GlobalSign 博客

后GDPR时期DPO在数字化转型中的经验教训

末日已经来临,已经过去了。我敢肯定,各地的公司高管都长长地松了一口气,但如果你是任何合规、营销或数据保护团队的成员,你就会知道,这项工作才刚刚开始。

有时候,我感觉就像在做噩梦,努力改变流程,但现在一切都结束了,我对我们作为一个团队在这么短的时间内取得的成就感到震惊。我不会要求另一个这样的法规,但我一直支持GDPR,所以从好的方面来看,我是我相信的积极变化的一部分,最终的结果是我感到自豪的。

我只能想象其他组织为了合规已经经历了不同程度的工作,其中许多还有很长的路要走,但至少大部分工作已经完成。

这是一段地狱般的旅程,所以值得花一分钟来反思我们在遵守GDPR方面吸取的教训。我也很乐意在评论中听到你自己的经验和关于合规之路的见解。让我们交换意见吧!

审核与规划

尽管听起来是一项艰巨的任务,但计划实施的最佳方法是实际阅读规定。我试着寻找总结或要点,但它们最终会花费你更多的时间,因为你必须填补空白,而且你总是受做总结的人的支配。

最后,你必须勇敢地面对困难,坐下来从头读到尾。GDPR是一项复杂的工作,所以现实是它需要对更“模糊”的领域进行多次解读。

人力资源/资源

尽管没有严格的规定,但在你的组织中任命一个DPO是非常重要的。他们不仅作为GDPR项目的中心联络点,而且可以被组织的其他部分视为所有数据相关事项的权威。

DPO应该负责将法律部署到业务中,但他将需要一个团队来实际执行这些政策。如果需要改变流程,就需要对部门流程有复杂的了解,而DPO不具备这些。在选择“GDPR老虎团队”时,从你的每个部门中选择一个人是最有价值的,因此,作为代理项目经理,你将需要从他们那里获取信息的人数降到最低。

设计客户体验

客户(即资料当事人)是该规例的核心。毕竟,它的设计纯粹是为了增进他们的权利和自由。用户体验的一部分必须是传达他们对自己的数据负责的事实。他们拥有它;我们只是借到他们想要回来的时候。

当然,有先行的地方法律要求(想想金融法规)和行业法规(想想CA/浏览器论坛),也会有我们无法避免的处理活动,我们有义务履行合同的职责。然而,这些都是后台的东西,消费者通常对此不感兴趣。他们只是想知道,他们可以管理他们收到的通信,他们提供给我们的任何数据都是安全存储和按照他们的意愿合法处理的。

安全与隐私

新法规的核心原则之一是“默认设计隐私”。这意味着,每个数据处理活动,您使用的每个系统和您想要引入的任何新事物,无论是定制的还是现成的,都必须将数据主体的权利和自由放在需求规范的最前端。您再也不能把它作为事后考虑的问题。我们所做的是与业务的所有领域坐下来进行流程分析和工具分析,这样我们就可以绘制出数据的来源和流向。我们还对这些活动进行了风险评估和数据保护影响评估。这是一个非常有用的练习,可以突出任何需要修改以遵守要求的区域。

沟通

员工教育和意识培训不仅是一项关键要求,也是良好的做法。老实说,除非是你的日常工作,否则你不会了解法律的复杂性,也不知道它对整个公司意味着什么,更不用说你的具体角色了。

这就是重点和适用的培训发挥作用的地方。我的方法是花一些时间给出数据处理原则、违约影响等的一般概述,然后,每个部门/角色,明确它如何适用于他们。提供真实的生活,每天的例子是理解和吸收知识的关键。这是一个很大的话题,实际上非常枯燥,所以以一种少而常的方法提供培训很重要,我总是在会议开始时回顾前面的内容。为了增加乐趣,年度考试总是会出现一些意想不到的问题。

技术

大部分法规是关于过程和程序的,并确保所有这些都充分记录在案。作为副产品,您还实现了优秀的变更管理,就像过程或工具发生了变化一样,文档也反映了这一点。当然,技术解决方案可以真正帮助您实现从IAM(确保经过验证的访问控制)到加密(明确提供的缓解因素)的一些核心标准。

重要的是要记住,没有单一的“银弹”。GDPR遵从性是所有这些组件变得更加困难并作为一个整体解决方案发挥作用的顶点。第28条至第30条平行于控制器和处理器之间的责任,所以无论你如何定位自己与供应商、商业伙伴和其他第三方,如果他们丢失了你的数据,你也要负责。

考虑到这一点,我们决定与我们所有的第三方执行一些审计任务,以确保他们的GDPR合规/准备情况、信息安全措施和其他业务实践,如果我们对响应不满意,我们会给一些时间采取正确的行动,否则我们会发出终止通知。当你可以采取预防措施的时候,为什么要主动地让你的组织处于别人犯错的风险中呢?

不断的循环

GDPR于2018年5月25日生效(大约两年前批准)。一旦你做了所有的准备,你认为你已经到了那里,神奇的约会到来,一切都结束了,这是一个巨大的错误。这才刚刚开始。

现在,当您必须保持合规性时,艰难的工作就开始了,保持您在过去两年中努力工作的一切,当然,还要让业务生产力经理高兴。如果你拥有世界上最安全、最合规的公司,但它不能实际运作,它就会击败目标。

不用说,随着新技术的出现,您的流程将随着时间的推移而不断发展,而跟上新技术的步伐是一个挑战。然而,当你这样做的时候,你的组织就会脱颖而出,因为它知道它是什么,可以称职地提供产品和服务,并将它的整个声誉押在它保护最重要的东西上——每个员工、客户和用户的个人数据。

近期博客