公司最容易忽略的3個GDPR合規性問題,你踩雷沒?
作者:星期二, 二月 26, 20190

企業想要滿足歐盟《通用數據保護法案》(GDPR)合規性的最佳方式,就是假設自身并不需要保留個人數據,而不是通過與之相反的方式。

2018年5月,歐盟《通用數據保護法案》(GDPR)正式生效,對于GDPR合規性要求,一些盡職盡責地遵守該法規的企業也表現出了充分的自信心。但是,要知道,GDPR合規性規則并不像乍一看那么簡單,每個公司都應該考慮其中的一些特殊用例。如果合規專員們只是對照表格打勾確認,并沒有仔細評估GDPR的范圍以及其與公司數據收集實踐的關系,那么他們肯定會在合規計劃中出現紕漏。

以下是公司最容易忽略的3個GDPR合規性問題,其中任何一個問題都足以使公司陷入危險境地:

1.GDPR合規性不僅僅與消費者數據有關

GDPR旨在為消費者(其數據被各種不同的公司所收集)提供更多保護。但是,其監管的范圍更為廣泛,并且可以以許多公司在其初始合規計劃中未曾考慮的方式進行應用。除了消費者個人數據外,公司還需要采用新的保護標準來處理員工、求職者以及非客戶(例如,填寫了個人信息但并未購買公司商品或服務的人)的個人數據。

法規規定所有數據處理活動都要有法律依據,因此最佳做法是僅收集消費者、求職者及其間所有人的基本數據處理活動所必需的數據。公司應以數據最小化為目標評估其數據處理實踐,以便確保GDPR下的合規性。

建議:

不要只審查數據獲取實踐,還要審查所有數據的數據保留實踐。確保您正確地處理了舊的求職簡歷、員工個人數據以及其他任何已經過使用期限的記錄。

2.政策vs.現實

任何旨在處理個人數據的公司都必須制定政策,來規范數據收集、存儲和處理的流程,以確保其與GDPR保持一致。雖然良好的數據治理是GDPR合規性的基石,但僅僅制定政策并不足以實現合規性。公司必須更進一步,以確保員工履行GDPR規定的數據處理義務。本質上來說,這就意味著公司有義務確保員工日常工作與GDPR政策保持一致。如果員工的行為不符合公司的標準,則必須采取糾正措施。

通常情況下,員工違反政策多屬無意——例如,如果客戶支持代理人與之在線通話,并將該客戶的個人信息保存在不屬于該客戶的系統中;或者,如果某個極具進取心的員工嘗試使用新軟件或建立免費軟件即服務賬戶,并忘記將其報告給公司的合規專員等等。雖然上述情況可能看起來無關緊要,但卻會為公司帶來很大的風險,因為這兩個例子都屬于GDPR違規行為。

建議:

為了降低風險,我們建議您經常進行“迷你”審核。我們的安全與合規團隊已經客觀切實地了解到:只有當審核成為工作流程的一部分時,合規性才最容易納入日常工作流程之中。雖然大多數公司會進行季度審核,再不濟也會進行年度審核,但是我們提出的“迷你”審核概念將向各公司發出信號——即合規性并不是年度或季度事件,而是一種持續性的做法。更好的實踐方式是,使用工具自動化審核流程,這樣一來,當政策與現實發生偏差時就能立即得到反饋。

3.臨界情況

GDPR“個人信息”中所囊括的數據可不像基本的人口統計信息一樣簡單。例如,“職稱”就是一種意想不到的個人信息。大多數情況下,職稱并不被視為受GDPR保護的個人信息,但這也要視具體情況而定。例如,試想一下這個職稱:德國總理。毫無疑問,當今世界上只有一個人擁有這樣一個職位,這也就意味著個人的身份可以通過這個特定的細節來揭示。因此,在這種情況下,職稱就必須被視為GDPR所提及的“個人信息”,自然也就屬于受保護的數據類別。問題在于,如果一個職位名稱被視為個人信息,那么所有的職稱都必須被視為潛在的個人信息,并得到同等的對待。

建議:

作為常規數據審核的一部分,請花一些時間查看您所收集的未標記為個人信息的數據。試想一下,如果只使用“非個人”信息進行標注,您能夠分辨清楚該數據點是否屬于特定人員嗎?如果不能,您可能需要重新考慮一下究竟什么是個人信息,什么不是了。

滿足GDPR合規性要求要比我們所能想象的更為復雜和廣泛,但它也絕非一項不可能實現的標準。最好的建議是,假設您不需要任何數據,而不是像您現在所實踐的這樣——收集、存儲盡可能多的數據。只有這樣本著GDPR保護客戶數據的本質精神——公司才有可能為其用戶提供最高水準的個人數據保護,并確保在整個組織內盡職盡責地完成個人數據處理任務。

相關閱讀

GDPR通用數據保護條例-要點總結

GDPR合規審核需要遵循的4大關鍵步驟

至今為止GDPR《通用數據保護規范》解釋的最清楚的文章

 

分享:
0

相關文章

寫一條評論

 

 

0條評論