的五项优先行动Gartner预测,到欧盟《通用数据保护条例》(GDPR)实施之日,受GDPR影响的企业中将有超过半数无法完全满足其规定的要求。当GDPR于2018年5月25日生效时,其影响将超出整个欧盟(EU)。它将适用于所有处理和持有欧盟居民个人数据的公司,无论公司位于何处。随着对个人数据主体的重新关注以及高达2000万欧元或超过全球年营业额4%的罚款威胁,企业别无选择,只能重新评估其安全处理个人数据的措施。当GDPR生效时,组织必须关注五个高优先级变化以确保合规性:1.确定您在GDPR下的角色任何决定为什么以及如何处理个人数据的组织本质上都是“数据控制者”。因此,GDPR不仅适用于欧盟境内的企业,也适用于欧盟以外所有处理个人数据以提供商品和服务,或监控欧盟境内数据主体行为的公司。这些组织应指定一名代表作为数据保护机构(DPA)与数据主体之间的联络。2.任命数据保护官随着GDPR的引入,许多组织将被要求任命一名数据保护官(DPO)。当组织是一个公共机构,正在进行需要定期和系统监控的处理操作,或者有大规模的处理活动。“大规模”并不一定意味着te数以千计的数据主体——GDPR的早期草案提到在任何12个月内处理超过5,000个主体的数据。3.在开始新的处理活动时,应确定所有处理活动中问责制目的限制、数据质量和数据相关性的证明,也应针对现有处理活动。这将有助于保持对未来个人数据处理活动的合规性。组织必须在有关个人数据处理活动的所有决策中表现出责任感和透明度。第三方服务提供商(即数据处理商)也必须遵守,这将影响组织的供应、变更管理和采购流程。GDPR下的问责制需要获得和注册适当的数据主体同意。预选框和默示同意将不再足够。相反,组织将被要求实施简化的技术来获得和记录同意以及撤回同意。4.跨境数据流动检查仍允许向欧盟28个成员国中的任何一个成员国传输数据,挪威、列支敦士登和冰岛也是如此。也可以转移到欧盟委员会(EC)认为具有“充分”保护水平的其他11个国家中的任何一个。在这些领域之外,组织应使用适当的保护措施,例如具有约束力的公司规则(BCR)和标准合同条款(即“欧盟示范合同”)。5.打算行使其权利的数据主体数据主体根据GDPR拥有扩展的权利。这些包括被遗忘权、数据可移植权和知情权(例如,在数据泄露的情况下,或获得解释,例如在机器学习系统的自动决策中)。如果组织还没有准备好充分处理数据泄露和主体行使其权利,那么现在是时候开始实施额外的控制措施了。GDPR:让数据安全走上正轨!
