2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
GDPR已實(shí)施了6個(gè)多月,但許多機(jī)構(gòu)仍在努力遵守一般數(shù)據(jù)保護(hù)規(guī)定。
國(guó)際隱私專(zhuān)業(yè)人士協(xié)會(huì)(IAPP) 10月份公布的年度隱私治理報(bào)告顯示,只有56%的受訪公司認(rèn)為自己完全符合規(guī)定,而19%的公司表示永遠(yuǎn)不會(huì)遵守。
遵循以下建議,確保你的組織不是其中之一。
BrandPost由HPE贊助
定義IT行業(yè)的下一個(gè)篇章:現(xiàn)場(chǎng)IT即服務(wù)
“即服務(wù)”模式提供的是服務(wù),而不是產(chǎn)品;的靈活性,而不是剛度;以及與業(yè)務(wù)結(jié)果相一致的成本。
2016年4月,歐洲議會(huì)通過(guò)了GDPR,使數(shù)據(jù)保護(hù)規(guī)則與個(gè)人信息使用相關(guān)的當(dāng)代問(wèn)題同步更新。它適用于在歐盟內(nèi)部處理的所有數(shù)據(jù),也適用于歐盟以外公司使用的有關(guān)歐盟主題的數(shù)據(jù)。
這些規(guī)定于2018年5月25日生效,并在2018年的《數(shù)據(jù)保護(hù)法案》(Data ProtectionAct)中得到了體現(xiàn),以確保這些規(guī)定在英國(guó)退出歐盟后繼續(xù)適用于英國(guó)。
該條例適用于數(shù)據(jù)的“控制人”和“處理人”,并涵蓋了目前已得到加強(qiáng)的現(xiàn)有規(guī)則,以及數(shù)據(jù)主體的一系列新權(quán)利。
解釋:如何準(zhǔn)備GDPR
對(duì)您存儲(chǔ)的數(shù)據(jù)進(jìn)行徹底的調(diào)查。確定它被保存在哪里,任何個(gè)人或敏感的數(shù)據(jù),它是如何處理的,以及誰(shuí)可以訪問(wèn)它。盡可能詳細(xì)地記錄這些信息。
IBM全球全球公關(guān)部主管理查德•霍格(Richard Hogg)建議,“建立一個(gè)初始目錄,這樣你就能了解企業(yè)中的個(gè)人數(shù)據(jù)、它們?cè)谀睦?、它們的傳承,以及你是如何處理這些數(shù)據(jù)的。”這是保持記錄的最低水平。
“這將為你在監(jiān)管機(jī)構(gòu)來(lái)敲門(mén)時(shí)使用它奠定基礎(chǔ)”。
閱讀下一篇:如何確保GDPR在云端的合規(guī)性
Gartner建議,組織應(yīng)該以透明的方式對(duì)所有的處理活動(dòng)進(jìn)行問(wèn)責(zé)。
評(píng)估您當(dāng)前的數(shù)據(jù)治理實(shí)踐和策略,記錄任何處理的合法基礎(chǔ),并確定需要改進(jìn)的任何領(lǐng)域。必須保留任何處理活動(dòng)的內(nèi)部記錄,并對(duì)所有數(shù)據(jù)進(jìn)行標(biāo)記和分類(lèi)。
檢查數(shù)據(jù)在歐盟內(nèi)外的跨境流動(dòng)情況,并特別關(guān)注涉及兒童數(shù)據(jù)的做法,因?yàn)镚DPR大大加強(qiáng)了處理、年齡驗(yàn)證和同意等信息的安全要求。
ICO制作了一系列數(shù)據(jù)保護(hù)自我評(píng)估工具,幫助組織在信息安全、直接營(yíng)銷(xiāo)、記錄管理、數(shù)據(jù)共享、主題訪問(wèn)和閉路電視等方面檢查他們的準(zhǔn)備工作。
根據(jù)GDPR,任何數(shù)據(jù)處理的許可必須是具體的、粒狀的和可審核的。同意需要簡(jiǎn)單易懂,容易撤銷(xiāo)。
有關(guān)同意的新規(guī)定,可能會(huì)迫使一些機(jī)構(gòu)再次接觸現(xiàn)有的資料當(dāng)事人,要求獲得新的許可,以使用他們的資料。審查您當(dāng)前的同意流程,確定何時(shí)需要同意,以及應(yīng)如何提供同意,以確保您的義務(wù)得到履行。
“GDPR關(guān)注的是知情同意的記錄和你需要的審計(jì)跟蹤,”theICO國(guó)際戰(zhàn)略和情報(bào)主管史蒂夫•伍德(Steve Wood)表示。
“撤銷(xiāo)同意必須很容易,你需要能夠清楚地說(shuō)出你所在組織的名字,并向個(gè)人、以及可能共享數(shù)據(jù)的第三方表明這一點(diǎn)。”
對(duì)所有取得的同意保持清晰的記錄,建立直接的退出機(jī)制,并定期審查程序,以跟上處理活動(dòng)的任何變化。
下一篇:如何根據(jù)《一般資料保護(hù)規(guī)例》(GDPR)準(zhǔn)備同意書(shū)
對(duì)個(gè)人或特殊類(lèi)別的資料或與刑事定罪及罪行有關(guān)的資料進(jìn)行大規(guī)模監(jiān)察的政府當(dāng)局或機(jī)構(gòu),必須設(shè)有資料保護(hù)主任。
即使DPO對(duì)您的組織來(lái)說(shuō)不是必需的,指定一個(gè)人負(fù)責(zé)數(shù)據(jù)管理將有助于保持GDPR合規(guī)。
高德納咨詢機(jī)構(gòu)建議任命個(gè)人作為數(shù)據(jù)保護(hù)機(jī)構(gòu)(DPA)和數(shù)據(jù)主體的協(xié)作點(diǎn),并設(shè)立一個(gè)DPO來(lái)確保處理操作符合規(guī)范。
國(guó)際隱私專(zhuān)業(yè)人士協(xié)會(huì)(IAPP)在2018年10月報(bào)告稱(chēng),75%的受訪者目前至少任命了一名DPO。
“這個(gè)職位不僅僅是履行法律義務(wù);此外,各機(jī)構(gòu)認(rèn)識(shí)到,它們有必要獲得內(nèi)部運(yùn)營(yíng)所需的GDPR專(zhuān)業(yè)知識(shí),并與監(jiān)管機(jī)構(gòu)、商業(yè)伙伴和消費(fèi)者進(jìn)行溝通,”IAPP總法律顧問(wèn)和研究主管麗塔•海姆斯(Rita Heimes)表示。
下一篇:企業(yè)如何為GDPR做準(zhǔn)備?
建立檢測(cè)、調(diào)查和報(bào)告違規(guī)行為的程序,并制定內(nèi)部應(yīng)對(duì)計(jì)劃。數(shù)據(jù)泄漏測(cè)試可以確保您的程序是有效的。
隱私智庫(kù)信息政策領(lǐng)導(dǎo)中心(CIPL)建議各組織“進(jìn)行違約通知計(jì)劃的‘預(yù)演’,擁有網(wǎng)絡(luò)保險(xiǎn),或保留公共關(guān)系和法醫(yī)專(zhuān)家。”
請(qǐng)閱讀下一篇:戴爾EMC如何為GDPR做準(zhǔn)備
確保你的程序足以讓資料當(dāng)事人行使其在GDPR下的擴(kuò)展權(quán)利。這些權(quán)利包括知情權(quán);查閱權(quán);矯正權(quán);限制加工的權(quán)利;數(shù)據(jù)可攜性的權(quán)利;反對(duì)的權(quán)利,不服從自動(dòng)決策的權(quán)利,包括剖析;抹去的權(quán)利(被遺忘的權(quán)利)。
考慮你的機(jī)構(gòu)如何回應(yīng)落實(shí)每項(xiàng)權(quán)利的要求,由誰(shuí)負(fù)責(zé),需要什么支援系統(tǒng),以及如何確保以常用的格式提供資料。
建立風(fēng)險(xiǎn)評(píng)估框架是管理資料私隱和確保依從性的明智方法?!侗kU(xiǎn)公司條例》建議包括對(duì)加工工序及目的的描述、對(duì)加工工序與目的有關(guān)的需要的評(píng)估,以及對(duì)風(fēng)險(xiǎn)的評(píng)估,以及因應(yīng)這些風(fēng)險(xiǎn)而采取的措施。
GDPR在設(shè)計(jì)和默認(rèn)情況下都需要隱私保護(hù)。信息治理的最佳實(shí)踐應(yīng)該嵌入整個(gè)組織和每個(gè)業(yè)務(wù)流程的每個(gè)階段。
“數(shù)據(jù)對(duì)于許多業(yè)務(wù)流程、產(chǎn)品和服務(wù)都是至關(guān)重要的,”信息政策領(lǐng)導(dǎo)中心(CIPL)的報(bào)告解釋道。“這就是為什么GDPR的實(shí)施必須是整個(gè)組織的共同努力,DPO必須與首席數(shù)據(jù)官(CDO)、首席信息官(CIO)、首席信息安全官(CISO)和其他高級(jí)領(lǐng)導(dǎo)層攜手合作。”
應(yīng)進(jìn)行培訓(xùn),以確保每個(gè)工作人員了解GDPR的要求及其確保遵守規(guī)定的個(gè)人責(zé)任。
IBM全球網(wǎng)絡(luò)安全情報(bào)主管尼克•科爾曼(Nick Coleman)表示:“在我看來(lái),首席隱私官是組織中許多人的真正捍衛(wèi)者,幫助提高他們的意識(shí),并確保人們理解這一點(diǎn)。”
在確定當(dāng)前哪些政策和實(shí)踐需要修改之后,建立實(shí)施必要更改的計(jì)劃。
“它有一個(gè)作戰(zhàn)計(jì)劃,”科爾曼說(shuō)。“實(shí)際的(部分)是優(yōu)先考慮資源、優(yōu)先考慮支持、優(yōu)先考慮你需要什么能力、處于什么成熟水平才能讓你處于一種讓你感覺(jué)舒服的狀態(tài)”。
請(qǐng)閱讀下一篇:IBM如何為GDPR做準(zhǔn)備
在一次漏洞中丟失個(gè)人身份信息(PII)的組織必須通知每一個(gè)受影響的個(gè)人,如果數(shù)據(jù)未加密。如果他們對(duì)信息進(jìn)行加密,只需要通知信息專(zhuān)員辦公室(ICO),因?yàn)榧用軐⒆柚谷魏稳俗x取數(shù)據(jù)。
數(shù)據(jù)安全公司Digital Pathways董事總經(jīng)理科林•坦卡德(Colin Tankard)表示:“公司必須自動(dòng)將任何可識(shí)別個(gè)人身份的數(shù)據(jù)轉(zhuǎn)移到一個(gè)應(yīng)用了加密技術(shù)的安全地點(diǎn)。”
“對(duì)我來(lái)說(shuō),這樣做似乎是很明智的選擇,而不是面臨巨額罰款、高昂的管理和通知數(shù)千人的成本,以及處理他們隨后提出的問(wèn)題、公開(kāi)息披露和負(fù)面報(bào)道。”
熱衷于利用GDPR賺錢(qián)的軟件公司正在發(fā)布越來(lái)越多的產(chǎn)品,以支持遵守規(guī)定。
沒(méi)有人能保證您的數(shù)據(jù)實(shí)踐是有序的,但是有一些實(shí)踐可以幫助您為規(guī)則做好準(zhǔn)備。它們包括數(shù)據(jù)發(fā)現(xiàn)工具、同意管理系統(tǒng)、自我評(píng)估工具包和綜合數(shù)據(jù)管理平臺(tái)。
英國(guó)《計(jì)算機(jī)世界》匯編了一些最好的產(chǎn)品,可以幫助組織為GDPR做準(zhǔn)備。
《GDPR》第22條規(guī)定,從信用決定到欺詐調(diào)查結(jié)果,個(gè)人有權(quán)了解有關(guān)他們的任何數(shù)據(jù)驅(qū)動(dòng)決策是如何做出的。這對(duì)于機(jī)器學(xué)習(xí)系統(tǒng)和其他形式的人工智能黑箱來(lái)說(shuō)是很困難的。
有一些工具可以幫助打開(kāi)這些黑匣子,讓人工智能變得可以解釋。
例如,分析軟件公司FICO可以建立比所使用的模型更透明的代表性模型,刪除不重要的變量,使人工智能更具可解釋性,或者向一個(gè)變量添加噪聲,并評(píng)估決策對(duì)噪聲的敏感性。
“有些模式非常透明。換句話說(shuō),這些模型可以被分解,而且很容易解釋它們是如何運(yùn)作的。”
“但也有神經(jīng)網(wǎng)絡(luò)、梯度增強(qiáng)、隨機(jī)森林,這些是更多的黑盒模型,在這種情況下,你需要采取不同的方法來(lái)解釋它們。”
遵守GDPR將需要大量的時(shí)間和努力,但正如ICO專(zhuān)員伊麗莎白·鄧納姆解釋的那樣,這一規(guī)定也有積極的意義。
她在11月的ICO blogin中寫(xiě)道:“數(shù)據(jù)保護(hù)變化的一個(gè)關(guān)鍵驅(qū)動(dòng)力是數(shù)字經(jīng)濟(jì)在英國(guó)和世界各地的重要性和持續(xù)發(fā)展。”“這就是為什么ICO和英國(guó)政府多年來(lái)一直推動(dòng)歐盟法律改革的原因。
“數(shù)字經(jīng)濟(jì)主要建立在數(shù)據(jù)收集和交換的基礎(chǔ)上,包括大量的個(gè)人數(shù)據(jù)——其中很多是敏感數(shù)據(jù)。數(shù)字經(jīng)濟(jì)的增長(zhǎng)需要公眾對(duì)保護(hù)這些信息有信心。”
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。