摘要:目前距歐盟發(fā)布的一般數(shù)據(jù)保護條例的實施期限已不到天。鎖定歐盟數(shù)據(jù)存儲的大門歐盟公民數(shù)據(jù)的分離和限制以及確認(rèn)其安全的地理位置應(yīng)該處于最后階段���??刂迫藛T需要知道��,與歐盟公民有關(guān)的數(shù)據(jù)被鎖定在某個地理位置����,不會被其他地區(qū)的工作人員無意中訪問。
目前距歐盟發(fā)布的“一般數(shù)據(jù)保護條例”(GDPR)的實施期限已不到60天���。而在2018年5月25日之后�,組織必須能夠證明他們已經(jīng)遵守或正在努力滿足將在可預(yù)見的將來管理數(shù)據(jù)保護的條款����。
因此,考慮到這個最后期限��,企業(yè)需要確保工作負(fù)載在云計算運行的過程中符合GDPR法規(guī)���。
完成控制者/處理者的合同
收集個人數(shù)據(jù)(數(shù)據(jù)控制者)并在云計算環(huán)境中運行的組織必須確保他們收集的數(shù)據(jù)在所有傳輸�����、存儲和處理過程中都盡可能得到了保護����。
組織通常使用第三方服務(wù)來托管和處理數(shù)據(jù),云計算就是一個明顯的例子�。作為數(shù)據(jù)控制者,企業(yè)現(xiàn)在應(yīng)處于制定合同的最后階段���,這些合約將會提交企業(yè)數(shù)據(jù)處理者(例如企業(yè)的云托管服務(wù)商)以處理企業(yè)的數(shù)據(jù)�,并定義GDPR法規(guī)要求的安全�、地理位置和訪問標(biāo)準(zhǔn)���。
在此����,企業(yè)應(yīng)該包括建立一個審計系統(tǒng)來主動監(jiān)控數(shù)據(jù)處理器�,并確保它們持續(xù)滿足GDPR的監(jiān)管要求。
這種監(jiān)督應(yīng)該包括通過審查政策和定義的審計來了解企業(yè)的數(shù)據(jù)處理者的活動���,深入了解處理者可能執(zhí)行的任何子處理功能�����,并確保這些子處理活動本身符合控制者的需求�。同樣重要的是,合同確定了將要處于范圍之內(nèi)的個人數(shù)據(jù)的類型��,將要使用的協(xié)議����,以及通知控制者的處理者是否違反數(shù)據(jù)或其所依據(jù)的條款的程序正在處理。
在這個階段�,企業(yè)的數(shù)據(jù)處理者應(yīng)該與企業(yè)充分合作,通過數(shù)據(jù)處理的合規(guī)程序展示如何與企業(yè)需要的一致��,以確保企業(yè)滿足GDPR要求���。
教育組織的數(shù)據(jù)保護職責(zé)
GDPR法規(guī)遠(yuǎn)遠(yuǎn)超過了可以包含在審計和合同中的合規(guī)工作�。它需要每個組織全力承諾將數(shù)據(jù)保護納入其從支持到會計到產(chǎn)品開發(fā)的文化和運營的所有方面���。 GDPR法規(guī)的遵從并非僅限于IT部門�����,它必須滲透到組織的各個方面�����,并確保建立一種安全文化����。
企業(yè)的員工現(xiàn)在應(yīng)該意識到法規(guī)變更對其日常工作流程和責(zé)任的影響。企業(yè)各部門將受到不同程度的影響:有些部門一直受到監(jiān)管����,對其他部門來說可能是全新事物。但是��,數(shù)據(jù)保護意識不再是可選的事項��,而是一個關(guān)鍵和規(guī)范的事項����。
制定一個持續(xù)不斷的從入門到定期進(jìn)修的教育培訓(xùn)計劃��,這至關(guān)重要����。這一過程的一部分應(yīng)該包括為員工提供他們自己的數(shù)據(jù)隱私聲明,告知他們的雇主將如何管理和保護他們的個人信息�����。這將有助于提高企業(yè)全體人員的數(shù)據(jù)安全意識。
數(shù)據(jù)映射����、風(fēng)險和訪問評論
在這個階段,企業(yè)應(yīng)該知道所持有的數(shù)據(jù)��,為什么持有它��,以及它的位置����。企業(yè)應(yīng)該確定與該數(shù)據(jù)相關(guān)的風(fēng)險級別,以及運營過程中允許用于數(shù)據(jù)的訪問級別和機制���,以衡量和監(jiān)督這些活動的有效性����。企業(yè)還應(yīng)該了解組織中的數(shù)據(jù)流����,并確定可能導(dǎo)致數(shù)據(jù)風(fēng)險升高的數(shù)據(jù)流中的任何更改的系統(tǒng)。
對于應(yīng)用程序��,服務(wù)或程序的修改應(yīng)通過GDPR法規(guī)中注明的PIA和DPIA過程進(jìn)行評估,并由企業(yè)的數(shù)據(jù)保護官員(DPO)監(jiān)督��。在此階段�����,企業(yè)的DPO與處理者的DPO之間應(yīng)該建立聯(lián)系����,確保數(shù)據(jù)主題查詢處理的方式正確,程序監(jiān)督功能正常�����。
數(shù)據(jù)保護影響評估(DPIA)應(yīng)該已經(jīng)發(fā)現(xiàn)任何高風(fēng)險數(shù)據(jù)�����,并且正在制定策略以將該風(fēng)險降低到可接受的水平�。企業(yè)的員工對數(shù)據(jù)的訪問級別也應(yīng)該進(jìn)行審查,限制訪問操作的數(shù)量的原則��。
鎖定歐盟數(shù)據(jù)存儲的大門
歐盟公民數(shù)據(jù)的分離和限制以及確認(rèn)其安全的地理位置應(yīng)該處于最后階段���。這與上述有關(guān)數(shù)據(jù)控制者和處理者的觀點密切相關(guān),并且與云計算特別相關(guān)?�?刂迫藛T需要知道�����,與歐盟公民有關(guān)的數(shù)據(jù)被鎖定在某個地理位置�����,不會被其他地區(qū)的工作人員無意中訪問�����。
處理者必須承諾滿足并維持這一要求����。對于利用云計算服務(wù)的實體,驗證適當(dāng)?shù)暮戏〝?shù)據(jù)傳輸機制是否到位非常重要����。如果企業(yè)的數(shù)據(jù)處理者在這一階段以及其他所有與數(shù)據(jù)保護相關(guān)的問題都沒有積極地與企業(yè)聯(lián)系,那么企業(yè)需要開始對此進(jìn)行關(guān)注�����。
指定和嵌入數(shù)據(jù)保護人員
如果組織是一家大規(guī)模監(jiān)控的數(shù)據(jù)主體,或者處理特殊類別的受保護數(shù)據(jù)的公共機構(gòu)��,則必須聘用向組織最高級別報告的數(shù)據(jù)保護專員(DPO)���。到目前為止���,數(shù)據(jù)保護專員(DPO)應(yīng)該具備足夠的資源和支持來領(lǐng)導(dǎo)組織的GDPR合規(guī)計劃。
即使企業(yè)沒有按照法規(guī)的規(guī)定正式指定數(shù)據(jù)保護專員(DPO)����,也需要確保自己有合適的工作人員負(fù)責(zé)確保合規(guī)。目前世界各國都似乎缺少合格的數(shù)據(jù)保護專家��,這并不奇怪���。企業(yè)的另一種選擇是考慮采用第三方服務(wù)來協(xié)助開展自己的GDPR合規(guī)活動�。
在人們接近這個監(jiān)管法規(guī)實施的時候��,這些都是企業(yè)需要開展的各種活動����。對于準(zhǔn)備不充分的組織,現(xiàn)階段的關(guān)鍵是需要證明其正在努力實現(xiàn)合規(guī)�。
請記住,5月25日只是不斷致力于改善每個人的數(shù)據(jù)隱私的開始�,并且這項工作將會持續(xù)進(jìn)行下去。
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/5766.html
