Gartner預(yù)測����,在歐盟《一般數(shù)據(jù)保護條例》(以下簡稱GDPR)實施之日,半數(shù)以上受GDPR影響的企業(yè)將不能完全滿足其法規(guī)條例要求�����。
當(dāng)GDPR于2018年5月25日生效時��,其影響將超出整個歐盟(EU)的范圍�。它將適用于所有處理和持有歐盟居民個人資料的公司,而不論公司地理位置設(shè)置在哪里��。隨著對個人數(shù)據(jù)主體的重新關(guān)注以及高達2000萬歐元的罰款威脅或全球年營業(yè)額超過GDPR 4%的威脅����,企業(yè)別無選擇��,只能重新評估安全處理個人數(shù)據(jù)的措施���。
GDPR生效時�,組織必須把重點放在五個高度優(yōu)先的變化上�����,以確保合規(guī):
1.確定你在GDPR下的角色
任何決定為什么以及如何處理個人數(shù)據(jù)的組織本質(zhì)上都是一個“數(shù)據(jù)控制者”。因此����,GDPR不僅適用于歐盟的企業(yè),也適用于歐盟以外的所有正在處理個人數(shù)據(jù)以提供貨物和服務(wù)�����,或者監(jiān)測歐盟內(nèi)部數(shù)據(jù)主體的行為��。這些組織應(yīng)指定一名代表擔(dān)任數(shù)據(jù)保護當(dāng)局(DPA)和數(shù)據(jù)主體的聯(lián)絡(luò)人����。
2.任命數(shù)據(jù)保護官
由于GDPR的推出,許多組織將被要求指定數(shù)據(jù)保護官員(DPO)�����。當(dāng)組織是公共機構(gòu)�����,正在進行需要定期和系統(tǒng)監(jiān)控的加工業(yè)務(wù),或者有大規(guī)模的加工活動時��,這一點尤為重要���?���!按笠?guī)?�!辈⒉灰欢ㄒ馕吨汕先f的數(shù)據(jù)對象 - GDPR的早期草案提到在任何12個月的時間內(nèi)處理5000多個科目的數(shù)據(jù)��。
3.在所有處理活動中證明問責(zé)制
目的限制��,數(shù)據(jù)質(zhì)量和數(shù)據(jù)相關(guān)性應(yīng)在開始新的處理活動時決定���,但也適用于現(xiàn)有的處理活動��。這將有助于維護未來個人數(shù)據(jù)處理活動的合規(guī)性��。組織必須在個人數(shù)據(jù)處理活動的所有決策中表現(xiàn)出問責(zé)性和透明度�。
第三方服務(wù)提供商(即數(shù)據(jù)處理商)也必須遵守���,這將影響組織的供應(yīng),變更管理和采購流程���。在GDPR下的問責(zé)制要求適當(dāng)?shù)臄?shù)據(jù)主體同意的獲取和注冊�����。預(yù)先選中的框和隱含的同意將不再是足夠的��。相反����,組織將被要求實施簡化的技術(shù)來獲得和文件的同意和撤回同意。
4.檢查跨境數(shù)據(jù)流量
向歐盟28個成員國中的任何一個的數(shù)據(jù)傳輸仍將被允許����,挪威,列支敦士登和冰島也將被允許�����。向歐盟委員會(EC)認(rèn)為具有“適當(dāng)”保護水平的其他11個國家中的任何一個國家的轉(zhuǎn)移也是可能的����。在這些領(lǐng)域之外,組織應(yīng)該使用適當(dāng)?shù)谋Wo措施�,例如“有約束力的公司規(guī)則”(BCR)和標(biāo)準(zhǔn)合同條款(即“歐盟示范合同”)。
5.準(zhǔn)備行使權(quán)利的數(shù)據(jù)主體
數(shù)據(jù)主體在GDPR下?lián)碛醒由斓臋?quán)利。這些包括被遺忘的權(quán)利�����,數(shù)據(jù)可移植性的權(quán)利和被告知的權(quán)利(例如�����,在數(shù)據(jù)泄露的情況下���,或者接收解釋��,例如在機器學(xué)習(xí)系統(tǒng)的自動決策中)�。
如果企業(yè)還沒有準(zhǔn)備好充分處理數(shù)據(jù)泄露事件和主體行使權(quán)利�����,現(xiàn)在是時候開始實施額外的控制��。
GDPR:正在讓數(shù)據(jù)安全走上正軌�!
譯文內(nèi)容引自Gartner
長按二維碼下載GDPR最完整解讀
附:Gartner宣傳海報
產(chǎn)品咨詢:4000 258 365 
