知識星球
Gartner預測,在歐盟《一般資料保護條例》(以下簡稱GDPR)實施之日,半數以上受GDPR影響的企業將不能完全滿足其法規條例要求。
當GDPR於2018年5月25日生效時,其影響將超出整個歐盟(EU)的範圍。它將適用於所有處理和持有歐盟居民個人資料的公司,而不論公司地理位置設定在哪裡。隨著對個人資料主體的重新關註以及高達2000萬歐元的罰款威脅或全球年營業額超過GDPR 4%的威脅,企業別無選擇,只能重新評估安全處理個人資料的措施。
GDPR生效時,組織必須把重點放在五個高度優先的變化上,以確保合規:
1.確定你在GDPR下的角色
任何決定為什麼以及如何處理個人資料的組織本質上都是一個“資料控制者”。因此,GDPR不僅適用於歐盟的企業,也適用於歐盟以外的所有正在處理個人資料以提供貨物和服務,或者監測歐盟內部資料主體的行為。這些組織應指定一名代表擔任資料保護當局(DPA)和資料主體的聯絡人。
2.任命資料保護官
由於GDPR的推出,許多組織將被要求指定資料保護官員(DPO)。當組織是公共機構,正在進行需要定期和系統監控的加工業務,或者有大規模的加工活動時,這一點尤為重要。“大規模”並不一定意味著成千上萬的資料物件 – GDPR的早期草案提到在任何12個月的時間內處理5000多個科目的資料。
3.在所有處理活動中證明問責制
目的限制,資料質量和資料相關性應在開始新的處理活動時決定,但也適用於現有的處理活動。這將有助於維護未來個人資料處理活動的合規性。組織必須在個人資料處理活動的所有決策中表現出問責性和透明度。
第三方服務提供商(即資料處理商)也必須遵守,這將影響組織的供應,變更管理和採購流程。在GDPR下的問責制要求適當的資料主體同意的獲取和註冊。預先選中的框和隱含的同意將不再是足夠的。相反,組織將被要求實施簡化的技術來獲得和檔案的同意和撤回同意。
4.檢查跨境資料流量
向歐盟28個成員國中的任何一個的資料傳輸仍將被允許,挪威,列支敦斯登和冰島也將被允許。向歐盟委員會(EC)認為具有“適當”保護水平的其他11個國家中的任何一個國家的轉移也是可能的。在這些領域之外,組織應該使用適當的保護措施,例如“有約束力的公司規則”(BCR)和標準合同條款(即“歐盟示範合同”)。
5.準備行使權利的資料主體
資料主體在GDPR下擁有延伸的權利。這些包括被遺忘的權利,資料可移植性的權利和被告知的權利(例如,在資料洩露的情況下,或者接收解釋,例如在機器學習系統的自動決策中)。
如果企業還沒有準備好充分處理資料洩露事件和主體行使權利,現在是時候開始實施額外的控制。
GDPR:正在讓資料安全走上正軌!
譯文內容引自Gartner
長按二維碼下載GDPR最完整解讀
附:Gartner宣傳海報
