关于如何处理GDPR和设置GDPR程序,有许多反复出现的问题。这篇博客将讨论最突出的问题,并就如何处理每个问题提供一些实用的指导方针。
1.我应该采用自顶向下还是自底向上的方法来处理GDPR?
在定义GDPR架构时,关键是从基础开始,并确定您打算如何在组织内实施该法规。有两种主要的方法来建立你的GDPR的数据治理基础:自上而下和自下而上的方法。它们并不相互排斥,在理想的情况下,两者一起应用。通常情况下,组织关注的是底层方法,这在本质上是非常技术性的。它意味着收集所有现有的可用元数据,并使用发现工具进一步“发现”可以被归类为个人数据的数据元素,因此在监管范围内。根据规定的性质,发现还必须包括非结构化数据(比如电子邮件和pdf文档)以及更标准的结构化数据,这使得发现和编目的整个任务变得非常艰巨。
组织应该从自顶向下的方法开始,这种方法更面向业务,并要求业务所有者定义其业务单元内使用的数据流程。创建这个数据流程注册表是一项艰巨的任务,但这种方法将确保您定义业务所有权,这是您持续成功遵守GDPR法规的关键。一旦您建立了数据活动的业务视图,并将其完全置于规则中,您就可以通过在数据活动寄存器和驻留在技术体系结构中的实际数据元素之间建立链接来扩展它。别被骗了。将技术元数据链接到GDPR是一项艰巨的任务,而且只是解决方案的一部分。在短期内,一种明智的方法是使用权威源的注册表,而不是使用数据的物理层,这样就可以使用逻辑数据模型。然后,您可以将数据活动链接到模型中的元素,并确保这是完全根据法规需求进行上下文化的。
2.如何使用自顶向下的方法构建数据流程注册表?
根据第30条中指定的要求,有不同的方法开始构建数据活动注册表。通常组织在Excel中开始这个过程,然后很快意识到这不仅仅是一个列表。它需要治理和流程,这就是数据治理首先出现的地方。使用新万博移动客户端Collibra平台它是开箱即用的GDPR用例,你可以启动你的实现。加速器将以资产元模型、工作流和仪表板的形式提供底层结构,以支持注册中心的治理。Coll新万博移动客户端ibra平台是为商业用户设计的,非常注重协作。这些是您的GDPR计划中的关键要素,以确保您的业务部门不会在孤岛中工作。
3.谁是GDPR项目的利益相关者?我能把这件事留给IT吗?
GDPR是一项适用于所有受影响组织的广泛法规,将要求来自许多不同领域的利益相关者:
- 法律方面的工作将集中在对规定的初步解释上
- 涉及业务是因为它们对于数据活动注册中心是合理的
- IT部门将参与平台的实施和运营系统的集成
- Cyber参与保护架构
你不能孤立地实施GDPR,所有的利益相关者都必须参与进来,承担责任并协同工作。
4.我如何向当地数据保护监管机构证明我遵守了GDPR法规?
正如不同的监管机构所指出的那样,为了遵守GDPR法规,组织将需要证明其合规性的能力。从自我审计的角度来看:
- 你能证明你有一个完全更新的数据活动注册表吗?
- 你能证明你已经建立了所有权吗?
- 您对元数据有一个概述吗?您能显示数据活动和使用的数据元素之间的链接吗?
- 你能展示一下你的漏洞管理流程吗?
- 你能否证明你有变更管理来支持你的GDPR计划?
5.我怎样才能确保我保持合规?
围绕GDPR环境建立全面的变更管理流程至关重要。设计的隐私是正在进行的流程的关键部分,并要求您的业务格局的任何变化都要通过GDPR程序的早期检查点,以确保您保持符合当地监管机构的要求。如有需要,这种变更管理还应包括数据保护影响评估,这是被视为高风险的数据活动所必需的。
6.我如何从实施GDPR中受益,而不仅仅是确保合规?
这是一个非常相关的问题,因为除了避免罚款外,看到GDPR好处的组织肯定会对该计划的成功有更高的承诺。
毫无疑问,在今天的市场上,避免与GDPR法规相关的罚款最初是迫使组织遵守的主要驱动力。然而,如果您能够将法规视为负担,那么您的组织将通过实施该原则获得巨大的利益。GDPR正迫使组织对其数据治理采取批判性的态度,并确保他们“清理房间”。如今有大量的数据被收集,数据本身正在成为一种真正的资产——在新的数字世界中蓬勃发展的公司将是那些成功地控制了这种新资产的公司。通过实施隐私设计等原则,公司确保他们只收集相关数据,并知道收集数据的原因,从而降低了成本。这可以确保您的组织从其数据隐私投资中获得最大收益,同时确保每一步的合规性。
