英国政府将实施GDPR。

如果坚持将GDPR用作保护数据的基准,那么希望与世界其他地区开展更多业务的企业将处于稳定状态。 

哪些数据需要保护?

无论我们是否喜欢,我们都将成为一个越来越以数据为主导的世界。确保数据安全至关重要,但是促进数据保护的一种方法是减少存储的数据量。

GDPR规定了如何保护数据以及应保留哪些数据。最受欢迎的方面是 被遗忘的权利。这意味着公司必须能够快速,永久地擦除数据–比《数据保护指令》的当前要求要耗费大量资源。从所有存储设备(包括服务器,云和旧的台式计算机)中正确删除数据,这些都是发送给回收站的过程。

为了成功实施GDPR,企业需要从CEO到最基本的员工以及第三方审查和更新他们的流程和政策到日常工作中。

做好GDPR准备工作的7个步骤

准备遵守GDPR时,您应考虑七个要点。让’s详细检查每个。

1.  现在开始准备。

将需要投入时间和资源来研究,实施新流程并确保整个企业都接受变更流程。由于这很可能是一个耗时的过程,需要组织中的几个人参与,因此最好尽快开始进行准备。

在决定业务中需要进行哪些更改时,您应该思考的一些问题包括:

  • 您的内部数据处理和记录保存惯例是否符合要求?
  • 您当前的技术是否符合欧盟GDPR要求?

2.  找出数据的内容和位置。

您是否知道存储客户数据的所有位置,包括物理,虚拟和逻辑位置?它’了解您的个人数据,需要什么以及将其存储在何处非常重要。对此进行全面审核将花费时间和资源,但是无论如何都需要安排这项工作,并且’如果这种情况发生的时间早于而不是晚,则更好。

3.  摆脱不再需要的数据。

仅保留与您的业务相关的必要数据。请记住,您有责任保护您所拥有的所有数据,因此,如果不再需要它,那么它将’最好摆脱它。

请记住,当您出售,转售或租用IT设备时,‘smart’在存储用户数据的设备上,应确保在重用所有数据之前已安全删除所有数据。最好使用经过验证的解决方案,以确保您的数据擦除过程安全可靠。

4.  确保您吸引合适的人。

每个组织都是不同的,因此需要谁来参与实施,并且正在进行的管理过程也将有所不同。无论业务性质如何,都应参与的部门包括IT,法律和人力资源。

对于某些公司而言,指定一位数据保护官将是有意义的,但这并不是GDPR强制执行的。数据保护官可能是您业务的正确选择,但是同样地,成立一个分担责任的委员会可能更合适。

不过,最主要的事情是要采取行动,并使所有关键的利益相关者和决策者都知道并了解新法规的影响。

5.  让利益相关者知道实施情况。

与流程中的任何更改一样,必须将其传达给所有人,以确保其有效。您可能需要开发特殊的沟通方式来告知所有员工和客户。他们需要在流程中尽早意识到变更,以便您有时间根据需要修改流程。

6.  了解所需的更改。

被遗忘的权利意味着您将需要制定程序来删除个人’根据要求提供信息。这可能是一个昂贵的过程,您将需要向客户提供证明,您实际上已经删除了他们的所有信息。您应该准备好以尽可能高效的方式响应这些请求的过程。

确保您了解处理数据的法律依据,并且能够记录这些数据。您可能需要根据需要出示证明,说明您已经过了正确的安全流程。

这些只是新更改中的一小部分,但可以在以下网址找到所有要求及其适用对象的完整概述。 信息专员办公室.

在任务列表上,您还应该考虑包括以下操作:

  • 向您的客户说明与他们的个人数据有关的权利,并告知他们其撤回使用或存储其数据的同意的权利
  • 确保在那里’适当的文档,证明何时删除了客户数据

7.  始终为意外做好计划。

您应该始终为所有可预见的突发事件做好计划–俗话说:’要安全,总比后悔好。

如果您遇到违规行为,那时候您需要做的最后一件事就是担心对应急计划进行研究并获得批准。最好事先为这些事情做好准备,并希望永远不需要它们。

在考虑的事情中,您应该制定出以下方案:

  • 您将如何实施隐私影响评估
  • 从国际角度和国内角度来看,您对数据保护的要求是什么

请记住,如果/当发生违规行为时,您需要通知欧盟GDPR监管机构和所有受影响的个人。