< 返回新闻公共列表

GDPR即将来临,企业的云计算是否符合要求?

发布时间:2018-04-10
目前距欧盟发布的“一般数据保护条例”(GDPR)的实施期限已不到60天。而在2018年5月25日之后,组织必须能够证明他们已经遵守或正在努力满足将在可预见的将来管理数据保护的条款。
目前距欧盟发布的“一般数据保护条例”(GDPR)的实施期限已不到60天。而在2018年5月25日之后,组织必须能够证明他们已经遵守或正在努力满足将在可预见的将来管理数据保护的条款。 因此,考虑到这个最后期限,企业需要确保工作负载在云计算运行的过程中符合GDPR法规。 完成控制者/处理者的合同 收集个人数据(数据控制者)并在云计算环境中运行的组织必须确保他们收集的数据在所有传输、存储和处理过程中都尽可能得到了保护。 组织通常使用第三方服务来托管和处理数据,云计算就是一个明显的例子。作为数据控制者,企业现在应处于制定合同的最后阶段,这些合约将会提交企业数据处理者(例如企业的云托管服务商)以处理企业的数据,并定义GDPR法规要求的安全、地理位置和访问标准。 在此,企业应该包括建立一个审计系统来主动监控数据处理器,并确保它们持续满足GDPR的监管要求。 这种监督应该包括通过审查政策和定义的审计来了解企业的数据处理者的活动,深入了解处理者可能执行的任何子处理功能,并确保这些子处理活动本身符合控制者的需求。同样重要的是,合同确定了将要处于范围之内的个人数据的类型,将要使用的协议,以及通知控制者的处理者是否违反数据或其所依据的条款的程序正在处理。 在这个阶段,企业的数据处理者应该与企业充分合作,通过数据处理的合规程序展示如何与企业需要的一致,以确保企业满足GDPR要求。 教育组织的数据保护职责 GDPR法规远远超过了可以包含在审计和合同中的合规工作。它需要每个组织全力承诺将数据保护纳入其从支持到会计到产品开发的文化和运营的所有方面。 GDPR法规的遵从并非仅限于IT部门,它必须渗透到组织的各个方面,并确保建立一种安全文化。 企业的员工现在应该意识到法规变更对其日常工作流程和责任的影响。企业各部门将受到不同程度的影响:有些部门一直受到监管,对其他部门来说可能是全新事物。但是,数据保护意识不再是可选的事项,而是一个关键和规范的事项。 制定一个持续不断的从入门到定期进修的教育培训计划,这至关重要。这一过程的一部分应该包括为员工提供他们自己的数据隐私声明,告知他们的雇主将如何管理和保护他们的个人信息。这将有助于提高企业全体人员的数据安全意识。 数据映射、风险和访问评论 在这个阶段,企业应该知道所持有的数据,为什么持有它,以及它的位置。企业应该确定与该数据相关的风险级别,以及运营过程中允许用于数据的访问级别和机制,以衡量和监督这些活动的有效性。企业还应该了解组织中的数据流,并确定可能导致数据风险升高的数据流中的任何更改的系统。 对于应用程序,服务或程序的修改应通过GDPR法规中注明的PIA和DPIA过程进行评估,并由企业的数据保护官员(DPO)监督。在此阶段,企业的DPO与处理者的DPO之间应该建立联系,确保数据主题查询处理的方式正确,程序监督功能正常。 数据保护影响评估(DPIA)应该已经发现任何高风险数据,并且正在制定策略以将该风险降低到可接受的水平。企业的员工对数据的访问级别也应该进行审查,限制访问操作的数量的原则。 锁定欧盟数据存储的大门 欧盟公民数据的分离和限制以及确认其安全的地理位置应该处于最后阶段。这与上述有关数据控制者和处理者的观点密切相关,并且与云计算特别相关。控制人员需要知道,与欧盟公民有关的数据被锁定在某个地理位置,不会被其他地区的工作人员无意中访问。 处理者必须承诺满足并维持这一要求。对于利用云计算服务的实体,验证适当的合法数据传输机制是否到位非常重要。如果企业的数据处理者在这一阶段以及其他所有与数据保护相关的问题都没有积极地与企业联系,那么企业需要开始对此进行关注。 指定和嵌入数据保护人员 如果组织是一家大规模监控的数据主体,或者处理特殊类别的受保护数据的公共机构,则必须聘用向组织最高级别报告的数据保护专员(DPO)。到目前为止,数据保护专员(DPO)应该具备足够的资源和支持来领导组织的GDPR合规计划。 即使企业没有按照法规的规定正式指定数据保护专员(DPO),也需要确保自己有合适的工作人员负责确保合规。目前世界各国都似乎缺少合格的数据保护专家,这并不奇怪。企业的另一种选择是考虑采用第三方服务来协助开展自己的GDPR合规活动。 在人们接近这个监管法规实施的时候,这些都是企业需要开展的各种活动。对于准备不充分的组织,现阶段的关键是需要证明其正在努力实现合规。 请记住,5月25日只是不断致力于改善每个人的数据隐私的开始,并且这项工作将会持续进行下去。

/../template/Home/mama/PC/Static