因此,考慮到這個最后期限,企業需要確保工作負載在云計算運行的過程中符合GDPR法規。
完成控制者/處理者的合同
收集個人數據(數據控制者)并在云計算環境中運行的組織必須確保他們收集的數據在所有傳輸、存儲和處理過程中都盡可能得到了保護。
組織通常使用第三方服務來托管和處理數據,云計算就是一個明顯的例子。作為數據控制者,企業現在應處于制定合同的最后階段,這些合約將會提交企業數據處理者(例如企業的云托管服務商)以處理企業的數據,并定義GDPR法規要求的安全、地理位置和訪問標準。
在此,企業應該包括建立一個審計系統來主動監控數據處理器,并確保它們持續滿足GDPR的監管要求。
這種監督應該包括通過審查政策和定義的審計來了解企業的數據處理者的活動,深入了解處理者可能執行的任何子處理功能,并確保這些子處理活動本身符合控制者的需求。同樣重要的是,合同確定了將要處于范圍之內的個人數據的類型,將要使用的協議,以及通知控制者的處理者是否違反數據或其所依據的條款的程序正在處理。
在這個階段,企業的數據處理者應該與企業充分合作,通過數據處理的合規程序展示如何與企業需要的一致,以確保企業滿足GDPR要求。
教育組織的數據保護職責
GDPR法規遠遠超過了可以包含在審計和合同中的合規工作。它需要每個組織全力承諾將數據保護納入其從支持到會計到產品開發的文化和運營的所有方面。 GDPR法規的遵從并非僅限于IT部門,它必須滲透到組織的各個方面,并確保建立一種安全文化。
企業的員工現在應該意識到法規變更對其日常工作流程和責任的影響。企業各部門將受到不同程度的影響:有些部門一直受到監管,對其他部門來說可能是全新事物。但是,數據保護意識不再是可選的事項,而是一個關鍵和規范的事項。
制定一個持續不斷的從入門到定期進修的教育培訓計劃,這至關重要。這一過程的一部分應該包括為員工提供他們自己的數據隱私聲明,告知他們的雇主將如何管理和保護他們的個人信息。這將有助于提高企業全體人員的數據安全意識。
數據映射、風險和訪問評論
在這個階段,企業應該知道所持有的數據,為什么持有它,以及它的位置。企業應該確定與該數據相關的風險級別,以及運營過程中允許用于數據的訪問級別和機制,以衡量和監督這些活動的有效性。企業還應該了解組織中的數據流,并確定可能導致數據風險升高的數據流中的任何更改的系統。
對于應用程序,服務或程序的修改應通過GDPR法規中注明的PIA和DPIA過程進行評估,并由企業的數據保護官員(DPO)監督。在此階段,企業的DPO與處理者的DPO之間應該建立聯系,確保數據主題查詢處理的方式正確,程序監督功能正常。
數據保護影響評估(DPIA)應該已經發現任何高風險數據,并且正在制定策略以將該風險降低到可接受的水平。企業的員工對數據的訪問級別也應該進行審查,限制訪問操作的數量的原則。
鎖定歐盟數據存儲的大門
歐盟公民數據的分離和限制以及確認其安全的地理位置應該處于最后階段。這與上述有關數據控制者和處理者的觀點密切相關,并且與云計算特別相關。控制人員需要知道,與歐盟公民有關的數據被鎖定在某個地理位置,不會被其他地區的工作人員無意中訪問。
處理者必須承諾滿足并維持這一要求。對于利用云計算服務的實體,驗證適當的合法數據傳輸機制是否到位非常重要。如果企業的數據處理者在這一階段以及其他所有與數據保護相關的問題都沒有積極地與企業聯系,那么企業需要開始對此進行關注。
指定和嵌入數據保護人員
如果組織是一家大規模監控的數據主體,或者處理特殊類別的受保護數據的公共機構,則必須聘用向組織最高級別報告的數據保護專員(DPO)。到目前為止,數據保護專員(DPO)應該具備足夠的資源和支持來領導組織的GDPR合規計劃。
即使企業沒有按照法規的規定正式指定數據保護專員(DPO),也需要確保自己有合適的工作人員負責確保合規。目前世界各國都似乎缺少合格的數據保護專家,這并不奇怪。企業的另一種選擇是考慮采用第三方服務來協助開展自己的GDPR合規活動。
在人們接近這個監管法規實施的時候,這些都是企業需要開展的各種活動。對于準備不充分的組織,現階段的關鍵是需要證明其正在努力實現合規。
請記住,5月25日只是不斷致力于改善每個人的數據隱私的開始,并且這項工作將會持續進行下去。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號