确保GDPR合规性的6个关键步骤–您需要立即采取的步骤

确保GDPR合规性的6个关键步骤–您需要立即采取的步骤

确保GDPR合规性的6个关键步骤–您需要立即采取的步骤
СОДЕРЖАНИЕ
02 июня 2020

GDPR合规


并非每个人都能成为GDPR合规性专家,但这并不意味着您应该忽略数据保护和隐私;特别是如果您经营企业。即使已经就GDPR合规性进行了很多讨论,但准备好GDPR并不是一个一次性的项目。这是一种持续的业务方法.

信任与我们共享数据的人(在Facebook上看着您!)是我们在线开展业务的重要组成部分。当公司需要个人数据来运行其服务时,用户应该知道为什么以及如何使用它,以便他们可以决定服务.

这就是GDPR赋予组织更多责任并增加个人权利的原因.

我们交谈过的一些顾问说,没有100%符合GDPR的要求. 它更多地是关于从 "道德的" 立场,而不是那么多 "工具" 要么 "清单".

因此,不要搜索模板,每个组织都有自己的处理方式。尝试根据您的情况制定有效的数据保护和隐私策略。本指南只是一个起点,采用了高层次的通用方法。理想情况下,您需要深入研究业务的各个领域,并研究如何收集,处理,披露,存储和删除数据.

guide本指南仅作为指导,并不构成法律建议或法律分析。组织可能需要针对特定​​法律问题或疑问寻求独立的法律建议.

1.了解有关GDPR的关键概念和文章

符合GDPR要求不只是 "修复网站". 这是您整个组织的一部分.

在少数情况下,企业根本不处理信息。在大多数情况下,有不同级别的关键人员(人力资源,IT,市场,安全团队)与客户的数据进行交互,因此应了解《通用数据保护条例》。这不是一个单人表演。您需要技术和法律实施.

了解条款 是一大步。以下是我们将在指南中使用的一些内容,可帮助您浏览GDPR:

  • 资料主体 –由控制器或处理器处理其个人数据的自然人.
  • 数据控制器 –确定个人数据处理目的,条件和方式的实体.
  • 个人资料 –与自然人或数据主体有关的任何可用于直接或间接识别该人的信息.
  • 数据处理器 –代表数据控制器处理数据的实体.

接下来,使您熟悉以下文章。这将使您轻松过渡到GDPR.

  • 艺术。 5:有关个人数据处理的原则.
  • 艺术。 6:个人数据处理的合法依据.
  • 艺术。 12 – 22:数据主体权利(访问,数据可移植性,被遗忘的权利等)
  • 艺术. 25 & 32:公司应采取必要的保护措施以保护数据主体的个人数据.

⚡行动步骤:

  • 花时间阅读法律.
  • 查看我们完整的WordPress GDPR指南.
  • 仔细处理用户数据。像对待商业秘密一样对待它.
  • 根据GDPR配置评估您的产品,服务,工具,提供者等.
  • 向您的合作者介绍GDPR的风险和收益.

2.现在要如何遵守GDPR

您应该在几个不同的领域采取行动:

2.1。数据映射

遵守GDPR的重要一步是了解组织中数据的移动方式。通过编制清单来记录信息在公司中的流动方式有助于您证明自己合规。一个良好的起点应该是以下数据图: GDPR数据地图模板

gdpr合规性数据图

映射数据流还将帮助您确定可能导致GDPR合规性问题的区域。请记住,只有在数据控制器可以至少合法地依靠的情况下,才能进行处理操作。最适当的合法依据将取决于正在处理的个人数据和处理目的.

2.2。隐私政策

查看并更新您当前的隐私权政策。这是人们首先要检查GDPR合规性的地方.

您必须向个人传达处理数据的法律依据,保留期限,客户对您的实施不满意时的投诉权,其数据是否将由自动决策制定以及其在GDPR下的权利.

此外,您必须以简明易懂的语言提供信息.

2.3。训练

GDPR是一项业务变更项目-与您一起工作的人员需要了解数据保护的重要性,并接受GDPR基本原则和正在实施的合规程序方面的培训.

与需要通知的人分享这篇文章.

⚡行动步骤:

  • 数据处理器执行的地图和文档数据流.
  • 对放弃信息的用户完全透明.
  • 根据Art向您的员工,供应商和客户提供信息通知。 GDPR的13.
  • 配置您的同意方法,以在处理网站上的敏感个人数据时使用明确/主动同意.

3.接下来要采取的GDPR合规步骤

数据控制者在执行任务时应始终与监督机构合作.

安排对组织中的数据处理活动和安全控制措施进行定期审核。保持最新的个人数据处理记录,以表示同意.

3.1。检查其他供应商在做什么

由于GDPR没有明确的规则,因此市场将不得不采取不同的策略来确保数据合规,但又不能牺牲用户体验。许多公司推出了新功能,因此请务必检查竞争对手的网站以了解您的利基市场的变化和最佳实践.

3.2。报告数据泄露

您应该确保您有正确的程序来检测,报告和调查内部和外部数据泄露。根据数据泄露严重性,受影响的数据主体的数量,受影响的个人数据的类型等来设置数据泄露矩阵时要保持聪明.

通常, 您必须在72小时内向监管当局报告数据泄露情况, 除非个人数据被匿名或加密.

3.3。继续制定运营政策,程序和流程

如前所述,隐私不是一次性的项目。确保您收集的数据安全并在适当范围内使用是一项持续的工作。您应该查看您的程序,以确保它们涵盖了个人的所有权利,包括您如何删除个人数据或以常用格式通过电子方式提供数据.

⚡行动步骤:

  • 设计数据泄露报告机制.
  • 使所有内部程序与GDPR和隐私政策保持一致.
  • 审查和更新员工,客户和供应商合同.
  • 通过适当的组织和技术措施保护个人数据.
  • 验证欧盟以外的数据传输是否符合GDPR要求。不要忘记过渡点.

4.网站调整

这个主题有点争议,尤其是对于开发人员和市场营销人员而言。我会说,调整表单并获得Cookie的同意应该可以解决80%的问题. 但是请记住,这不是法律建议.

4.1。选择加入表格

这是企业收集信息的标准方式,因此您需要调整所有使用的表格。关于如何最好地做到这一点尚未达成共识,但是我们正在遵循电子邮件服务提供商的建议。这个 信息图 选择加入GDPR是一个很好的起点.

4.2。 Cookie同意

简短版本:在设置除严格必要的cookie之外的任何内容之前,以通俗易懂的语言告知访问者您的cookie和跟踪器的用途.

公司有不同的实施方式, GDPR参考 Cookie并不能清除一切。当然,有所谓的 功能性Cookie 用于会话的文件,但需要获得您的特定同意才能设置Cookie以跟踪用户.

您需要在这里知道的是 另一个欧洲法规 (ePrivacy)即将出台,这将进一步立法Cookie.

5.其他要考虑的GDPR合规性问题

GDPR的其他方面同样重要:

5.1。数据传输与披露

关注个人数据传输。确保无论何时打算将数据传输到外部,数据处理器都会征求您的批准。 欧盟/欧洲经济区. 当数据处理器打算将其提供的部分服务分包时,适用相同的规则.

5.2。数据保护影响评估(DPIA)

GDPR为参与高风险处理的组织引入了强制性DPIA,例如正在部署的新技术,可能对个人造成重大影响的性能分析操作,对公共可访问区域的大规模监视等.

5.3。合法权益评估(LIAs)

与DPIA不同,LIA是主要由隐私权专家开发的最佳实践,它指的是数据控制者寻求依赖合法利益(营销运作等)的所有情况。一个 "利益" 可以认为是 "合法" 只要数据控制者能够以符合数据保护和其他法律的方式追求这一利益.

5.4。数据保护人员

GDPR将要求某些组织指定一名数据保护官(DPO)。需要DPO的组织包括公共机构,活动涉及对数据主体进行定期和系统的大规模监视的组织,或处理当前所谓的DPO的组织。 "敏感个人数据" 大范围上.

5.5。处理儿童数据

如果您的组织处理来自未成年人的数据,则必须确保您拥有适当的系统来验证各个年龄并征得监护人的同意。 GDPR对16岁以下的孩子有一些具体规定(请注意GDPR第8条)

6.监督和审核

企业必须承认,法律要求透明地说明如何使用和保护数据。每个组织(包括慈善机构和公共部门实体)都必须定义收集特定数据的范围.

您仅应收集提供服务或产品所需的个人信息,仅此而已。同样,不应出于其他无关目的共享数据.

另一个重要的事情是保持数据安全,使其免受黑客攻击,准确和最新,甚至在一段时间后将其删除.

通用数据保护条例在保护个人方面留有很大的改进空间。这就是为什么未来的《电子隐私法规》将带来更高的透明度,尤其是在大数据中,从而使人们对分析的发生和目的有所了解。这应该足以定期监视和审核您的数据.

不要在这里停下来。转到我们用于本指南的官方资源并了解隐私.

最后,有一定程度的合规性,您应该根据此处列出的更多因素来决定哪种适合您。但是,这是使您朝正确的方向迈向GDPR合规性的一个很好的开始。当然,作为一家企业,我们所有人都需要保持自己在市场上的竞争力,因此需要进行一些取舍。.

您如何准备遵守GDPR?在评论中分享您的最佳做法!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector