GDPR提示 如何遵守通用數(shù)據(jù)保護(hù)條例

GDPR已實(shí)施了6個(gè)多月，但許多機(jī)構(gòu)仍在努力遵守一般數(shù)據(jù)保護(hù)規(guī)定。

國際隱私專業(yè)人士協(xié)會(huì)(IAPP) 10月份公布的年度隱私治理報(bào)告顯示，只有56%的受訪公司認(rèn)為自己完全符合規(guī)定，而19%的公司表示永遠(yuǎn)不會(huì)遵守。

遵循以下建議，確保你的組織不是其中之一。

BrandPost由HPE贊助

定義IT行業(yè)的下一個(gè)篇章:現(xiàn)場(chǎng)IT即服務(wù)

“即服務(wù)”模式提供的是服務(wù)，而不是產(chǎn)品;的靈活性,而不是剛度;以及與業(yè)務(wù)結(jié)果相一致的成本。

2016年4月，歐洲議會(huì)通過了GDPR，使數(shù)據(jù)保護(hù)規(guī)則與個(gè)人信息使用相關(guān)的當(dāng)代問題同步更新。它適用于在歐盟內(nèi)部處理的所有數(shù)據(jù)，也適用于歐盟以外公司使用的有關(guān)歐盟主題的數(shù)據(jù)。

這些規(guī)定于2018年5月25日生效，并在2018年的《數(shù)據(jù)保護(hù)法案》(Data ProtectionAct)中得到了體現(xiàn)，以確保這些規(guī)定在英國退出歐盟后繼續(xù)適用于英國。

該條例適用于數(shù)據(jù)的“控制人”和“處理人”，并涵蓋了目前已得到加強(qiáng)的現(xiàn)有規(guī)則，以及數(shù)據(jù)主體的一系列新權(quán)利。

解釋:如何準(zhǔn)備GDPR

對(duì)您存儲(chǔ)的數(shù)據(jù)進(jìn)行徹底的調(diào)查。確定它被保存在哪里，任何個(gè)人或敏感的數(shù)據(jù)，它是如何處理的，以及誰可以訪問它。盡可能詳細(xì)地記錄這些信息。

IBM全球全球公關(guān)部主管理查德•霍格(Richard Hogg)建議，“建立一個(gè)初始目錄，這樣你就能了解企業(yè)中的個(gè)人數(shù)據(jù)、它們?cè)谀睦?、它們的傳承，以及你是如何處理這些數(shù)據(jù)的。”這是保持記錄的最低水平。

“這將為你在監(jiān)管機(jī)構(gòu)來敲門時(shí)使用它奠定基礎(chǔ)”。

閱讀下一篇:如何確保GDPR在云端的合規(guī)性

Gartner建議，組織應(yīng)該以透明的方式對(duì)所有的處理活動(dòng)進(jìn)行問責(zé)。

評(píng)估您當(dāng)前的數(shù)據(jù)治理實(shí)踐和策略，記錄任何處理的合法基礎(chǔ)，并確定需要改進(jìn)的任何領(lǐng)域。必須保留任何處理活動(dòng)的內(nèi)部記錄，并對(duì)所有數(shù)據(jù)進(jìn)行標(biāo)記和分類。

檢查數(shù)據(jù)在歐盟內(nèi)外的跨境流動(dòng)情況，并特別關(guān)注涉及兒童數(shù)據(jù)的做法，因?yàn)镚DPR大大加強(qiáng)了處理、年齡驗(yàn)證和同意等信息的安全要求。

ICO制作了一系列數(shù)據(jù)保護(hù)自我評(píng)估工具，幫助組織在信息安全、直接營銷、記錄管理、數(shù)據(jù)共享、主題訪問和閉路電視等方面檢查他們的準(zhǔn)備工作。

根據(jù)GDPR，任何數(shù)據(jù)處理的許可必須是具體的、粒狀的和可審核的。同意需要簡單易懂，容易撤銷。

有關(guān)同意的新規(guī)定，可能會(huì)迫使一些機(jī)構(gòu)再次接觸現(xiàn)有的資料當(dāng)事人，要求獲得新的許可，以使用他們的資料。審查您當(dāng)前的同意流程，確定何時(shí)需要同意，以及應(yīng)如何提供同意，以確保您的義務(wù)得到履行。

“GDPR關(guān)注的是知情同意的記錄和你需要的審計(jì)跟蹤，”theICO國際戰(zhàn)略和情報(bào)主管史蒂夫•伍德(Steve Wood)表示。

“撤銷同意必須很容易，你需要能夠清楚地說出你所在組織的名字，并向個(gè)人、以及可能共享數(shù)據(jù)的第三方表明這一點(diǎn)。”

對(duì)所有取得的同意保持清晰的記錄，建立直接的退出機(jī)制，并定期審查程序，以跟上處理活動(dòng)的任何變化。

下一篇:如何根據(jù)《一般資料保護(hù)規(guī)例》(GDPR)準(zhǔn)備同意書

對(duì)個(gè)人或特殊類別的資料或與刑事定罪及罪行有關(guān)的資料進(jìn)行大規(guī)模監(jiān)察的政府當(dāng)局或機(jī)構(gòu)，必須設(shè)有資料保護(hù)主任。

即使DPO對(duì)您的組織來說不是必需的，指定一個(gè)人負(fù)責(zé)數(shù)據(jù)管理將有助于保持GDPR合規(guī)。

高德納咨詢機(jī)構(gòu)建議任命個(gè)人作為數(shù)據(jù)保護(hù)機(jī)構(gòu)(DPA)和數(shù)據(jù)主體的協(xié)作點(diǎn)，并設(shè)立一個(gè)DPO來確保處理操作符合規(guī)范。

國際隱私專業(yè)人士協(xié)會(huì)(IAPP)在2018年10月報(bào)告稱，75%的受訪者目前至少任命了一名DPO。

“這個(gè)職位不僅僅是履行法律義務(wù);此外，各機(jī)構(gòu)認(rèn)識(shí)到，它們有必要獲得內(nèi)部運(yùn)營所需的GDPR專業(yè)知識(shí)，并與監(jiān)管機(jī)構(gòu)、商業(yè)伙伴和消費(fèi)者進(jìn)行溝通，”IAPP總法律顧問和研究主管麗塔•海姆斯(Rita Heimes)表示。

下一篇:企業(yè)如何為GDPR做準(zhǔn)備?

建立檢測(cè)、調(diào)查和報(bào)告違規(guī)行為的程序，并制定內(nèi)部應(yīng)對(duì)計(jì)劃。數(shù)據(jù)泄漏測(cè)試可以確保您的程序是有效的。

隱私智庫信息政策領(lǐng)導(dǎo)中心(CIPL)建議各組織“進(jìn)行違約通知計(jì)劃的‘預(yù)演’，擁有網(wǎng)絡(luò)保險(xiǎn)，或保留公共關(guān)系和法醫(yī)專家。”

請(qǐng)閱讀下一篇:戴爾EMC如何為GDPR做準(zhǔn)備

確保你的程序足以讓資料當(dāng)事人行使其在GDPR下的擴(kuò)展權(quán)利。這些權(quán)利包括知情權(quán);查閱權(quán);矯正權(quán);限制加工的權(quán)利;數(shù)據(jù)可攜性的權(quán)利;反對(duì)的權(quán)利，不服從自動(dòng)決策的權(quán)利，包括剖析;抹去的權(quán)利(被遺忘的權(quán)利)。

考慮你的機(jī)構(gòu)如何回應(yīng)落實(shí)每項(xiàng)權(quán)利的要求，由誰負(fù)責(zé)，需要什么支援系統(tǒng)，以及如何確保以常用的格式提供資料。

建立風(fēng)險(xiǎn)評(píng)估框架是管理資料私隱和確保依從性的明智方法?！侗ｋU(xiǎn)公司條例》建議包括對(duì)加工工序及目的的描述、對(duì)加工工序與目的有關(guān)的需要的評(píng)估，以及對(duì)風(fēng)險(xiǎn)的評(píng)估，以及因應(yīng)這些風(fēng)險(xiǎn)而采取的措施。

GDPR在設(shè)計(jì)和默認(rèn)情況下都需要隱私保護(hù)。信息治理的最佳實(shí)踐應(yīng)該嵌入整個(gè)組織和每個(gè)業(yè)務(wù)流程的每個(gè)階段。

“數(shù)據(jù)對(duì)于許多業(yè)務(wù)流程、產(chǎn)品和服務(wù)都是至關(guān)重要的，”信息政策領(lǐng)導(dǎo)中心(CIPL)的報(bào)告解釋道。“這就是為什么GDPR的實(shí)施必須是整個(gè)組織的共同努力，DPO必須與首席數(shù)據(jù)官(CDO)、首席信息官(CIO)、首席信息安全官(CISO)和其他高級(jí)領(lǐng)導(dǎo)層攜手合作。”

應(yīng)進(jìn)行培訓(xùn)，以確保每個(gè)工作人員了解GDPR的要求及其確保遵守規(guī)定的個(gè)人責(zé)任。

IBM全球網(wǎng)絡(luò)安全情報(bào)主管尼克•科爾曼(Nick Coleman)表示:“在我看來，首席隱私官是組織中許多人的真正捍衛(wèi)者，幫助提高他們的意識(shí)，并確保人們理解這一點(diǎn)。”

在確定當(dāng)前哪些政策和實(shí)踐需要修改之后，建立實(shí)施必要更改的計(jì)劃。

“它有一個(gè)作戰(zhàn)計(jì)劃，”科爾曼說。“實(shí)際的(部分)是優(yōu)先考慮資源、優(yōu)先考慮支持、優(yōu)先考慮你需要什么能力、處于什么成熟水平才能讓你處于一種讓你感覺舒服的狀態(tài)”。

請(qǐng)閱讀下一篇:IBM如何為GDPR做準(zhǔn)備

在一次漏洞中丟失個(gè)人身份信息(PII)的組織必須通知每一個(gè)受影響的個(gè)人，如果數(shù)據(jù)未加密。如果他們對(duì)信息進(jìn)行加密，只需要通知信息專員辦公室(ICO)，因?yàn)榧用軐⒆柚谷魏稳俗x取數(shù)據(jù)。

數(shù)據(jù)安全公司Digital Pathways董事總經(jīng)理科林•坦卡德(Colin Tankard)表示:“公司必須自動(dòng)將任何可識(shí)別個(gè)人身份的數(shù)據(jù)轉(zhuǎn)移到一個(gè)應(yīng)用了加密技術(shù)的安全地點(diǎn)。”

“對(duì)我來說，這樣做似乎是很明智的選擇，而不是面臨巨額罰款、高昂的管理和通知數(shù)千人的成本，以及處理他們隨后提出的問題、公開息披露和負(fù)面報(bào)道。”

熱衷于利用GDPR賺錢的軟件公司正在發(fā)布越來越多的產(chǎn)品，以支持遵守規(guī)定。

沒有人能保證您的數(shù)據(jù)實(shí)踐是有序的，但是有一些實(shí)踐可以幫助您為規(guī)則做好準(zhǔn)備。它們包括數(shù)據(jù)發(fā)現(xiàn)工具、同意管理系統(tǒng)、自我評(píng)估工具包和綜合數(shù)據(jù)管理平臺(tái)。

英國《計(jì)算機(jī)世界》匯編了一些最好的產(chǎn)品，可以幫助組織為GDPR做準(zhǔn)備。

《GDPR》第22條規(guī)定，從信用決定到欺詐調(diào)查結(jié)果，個(gè)人有權(quán)了解有關(guān)他們的任何數(shù)據(jù)驅(qū)動(dòng)決策是如何做出的。這對(duì)于機(jī)器學(xué)習(xí)系統(tǒng)和其他形式的人工智能黑箱來說是很困難的。

有一些工具可以幫助打開這些黑匣子，讓人工智能變得可以解釋。

例如，分析軟件公司FICO可以建立比所使用的模型更透明的代表性模型，刪除不重要的變量，使人工智能更具可解釋性，或者向一個(gè)變量添加噪聲，并評(píng)估決策對(duì)噪聲的敏感性。

“有些模式非常透明。換句話說，這些模型可以被分解，而且很容易解釋它們是如何運(yùn)作的。”

“但也有神經(jīng)網(wǎng)絡(luò)、梯度增強(qiáng)、隨機(jī)森林，這些是更多的黑盒模型，在這種情況下，你需要采取不同的方法來解釋它們。”

遵守GDPR將需要大量的時(shí)間和努力，但正如ICO專員伊麗莎白·鄧納姆解釋的那樣，這一規(guī)定也有積極的意義。

她在11月的ICO blogin中寫道:“數(shù)據(jù)保護(hù)變化的一個(gè)關(guān)鍵驅(qū)動(dòng)力是數(shù)字經(jīng)濟(jì)在英國和世界各地的重要性和持續(xù)發(fā)展。”“這就是為什么ICO和英國政府多年來一直推動(dòng)歐盟法律改革的原因。

“數(shù)字經(jīng)濟(jì)主要建立在數(shù)據(jù)收集和交換的基礎(chǔ)上，包括大量的個(gè)人數(shù)據(jù)——其中很多是敏感數(shù)據(jù)。數(shù)字經(jīng)濟(jì)的增長需要公眾對(duì)保護(hù)這些信息有信心。”