GDPR提示 如何遵守通用數(shù)據(jù)保護條例

GDPR已實施了6個多月，但許多機構仍在努力遵守一般數(shù)據(jù)保護規(guī)定。

國際隱私專業(yè)人士協(xié)會(IAPP) 10月份公布的年度隱私治理報告顯示，只有56%的受訪公司認為自己完全符合規(guī)定，而19%的公司表示永遠不會遵守。

遵循以下建議，確保你的組織不是其中之一。

BrandPost由HPE贊助

定義IT行業(yè)的下一個篇章:現(xiàn)場IT即服務

“即服務”模式提供的是服務，而不是產品;的靈活性,而不是剛度;以及與業(yè)務結果相一致的成本。

2016年4月，歐洲議會通過了GDPR，使數(shù)據(jù)保護規(guī)則與個人信息使用相關的當代問題同步更新。它適用于在歐盟內部處理的所有數(shù)據(jù)，也適用于歐盟以外公司使用的有關歐盟主題的數(shù)據(jù)。

這些規(guī)定于2018年5月25日生效，并在2018年的《數(shù)據(jù)保護法案》(Data ProtectionAct)中得到了體現(xiàn)，以確保這些規(guī)定在英國退出歐盟后繼續(xù)適用于英國。

該條例適用于數(shù)據(jù)的“控制人”和“處理人”，并涵蓋了目前已得到加強的現(xiàn)有規(guī)則，以及數(shù)據(jù)主體的一系列新權利。

解釋:如何準備GDPR

對您存儲的數(shù)據(jù)進行徹底的調查。確定它被保存在哪里，任何個人或敏感的數(shù)據(jù)，它是如何處理的，以及誰可以訪問它。盡可能詳細地記錄這些信息。

IBM全球全球公關部主管理查德•霍格(Richard Hogg)建議，“建立一個初始目錄，這樣你就能了解企業(yè)中的個人數(shù)據(jù)、它們在哪里、它們的傳承，以及你是如何處理這些數(shù)據(jù)的。”這是保持記錄的最低水平。

“這將為你在監(jiān)管機構來敲門時使用它奠定基礎”。

閱讀下一篇:如何確保GDPR在云端的合規(guī)性

Gartner建議，組織應該以透明的方式對所有的處理活動進行問責。

評估您當前的數(shù)據(jù)治理實踐和策略，記錄任何處理的合法基礎，并確定需要改進的任何領域。必須保留任何處理活動的內部記錄，并對所有數(shù)據(jù)進行標記和分類。

檢查數(shù)據(jù)在歐盟內外的跨境流動情況，并特別關注涉及兒童數(shù)據(jù)的做法，因為GDPR大大加強了處理、年齡驗證和同意等信息的安全要求。

ICO制作了一系列數(shù)據(jù)保護自我評估工具，幫助組織在信息安全、直接營銷、記錄管理、數(shù)據(jù)共享、主題訪問和閉路電視等方面檢查他們的準備工作。

根據(jù)GDPR，任何數(shù)據(jù)處理的許可必須是具體的、粒狀的和可審核的。同意需要簡單易懂，容易撤銷。

有關同意的新規(guī)定，可能會迫使一些機構再次接觸現(xiàn)有的資料當事人，要求獲得新的許可，以使用他們的資料。審查您當前的同意流程，確定何時需要同意，以及應如何提供同意，以確保您的義務得到履行。

“GDPR關注的是知情同意的記錄和你需要的審計跟蹤，”theICO國際戰(zhàn)略和情報主管史蒂夫•伍德(Steve Wood)表示。

“撤銷同意必須很容易，你需要能夠清楚地說出你所在組織的名字，并向個人、以及可能共享數(shù)據(jù)的第三方表明這一點。”

對所有取得的同意保持清晰的記錄，建立直接的退出機制，并定期審查程序，以跟上處理活動的任何變化。

下一篇:如何根據(jù)《一般資料保護規(guī)例》(GDPR)準備同意書

對個人或特殊類別的資料或與刑事定罪及罪行有關的資料進行大規(guī)模監(jiān)察的政府當局或機構，必須設有資料保護主任。

即使DPO對您的組織來說不是必需的，指定一個人負責數(shù)據(jù)管理將有助于保持GDPR合規(guī)。

高德納咨詢機構建議任命個人作為數(shù)據(jù)保護機構(DPA)和數(shù)據(jù)主體的協(xié)作點，并設立一個DPO來確保處理操作符合規(guī)范。

國際隱私專業(yè)人士協(xié)會(IAPP)在2018年10月報告稱，75%的受訪者目前至少任命了一名DPO。

“這個職位不僅僅是履行法律義務;此外，各機構認識到，它們有必要獲得內部運營所需的GDPR專業(yè)知識，并與監(jiān)管機構、商業(yè)伙伴和消費者進行溝通，”IAPP總法律顧問和研究主管麗塔•海姆斯(Rita Heimes)表示。

下一篇:企業(yè)如何為GDPR做準備?

建立檢測、調查和報告違規(guī)行為的程序，并制定內部應對計劃。數(shù)據(jù)泄漏測試可以確保您的程序是有效的。

隱私智庫信息政策領導中心(CIPL)建議各組織“進行違約通知計劃的‘預演’，擁有網絡保險，或保留公共關系和法醫(yī)專家。”

請閱讀下一篇:戴爾EMC如何為GDPR做準備

確保你的程序足以讓資料當事人行使其在GDPR下的擴展權利。這些權利包括知情權;查閱權;矯正權;限制加工的權利;數(shù)據(jù)可攜性的權利;反對的權利，不服從自動決策的權利，包括剖析;抹去的權利(被遺忘的權利)。

考慮你的機構如何回應落實每項權利的要求，由誰負責，需要什么支援系統(tǒng)，以及如何確保以常用的格式提供資料。

建立風險評估框架是管理資料私隱和確保依從性的明智方法?！侗ｋU公司條例》建議包括對加工工序及目的的描述、對加工工序與目的有關的需要的評估，以及對風險的評估，以及因應這些風險而采取的措施。

GDPR在設計和默認情況下都需要隱私保護。信息治理的最佳實踐應該嵌入整個組織和每個業(yè)務流程的每個階段。

“數(shù)據(jù)對于許多業(yè)務流程、產品和服務都是至關重要的，”信息政策領導中心(CIPL)的報告解釋道。“這就是為什么GDPR的實施必須是整個組織的共同努力，DPO必須與首席數(shù)據(jù)官(CDO)、首席信息官(CIO)、首席信息安全官(CISO)和其他高級領導層攜手合作。”

應進行培訓，以確保每個工作人員了解GDPR的要求及其確保遵守規(guī)定的個人責任。

IBM全球網絡安全情報主管尼克•科爾曼(Nick Coleman)表示:“在我看來，首席隱私官是組織中許多人的真正捍衛(wèi)者，幫助提高他們的意識，并確保人們理解這一點。”

在確定當前哪些政策和實踐需要修改之后，建立實施必要更改的計劃。

“它有一個作戰(zhàn)計劃，”科爾曼說。“實際的(部分)是優(yōu)先考慮資源、優(yōu)先考慮支持、優(yōu)先考慮你需要什么能力、處于什么成熟水平才能讓你處于一種讓你感覺舒服的狀態(tài)”。

請閱讀下一篇:IBM如何為GDPR做準備

在一次漏洞中丟失個人身份信息(PII)的組織必須通知每一個受影響的個人，如果數(shù)據(jù)未加密。如果他們對信息進行加密，只需要通知信息專員辦公室(ICO)，因為加密將阻止任何人讀取數(shù)據(jù)。

數(shù)據(jù)安全公司Digital Pathways董事總經理科林•坦卡德(Colin Tankard)表示:“公司必須自動將任何可識別個人身份的數(shù)據(jù)轉移到一個應用了加密技術的安全地點。”

“對我來說，這樣做似乎是很明智的選擇，而不是面臨巨額罰款、高昂的管理和通知數(shù)千人的成本，以及處理他們隨后提出的問題、公開息披露和負面報道。”

熱衷于利用GDPR賺錢的軟件公司正在發(fā)布越來越多的產品，以支持遵守規(guī)定。

沒有人能保證您的數(shù)據(jù)實踐是有序的，但是有一些實踐可以幫助您為規(guī)則做好準備。它們包括數(shù)據(jù)發(fā)現(xiàn)工具、同意管理系統(tǒng)、自我評估工具包和綜合數(shù)據(jù)管理平臺。

英國《計算機世界》匯編了一些最好的產品，可以幫助組織為GDPR做準備。

《GDPR》第22條規(guī)定，從信用決定到欺詐調查結果，個人有權了解有關他們的任何數(shù)據(jù)驅動決策是如何做出的。這對于機器學習系統(tǒng)和其他形式的人工智能黑箱來說是很困難的。

有一些工具可以幫助打開這些黑匣子，讓人工智能變得可以解釋。

例如，分析軟件公司FICO可以建立比所使用的模型更透明的代表性模型，刪除不重要的變量，使人工智能更具可解釋性，或者向一個變量添加噪聲，并評估決策對噪聲的敏感性。

“有些模式非常透明。換句話說，這些模型可以被分解，而且很容易解釋它們是如何運作的。”

“但也有神經網絡、梯度增強、隨機森林，這些是更多的黑盒模型，在這種情況下，你需要采取不同的方法來解釋它們。”

遵守GDPR將需要大量的時間和努力，但正如ICO專員伊麗莎白·鄧納姆解釋的那樣，這一規(guī)定也有積極的意義。

她在11月的ICO blogin中寫道:“數(shù)據(jù)保護變化的一個關鍵驅動力是數(shù)字經濟在英國和世界各地的重要性和持續(xù)發(fā)展。”“這就是為什么ICO和英國政府多年來一直推動歐盟法律改革的原因。

“數(shù)字經濟主要建立在數(shù)據(jù)收集和交換的基礎上，包括大量的個人數(shù)據(jù)——其中很多是敏感數(shù)據(jù)。數(shù)字經濟的增長需要公眾對保護這些信息有信心。”