2018年5月16日
2018年5月16日
贡献:吉尔小吏
在5月25日截止日期前,了解和准备eu全球数据保护条例的快速参考指南。
今天的头条充斥着灾难性的场景,如果组织不遵守欧盟(EU)全球数据保护条例(GDPR)将会发生什么。是的,在2018年5月25日的截止日期前,没有遵守规定的组织将受到惩罚。但不要被堆积如山的“如果”所迷惑。
专注于你现在能做什么,以确保你已经准备好了。其结果将是一个完全合规的组织,能够更好地保护其客户的个人数据——在一个消费者要求更多隐私、透明度和对其信息控制的时代,这是必须具备的。
你不必孤军奋战。Gartner的分析师提供了可靠的见解,可以帮助您理解GDPR,并就如何准备GDPR提供实用的建议。我们在这里总结了对各种业务和IT领导者最重要的是什么——从cio和首席信息安全官(CISOs)到首席营销官(CMOs)和法律和合规领导者。对于那些准备好了但仍然有问题的人,我们也为你们准备了。继续读下去。
GDPR适用于所有处理和保存居住在欧盟的任何人的个人数据的组织,无论其位于何处。因此,GDPR适用于以下情况:
GDPR不仅会影响欧盟的组织,还会影响全球的许多数据控制器和处理器巴特Willemsen他是Gartner的研究主管。“随着对个人数据主体的重新关注,以及违反GDPR将面临高达2000万欧元或全球年营业额4%的罚款威胁,企业别无选择,只能重新评估安全处理个人数据的措施。”
根据GDPR,这些个人数据的所有者现在拥有扩展的权利。这些包括:
即使您确定您的组织不需要遵守GDPR,评估它对您的数据处理的影响也是一个最佳实践。
安全和风险管理领导者当然是关键人物。但负担并不只是他们一个人的。业务流程所有者也有责任明确地接受(或增加减轻)剩余风险,直到这些风险处于可接受的限度内。
这适用于组织的所有部分。例如,由于市场营销被视为一组业务流程,这些流程向上延伸到CMO,所以CMO最终要对市场营销的GDPR遵从性负责。
Willemsen说:“很明显,安全和风险管理领导者不能‘单干’,必须让一个多学科团队来翻译GDPR的所有要求,并优先考虑降低风险的行动。”
不一定。除非没有任何处理活动,否则不存在100%的安全性。组织应该假设数据泄露会发生。但是,他们负责采取充分的预防、侦察和其他对策。
遭遇数据泄露本身是不受制裁的;然而,数据泄露——或“每一次意外丢失(对个人数据的控制)”——必须在发现后72小时内通知监管机构。当违规行为对受试者产生潜在影响时,组织也应该通知这些人。随后的调查,甚至没有通知,可能会发现不符合规定,这反过来可能成为监管行动的理由。
许多在GDPR管辖下的组织将被要求雇佣、任命或签约DPO。该角色既保护业务利益,又充当数据主体(包括客户、客户和员工)的拥护者。GDPR还要求DPO有一条向“最高管理层”报告的线路,并完全访问董事会。
虽然只能任命一个DPO,但该角色可以由专门的团队支持。只要DPO是可访问和独立的,组织就可以选择内部或外部模型,甚至是集中或分散的团队。
“DPO角色的范围和重要性使得组织很难决定如何最好地填补该职位的空缺,”Gartner的实践负责人布莱恩•李(Brian Lee)表示。
但这是可能的。大多数组织都有以下三种选择:
“不要忽视这样一个事实,即实现GDPR的同意要求是一个机会,让组织获得灵活的权利来使用和共享数据,同时最大化业务价值,”他说丽迪雅Clougherty琼斯他是Gartner的研究主管。
如果数据和分析领导者以正确的方式参与进来,他们可以使用GDPR来:
第一步是寻求法律支持。数据和分析领域的领导者应该关注如何提高人们的意识,如果他们的组织改变处理个人数据的方式,将会带来更好的业务结果。Clougherty Jones分享了三种方法:
阅读更多 |
|
观看在线研讨会 |
听播客 |
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
数据和分析领导者如何利用GDPR提高业务价值莉迪亚·克拉赫蒂·琼斯等人著
GDPR清晰:回答19个常见问题通过巴特Willemsen
关注解决欧盟GDPR的五个高优先变化通过巴特Willemsen
Toolkit:通用数据保护法规准备计划沃姆·沃斯特和巴特·威廉森
预测2018:客户关系管理和客户体验埃德·汤普森等人著。
营销人员需要了解的GDPR:常见问题解答由安德鲁·弗兰克。
*注意,有些文档可能不是所有Gartner客户都可以使用的。