針對GDPR，企業(yè)要注意哪些關(guān)鍵因素？

時(shí)間：2022-03-25 23:27:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-25 23:27:01 來源：行業(yè)動(dòng)態(tài)

數(shù)據(jù)領(lǐng)域?qū)I(yè)人士Veeam中國區(qū)總經(jīng)理施勤給出建議，首先所有企業(yè)應(yīng) 全面戒備。哪怕沒有任命數(shù)據(jù)保護(hù)專員的打算，企業(yè)也需讓所有雇員意識(shí)到，GDPR條例的實(shí)施關(guān)系到每一個(gè)人。換句話說，企業(yè)或組織內(nèi)的所有關(guān)鍵利益相關(guān)方都應(yīng)清楚了解新條例的要求與效力，以及GDPR將對企業(yè)組織運(yùn)行產(chǎn)生的影響。

其次，特別是不太了解自身所儲(chǔ)存處理的數(shù)據(jù)的企業(yè)最好盡快做好準(zhǔn)備，所有企業(yè)都應(yīng)清楚了解自身儲(chǔ)存?zhèn)€人數(shù)據(jù)的內(nèi)容、地點(diǎn)、方式、來源、儲(chǔ)存這些數(shù)據(jù)的原因以及獲取數(shù)據(jù)的方式。因?yàn)檫@些可能就是地方GDPR執(zhí)行機(jī)構(gòu)關(guān)心的問題。

而對于那些違反條例或無法備份托管數(shù)據(jù)保證數(shù)據(jù)安全的企業(yè)，官方絕不會(huì)寬大處理。高額的罰金并非玩笑。很快，就會(huì)有違規(guī)的企業(yè)成為前車之鑒，以儆效尤。

第三，公民將對個(gè)人數(shù)據(jù)享有更大的權(quán)利。隨著GDPR的實(shí)施，人們將會(huì)更加意識(shí)到自身的數(shù)據(jù)權(quán)利。以及有權(quán)獲取個(gè)人數(shù)據(jù)，或要求企業(yè)為其提供個(gè)人數(shù)據(jù)（以他們能理解的格式）。反觀企業(yè)，為了不在滿足民眾數(shù)據(jù)需求上花費(fèi)過多精力，并且在必要時(shí)能夠找到所需數(shù)據(jù)，企業(yè)需確保使用合理方法為每個(gè)數(shù)據(jù)點(diǎn)定位。

第四，嚴(yán)防數(shù)據(jù)泄露，根據(jù)GDPR的數(shù)據(jù)泄露通知要求，企業(yè)必須在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時(shí)內(nèi)通知相關(guān)部門。但是在發(fā)生數(shù)據(jù)泄露后，企業(yè)往往為配合各項(xiàng)調(diào)查、采取補(bǔ)救措施而焦頭爛額。

數(shù)據(jù)領(lǐng)域?qū)I(yè)人士Veritas公司大中華區(qū)總裁楊晨認(rèn)為，對于企業(yè)來說，GDPR合規(guī)性不再只是CIO一個(gè)人的職責(zé)，而是需要所有部門的共同努力。很多企業(yè)并不是十分了解企業(yè)內(nèi)部數(shù)據(jù)的管理權(quán)歸屬。高管常常認(rèn)為CIO是負(fù)責(zé)GDPR的關(guān)鍵人物，而CIO又認(rèn)為這是高管的職責(zé)。公平地說，這需要多個(gè)職能部門的配合。這種跨職能性意味著，企業(yè)需要在創(chuàng)建合規(guī)和數(shù)據(jù)治理文化時(shí)，徹底改變思維模式。

楊晨給出的建議是，滿足GDPR要求的關(guān)鍵的第一步是要全面了解公司擁有的所有個(gè)人數(shù)據(jù)位于何處。制定有關(guān)信息存儲(chǔ)位置、數(shù)據(jù)訪問權(quán)限所有者、數(shù)據(jù)保存時(shí)間以及數(shù)據(jù)傳輸位置的數(shù)據(jù)地圖，這對了解企業(yè)如何處理和管理個(gè)人數(shù)據(jù)至關(guān)重要。因此企業(yè)應(yīng)對對所有數(shù)據(jù)進(jìn)行定位。

第二，企業(yè)應(yīng)該部署相關(guān)技術(shù)，建立針對所有用數(shù)據(jù)的實(shí)時(shí)查看能力，通過基于自動(dòng)化策略的方法來發(fā)現(xiàn)、分類和管理信息。來滿足歐盟居民來申請查看相關(guān)公司持有的所有個(gè)人數(shù)據(jù)。他們有權(quán)要求企業(yè)糾正（如有錯(cuò)誤）、導(dǎo)出（以合適的導(dǎo)出格式）或刪除其數(shù)據(jù)。

第三，企業(yè)應(yīng)該部署和執(zhí)行能夠隨著時(shí)間演進(jìn)自動(dòng)讓數(shù)據(jù)失效的數(shù)據(jù)保存政策。同時(shí)確保企業(yè)存儲(chǔ)個(gè)人數(shù)據(jù)最小化，數(shù)據(jù)最小化是GDPR的主要原則之一。

第四，數(shù)據(jù)保護(hù)，根據(jù)GDPR條例，企業(yè)有責(zé)任實(shí)施技術(shù)及企業(yè)相關(guān)措施，來展示他們已經(jīng)將數(shù)據(jù)保護(hù)集成到了所有數(shù)據(jù)收集和處理活動(dòng)中。

第五，嚴(yán)防數(shù)據(jù)泄露，GDPR 規(guī)定，所有企業(yè)都有責(zé)任在出現(xiàn)特定類型的數(shù)據(jù)泄漏時(shí)上報(bào)給相關(guān)監(jiān)管機(jī)構(gòu)，并在某些情況下通知受影響的個(gè)人。企業(yè)應(yīng)該確保自身有能力監(jiān)控可能的泄漏事件（比如意外或不尋常的文件訪問模式），并快速啟動(dòng)報(bào)告流程。