因此,考慮到這個最后期限,企業(yè)需要確保工作負載在云計算運行的過程中符合GDPR法規(guī)。
完成控制者/處理者的合同
收集個人數(shù)據(jù)(數(shù)據(jù)控制者)并在云計算環(huán)境中運行的組織必須確保他們收集的數(shù)據(jù)在所有傳輸、存儲和處理過程中都盡可能得到了保護。
組織通常使用第三方服務(wù)來托管和處理數(shù)據(jù),云計算就是一個明顯的例子。作為數(shù)據(jù)控制者,企業(yè)現(xiàn)在應(yīng)處于制定合同的最后階段,這些合約將會提交企業(yè)數(shù)據(jù)處理者(例如企業(yè)的云托管服務(wù)商)以處理企業(yè)的數(shù)據(jù),并定義GDPR法規(guī)要求的安全、地理位置和訪問標準。
在此,企業(yè)應(yīng)該包括建立一個審計系統(tǒng)來主動監(jiān)控數(shù)據(jù)處理器,并確保它們持續(xù)滿足GDPR的監(jiān)管要求。
這種監(jiān)督應(yīng)該包括通過審查政策和定義的審計來了解企業(yè)的數(shù)據(jù)處理者的活動,深入了解處理者可能執(zhí)行的任何子處理功能,并確保這些子處理活動本身符合控制者的需求。同樣重要的是,合同確定了將要處于范圍之內(nèi)的個人數(shù)據(jù)的類型,將要使用的協(xié)議,以及通知控制者的處理者是否違反數(shù)據(jù)或其所依據(jù)的條款的程序正在處理。
在這個階段,企業(yè)的數(shù)據(jù)處理者應(yīng)該與企業(yè)充分合作,通過數(shù)據(jù)處理的合規(guī)程序展示如何與企業(yè)需要的一致,以確保企業(yè)滿足GDPR要求。
教育組織的數(shù)據(jù)保護職責
GDPR法規(guī)遠遠超過了可以包含在審計和合同中的合規(guī)工作。它需要每個組織全力承諾將數(shù)據(jù)保護納入其從支持到會計到產(chǎn)品開發(fā)的文化和運營的所有方面。 GDPR法規(guī)的遵從并非僅限于IT部門,它必須滲透到組織的各個方面,并確保建立一種安全文化。
企業(yè)的員工現(xiàn)在應(yīng)該意識到法規(guī)變更對其日常工作流程和責任的影響。企業(yè)各部門將受到不同程度的影響:有些部門一直受到監(jiān)管,對其他部門來說可能是全新事物。但是,數(shù)據(jù)保護意識不再是可選的事項,而是一個關(guān)鍵和規(guī)范的事項。
制定一個持續(xù)不斷的從入門到定期進修的教育培訓計劃,這至關(guān)重要。這一過程的一部分應(yīng)該包括為員工提供他們自己的數(shù)據(jù)隱私聲明,告知他們的雇主將如何管理和保護他們的個人信息。這將有助于提高企業(yè)全體人員的數(shù)據(jù)安全意識。
數(shù)據(jù)映射、風險和訪問評論
在這個階段,企業(yè)應(yīng)該知道所持有的數(shù)據(jù),為什么持有它,以及它的位置。企業(yè)應(yīng)該確定與該數(shù)據(jù)相關(guān)的風險級別,以及運營過程中允許用于數(shù)據(jù)的訪問級別和機制,以衡量和監(jiān)督這些活動的有效性。企業(yè)還應(yīng)該了解組織中的數(shù)據(jù)流,并確定可能導致數(shù)據(jù)風險升高的數(shù)據(jù)流中的任何更改的系統(tǒng)。
對于應(yīng)用程序,服務(wù)或程序的修改應(yīng)通過GDPR法規(guī)中注明的PIA和DPIA過程進行評估,并由企業(yè)的數(shù)據(jù)保護官員(DPO)監(jiān)督。在此階段,企業(yè)的DPO與處理者的DPO之間應(yīng)該建立聯(lián)系,確保數(shù)據(jù)主題查詢處理的方式正確,程序監(jiān)督功能正常。
數(shù)據(jù)保護影響評估(DPIA)應(yīng)該已經(jīng)發(fā)現(xiàn)任何高風險數(shù)據(jù),并且正在制定策略以將該風險降低到可接受的水平。企業(yè)的員工對數(shù)據(jù)的訪問級別也應(yīng)該進行審查,限制訪問操作的數(shù)量的原則。
鎖定歐盟數(shù)據(jù)存儲的大門
歐盟公民數(shù)據(jù)的分離和限制以及確認其安全的地理位置應(yīng)該處于最后階段。這與上述有關(guān)數(shù)據(jù)控制者和處理者的觀點密切相關(guān),并且與云計算特別相關(guān)??刂迫藛T需要知道,與歐盟公民有關(guān)的數(shù)據(jù)被鎖定在某個地理位置,不會被其他地區(qū)的工作人員無意中訪問。
處理者必須承諾滿足并維持這一要求。對于利用云計算服務(wù)的實體,驗證適當?shù)暮戏〝?shù)據(jù)傳輸機制是否到位非常重要。如果企業(yè)的數(shù)據(jù)處理者在這一階段以及其他所有與數(shù)據(jù)保護相關(guān)的問題都沒有積極地與企業(yè)聯(lián)系,那么企業(yè)需要開始對此進行關(guān)注。
指定和嵌入數(shù)據(jù)保護人員
如果組織是一家大規(guī)模監(jiān)控的數(shù)據(jù)主體,或者處理特殊類別的受保護數(shù)據(jù)的公共機構(gòu),則必須聘用向組織最高級別報告的數(shù)據(jù)保護專員(DPO)。到目前為止,數(shù)據(jù)保護專員(DPO)應(yīng)該具備足夠的資源和支持來領(lǐng)導組織的GDPR合規(guī)計劃。
即使企業(yè)沒有按照法規(guī)的規(guī)定正式指定數(shù)據(jù)保護專員(DPO),也需要確保自己有合適的工作人員負責確保合規(guī)。目前世界各國都似乎缺少合格的數(shù)據(jù)保護專家,這并不奇怪。企業(yè)的另一種選擇是考慮采用第三方服務(wù)來協(xié)助開展自己的GDPR合規(guī)活動。
在人們接近這個監(jiān)管法規(guī)實施的時候,這些都是企業(yè)需要開展的各種活動。對于準備不充分的組織,現(xiàn)階段的關(guān)鍵是需要證明其正在努力實現(xiàn)合規(guī)。
請記住,5月25日只是不斷致力于改善每個人的數(shù)據(jù)隱私的開始,并且這項工作將會持續(xù)進行下去。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號