兩年后會發(fā)生很多事情。2018年人們將目睹首例人類頭顱移植手術(shù)。據(jù)調(diào)查機(jī)構(gòu)IDC的預(yù)測，無論英國脫離還是不脫離歐盟，其組織數(shù)據(jù)的流量將增加五倍。

而兩年另一個重大的進(jìn)展是，由于2018年歐洲新規(guī)定的個人可識別信息(PII)的最后期限。而隨著預(yù)期的數(shù)據(jù)量增長，這可能會對任何處理個人數(shù)據(jù)的業(yè)務(wù)產(chǎn)生巨大的影響。

今年早些時候，歐洲議會通過了其新的通用數(shù)據(jù)保護(hù)條例(GDPR)，其目的是為了保護(hù)在日益數(shù)字化的世界的個人信息。雖然新的法律在兩年內(nèi)不會強(qiáng)制執(zhí)行，但這是一個相對較短的考慮時間，企業(yè)將需要評估新的要求，評估現(xiàn)有的措施和計劃是否完全符合路徑。

為了幫助企業(yè)了解他們的信息管理過程的影響，并使GDPR符合更廣泛的監(jiān)管環(huán)境，以下是做好GDPR準(zhǔn)備的六個關(guān)鍵步驟。

GDPR是什么?

為了保護(hù)日益數(shù)字化的世界中的個人信息，這是從本世紀(jì)迄今為止最大的一次修GDPR的數(shù)據(jù)保護(hù)規(guī)則。它包括50多篇為組織和他們使用和存儲的個人數(shù)據(jù)具有深遠(yuǎn)的影響文章。從本質(zhì)上說，這是一個保護(hù)歐洲公民的權(quán)利立法，以確定是否，何時，如何顯示和使用他或她的個人信息。

信息專員辦公室的建議是，企業(yè)需要更早地開始規(guī)劃他們自己遵從GDPR合規(guī)的做法。問題是，歐洲許多企業(yè)仍然沒有意識到這些變化將如何影響他們。

有一些重要的步驟可以現(xiàn)在來幫助組織識別PII所在，并了解對管理自己的義務(wù)的重要步驟。而不遵守規(guī)則面對數(shù)百萬歐元罰款的前景，你等得起嗎?

步驟1：什么是個人數(shù)據(jù)，我有嗎?

在決定新的立法的哪些部分適用于你的組織的第一步，就是了解什么是個人信息的含義。在新規(guī)則的內(nèi)容中的“個人數(shù)據(jù)”的定義是與“數(shù)據(jù)主體”(一個人)有關(guān)的數(shù)據(jù)，該數(shù)據(jù)可以直接或間接地在數(shù)據(jù)的基礎(chǔ)上識別。這些數(shù)據(jù)還包括設(shè)備標(biāo)識符、緩存或IP地址。這意味著，在GDPR中，組織內(nèi)的數(shù)據(jù)控制人員應(yīng)該是他們的控制之下知道所有個人數(shù)據(jù)，并能證明他們了解信息的潛在風(fēng)險，以及如何減輕這些風(fēng)險。

步驟2：GDPR是否適用于我?

其次，對于關(guān)鍵術(shù)語GDPR的理解，這是否與你的組織相關(guān)很重要。以及“個人數(shù)據(jù)”，關(guān)鍵術(shù)語的理解包括“領(lǐng)土范圍”，“數(shù)據(jù)主體訪問請求，數(shù)據(jù)保護(hù)影響評估(DPIA)”，“有權(quán)刪除'，'數(shù)據(jù)便攜性”和“同意”。有關(guān)這些的更多信息，請訪問相關(guān)的知識中心，或者找到eugdpr.org術(shù)語表。

步驟3：我的組織里有哪些數(shù)據(jù)?

為了滿足你的法定義務(wù)，你首先需要知道個人的數(shù)據(jù)放在哪里。對存儲在企業(yè)系統(tǒng)中的數(shù)據(jù)，員工的個人設(shè)備，異地檔案和文件柜，以及存儲供應(yīng)商信息、分包商和業(yè)務(wù)伙伴(代理你的名義的個人資料，)進(jìn)行詳細(xì)的分析，這將會為你提供全貌。

步驟4：開發(fā)一個數(shù)據(jù)地圖，并對每一個信息進(jìn)行分類

在此分析之后，建議創(chuàng)建一個數(shù)據(jù)映射，它提供了一個所有物理和數(shù)字信息的360度的視圖，包括存儲在一個組織個人數(shù)據(jù)，數(shù)據(jù)地圖是一個重要的工具，可以確保你可以快速定位，評估和監(jiān)控正在進(jìn)行的基礎(chǔ)上的所有信息。

步驟5：回顧和更新現(xiàn)有的政策

一旦你知道你的信息在哪里，你需要知道你能用它做什么，可以允許保存多久。這就需要確保你保留反映了法律、法規(guī)或合同的義務(wù)的政策是最新的，你只是保留你應(yīng)該和摧毀個人數(shù)據(jù)(以及其他所有記錄)當(dāng)，你需要一個在可防御的方式時。

步驟6：維護(hù)的意識和反應(yīng)

最后，以確保業(yè)務(wù)作為一個整體是意識到它的義務(wù)是很重要的。這些信息將經(jīng)過員工，承包商和供應(yīng)商之手，讓所有各方都必須理解并遵守相同的保留策略。正如法規(guī)的變化和對組織施加新的義務(wù)，隨著時間的推移，你的保留政策應(yīng)保持動態(tài)和響應(yīng)，以適應(yīng)不斷變化的業(yè)務(wù)和監(jiān)管景觀。

長期以來，歐洲各地的組織已經(jīng)熟悉如何確保他們存儲的個人數(shù)據(jù)，根據(jù)最新的GDPR監(jiān)管要求，對于違規(guī)要進(jìn)行相關(guān)的懲罰，這可能導(dǎo)致全球各企業(yè)面臨每年的營業(yè)額高達(dá)百分之四或20萬歐元的罰款，意味著GDPR現(xiàn)在已成為獲得數(shù)據(jù)保留的權(quán)利。

以下這六個步驟是避免讓監(jiān)管機(jī)構(gòu)懲罰的出發(fā)點(diǎn)。未能立即采取行動將讓你可能因為錯誤或疏忽受到法律的制裁，并可能讓你的組織付出昂貴的代價。