在欧洲,自 2018 年起实施的《 通用数据保护条例》(GDPR)继续对许多组织提出挑战。随着企业不断掌握相关要求,欧盟(EU)各地数据保护监管机构的期望值也在不断提高。
DLA Piper 最近关于 GDPR 罚款和数据泄露的调查表明,即使在近三年后,GDPR 仍会对许多企业构成挑战,根据 GDPR 征收的罚金在 2020 年将增加 40% 以上,达到 1.93 亿美元。
从与客户的交谈中,我们了解到企业对 GDPR 的要求有了广泛的了解,而且管理 GDPR 基本要素的基础工作也已到位。正如这些罚款所证明的,许多企业面临的关键挑战是将这些基本要素嵌入企业的运营流程中。
我们能获得哪些启示?
研究中发现的关键问题包括与过于复杂的隐私通知有关的问题,这些问题影响了透明度规定。许多组织在处理个人信息时仍然没有征得同意。还有一些组织 未能妥善保护个人信息,包括监控对存储个人数据的数据库的访问和使用。另一个问题是 未能最大限度地减少保留的数据量,从而在发生安全漏洞时减少对个人的影响。
监管机构主要对大型企业处以罚款,因为这些企业每天收集的 GDPR 相关数据量最大。它们在人员、系统和工具方面的投资也最大,以管理其合规性。这 说明,随着企业的变化和不断收集更多的数据,要随时处理 GDPR 的所有细节是 一项挑战。这也凸显了那些在时间、资源和预算方面不那么富裕的企业所面临的运营挑战。
研究中提出的问题多种多样。不过,还是有一些共同的主题,主要是围绕着确保在日常工作中使用 GDPR 敏感数据的业务人员以合规的方式进行操作。虽然管理层和员工对 GDPR 有广泛的认识,但他们对适用于其运营系统和流程的法规细节缺乏了解,尤其是对传统应用程序或那些不在 IT 部门控制范围内的应用程序缺乏了解,这可能会使准备最充分的企业面临不合规的风险,甚至可能被处以罚款。
如何解决数据隐私合规问题
有几种方法可以解决这些问题:
统一的政策管理框架有助于将 GDPR 的原则和要求从根本上嵌入核心流程和应用程序中。 集中式政策存储库可以让依赖于 GDPR 数据的政策和程序接受管理层和 GDPR 团队的审查,以确保合规性。当政策发生变化时,可由双方共同审查和批准,以确保其始终合规,否则将有助于识别出现的任何合规问题。
这种集中式方法有助于防止同时使用多个不一致的政策版本--这种情况肯定会违反 GDPR。它还支持对用户如何应用 GDPR 进行测试,以帮助监控整体合规性培训和评估。它还可作为管理者证明合规性的证明引擎,提供可纳入企业 GRC 框架的指标。
另一个需要关注的领域是在企业 IT 环境之外存储个人信息的领域。终端用户计算(EUC) 应用程序--通常是电子表格--经常被用来快速解决紧迫的业务问题,因此可能包含 GDPR 下的个人信息。GDPR 团队通常无法识别、控制和监控这些应用程序。根据 GDPR,如果它们包含这些信息,就需要对其进行识别、主动监控,并让员工能够识别影响 GDPR 的数据变化。
虽然这些问题仅与 GDPR 有关,但同样明显的是,这些问题也会出现在全球类似的法规中,包括 CCPA 和 NYPA。任何与美国和欧盟市场有业务往来的组织,无论其规模大小和所处位置如何,都需要了解这些问题以及如何以最佳方式解决这些问题。
企业应寻找拥有以下综合工具的合作伙伴/供应商 综合工具 的合作伙伴/供应商。 这些解决方案应涵盖 GDPR、CCPA、《隐私法》、《数据保护法》和许多其他法规。
管理您的影子 IT 电子表格
有了 ClusterSeven,您就能控制隐藏在企业内部的终端用户计算资产,这些资产可能会带来隐藏风险。
