五大优先行动应对欧盟《通用数据保护条例》(GDPR)

安全
Gartner预测,在欧盟《通用数据保护条例》(GDPR)实施之日,半数以上受GDPR影响的企业将不能完全满足其法规条例要求,GDPR生效时,组织必须把重点放在五个高度优先的变化上,以确保合规。

Gartner预测,在欧盟《通用数据保护条例》(GDPR)实施之日,半数以上受GDPR影响的企业将不能完全满足其法规条例要求。

[[218874]]

当GDPR于2018年5月25日生效时,其影响将超出整个欧盟(EU)的范围。它将适用于所有处理和持有欧盟居民个人资料的公司,而不论公司地理位置设置在哪里。随着对个人数据主体的重新关注,以及高达2000万欧元或超过4%全球年营业额的罚款威胁,企业别无选择,只能重新评估安全处理个人数据的措施。

GDPR生效时,组织必须把重点放在五个高度优先的变化上,以确保合规:

1. 确定你在GDPR下的角色

任何决定为什么以及如何处理个人数据的组织本质上都是一个“数据控制者”。因此,GDPR不仅适用于欧盟的企业,也适用于欧盟以外的所有正在处理个人数据以提供货物和服务,或者监测欧盟内部数据主体的行为。这些组织应指定一名代表担任数据保护当局(DPA)和数据主体的联络人。

2. 任命数据保护官

由于GDPR的推出,许多组织将被要求指定数据保护官员(DPO)。当组织是公共机构,正在进行需要定期和系统监控的加工业务,或者有大规模的加工活动时,这一点尤为重要。“大规模”并不一定意味着成千上万的数据对象——GDPR的早期草案提到在任何12个月的时间内处理5000多个科目的数据。

3. 在所有处理活动中证明问责制

目的限制,数据质量和数据相关性应在开始新的处理活动时决定,但也适用于现有的处理活动。这将有助于维护未来个人数据处理活动的合规性。组织必须在个人数据处理活动的所有决策中表现出问责性和透明度。

第三方服务提供商(即数据处理商)也必须遵守,这将影响组织的供应,变更管理和采购流程。在GDPR下的问责制要求适当的数据主体同意的获取和注册。预先选中的框和隐含的同意将不再是足够的。相反,组织将被要求实施简化的技术来获得和文件的同意和撤回同意。

4. 检查跨境数据流量

向欧盟28个成员国中的任何一个的数据传输仍将被允许,挪威,列支敦士登和冰岛也将被允许。向欧盟委员会(EC)认为具有“适当”保护水平的其他11个国家中的任何一个国家的转移也是可能的。在这些领域之外,组织应该使用适当的保护措施,例如“有约束力的公司规则”(BCR)和标准合同条款(即“欧盟示范合同”)。

5. 准备行使权利的数据主体

数据主体在GDPR下拥有延伸的权利。这些包括被遗忘的权利,数据可移植性的权利和被告知的权利(例如,在数据泄露的情况下,或者接收解释,例如在机器学习系统的自动决策中)。

如果企业还没有准备好充分处理数据泄露事件和主体行使权利,现在是时候开始实施额外的控制。

GDPR:正在让数据安全走上正轨!

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2018-07-13 15:45:16

GDPR数据泄露通用数据保护条例

2018-05-22 18:21:38

数据

2020-12-10 19:12:07

人脸识别GDPR数据保护

2019-06-06 19:01:05

GDPR数据合规进程

2018-03-20 13:04:55

GDPR数据科学数据保护

2019-10-24 09:00:58

数据保护GDPR通用数据保护条例

2018-05-25 20:28:06

数据安全Android

2018-07-04 13:45:10

2018-10-10 19:50:18

区块链GDPR数据

2020-03-11 09:00:00

数据平台架构

2020-05-27 11:29:29

GDPR数据安全数据泄露

2023-03-30 14:14:45

Kubernetes

2018-05-25 09:43:52

2018-09-17 21:30:13

GDPR数据保护条例数据隐私

2018-04-25 13:32:31

数据保护GDPRCommvault

2018-04-03 12:39:26

GDPR云计算云平台

2011-05-16 10:30:02

2018-06-29 09:49:11

2019-01-31 09:12:40

GDPR数据保护信息安全

2018-12-29 14:10:17

GDPR安全隐私数据安全
点赞
收藏

51CTO技术栈公众号