Gartner預(yù)測(cè)，在歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)實(shí)施之日，半數(shù)以上受GDPR影響的企業(yè)將不能完全滿足其法規(guī)條例要求。

[[218874]]

當(dāng)GDPR于2018年5月25日生效時(shí)，其影響將超出整個(gè)歐盟(EU)的范圍。它將適用于所有處理和持有歐盟居民個(gè)人資料的公司，而不論公司地理位置設(shè)置在哪里。隨著對(duì)個(gè)人數(shù)據(jù)主體的重新關(guān)注，以及高達(dá)2000萬歐元或超過4%全球年?duì)I業(yè)額的罰款威脅，企業(yè)別無選擇，只能重新評(píng)估安全處理個(gè)人數(shù)據(jù)的措施。

GDPR生效時(shí)，組織必須把重點(diǎn)放在五個(gè)高度優(yōu)先的變化上，以確保合規(guī)：

1. 確定你在GDPR下的角色

任何決定為什么以及如何處理個(gè)人數(shù)據(jù)的組織本質(zhì)上都是一個(gè)“數(shù)據(jù)控制者”。因此，GDPR不僅適用于歐盟的企業(yè)，也適用于歐盟以外的所有正在處理個(gè)人數(shù)據(jù)以提供貨物和服務(wù)，或者監(jiān)測(cè)歐盟內(nèi)部數(shù)據(jù)主體的行為。這些組織應(yīng)指定一名代表擔(dān)任數(shù)據(jù)保護(hù)當(dāng)局(DPA)和數(shù)據(jù)主體的聯(lián)絡(luò)人。

2. 任命數(shù)據(jù)保護(hù)官

由于GDPR的推出，許多組織將被要求指定數(shù)據(jù)保護(hù)官員(DPO)。當(dāng)組織是公共機(jī)構(gòu)，正在進(jìn)行需要定期和系統(tǒng)監(jiān)控的加工業(yè)務(wù)，或者有大規(guī)模的加工活動(dòng)時(shí)，這一點(diǎn)尤為重要。“大規(guī)模”并不一定意味著成千上萬的數(shù)據(jù)對(duì)象——GDPR的早期草案提到在任何12個(gè)月的時(shí)間內(nèi)處理5000多個(gè)科目的數(shù)據(jù)。

3. 在所有處理活動(dòng)中證明問責(zé)制

目的限制，數(shù)據(jù)質(zhì)量和數(shù)據(jù)相關(guān)性應(yīng)在開始新的處理活動(dòng)時(shí)決定，但也適用于現(xiàn)有的處理活動(dòng)。這將有助于維護(hù)未來個(gè)人數(shù)據(jù)處理活動(dòng)的合規(guī)性。組織必須在個(gè)人數(shù)據(jù)處理活動(dòng)的所有決策中表現(xiàn)出問責(zé)性和透明度。

第三方服務(wù)提供商(即數(shù)據(jù)處理商)也必須遵守，這將影響組織的供應(yīng)，變更管理和采購流程。在GDPR下的問責(zé)制要求適當(dāng)?shù)臄?shù)據(jù)主體同意的獲取和注冊(cè)。預(yù)先選中的框和隱含的同意將不再是足夠的。相反，組織將被要求實(shí)施簡(jiǎn)化的技術(shù)來獲得和文件的同意和撤回同意。

4. 檢查跨境數(shù)據(jù)流量

向歐盟28個(gè)成員國中的任何一個(gè)的數(shù)據(jù)傳輸仍將被允許，挪威，列支敦士登和冰島也將被允許。向歐盟委員會(huì)(EC)認(rèn)為具有“適當(dāng)”保護(hù)水平的其他11個(gè)國家中的任何一個(gè)國家的轉(zhuǎn)移也是可能的。在這些領(lǐng)域之外，組織應(yīng)該使用適當(dāng)?shù)谋Ｗo(hù)措施，例如“有約束力的公司規(guī)則”(BCR)和標(biāo)準(zhǔn)合同條款(即“歐盟示范合同”)。

5. 準(zhǔn)備行使權(quán)利的數(shù)據(jù)主體

數(shù)據(jù)主體在GDPR下?lián)碛醒由斓臋?quán)利。這些包括被遺忘的權(quán)利，數(shù)據(jù)可移植性的權(quán)利和被告知的權(quán)利(例如，在數(shù)據(jù)泄露的情況下，或者接收解釋，例如在機(jī)器學(xué)習(xí)系統(tǒng)的自動(dòng)決策中)。

如果企業(yè)還沒有準(zhǔn)備好充分處理數(shù)據(jù)泄露事件和主體行使權(quán)利，現(xiàn)在是時(shí)候開始實(shí)施額外的控制。

GDPR：正在讓數(shù)據(jù)安全走上正軌!