企业想要满足欧盟《通用数据保护法案》(GDPR)合规性的最佳方式,就是假设自身并不需要保留个人数据,而不是通过与之相反的方式。
2018年5月,欧盟《通用数据保护法案》(GDPR)正式生效,对于GDPR合规性要求,一些尽职尽责地遵守该法规的企业也表现出了充分的自信心。但是,要知道,GDPR合规性规则并不像乍一看那么简单,每个公司都应该考虑其中的一些特殊用例。如果合规专员们只是对照表格打勾确认,并没有仔细评估GDPR的范围以及其与公司数据收集实践的关系,那么他们肯定会在合规计划中出现纰漏。
以下是公司最容易忽略的3个GDPR合规性问题,其中任何一个问题都足以使公司陷入危险境地:
1. GDPR合规性不仅仅与消费者数据有关
GDPR旨在为消费者(其数据被各种不同的公司所收集)提供更多保护。但是,其监管的范围更为广泛,并且可以以许多公司在其初始合规计划中未曾考虑的方式进行应用。除了消费者个人数据外,公司还需要采用新的保护标准来处理员工、求职者以及非客户(例如,填写了个人信息但并未购买公司商品或服务的人)的个人数据。
法规规定所有数据处理活动都要有法律依据,因此最佳做法是仅收集消费者、求职者及其间所有人的基本数据处理活动所必需的数据。公司应以数据最小化为目标评估其数据处理实践,以便确保GDPR下的合规性。
建议:
不要只审查数据获取实践,还要审查所有数据的数据保留实践。确保您正确地处理了旧的求职简历、员工个人数据以及其他任何已经过使用期限的记录。
2. 政策vs.现实
任何旨在处理个人数据的公司都必须制定政策,来规范数据收集、存储和处理的流程,以确保其与GDPR保持一致。虽然良好的数据治理是GDPR合规性的基石,但仅仅制定政策并不足以实现合规性。公司必须更进一步,以确保员工履行GDPR规定的数据处理义务。本质上来说,这就意味着公司有义务确保员工日常工作与GDPR政策保持一致。如果员工的行为不符合公司的标准,则必须采取纠正措施。
通常情况下,员工违反政策多属无意——例如,如果客户支持代理人与之在线通话,并将该客户的个人信息保存在不属于该客户的系统中;或者,如果某个极具进取心的员工尝试使用新软件或建立免费软件即服务账户,并忘记将其报告给公司的合规专员等等。虽然上述情况可能看起来无关紧要,但却会为公司带来很大的风险,因为这两个例子都属于GDPR违规行为。
建议:
为了降低风险,我们建议您经常进行“迷你”审核。我们的安全与合规团队已经客观切实地了解到:只有当审核成为工作流程的一部分时,合规性才最容易纳入日常工作流程之中。虽然大多数公司会进行季度审核,再不济也会进行年度审核,但是我们提出的“迷你”审核概念将向各公司发出信号——即合规性并不是年度或季度事件,而是一种持续性的做法。更好的实践方式是,使用工具自动化审核流程,这样一来,当政策与现实发生偏差时就能立即得到反馈。
3. 临界情况
GDPR“个人信息”中所囊括的数据可不像基本的人口统计信息一样简单。例如,“职称”就是一种意想不到的个人信息。大多数情况下,职称并不被视为受GDPR保护的个人信息,但这也要视具体情况而定。例如,试想一下这个职称:德国总理。毫无疑问,当今世界上只有一个人拥有这样一个职位,这也就意味着个人的身份可以通过这个特定的细节来揭示。因此,在这种情况下,职称就必须被视为GDPR所提及的“个人信息”,自然也就属于受保护的数据类别。问题在于,如果一个职位名称被视为个人信息,那么所有的职称都必须被视为潜在的个人信息,并得到同等的对待。
建议:
作为常规数据审核的一部分,请花一些时间查看您所收集的未标记为个人信息的数据。试想一下,如果只使用“非个人”信息进行标注,您能够分辨清楚该数据点是否属于特定人员吗?如果不能,您可能需要重新考虑一下究竟什么是个人信息,什么不是了。
满足GDPR合规性要求要比我们所能想象的更为复杂和广泛,但它也绝非一项不可能实现的标准。最好的建议是,假设您不需要任何数据,而不是像您现在所实践的这样——收集、存储尽可能多的数据。只有这样本着GDPR保护客户数据的本质精神——公司才有可能为其用户提供最高水准的个人数据保护,并确保在整个组织内尽职尽责地完成个人数据处理任务。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文