Gartner預(yù)測����,在歐盟《一般數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)實施之日,半數(shù)以上受GDPR影響的企業(yè)將不能完全滿足其法規(guī)條例要求��。
當(dāng)GDPR于2018年5月25日生效時�����,其影響將超出整個歐盟(EU)的范圍�。它將適用于所有處理和持有歐盟居民個人資料的公司,而不論公司地理位置設(shè)置在哪里���。隨著對個人數(shù)據(jù)主體的重新關(guān)注以及高達(dá)2000萬歐元的罰款威脅或全球年營業(yè)額超過GDPR 4%的威脅�,企業(yè)別無選擇,只能重新評估安全處理個人數(shù)據(jù)的措施��。
GDPR生效時���,組織必須把重點放在五個高度優(yōu)先的變化上����,以確保合規(guī):
1.確定你在GDPR下的角色
任何決定為什么以及如何處理個人數(shù)據(jù)的組織本質(zhì)上都是一個“數(shù)據(jù)控制者”�����。因此�����,GDPR不僅適用于歐盟的企業(yè)�,也適用于歐盟以外的所有正在處理個人數(shù)據(jù)以提供貨物和服務(wù),或者監(jiān)測歐盟內(nèi)部數(shù)據(jù)主體的行為����。這些組織應(yīng)指定一名代表擔(dān)任數(shù)據(jù)保護(hù)當(dāng)局(DPA)和數(shù)據(jù)主體的聯(lián)絡(luò)人。
2.任命數(shù)據(jù)保護(hù)官
由于GDPR的推出����,許多組織將被要求指定數(shù)據(jù)保護(hù)官員(DPO)�����。當(dāng)組織是公共機(jī)構(gòu),正在進(jìn)行需要定期和系統(tǒng)監(jiān)控的加工業(yè)務(wù)��,或者有大規(guī)模的加工活動時�����,這一點尤為重要�。“大規(guī)?���!辈⒉灰欢ㄒ馕吨汕先f的數(shù)據(jù)對象 - GDPR的早期草案提到在任何12個月的時間內(nèi)處理5000多個科目的數(shù)據(jù)。
3.在所有處理活動中證明問責(zé)制
目的限制���,數(shù)據(jù)質(zhì)量和數(shù)據(jù)相關(guān)性應(yīng)在開始新的處理活動時決定�����,但也適用于現(xiàn)有的處理活動��。這將有助于維護(hù)未來個人數(shù)據(jù)處理活動的合規(guī)性�����。組織必須在個人數(shù)據(jù)處理活動的所有決策中表現(xiàn)出問責(zé)性和透明度�����。
第三方服務(wù)提供商(即數(shù)據(jù)處理商)也必須遵守����,這將影響組織的供應(yīng),變更管理和采購流程��。在GDPR下的問責(zé)制要求適當(dāng)?shù)臄?shù)據(jù)主體同意的獲取和注冊��。預(yù)先選中的框和隱含的同意將不再是足夠的���。相反�����,組織將被要求實施簡化的技術(shù)來獲得和文件的同意和撤回同意�����。
4.檢查跨境數(shù)據(jù)流量
向歐盟28個成員國中的任何一個的數(shù)據(jù)傳輸仍將被允許���,挪威���,列支敦士登和冰島也將被允許。向歐盟委員會(EC)認(rèn)為具有“適當(dāng)”保護(hù)水平的其他11個國家中的任何一個國家的轉(zhuǎn)移也是可能的��。在這些領(lǐng)域之外�,組織應(yīng)該使用適當(dāng)?shù)谋Wo(hù)措施����,例如“有約束力的公司規(guī)則”(BCR)和標(biāo)準(zhǔn)合同條款(即“歐盟示范合同”)。
5.準(zhǔn)備行使權(quán)利的數(shù)據(jù)主體
數(shù)據(jù)主體在GDPR下?lián)碛醒由斓臋?quán)利����。這些包括被遺忘的權(quán)利,數(shù)據(jù)可移植性的權(quán)利和被告知的權(quán)利(例如���,在數(shù)據(jù)泄露的情況下�,或者接收解釋����,例如在機(jī)器學(xué)習(xí)系統(tǒng)的自動決策中)�����。
如果企業(yè)還沒有準(zhǔn)備好充分處理數(shù)據(jù)泄露事件和主體行使權(quán)利����,現(xiàn)在是時候開始實施額外的控制���。
GDPR:正在讓數(shù)據(jù)安全走上正軌�����!
譯文內(nèi)容引自Gartner
長按二維碼下載GDPR最完整解讀
附:Gartner宣傳海報
產(chǎn)品咨詢:4000 258 365 
