ICO 罚款凸显电子表格在遵守 GDPR 方面的风险
最近,英国信息专员办公室(ICO)对伦敦肯辛顿和切尔西皇家区(RBKC)处以12 万英镑的罚款,原因是该区非法识别了 943 名拥有空置房产的人。
这一数据泄露事件是该区的一名工作人员在回应有关该区有多少房产空置的信息自由 (FOI) 请求时犯下的错误。问题在于,RBKC 工作人员所隐藏的敏感个人数据被 FOI 申请者轻易地从电子表格中找到,这使该区明显违反了英国《数据保护法》及其即将实施的后续法规 GDPR。
这一事件凸显了两个问题:首先,一旦该法规于 5 月25日生效,电子表格使用中的人为错误如何对任何组织的 GDPR 合规工作构成高风险。在这起事件中,错误的原因是用户对如何正确识别、管理和删除个人数据缺乏了解。
其次,由于GDPR 相关信息(通常存在于电子表格中)数量庞大,在许多组织中,有效地手动管理和监控这些信息 即使不是不可能,也是具有挑战性的。许多关键业务电子表格的复杂性以及其中成千上万的单元格,意味着识别隐藏数据的难度很大。
这次数据泄露事件清楚地提醒我们,非结构化数据(通常存储在电子表格中并分布在整个组织中)必须成为 GDPR 合规工作的一部分,就像存在于核心 IT 应用程序中的结构化数据一样。
确保持续遵守数据隐私法
为了确保在可预见的未来"可持续 "地遵守 GDPR和其他数据保护框架,企业必须为与 GDPR 相关的结构化和非结构化数据建立一个管理框架,以便根据这些数据对企业造成的风险程度对其进行主动管理。
系统化、自动化的方法将确保数据的采集符合企业的 GDPR 政策,并提供可审计的证明流程,使 GDPR 合规性成为惯例。它还将为组织提供所需的能力,以便在个人提出要求时 迅速满足删除和数据可携带性的请求。最重要的是,它将最大限度地减少人工干预,从而减少人为错误,因为在手动管理和监控电子表格环境的版本控制、更改和审批、新数据添加和证明等方面,人为错误可能会造成灾难性后果。
各组织最好先确定 Excel 中包含哪些个人身份信息 (PII) 数据,然后实施必要的数据保护系统和流程,以保持符合 GDPR 的要求。正如本案例所示,这 不再是 奢侈品,而是必需品。
