关注我们,学习更多隐私合规讯息
很难想象一家公司会比 ADP 更受 GDPR 的影响。该公司为全球超过 650,000 家公司提供基于云的人力资本管理 (HCM) 和业务外包服务。ADP 持有全球数百万人的 PII,其客户希望公司遵守 GDPR 并帮助他们做到这一点。如果发现 ADP 不符合 GDPR,它不仅会面临罚款的风险,而且会因希望 ADP 覆盖这些问题的客户而面临业务损失的风险。ADP 的全球关注点和规模在某些方面一直是一个优势。它已经遵守现有的隐私和安全法规,因此 GDPR 合规性的飞跃并不像它可能的那样高。“我们已经熟悉欧洲的隐私法。我们并不是从头开始制定 GDPR,”ADP 首席隐私官 Cecile Georges 说。“GDPR 触发了我们不仅作为公司,而且作为服务提供商都要遵守的需要。我们帮助我们的客户遵守 GDPR。”尽管 ADP 比许多其他公司准备得更好,但 Georges 表示其 GDPR 项目规模庞大且全球化。它大约在一年前开始,但该项目建立在早期工作的基础上。“我们甚至在讨论 GDPR 之前就开始了,”她说。几年前,该公司开始对新产品进行数据流映射和隐私评估。Georges 认为尽早开始数据流映射是关键。“如果我们很久以前没有开始数据流映射,我现在就不会像现在这样自信,”她说。“需要数据流映射来进行产品库存,处理 PII 是进行所需数据保护影响评估的第一步。我们还通过设计在我们的新产品和产品中实现了隐私。” 她补充说,ADP 通过对其开发人员进行培训来支持其“设计隐私”政策。ADP 的 GDPR 项目吸引了公司多个领域的人才,Georges 认为这是成功的必要条件。“我们参与了组织、所有运营和职能部门。这不仅仅是一个纯粹的隐私或合规项目。它确实涉及整个组织,我们正在与整个公司的项目经理进行协调,以确保我们在整个组织内实施正确的流程”她说。ADP 已采用加密等保护 PII 的机制。“从安全的角度来看,我们得出的结论是,更多的是与我们的客户沟通,确保他们掌握关于我们正在做的事情的正确信息,”Georges 说。“他们可能不得不将这一信息传达给他们的员工或他们自己的客户。”由于 ADP 是其他公司的数据处理商,因此 ADP 采取了可选步骤,即围绕保护 PII 定义具有约束力的公司规则。“随着作为数据处理者的企业约束规则的实施,我们希望我们的客户明白我们想让他们的生活更轻松,我们承诺按照欧盟要求的标准保护他们的个人数据,无论欧洲在哪里处理、访问或托管数据”,Georges 说。Georges 说她从其他公司那里听说尚未走上 GDPR 合规的轨道。“时钟开始滴答作响,”她说。“如果一家公司还没有开始研究他们需要做什么,他们首先需要了解这对他们的业务意味着什么。首先了解他们受新法规影响的程度,然后进行差距分析。这是任何项目评估他们需要做什么的起点。她还鼓励公司采取运营方式。“我的建议是让组织中所有职能部门都有代表,而不是将其视为纯粹的隐私或纯粹的法律合规项目,”Georges 说。“运营人员要花太多时间才能准确了解他们需要做什么,而如果你从一开始就让他们参与进来,他们可以告诉律师或隐私专家,‘我们已经在这样做了,’或者‘从技术上讲,我们可以’不要这样做,但这是我们解决这一要求的方式。”“根据您的业务和您拥有的工具,有不同的应用 GDPR 的方法。业务人员可以对此进行评估,”Georges 说。“一旦他们完成评估并决定做什么,那么他们就必须记录他们正在做的事情。” Georges 指的是 GDPR 的问责制原则,该原则要求公司记录他们是如何合规的。“文档部分将是关键。”
如果您的组织对其合规状态没有信心,并且您已确定不合规存在重大风险,那么遵循这些步骤可以让您走上正确的道路。树立来自最高管理层的紧迫感:风险管理公司 Marsh 强调行政领导在优先考虑网络准备方面的重要性 。遵守全球数据卫生标准是该准备工作的一部分。让所有利益相关者参与进来。仅 IT 部门就无法满足 GDPR 的要求。成立一个包括营销、财务、销售、运营在内的工作组——组织内收集、分析或以其他方式使用客户 PII 的任何团队。通过代表 GDPR 工作组,他们可以更好地共享对那些实施所需技术和程序变更的人有用的信息,并且他们将更好地准备应对对其团队的任何影响。进行定期风险评估:您想知道您存储和处理了哪些关于欧盟公民的数据,并了解围绕这些数据的风险。请记住,风险评估还必须概述为减轻该风险而采取的措施。此评估的一个关键要素是发现所有可能正在收集和存储 PII 的影子 IT。影子 IT 和较小的单点解决方案是不合规的最大风险;忽略它们后果自负。而且有很多。据 Snow Software 的 IT 思想领袖兼高级副总裁 Matt Fisher 称,已知有超过 39,000 个应用程序保存个人数据。“冰山效应对组织的 GDPR 合规性构成了严重的风险,因为许多组织关注的是 10% 的应用程序,这些应用程序持有在水面可见的个人数据,”他说。 Fisher 引用了组织分配 IT 和技术支出方式的变化,预计到 2020 年业务部门将拥有大约一半的支出。可能会威胁到 GDPR 合规性,”他说。“开始[风险评估]是最大的障碍”费舍尔说。“作为第一个行动方案,组织必须全面了解其整个 IT 基础架构并清点其资产中的所有应用程序。这一点,再加上对哪些应用程序可以处理个人数据的具体了解,极大地减少了项目的范围以及花费在项目上的时间。突然之间,不可能变成可能。”如果您还没有这样做,请雇用或任命 DPO: GDPR 没有说明 DPO 是否需要是一个独立的职位,因此大概公司可能会任命一个已经担任与该职位类似角色的人,只要该人可以确保 PII 的保护而没有利益冲突。否则,您将需要聘请一名 DPO。根据组织的不同,该 DPO 可能不需要是全职的。在这种情况下,虚拟 DPO 是一种选择。GDPR 规则允许 DPO 为多个组织工作,因此虚拟 DPO 就像一名根据需要工作的顾问。创建和维护数据保护计划:大多数公司已经制定了计划,但他们需要对其进行审查和更新以确保其符合 GDPR 要求。定期审查和更新。不要忘记移动设备:根据Lookout, Inc. 对 IT 和安全主管的一项调查,64% 的员工使用移动设备访问客户、合作伙伴和员工 PII。这为不遵守 GDPR 创造了一组独特的风险。例如,81% 的调查受访者表示,大多数员工获准在用于工作目的的设备上安装个人应用程序,即使这是他们自己的设备。如果这些应用程序中的任何一个访问和存储 PII,它们必须以符合 GDPR 的方式进行。这很难控制,尤其是考虑到员工使用的所有未经授权的应用程序时。记录您的 GDPR 合规进展:“随着时间的流逝,组织必须证明他们在完成处理活动记录 (RoPA) 方面取得了进展——GDPR 法规的第 30 条以盘点有风险的应用程序为中心——以避免被很容易成为监管机构的目标,”费舍尔说。“建立 RoPA 是游戏现阶段需要重点关注的重要部分,因为它使组织能够确定个人数据的处理地点、处理人员以及处理方式。”实施降低风险的措施:一旦确定了风险以及如何降低风险,就必须将这些措施落实到位。对于大多数公司而言,这意味着修改现有的风险缓解措施。“在清点应用程序并完成 RoPA 后,GDPR 团队现在可以发现和调查与数据相关的任何风险,并确定保护该数据所需的适当安全级别,”Fisher 说。如果您的组织规模较小,请在需要时寻求帮助。较小的公司将受到 GDPR 的影响,有些公司比其他公司影响更大。他们可能没有满足要求所需的资源。外部资源可用于提供建议和技术专家,以帮助他们完成整个过程并最大程度地减少内部中断。测试事件响应计划: GDPR 要求公司在 72 小时内报告违规行为。响应团队将损失降至最低的程度将直接影响公司因违规而被罚款的风险。确保您可以在规定的时间内充分报告和回应。设置持续评估流程:您希望确保您保持合规性,这将需要监控和持续改进。一些公司正在考虑奖励和惩罚措施,以确保员工遵守新政策。根据Veritas Technologies 的一项调查,47% 的受访者可能会将强制性 GDPR 政策遵守添加到员工合同中。如果发生 GDPR 违规行为,25% 的人可能会扣留奖金或福利,34% 的人表示他们将奖励遵守 GDPR 的员工。做所有这一切都是为了改善您的业务:根据Varonis Systems 的一项调查,74% 的受访者认为遵守 GDPR 要求将成为一种竞争优势。合规将提振消费者信心。更重要的是,满足 GDPR 要求所必需的技术和流程改进应该能够提高组织管理和保护数据的效率。
*文章来源:www.csoonline.com
*原标题:一般数据保护条例 (GDPR):您需要了解什么才能保持合规性
*整理编辑:A隐小私(yinxiaosi00)
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
GDPR(通用数据保护条例)存在的意义及对公司的作用
想了解IAPP哪个证书适合你?
-End-
扫描下方二维码咨询详情
IAPP认证(国际隐私专业保护认证)
IAPP三大方向(CIPP/CIPT/CIPT)
DASCA认证(美国数据科学委员会认证)
备考经验分享|全球隐私动态|
干货分享|考试资讯
想知道IAPP哪个证书适合你吗?
资格评价可直接扫描码
免费评价/赠送一份国际隐私认证学习资料一份