5个让ciso夜不能寐的GDPR问题

什么是“处理”个人资料?

对数据的任何操作都可以被视为处理——从创建或获取数据到生命周期结束时销毁数据，以及其间的所有操作。这些操作包括复制、更改、伪化、传输、存储，以及更广泛地说，组织对数据所做的一切。这可能包括在迪拜的平板电脑屏幕上显示数据，而数据实际上位于荷兰的数据中心。

组织中谁负责遵从性?

为遵从性设置阶段需要建立组织，以实现正确的相互责任。因此，组织应该指定业务流程所有者。他们的部分职责将包括定期进行隐私影响和风险评估，并确定结果是否在规定的风险偏好范围内。因此，他们也应该有相应的资源和自由裁量权来缓解。

"业务代表明确接受剩余风险，或增加缓解措施，直至剩余风险在可接受的范围内"

为了使任何组织能够基于隐私意识的实践做出明智的决策，安全和风险管理领导者必须评估隐私和业务风险。然后，他们应该向业务流程所有者建议缓解措施，让他们决定，并按照指示实施。业务代表明确地接受剩余风险，或增加缓解，直到剩余风险在可接受的范围内。

我可以处理哪些个人资料?

通过适当的控制，几乎可以处理任何数据。但是，组织必须首先确定处理数据的法律依据，然后记录处理数据的目的。一旦确定了这些目的，组织就可以提供必须处理哪些个人数据以实现这些目的的理由。

“处理的任何个人数据的敏感性都应在处理环境中予以观察。”

与数据服务的目的相关的数据处理的后续交叉关系，受制于包含每个目的的保留期限的保留方案。保留方案显示允许在哪种上下文中使用哪些数据。只允许授权使用个人数据，这带来了防止其他披露的固有要求。这反过来规定了授权和访问管理以及假名化工具的应用。当记录的所有用途都已达到，且保存期已过，机构应删除个人资料。

时间是成功应对数据泄露的关键因素。理想情况下，保留期应尽可能短，并且仅在处理目的的上下文中被证明为“必要”的长度。为充分保护个人资料及洞察相关私隐风险，应在处理过程中观察所处理的任何个人资料的敏感性。

同意有什么特别之处吗?

是的。同意的特征是非常具体的。首先，它应该是免费提供的，表明没有强迫、交叉销售或压力。这并不总是简单的。例如，一些员工可能担心如果他们不同意某个特定的处理活动，就会失去工作。因此，雇主在完全依赖协议时应谨慎行事。

此外，同意必须是明确的，按目的提供，并且“知情”，要求在获得同意的地方提供绝对清晰的信息。值得补充的是，适当的同意管理由数据控制者负责，不仅包括同意本身的管理(记录)，还包括提供同意的条件。

我们会因为数据泄露而被罚款吗?

不一定。除非没有任何处理活动，否则不存在100%的安全性。组织应该假设数据泄露将会发生。但是，他们有责任采取充分的预防、侦查和其他对策。

“即使没有通知也可能表明不合规，这反过来可能成为监管行动的理由。”

虽然经历数据泄露本身是不受制裁的，但数据泄露——或“对个人数据的每一次意外损失(控制)”——必须在发现后72小时内通知监管机构。当数据泄露对用户产生潜在影响时，组织也应通知这些用户。随后的调查，甚至没有通知，可能会发现不合规，这反过来可能成为监管行动的理由。

威廉森说:“很明显，安全和风险管理领导者不能‘单干’，必须让一个多学科团队来翻译GDPR的所有要求，并优先考虑风险缓解行动。”