公司最容易忽略的3个GDPR合规性问题,你踩雷没?
作者:星期二, 二月 26, 20190

企业想要满足欧盟《通用数据保护法案》(GDPR)合规性的最佳方式,就是假设自身并不需要保留个人数据,而不是通过与之相反的方式。

2018年5月,欧盟《通用数据保护法案》(GDPR)正式生效,对于GDPR合规性要求,一些尽职尽责地遵守该法规的企业也表现出了充分的自信心。但是,要知道,GDPR合规性规则并不像乍一看那么简单,每个公司都应该考虑其中的一些特殊用例。如果合规专员们只是对照表格打勾确认,并没有仔细评估GDPR的范围以及其与公司数据收集?#23548;?#30340;关系,那么他们肯定会在合规计划中出现纰漏。

以下是公司最容易忽略的3个GDPR合规性问题,其中任?#25105;?#20010;问题都足以使公司陷入危险?#36710;兀?/p>

1.GDPR合规性不仅仅与消费者数据有关

GDPR旨在为消费者(其数据被各种不同的公司所收集)提供更多保护。但是,其监管的范围更为广泛,并且可以以许多公司在其初始合规计划中未曾考虑的方式进行应用。除了消费者个人数据外,公司还需要采用新的保护标准来处理员工、求职者以及非客户(例如,填写了个人信息但并未购买公司商品或服务的人)的个人数据。

法规规定所有数据处理活动都要有法律依据,因此最佳做法是仅收集消费者、求职者及其间所有人的基本数据处理活动所必需的数据。公司应以数据最小化为目标评估其数据处理?#23548;员?#30830;保GDPR下的合规性。

建议:

不要只审查数据获取?#23548;?#36824;要审查所有数据的数据保留?#23548;?#30830;保您正确地处理?#21496;?#30340;求职简历、员工个人数据以及其他任?#25105;?#32463;过使用期限的记录。

2.政策vs.现实

任何旨在处理个人数据的公司都必须制定政策,来规范数据收集、存储和处理的流程,以确保其与GDPR保持一致。虽然良好的数据治理是GDPR合规性的基石,但仅仅制定政策并不足以实现合规性。公司必须更进一步,以确保员工履行GDPR规定的数据处理义务。本质上来说,这就意味着公司有义务确保员工日常工作与GDPR政策保持一致。如果员工的行为不符合公司的标准,则必须采取纠正措施。

通常情况下,员工违反政策多属无意——例如,如果客户支持代理人与之在线通话,并将该客户的个人信息保存在不属于该客户的系统中;或者,如果某个极具进取心的员工尝试使用新软件或建立免费软件即服务账户,并忘记将其报告给公司的合规专员等?#21462;?#34429;然上述情况可能看起来无关紧要,但却会为公司带来很大的风险,因为这两个例子都属于GDPR违规行为。

建议:

为了降低风险,我们建议您经常进?#23567;?#36855;你”审核。我们的?#36393;?#19982;合规团队已经客观切实地了解到:只有当审核成为工作流程的一部分?#20445;?#21512;规性才最容易纳入日常工作流程之中。虽然大多数公司会进行季度审核,再不济?#19981;?#36827;行年度审核,但是我们提出的“迷你”审核概念将向各公司发出信号——即合规性并不是年度或季度?#24405;?#32780;是一种?#20013;?#24615;的做法。更好的?#23548;?#26041;式是,使用工具自动化审核流程,这样一来,当政策与现实发生偏差时就能立即得到反馈。

3.临界情况

GDPR“个人信息”中所?#20381;?#30340;数据可不像基本的人口统计信息一样简单。例如,“职称”就是一种意想不到的个人信息。大多数情况下,职称并不被视为受GDPR保护的个人信息,但这也要视具体情况而定。例如,试想一下这个职称:德国总理。毫无疑问,当今世界?#29616;?#26377;一个人拥有这样一个职位,这也就意味着个人的身份可以通过这个特定的细节来揭?#23613;?#22240;此,在这种情况下,职称就必须被视为GDPR所提及的“个人信息?#20445;?#33258;然也就属于受保护的数据类别。问题在于,如果一个职位名称被视为个人信息,那么所有的职称都必须被视为潜在的个人信息,并得到同等的对待。

建议:

作为常规数据审核的一部分,请花一些时间查看您所收集的未标记为个人信息的数据。试想一下,如果只使用“非个人”信息进行标注,您能够分辨清楚该数据点是否属于特定人员吗?如果不能,您可能需要重新考虑一下究竟什么是个人信息,什么不是了。

满足GDPR合规性要求要比我们所能想象的更为复杂和广泛,但它也绝非一项不可能实现的标准。最好的建议是,假设您不需要任?#38382;?#25454;,而不是像您现在所?#23548;?#30340;这样——收集、存储尽可能多的数据。只有这样本着GDPR保护客户数据的本质精神——公司才有可能为其?#27809;?#25552;供最高水准的个人数据保护,并确保在整个组织内尽职尽责地完成个人数据处理任务。

相关阅读

GDPR通用数据保护条例-要点总结

GDPR合规审核需要遵循的4大关键步骤

?#20004;?#20026;止GDPR《通用数据保护规范?#26041;?#37322;的最清楚的文章

 

0

相关文章

写一条评论

 

 

0条评论