摘要：今年早些时候，欧洲议会通过了其新的通用数据保护条例（GDPR），其目的是为了保护在日益数字化的世界的个人信息。虽然新的法律在两年内不会强制执行，但这是一个相对较短的考虑时间，企业将需要评估新的要求，评估现有的措施和计划是否完全符合路径。

 　两年后会发生很多事情。2018年人们将目睹首例人类头颅移植手术。据调查机构IDC的预测，无论英国脱离还是不脱离欧盟，其组织数据的流量将增加五倍。
　　
　　而两年另一个重大的进展是，由于2018年欧洲新规定的个人可识别信息（PII）的最后期限。而随着预期的数据量增长，这可能会对任何处理个人数据的业务产生巨大的影响。
　　
　　今年早些时候，欧洲议会通过了其新的通用数据保护条例（GDPR），其目的是为了保护在日益数字化的世界的个人信息。虽然新的法律在两年内不会强制执行，但这是一个相对较短的考虑时间，企业将需要评估新的要求，评估现有的措施和计划是否完全符合路径。
　　
　　为了帮助企业了解他们的信息管理过程的影响，并使GDPR符合更广泛的监管环境，以下是做好GDPR准备的六个关键步骤。
　　
　　GDPR是什么？
　　
　　为了保护日益数字化的世界中的个人信息，这是从本世纪迄今为止最大的一次修GDPR的数据保护规则。它包括50多篇为组织和他们使用和存储的个人数据具有深远的影响文章。从本质上说，这是一个保护欧洲公民的权利立法，以确定是否，何时，如何显示和使用他或她的个人信息。
　　
　　信息专员办公室的建议是，企业需要更早地开始规划他们自己遵从GDPR合规的做法。问题是，欧洲许多企业仍然没有意识到这些变化将如何影响他们。
　　
　　有一些重要的步骤可以现在来帮助组织识别PII所在，并了解对管理自己的义务的重要步骤。而不遵守规则面对数百万欧元罚款的前景，你等得起吗？
　　
　　步骤1：什么是个人数据，我有吗？
　　
　　在决定新的立法的哪些部分适用于你的组织的第一步，就是了解什么是个人信息的含义。在新规则的内容中的“个人数据”的定义是与“数据主体”（一个人）有关的数据，该数据可以直接或间接地在数据的基础上识别。这些数据还包括设备标识符、缓存或IP地址。这意味着，在GDPR中，组织内的数据控制人员应该是他们的控制之下知道所有个人数据，并能证明他们了解信息的潜在风险，以及如何减轻这些风险。
　　
　　步骤2：GDPR是否适用于我？
　　
　　其次，对于关键术语GDPR的理解，这是否与你的组织相关很重要。以及“个人数据”，关键术语的理解包括“领土范围”，“数据主体访问请求，数据保护影响评估（DPIA）”，“有权删除'，'数据便携性”和“同意”。有关这些的更多信息，请访问相关的知识中心，或者找到eugdpr.org术语表。
　　
　　步骤3：我的组织里有哪些数据？
　　
　　为了满足你的法定义务，你首先需要知道个人的数据放在哪里。对存储在企业系统中的数据，员工的个人设备，异地档案和文件柜，以及存储供应商信息、分包商和业务伙伴（代理你的名义的个人资料，）进行详细的分析，这将会为你提供全貌。
　　
　　步骤4：开发一个数据地图，并对每一个信息进行分类
　　
　　在此分析之后，建议创建一个数据映射，它提供了一个所有物理和数字信息的360度的视图，包括存储在一个组织个人数据，数据地图是一个重要的工具，可以确保你可以快速定位，评估和监控正在进行的基础上的所有信息。
　　
　　步骤5：回顾和更新现有的政策
　　
　　一旦你知道你的信息在哪里，你需要知道你能用它做什么，可以允许保存多久。这就需要确保你保留反映了法律、法规或合同的义务的政策是最新的，你只是保留你应该和摧毁个人数据（以及其他所有记录）当，你需要一个在可防御的方式时。
　　
　　步骤6：维护的意识和反应
　　
　　最后，以确保业务作为一个整体是意识到它的义务是很重要的。这些信息将经过员工，承包商和供应商之手，让所有各方都必须理解并遵守相同的保留策略。正如法规的变化和对组织施加新的义务，随着时间的推移，你的保留政策应保持动态和响应，以适应不断变化的业务和监管景观。
　　
　　长期以来，欧洲各地的组织已经熟悉如何确保他们存储的个人数据，根据最新的GDPR监管要求，对于违规要进行相关的惩罚，这可能导致全球各企业面临每年的营业额高达百分之四或20万欧元的罚款，意味着GDPR现在已成为获得数据保留的权利。
　　
　　以下这六个步骤是避免让监管机构惩罚的出发点。未能立即采取行动将让你可能因为错误或疏忽受到法律的制裁，并可能让你的组织付出昂贵的代价。
　　
　　编辑：Harris