迟于遵守GDPR? 下面是你现在可以采取的三个步骤.

Background

欧盟《bet9平台游戏》(GDPR)将于2018年5月25日生效. 该条例专门针对个人数据处理方面的自然人保护以及此类数据的自由流动. 该规定适用于在欧盟开展业务或处理源自欧盟的个人数据的任何组织, 无论是居民还是访客的数据.

GDPR深刻改变了人们对隐私的理解, 欧盟的数据保护和个人数据，并对任何处理欧盟数据主体个人数据的人产生广泛影响. 数据主体被定义为其个人数据被捕获和处理的人. 如果您的组织仅捕获欧盟数据主体的一条记录，则此法规适用于您.

未能遵守GDPR条款的处罚可能会使组织面临高达2000万欧元或组织全球总收入的4%的罚款, 取较大的. 如果您的组织还没有开始确保遵从性的过程, 有一些非常有效的步骤，你可以立即采取，使你的合规计划的生活. 下面是一些开始的步骤和建议.

提高认识

如果您的组织在GDPR派对上迟到了，那么很可能存在意识问题. 遵守GDPR意味着采取有意义的行动来改变员工在企业中使用个人数据的方式, 包括能够对影响个人数据的事件和违规行为做出反应. 意识过程通过解释来支持所有其他过程, 沟通和加强GDPR要求和良好实践. 因此，提高组织各级对GDPR的认识势在必行.

分类及识别个人资料

了解您所持有的数据是了解如何设计符合GDPR的程序的关键步骤之一. 您的组织应该对这个过程采取多学科的方法，并与各种利益相关者(如业务线)合作, operations, technology, 数据和分析部门, 人力资源和潜在的其他人, 根据你的业务.

您应该检查并规划组织的流程和数据流，以识别可能链接到已识别(或间接可识别)人员的任何数据输入. 这种情况在哪里发生, 处理数据的过程或程序必须被识别和记录. 同样重要的是要理解，这也适用于基于纸张的数据处理, 例如, 通过邮寄或其他纸质形式填写的表格. 这个阶段的输出应该包括业务流程文档, 数据流程图, 个人资料登记册及资料处理登记册.

执行数据保护影响评估

考虑上一步的输出, 执行数据保护影响评估(DPIA)应该是您的下一步. GDPR要求在某些情况下执行DPIA(例如.g.、特殊类别数据处理、大规模数据处理等.). 为了描述数据处理，应该设计一个DPIA, 评估数据处理的必要性和比例性，并确定是否符合GDPR要求. 评估亦应确保适当减轻个人资料的风险，以及就该风险而言，为保护个人资料而采取的保障及保安措施是适当的. 任何没有适当减轻的个人数据风险都应该有一个风险处理计划，并通过补救措施进行跟踪.

如果您对您的组织是否遵守GDPR有任何疑问, 请致电412-697-5285联系丹·德斯科或 (电子邮件保护).