欧盟《通用数据保护条例》(GDPR)已经于2018年5月25日生效。目前它影响的范围主要是位于欧盟的公司,但将很快波及到全球范围。我国中小企业应积极准备,避免受到巨额处罚。
根据Varonis Systems的调查结果显示,74%的受访者认为符合GDPR合规要求将成为一项潜在的竞争优势。合规将提高消费者对企业的信心。更重要的是,满足GDPR合规要求所需的技术和流程改进应该能够提高组织管理和保护数据的效率。
什么是GDPR?
GDPR是2016年4月批准的一部法律,于2018年5月25日生效。它取代了以前的《数据保护指令》——旨在协调整个欧盟28个国家的规则。
GDPR旨在加强保护个人资料及应对近年云端、物联网及大数据等信息科技发展所衍生的隐私问题。此条例适用于全球范围,位于欧盟境外的企业若拥有属于欧盟公民的客户,都必须遵循法例,否则将面临巨额罚款,最高罚款额为企业全球营业额的4%,或每次侵权2,000万欧元,以较高者为准。
GDPR的关键原则是让消费者控制他们的数据。我国企业应该及早部署,例如更新内部资料隐私守则及网络安全措施,以确保客户及自身的数据受到GDPR保障。
哪些类型的隐私数据将受到GDPR保护?
- 基本的身份信息,如姓名、地址和身份证号码等;
- 网络数据,如位置、IP地址、Cookie数据和RFID标签等;
- 医疗保健和遗传数据;
- 生物识别数据,如指纹、虹膜等;
- 种族或民族数据;
- 政治观点;
- 性取向。
GDPR的合规要求将迫使企业改变处理、存储和保护用户个人数据的方式。例如,根据GDPR的要求,组织在要求个人资料时将被要求使用“简明语言”,并且必须提供有关它们如何处理的信息。他们必须说出他们是谁,他们为什么要处理数据,谁接收到它,以及它将被存储多长时间。他们必须让个人明确,并肯定地同意处理数据。
我们需要从哪些方面着手遵守GDPR?
一、管理层重视GDPR并全面梳理企业客户及员工等涉及个人信息数据使用流程
GDPR与企业的经营息息相关:只要有来自欧盟的客户、合作伙伴或员工,都已受到GDPR的管制。因此,企业管理者应全面了解自己拥有的所有数据,归总并制作出一个数据管理规则来系统管理这些数据,制定查看数据的存取权及使用方式。业务中的各个团队和部门可能以不同的方式使用相同的数据,以达到不同的目的。无论是一个营销部门存入潜在客户的数据并与销售团队共享,或是人力资源部门需要处理员工的数据,企业必须标准化处理个人数据的程序及工作流程,并确保员工只有必要时才使用相关数据。同时,企业也必须保证所有的利益相关者清楚理解新规例的要求,以及对他们的工作流程的影响。
二、加强数据保护监控及制定数据泄露计划
除了更好地管理数据并实施标准化流程,企业应该采取适当的数据保护措施。GDPR要求持续的监控和风险评估,一旦发生数据泄露事件更必须于发现后72小时内通报事件。企业需要考虑采取全面的数据保护方案、标准化的工作流程、内部培训、访问控制及备份解决方案等。
三、进行数据审计及记录
自2018年5月25日起,企业需要证明数据处理背后的法律依据,违规却无法证明其数据活动的公司将受到GDPR执法机构的处分。因此,每个企业必须进行数据审计,清楚了解自己拥有哪些个人数据、其储存位置、来源、持有的原因及方式。另外,GDPR将在数据方面带来更大的公民权利,大众能够查阅及要求企业删除其数据。为保障这项权利,企业必须持续记录及审核收集的数据,并标记每个数据点的位置,以便在需要时查询它们。