Gartner預(yù)測�����,在歐盟《一般數(shù)據(jù)保護條例》(以下簡稱GDPR)實施之日�,半數(shù)以上受GDPR影響的企業(yè)將不能完全滿足其法規(guī)條例要求�。
當GDPR于2018年5月25日生效時,其影響將超出整個歐盟(EU)的范圍����。它將適用于所有處理和持有歐盟居民個人資料的公司,而不論公司地理位置設(shè)置在哪里�����。隨著對個人數(shù)據(jù)主體的重新關(guān)注以及高達2000萬歐元的罰款威脅或全球年營業(yè)額超過GDPR 4%的威脅���,企業(yè)別無選擇�����,只能重新評估安全處理個人數(shù)據(jù)的措施�。
GDPR生效時����,組織必須把重點放在五個高度優(yōu)先的變化上,以確保合規(guī):
1.確定你在GDPR下的角色
任何決定為什么以及如何處理個人數(shù)據(jù)的組織本質(zhì)上都是一個“數(shù)據(jù)控制者”����。因此�,GDPR不僅適用于歐盟的企業(yè)�����,也適用于歐盟以外的所有正在處理個人數(shù)據(jù)以提供貨物和服務(wù)����,或者監(jiān)測歐盟內(nèi)部數(shù)據(jù)主體的行為。這些組織應(yīng)指定一名代表擔任數(shù)據(jù)保護當局(DPA)和數(shù)據(jù)主體的聯(lián)絡(luò)人�。
2.任命數(shù)據(jù)保護官
由于GDPR的推出,許多組織將被要求指定數(shù)據(jù)保護官員(DPO)���。當組織是公共機構(gòu)����,正在進行需要定期和系統(tǒng)監(jiān)控的加工業(yè)務(wù)�����,或者有大規(guī)模的加工活動時����,這一點尤為重要。“大規(guī)?!辈⒉灰欢ㄒ馕吨汕先f的數(shù)據(jù)對象 - GDPR的早期草案提到在任何12個月的時間內(nèi)處理5000多個科目的數(shù)據(jù)。
3.在所有處理活動中證明問責制
目的限制�,數(shù)據(jù)質(zhì)量和數(shù)據(jù)相關(guān)性應(yīng)在開始新的處理活動時決定���,但也適用于現(xiàn)有的處理活動��。這將有助于維護未來個人數(shù)據(jù)處理活動的合規(guī)性�。組織必須在個人數(shù)據(jù)處理活動的所有決策中表現(xiàn)出問責性和透明度�。
第三方服務(wù)提供商(即數(shù)據(jù)處理商)也必須遵守,這將影響組織的供應(yīng)����,變更管理和采購流程。在GDPR下的問責制要求適當?shù)臄?shù)據(jù)主體同意的獲取和注冊��。預(yù)先選中的框和隱含的同意將不再是足夠的�����。相反����,組織將被要求實施簡化的技術(shù)來獲得和文件的同意和撤回同意。
4.檢查跨境數(shù)據(jù)流量
向歐盟28個成員國中的任何一個的數(shù)據(jù)傳輸仍將被允許����,挪威�,列支敦士登和冰島也將被允許�。向歐盟委員會(EC)認為具有“適當”保護水平的其他11個國家中的任何一個國家的轉(zhuǎn)移也是可能的。在這些領(lǐng)域之外���,組織應(yīng)該使用適當?shù)谋Wo措施�����,例如“有約束力的公司規(guī)則”(BCR)和標準合同條款(即“歐盟示范合同”)���。
5.準備行使權(quán)利的數(shù)據(jù)主體
數(shù)據(jù)主體在GDPR下?lián)碛醒由斓臋?quán)利。這些包括被遺忘的權(quán)利��,數(shù)據(jù)可移植性的權(quán)利和被告知的權(quán)利(例如�,在數(shù)據(jù)泄露的情況下,或者接收解釋��,例如在機器學(xué)習(xí)系統(tǒng)的自動決策中)����。
如果企業(yè)還沒有準備好充分處理數(shù)據(jù)泄露事件和主體行使權(quán)利,現(xiàn)在是時候開始實施額外的控制。
GDPR:正在讓數(shù)據(jù)安全走上正軌����!
譯文內(nèi)容引自Gartner
長按二維碼下載GDPR最完整解讀
附:Gartner宣傳海報
產(chǎn)品咨詢:4000 258 365 
