GDPR提示 如何遵守通用数据保护条例

GDPR已实施了6个多月，但许多机构仍在努力遵守一般数据保护规定。

国际隐私专业人士协会(IAPP) 10月份公布的年度隐私治理报告显示，只有56%的受访公司认为自己完全符合规定，而19%的公司表示永远不会遵守。

遵循以下建议，确保你的组织不是其中之一。

BrandPost由HPE赞助

定义IT行业的下一个篇章:现场IT即服务

“即服务”模式提供的是服务，而不是产品;的灵活性,而不是刚度;以及与业务结果相一致的成本。

2016年4月，欧洲议会通过了GDPR，使数据保护规则与个人信息使用相关的当代问题同步更新。它适用于在欧盟内部处理的所有数据，也适用于欧盟以外公司使用的有关欧盟主题的数据。

这些规定于2018年5月25日生效，并在2018年的《数据保护法案》(Data ProtectionAct)中得到了体现，以确保这些规定在英国退出欧盟后继续适用于英国。

该条例适用于数据的“控制人”和“处理人”，并涵盖了目前已得到加强的现有规则，以及数据主体的一系列新权利。

解释:如何准备GDPR

对您存储的数据进行彻底的调查。确定它被保存在哪里，任何个人或敏感的数据，它是如何处理的，以及谁可以访问它。尽可能详细地记录这些信息。

IBM全球全球公关部主管理查德•霍格(Richard Hogg)建议，“建立一个初始目录，这样你就能了解企业中的个人数据、它们在哪里、它们的传承，以及你是如何处理这些数据的。”这是保持记录的最低水平。

“这将为你在监管机构来敲门时使用它奠定基础”。

阅读下一篇:如何确保GDPR在云端的合规性

Gartner建议，组织应该以透明的方式对所有的处理活动进行问责。

评估您当前的数据治理实践和策略，记录任何处理的合法基础，并确定需要改进的任何领域。必须保留任何处理活动的内部记录，并对所有数据进行标记和分类。

检查数据在欧盟内外的跨境流动情况，并特别关注涉及儿童数据的做法，因为GDPR大大加强了处理、年龄验证和同意等信息的安全要求。

ICO制作了一系列数据保护自我评估工具，帮助组织在信息安全、直接营销、记录管理、数据共享、主题访问和闭路电视等方面检查他们的准备工作。

根据GDPR，任何数据处理的许可必须是具体的、粒状的和可审核的。同意需要简单易懂，容易撤销。

有关同意的新规定，可能会迫使一些机构再次接触现有的资料当事人，要求获得新的许可，以使用他们的资料。审查您当前的同意流程，确定何时需要同意，以及应如何提供同意，以确保您的义务得到履行。

“GDPR关注的是知情同意的记录和你需要的审计跟踪，”theICO国际战略和情报主管史蒂夫•伍德(Steve Wood)表示。

“撤销同意必须很容易，你需要能够清楚地说出你所在组织的名字，并向个人、以及可能共享数据的第三方表明这一点。”

对所有取得的同意保持清晰的记录，建立直接的退出机制，并定期审查程序，以跟上处理活动的任何变化。

下一篇:如何根据《一般资料保护规例》(GDPR)准备同意书

对个人或特殊类别的资料或与刑事定罪及罪行有关的资料进行大规模监察的政府当局或机构，必须设有资料保护主任。

即使DPO对您的组织来说不是必需的，指定一个人负责数据管理将有助于保持GDPR合规。

高德纳咨询机构建议任命个人作为数据保护机构(DPA)和数据主体的协作点，并设立一个DPO来确保处理操作符合规范。

国际隐私专业人士协会(IAPP)在2018年10月报告称，75%的受访者目前至少任命了一名DPO。

“这个职位不仅仅是履行法律义务;此外，各机构认识到，它们有必要获得内部运营所需的GDPR专业知识，并与监管机构、商业伙伴和消费者进行沟通，”IAPP总法律顾问和研究主管丽塔•海姆斯(Rita Heimes)表示。

下一篇:企业如何为GDPR做准备?

建立检测、调查和报告违规行为的程序，并制定内部应对计划。数据泄漏测试可以确保您的程序是有效的。

隐私智库信息政策领导中心(CIPL)建议各组织“进行违约通知计划的‘预演’，拥有网络保险，或保留公共关系和法医专家。”

请阅读下一篇:戴尔EMC如何为GDPR做准备

确保你的程序足以让资料当事人行使其在GDPR下的扩展权利。这些权利包括知情权;查阅权;矫正权;限制加工的权利;数据可携性的权利;反对的权利，不服从自动决策的权利，包括剖析;抹去的权利(被遗忘的权利)。

考虑你的机构如何回应落实每项权利的要求，由谁负责，需要什么支援系统，以及如何确保以常用的格式提供资料。

建立风险评估框架是管理资料私隐和确保依从性的明智方法。《保险公司条例》建议包括对加工工序及目的的描述、对加工工序与目的有关的需要的评估，以及对风险的评估，以及因应这些风险而采取的措施。

GDPR在设计和默认情况下都需要隐私保护。信息治理的最佳实践应该嵌入整个组织和每个业务流程的每个阶段。

“数据对于许多业务流程、产品和服务都是至关重要的，”信息政策领导中心(CIPL)的报告解释道。“这就是为什么GDPR的实施必须是整个组织的共同努力，DPO必须与首席数据官(CDO)、首席信息官(CIO)、首席信息安全官(CISO)和其他高级领导层携手合作。”

应进行培训，以确保每个工作人员了解GDPR的要求及其确保遵守规定的个人责任。

IBM全球网络安全情报主管尼克•科尔曼(Nick Coleman)表示:“在我看来，首席隐私官是组织中许多人的真正捍卫者，帮助提高他们的意识，并确保人们理解这一点。”

在确定当前哪些政策和实践需要修改之后，建立实施必要更改的计划。

“它有一个作战计划，”科尔曼说。“实际的(部分)是优先考虑资源、优先考虑支持、优先考虑你需要什么能力、处于什么成熟水平才能让你处于一种让你感觉舒服的状态”。

请阅读下一篇:IBM如何为GDPR做准备

在一次漏洞中丢失个人身份信息(PII)的组织必须通知每一个受影响的个人，如果数据未加密。如果他们对信息进行加密，只需要通知信息专员办公室(ICO)，因为加密将阻止任何人读取数据。

数据安全公司Digital Pathways董事总经理科林•坦卡德(Colin Tankard)表示:“公司必须自动将任何可识别个人身份的数据转移到一个应用了加密技术的安全地点。”

“对我来说，这样做似乎是很明智的选择，而不是面临巨额罚款、高昂的管理和通知数千人的成本，以及处理他们随后提出的问题、公开息披露和负面报道。”

热衷于利用GDPR赚钱的软件公司正在发布越来越多的产品，以支持遵守规定。

没有人能保证您的数据实践是有序的，但是有一些实践可以帮助您为规则做好准备。它们包括数据发现工具、同意管理系统、自我评估工具包和综合数据管理平台。

英国《计算机世界》汇编了一些最好的产品，可以帮助组织为GDPR做准备。

《GDPR》第22条规定，从信用决定到欺诈调查结果，个人有权了解有关他们的任何数据驱动决策是如何做出的。这对于机器学习系统和其他形式的人工智能黑箱来说是很困难的。

有一些工具可以帮助打开这些黑匣子，让人工智能变得可以解释。

例如，分析软件公司FICO可以建立比所使用的模型更透明的代表性模型，删除不重要的变量，使人工智能更具可解释性，或者向一个变量添加噪声，并评估决策对噪声的敏感性。

“有些模式非常透明。换句话说，这些模型可以被分解，而且很容易解释它们是如何运作的。”

“但也有神经网络、梯度增强、随机森林，这些是更多的黑盒模型，在这种情况下，你需要采取不同的方法来解释它们。”

遵守GDPR将需要大量的时间和努力，但正如ICO专员伊丽莎白·邓纳姆解释的那样，这一规定也有积极的意义。

她在11月的ICO blogin中写道:“数据保护变化的一个关键驱动力是数字经济在英国和世界各地的重要性和持续发展。”“这就是为什么ICO和英国政府多年来一直推动欧盟法律改革的原因。

“数字经济主要建立在数据收集和交换的基础上，包括大量的个人数据——其中很多是敏感数据。数字经济的增长需要公众对保护这些信息有信心。”