你为GDPR做好准备了吗?

知道最基本的

GDPR适用于所有处理和保存居住在欧盟的任何人的个人数据的组织，无论其位于何处。因此，GDPR适用于以下情况:

• 在欧盟有机构吗
• 向欧盟居民提供服务或商品
• 监督个人在欧盟的行为

GDPR不仅会影响欧盟的组织，还会影响全球的许多数据控制器和处理器巴特Willemsen他是Gartner的研究主管。“随着对个人数据主体的重新关注，以及违反GDPR将面临高达2000万欧元或全球年营业额4%的罚款威胁，企业别无选择，只能重新评估安全处理个人数据的措施。”

根据GDPR，这些个人数据的所有者现在拥有扩展的权利。这些包括:

• 被遗忘的权利
• 数据可携带权
• 被告知的权利，例如，在数据泄露的情况下，或接受解释的权利，例如，在机器学习系统的自动决策中

即使您确定您的组织不需要遵守GDPR，评估它对您的数据处理的影响也是一个最佳实践。

组织中谁负责遵从性?

安全和风险管理领导者当然是关键人物。但负担并不只是他们一个人的。业务流程所有者也有责任明确地接受(或增加减轻)剩余风险，直到这些风险处于可接受的限度内。

“让多学科团队翻译GDPR的所有要求”

这适用于组织的所有部分。例如，由于市场营销被视为一组业务流程，这些流程向上延伸到CMO，所以CMO最终要对市场营销的GDPR遵从性负责。

Willemsen说:“很明显，安全和风险管理领导者不能‘单干’，必须让一个多学科团队来翻译GDPR的所有要求，并优先考虑降低风险的行动。”

我的组织会因数据泄露而被罚款吗?

不一定。除非没有任何处理活动，否则不存在100%的安全性。组织应该假设数据泄露会发生。但是，他们负责采取充分的预防、侦察和其他对策。

遭遇数据泄露本身是不受制裁的;然而，数据泄露——或“每一次意外丢失(对个人数据的控制)”——必须在发现后72小时内通知监管机构。当违规行为对受试者产生潜在影响时，组织也应该通知这些人。随后的调查，甚至没有通知，可能会发现不符合规定，这反过来可能成为监管行动的理由。

聘请一名数据保护主任(DPO)

许多在GDPR管辖下的组织将被要求雇佣、任命或签约DPO。该角色既保护业务利益，又充当数据主体(包括客户、客户和员工)的拥护者。GDPR还要求DPO有一条向“最高管理层”报告的线路，并完全访问董事会。

“组织可以在内部或外部模型之间选择”

虽然只能任命一个DPO，但该角色可以由专门的团队支持。只要DPO是可访问和独立的，组织就可以选择内部或外部模型，甚至是集中或分散的团队。

“DPO角色的范围和重要性使得组织很难决定如何最好地填补该职位的空缺，”Gartner的实践负责人布莱恩•李(Brian Lee)表示。

但这是可能的。大多数组织都有以下三种选择:

1. 雇佣一个外部DPO，根据市场需求，组织可能需要支付更多的费用。
2. 使用第三方顾问，例如顾问和律师，以补充法律团队。
3. 培训现有员工帮助他们获得行业认可的证书。

使用GDPR来创造业务价值

“不要忽视这样一个事实，即实现GDPR的同意要求是一个机会，让组织获得灵活的权利来使用和共享数据，同时最大化业务价值，”他说丽迪雅Clougherty琼斯他是Gartner的研究主管。

如果数据和分析领导者以正确的方式参与进来，他们可以使用GDPR来:

• 启用数据的新用途
• 获得对数据的更大访问权限
• 增加组织和数据主体之间的信任

第一步是寻求法律支持。数据和分析领域的领导者应该关注如何提高人们的意识，如果他们的组织改变处理个人数据的方式，将会带来更好的业务结果。Clougherty Jones分享了三种方法:

1. 倡导在DPO角色内驱动价值的授权。
2. 将GDPR同意映射到组织的数据策略。
3. 建立新的信息治理协议。

探索GDPR内容