欧洲联盟的通用数据保护监管(GDPR)正在改变我们如何管理个人数据。它代表了重大的文化转变我们获取的有关个人的数据。这个监管我们,公司不再对个人的数据捕获或自然人。调节后变成可执行的5月25日,2018年,我们成为管理者的个人数据和个人成为“他们”数据的所有者。
对大多数公司来说,面临的挑战可能不是确定注册中心GDPR流程中的业务流程。最大的挑战可能是发现和分类个人的数据在企业内部所有系统。让我们清楚这一点:这个规定是关于创建和管理数据。数据的安全是一个伟大的关注(像往常一样)。然而,监管主要关心的是在个人数据的生命周期管理。
许多高管在我们的企业可能并不了解业务术语表和数据治理可以支持GDPR解决方案的很大一部分。数据治理过程是至关重要的文档和管理这些数据。业务术语表是我们可以捕获业务流程,以及个人数据和资产分类与我们的客户和员工的个人数据。
业务术语表将支持GDPR活动
你怎么能有效地实现GDPR解决方案?你需要应用一组不同的过程,人,和技术向管理个人资料吗?我建议你不要!你应该利用你现有的数据治理团队和过程。然而,我们需要关注GDPR的特定需求。
以满足GDPR要求个人资料的管理,我们可以利用“自顶向下”,“自下而上”,或混合的方式提供治理项目。许多专家建议,“自上而下”的方法最好是由于GDPR过程注册中心的重要性。我只是不确定每一个数据治理团队或组织准备地址自顶向下的方法。记录为什么你是维护个人资料是一个非常GDPR的关键要求。我总是说我们不花足够的时间问为什么的问题。然而,我不认为所有的公司可以开始他们GDPR治理活动通过问“为什么”的问题。
看,你要问这样的问题“为什么我们要求个人为我们提供这些数据?我们有有效的商业使用的数据吗?我们要求个人捐献给我们提供这些数据?“这是我担心的。许多组织都不知道谁提出这些问题的准备。例如,我问这个问题吗?谁将决策者的个人数据被创建,更新,和增强使用多跨企业流程?我们可能不知道谁将回答商业注册中心的问题,直到我们有一个清晰的理解负责个人数据或管理应用程序处理数据。因此,我建议我们首先要发现企业中存在的个人数据。让我们浏览一下步骤。
步骤1 -识别的个人资料管理
我通常建议第一步是识别个人资料我们有现有的企业中。对许多人来说,这不是一件容易的一步,但必须尽快完成。随着识别数据元素,如客户名称,我们也应该抓住以下几点:
- 数据的逻辑名称或业务术语(比如customer.name)
- Database.Table。列名(所有物理实例这个列的位置)
- 负责任的政党或业务所有者名称
- 定义或物理列(所有物理实例这个列的位置)
- 业务规则存在的(所有物理实例这个列的位置)
- 存在的数据值(所有物理实例这个列的位置)
- 目录数据GDPR私有和敏感(见DPO或ISO政策)
- 确定这些数据在你的业务术语表数据/ IT资产
步骤2 -组织和定义GDPR过程注册
许多人认为这是一个纯粹的自上而下的治理过程方法的第一步。我建议我们必须定义数据之前,我们可以问周围的问题为什么我们有这些数据,以及所有其他的问题我们需要回答创建GDPR和注册过程。GDPR寄存器比识别现有的业务流程。GDPR流程注册是捕获特定的进程,维护、共享、分发和处理个人数据。你可以完成这个步骤更快和更有效地一旦你知道具体的个人资料在您的企业。GDPR寄存器应该是一个组件的业务术语表提供未来的变化和问题管理功能。
步骤3 -分类和编目业务/数据资产
现在是时候运用自顶向下,传统数据治理措施。这些包括以下几点:
- 识别和定义业务术语的个人数据实例在步骤1中你发现了。
- 地图或相关业务术语和物理数据/ IT资产
- 确保你有一个负责任的政党为每个业务术语或所有者
- 确保你有必要的治理组织,业务数据管理和技术管理者识别并进行定义和分类的资产。
- 确保你有一个权威来源和所有物理实例的数据定义为您的业务和技术管理
- 确保业务规则、质量规则和有效值同意了业务和技术管理。GDPR已经数据质量的影响。
- 开发数据共享协议满足GDPR的要求。
步骤4——文档和GDPR原则映射到你的政策
这一步可以并发执行步骤3给定资源的可用性。它将映射的关键GDPR原则与你的内部业务流程和政策。这将提供一个评估政策对齐以及识别政策缺口填补GDPR合规至关重要。这将为你建立一个基线数据保护影响评估GDPR合规要求的活动。
第五步——明确定义的角色和职责
以满足GDPR需求,大多数人需要清楚地识别控制器和处理器活动的角色。我们大多数人将函数在两个角色,但我们中的许多人依靠3理查德·道金斯处理活动。有GDPR特定需求,需要记录和跟踪。这是一个很好的时间,以确保你的所有权和责任需要达到这个要求。确保数据的角色和职责保护办公室(数和信息安全办公室(ISO),以及由这些组织建立的政策。
步骤6 -个人资料放入上下文中使用
我们应该记录的运动数据,数据沿袭,可追溯性作为一个正常的数据治理实践。不仅仅是足够了解,创建个人资料。我们也必须知道,为什么,谁,当个人数据穿过我们的系统甚至3理查德·道金斯政党或跨越国家边界。这个步骤应该包括以下几点:
- 跟踪数据策略和数据共享数据所有者之间的协议和使用的所有数据,以确保业务的可追溯性。
- 映射的物理数据移动个人数据从创建到所有用法包括运动跨边界或3理查德·道金斯方/处理器。
- 连接协议处理活动和所涉及的数据类别。
- 清楚地记录所有个人数据的完整数据沿袭和可追溯性用法的所有数据。
- 通信数据使用政策和标准的个人数据是至关重要的。
- 在整个企业中提供教育对个人数据的使用以及应该做些什么当违反个人资料确定。
第七步,建立影响分析能力
这应该是所有数据治理项目的最佳实践,但这是一个在GDPR关键需求。我一直建议的一个重要的业务术语表的值是影响评估能力。术语表应该映射到他们的用法,所有数据资产所有者,流程,和使用方负责,业务理解、和技术实现。这允许影响评估从政策来看,业务视图功能,一个系统/应用程序视图和报告或使用视图。对于GDPR,这被称为72小时通知要求。基本上你的组织将负责通知所有个人影响安全或数据泄露的72小时内发生。讨论的细节GDPR需求和DPO ISO团队。对于系统或网络违反你必须快速识别:
- 数据主题类别和个人数据是什么影响?
- 影响,处理活动是什么?
- 什么个人数据影响,何时何地?
影响评估的能力将有助于满足经营活动和数据违反流程。
步骤8 -监视和跟踪
仪表盘和计分卡的数据治理指标和业务术语表内容应该是所有数据治理的实践项目。我们可以利用这些,提高他们满足GDPR合规的细节。我们可以产生一个热图进步的业务单元,由源程序,通过数据主项,个人数据标记或处理器(应用程序)。我们需要监控指标从每一步以及其中涉及的风险。功能能够利用现有的数据治理项目报告我们的进展以及GDPR所需的数据保护的影响评估。
GDPR是一个美妙的业务用例利用您的业务术语表和数据治理实践。它不会为你提供解决所有GDPR合规的要求,但这将是一个重要的解决方案您的解决方案的一部分。一如既往,保持冷静和让你的业务术语表繁荣。
