| 摘要:GDPR并未规定企业如何保护数据,但欧盟监管机构仍然可以判断企业是否采取了足够的预防措施。 |
科技界一直在讨论即将到来的欧盟的“通用数据保护条例”(GDPR),好像这是一场自然灾害而不是法律。“你对GDPR准备好了吗?”所有询问供应商的电子邮件,说明企业希望能够解决这个问题。
有足够多的文章试图解释这些规则,预测赢家和输家,或者让更多人对法规的实施感到恐惧。那么在此采取另一种不同的方法:如果你经营一家科技公司,为欧盟公民服务,甚至拥有一位GDPR顾问,那么潜在的“盲点”是什么?除了遵守规定之外,2018年5月25日开始执行后,企业如何才能妥善管理GDPR?
了解企业的个人数据关系
处理个人数据的责任分为两个角色:控制者和处理者。根据所扮演的角色,法律责任会发生变化。
控制者控制个人数据-任何可识别人的信息(姓名、电子邮件、地址、位置等)。处理者代表控制者处理个人数据。这种区别可能很混乱,因为企业可能是某些关系中的处理者,而其他公司也可能是处理器。企业甚至可以与一家公司建立多个处理者-控制者的关系。
如果企业和其销售和营销团队使用Salesforce,则企业是控制者,而Salesforce是处理者。如果客户要求企业删除其Salesforce记录,并行使GDPR的“被遗忘权”,则企业有责任履行这些要求。Salesforce负责让企业完成请求。处理者创建删除按钮,控制者点击它。
谨防B2B公司:一个处理者可能服务于另一个处理者。例如,X公司提供了一个IT服务管理(ITSM)平台。客户在企业的帮助台解决方案中存储个人数据,这使得它的客户控制者和X公司成为一个处理者。但是,其云平台运行在亚马逊网络服务上,因此亚马逊是X公司的处理者。亚马逊公司控制某些公司X员工的个人数据,可能在客户关系管理(CRM)文件或Amazon.com购物帐户中。但那些是独立的、无关的关系。
企业需要了解自己在每个关系中扮演的角色。在实施GDPR之前,每份合同都需要一份附录来定义谁是控制者与处理者。不要认为其供应商或客户对差异和责任很清楚。
模拟GDPR请求
欧盟公民可以要求企业在GDPR法规下披露、更正或清除其个人数据。他们还可能会要求企业停止以特定方式处理其数据(例如没有个性化广告),甚至可能会要求提供便携式,机器可读的数据副本。企业不希望这些请求让企业的IT和支持人员陷入困境。模拟GDPR请求并找出如何自动化它们。
作为处理者,企业请考虑其客户(特别是控制者)在其系统中需要做什么。起草常见问题解答,按规则进行规则说明,企业的控制者可以如何满足“数据主体的权利”。
在消费者科技业务中,控制人员尤其需要投资于GDPR的自助服务。请注意,Google公司已经为帐户持有者提供了一个下载数据的工具,并在一篇有关GDPR准备的文章中强调了这一点。Facebook公司还没有公布太多关于GDPR的消息。但是,人们会注意到,隐藏在隐私设置中的其“广告偏好设置”页面可以处理GDPR请求,例如关闭有针对性的广告(一种数据处理类型)。个人的平台可能只需要将GDPR工具组织到一个标记良好的用户界面中。
考虑GDPR处罚
没有一家企业能够避免数据泄露,监管机构不仅向他们承担责任的任何人发送账单,他们将对此进行调查。
控制者有72小时的时间在违规后提醒监管机构,并且必须通知处于危险中的人们“不得有不当延迟”。“如果处理人员首先发现违规行为,应尽快通知控制人员。更重要的是,欧盟监管机构希望看到企业(无论是控制者还是处理者)都尽可能合理地防止侵入和保护个人数据。他们将专注于企业的网络安全流程,气做所为,以及治理,也就是企业如何跟踪和执行这些流程的执行。
考虑出现了令人震惊的Meltdown和Spectre漏洞。如果这两个漏洞在5月25日之后浮出水面。并导致数据泄露,欧盟将会进行调查。GDPR并没有说“应该加密所有的个人数据”。但是,如果一家公司由于Meltdown或Specter泄漏未加密的数据,监管机构可能会认为企业不顾责备处理者的制造商。在调查人员设定先例之前,GPDR对此有待解释。
换句话说,GDPR并不规定如何保护数据,但欧盟监管机构仍然判断企业是否采取了足够的预防措施。企业需要更新自己的流程和治理,就好像期待调查一样。准备好表明自己采取了详尽的措施来保护个人数据。
积极的一面
GDPR规则含糊不清,难以预测。这就是为什么人们感觉它像感觉一种自然灾害,并引起了如此多的恐慌的原因。
在积极的一面,GDPR载入了人们是自己数据的主人的原则。而从专家的角度来看,这一理念可能是云计算技术供应商的转折点。
由于缺乏有关数据的治理,许多欧洲公司对采用云计算犹豫不决。但是在GDPR法规之下,作为处理者的云计算供应商承担着保护数据的法定负担。从5月25日开始,他们将为推卸责任付出代价。
编辑:Harris
评论表单加载中...
