企业想要满足欧盟《通用数据保护法案》(GDPR)合规性的唯一方法是假设他们不需要保留个人数据,而不是相反。2018年5月,欧盟《通用数据保护法案》(GDPR)正式生效,一些尽职尽责遵守法规的企业也对GDPR的合规要求表现出充分的信心。但是,请注意,GDPR合规性规则并不像乍看起来那么简单,每个公司都应该考虑其中的一些特殊用例。如果合规官只是简单地勾选确认框,而没有仔细评估GDPR的范围以及它与公司数据收集实践的关系,那么他们必然会错过他们的合规计划。以下是公司最有可能忽视的3个GDPR合规性问题,其中任何一个都可能使公司处于危险之中:1.GDPR合规性不仅仅是针对各公司收集的消费者数据)提供更多保护。然而,它的监管范围要广得多,并且可以以许多公司在其最初的合规计划中没有考虑的方式应用。除了消费者个人数据外,公司还需要采用新的保护标准来处理员工、求职者和非客户(例如,填写个人信息但不购买公司商品或服务的人)的个人数据.法规要求所有数据处理活动都具有法律依据,因此最佳做法是仅收集消费者、求职者和介于两者之间的每个人的基本数据处理活动所必需的数据。公司应以数据最小化为目标评估其数据处理实践,以确保符合GDPR。建议:不要只审查数据采集实践,还要审查所有数据的数据保留实践。确保妥善处理旧工作简历、员工个人数据和任何其他已过期的记录。2.政策与现实任何打算处理个人数据的公司都必须有政策来规范数据收集、存储和处理的过程,以确保其符合GDPR。虽然良好的数据治理是GDPR合规性的基石,但仅靠政策不足以实现合规性。公司必须更进一步,确保员工遵守GDPR规定的数据处理义务。从本质上讲,这意味着企业有义务确保员工的日常工作符合GDPR政策。如果员工的行为不符合公司的标准,则必须采取纠正措施。通常情况下,员工违反政策是无意的——例如,如果客户支持代理正在与该客户进行实时通话,并将该客户的个人信息保存在不属于该客户的系统上;或者,如果一个咄咄逼人的黑客担心员工尝试新软件或设置免费的软件即服务帐户而忘记向公司的合规官报告,等等。虽然上述情况看似微不足道,但它对公司构成了重大风险,因为这两个例子都属于GDPR违规行为。建议:为降低风险,我们建议您经常执行“小型”审核。我们的安全和合规团队客观地了解到,当审计是工作流程的一部分时,合规最容易集成到日常工作流程中。虽然大多数公司进行季度审计,或者最糟糕的是年度审计,但我们的“小型”审计概念将向公司发出信号,表明合规不是年度或季度事件,而是持续的性行为。更好的做法是使用工具使审查过程自动化,以便在政策偏离现实时立即得到反馈。3.EdgecasesGDPR“个人信息”中包含的数据并不像基本人口统计信息那么简单。例如,“职位”是一种意想不到的个人信息类型。在大多数情况下,职位名称不被视为受GDPR保护的个人信息,但这也取决于具体情况。例如,考虑这个职位:德国总理。毫无疑问,当今世界只有一个人担任这样的职位,这意味着可以通过这个特定的细节来揭示个人的身份。因此,在这种情况下,职位名称必须被视为GDPR中提到的“个人信息”,自然属于受保护数据的范畴。问题在于,如果一个职位被视为个人信息,那么所有职位都必须被视为潜在的个人信息并受到平等对待。建议:作为定期数据审查的一部分,花一些时间审查您收集的未标记为个人信息的数据。想象一下,如果您仅用“非个人”信息标记该数据点,您是否能够判断该数据点是否属于特定的人?如果不是,您可能需要重新考虑什么是个人信息,什么不是个人信息。满足GDPR合规要求比我们想象的要复杂和广泛,但这绝不是一个不可能的标准。最好的建议是假设您不需要任何数据,而不是收集和存储您现在正在练习的尽可能多的数据。只有这样,公司才能为其用户提供最高级别的个人数据保护,并确保个人数据处理任务在整个组织内尽职尽责地完成,符合GDPR保护客户数据的本质。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信?id:gooann-sectv)获得授权】点此查看作者更多好文
