公司最容易忽略的3个GDPR合规性问题,你踩雷没?
|
企业想要满意欧盟《通用数据掩护法案》(GDPR)合规性的最佳方法,就是假设自身并不必要保存小我私人数据,而不是通过与之相反的方法。
2018年5月,欧盟《通用数据掩护法案》(GDPR)正式见效,对付GDPR合规性要求,一些尽职尽责地遵守该礼貌的企业也示意出了充实的自信念。可是,要知道,GDPR合规性法则并不像乍一看那么简朴,每个公司都应该思量个中的一些非凡用例。假如合规专员们只是比较表格打勾确认,并没有细心评估GDPR的范畴以及其与公司数据网络实践的相关,那么他们必定会在合规打算中呈现马虎。 以下是公司最轻易忽略的3个GDPR合规性题目,,个中任何一个题目都足以使公司陷入伤害田地: 1. GDPR合规性不只仅与斲丧者数据有关 GDPR旨在为斲丧者(其数据被各类差异的公司所网络)提供更多掩护。可是,其禁锢的范畴更为普及,而且可以以很多公司在其初始合规打算中不曾思量的方法举办应用。除了斲丧者小我私人数据外,公司还必要回收新的掩护尺度来处理赏罚员工、求职者以及非客户(譬喻,填写了小我私人书息但并未购置公司商品或处事的人)的小我私人数据。 礼貌划定全部数据处理赏罚勾当都要有法令依据,因此最佳做法是仅网络斲丧者、求职者及其间全部人的根基数据处理赏罚勾当所必须的数据。公司应以数据最小化为方针评估其数据处理赏罚实践,以便确保GDPR下的合规性。 提议: 不要只检察数据获取实践,还要检察全部数据的数据保存实践。确保您正确地处理赏罚了旧的求职简历、员工小我私人数据以及其他任何已颠末行使限期的记录。 2. 政策vs.实际 任何旨在处理赏罚小我私人数据的公司都必需拟定政策,来类型数据网络、存储和处理赏罚的流程,以确保其与GDPR保持同等。固然精采的数据管理是GDPR合规性的基石,但仅仅拟定政策并不敷以实现合规性。公司必需更进一步,以确保员工推行GDPR划定的数据处理赏罚任务。本质上来说,这就意味着公司有任务确保员工一般事变与GDPR政策保持同等。假如员工的举动不切合公司的尺度,则必需采纳更正法子。 凡是环境下,员工违背政策多属有时——譬喻,假如客户支持署理人与之在线通话,并将该客户的小我私人书息生涯在不属于该客户的体系中;可能,假如某个极具进取心的员工实行行使新软件或成立免费软件即处事账户,并健忘将其陈诉给公司的合规专员等等。固然上述环境也许看起来无关紧急,但却会为公司带来很大的风险,由于这两个例子都属于GDPR违规举动。 提议: 为了低落风险,我们提议您常常举办“迷你”考核。我们的安详与合规团队已经客观切实地相识到:只有当考核成为事变流程的一部门时,合规性才最轻易纳入一般事变流程之中。固然大大都公司会举办季度考核,再不济也会举办年度考核,可是我们提出的“迷你”考核观念将向各公司发出信号——即合规性并不是年度或季度变乱,而是一种一连性的做法。更好的实践方法是,行使器材自动化考核流程,这样一来,当政策与实际产生毛病时就能当即获得反馈。 3. 临界环境 GDPR“小我私人书息”中所席卷的数据可不像根基的生齿统计信息一样简朴。譬喻,“职称”就是一种意想不到的小我私人书息。大大都环境下,职称并不被视为受GDPR掩护的小我私人书息,但这也要视详细环境而定。譬喻,试想一下这个职称:德国总理。毫无疑问,当现代界上只有一小我私人拥有这样一个地位,这也就意味着小我私人的身份可以通过这个特定的细节来显现。因此,在这种环境下,职称就必需被视为GDPR所说起的“小我私人书息”,天然也就属于受掩护的数据种别。题目在于,假如一个地位名称被视为小我私人书息,那么全部的职称都必需被视为隐藏的小我私人书息,并获得平等的看待。 提议: 作为通例数据考核的一部门,请花一些时刻查察您所网络的未标志为小我私人书息的数据。试想一下,假如只行使“非小我私人”信息举办标注,您可以或许判别清晰该数据点是否属于特定职员吗?假如不能,您也许必要从头思量一下毕竟什么是小我私人书息,什么不是了。 满意GDPR合规性要求要比我们所能想象的更为伟大和普及,但它也绝非一项不行能实现的尺度。最好的提议是,假设您不必要任何数据,而不是像您此刻所实践的这样——网络、存储尽也许多的数据。只有这样本着GDPR掩护客户数据的本质精力——公司才有也许为其用户提供最高水准的小我私人数据掩护,并确保在整个组织内尽职尽责地完成小我私人数据处理赏罚使命。 【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安详牛(微信公家号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
