GDPR已實施了6個多月，但許多機構仍在努力遵守一般數據保護規定。

國際隱私專業人士協會(IAPP) 10月份公布的年度隱私治理報告顯示，只有56%的受訪公司認為自己完全符合規定，而19%的公司表示永遠不會遵守。

遵循以下建議，確保你的組織不是其中之一。

BrandPost由HPE贊助

定義IT行業的下一個篇章:現場IT即服務

“即服務”模式提供的是服務，而不是產品;的靈活性,而不是剛度;以及與業務結果相一致的成本。

2016年4月，歐洲議會通過了GDPR，使數據保護規則與個人信息使用相關的當代問題同步更新。它適用于在歐盟內部處理的所有數據，也適用于歐盟以外公司使用的有關歐盟主題的數據。

這些規定于2018年5月25日生效，并在2018年的《數據保護法案》(Data ProtectionAct)中得到了體現，以確保這些規定在英國退出歐盟后繼續適用于英國。

該條例適用于數據的“控制人”和“處理人”，并涵蓋了目前已得到加強的現有規則，以及數據主體的一系列新權利。

解釋:如何準備GDPR

對您存儲的數據進行徹底的調查。確定它被保存在哪里，任何個人或敏感的數據，它是如何處理的，以及誰可以訪問它。盡可能詳細地記錄這些信息。

IBM全球全球公關部主管理查德•霍格(Richard Hogg)建議，“建立一個初始目錄，這樣你就能了解企業中的個人數據、它們在哪里、它們的傳承，以及你是如何處理這些數據的。”這是保持記錄的最低水平。

“這將為你在監管機構來敲門時使用它奠定基礎”。

閱讀下一篇:如何確保GDPR在云端的合規性

Gartner建議，組織應該以透明的方式對所有的處理活動進行問責。

評估您當前的數據治理實踐和策略，記錄任何處理的合法基礎，并確定需要改進的任何領域。必須保留任何處理活動的內部記錄，并對所有數據進行標記和分類。

檢查數據在歐盟內外的跨境流動情況，并特別關注涉及兒童數據的做法，因為GDPR大大加強了處理、年齡驗證和同意等信息的安全要求。

ICO制作了一系列數據保護自我評估工具，幫助組織在信息安全、直接營銷、記錄管理、數據共享、主題訪問和閉路電視等方面檢查他們的準備工作。

根據GDPR，任何數據處理的許可必須是具體的、粒狀的和可審核的。同意需要簡單易懂，容易撤銷。

有關同意的新規定，可能會迫使一些機構再次接觸現有的資料當事人，要求獲得新的許可，以使用他們的資料。審查您當前的同意流程，確定何時需要同意，以及應如何提供同意，以確保您的義務得到履行。

“GDPR關注的是知情同意的記錄和你需要的審計跟蹤，”theICO國際戰略和情報主管史蒂夫•伍德(Steve Wood)表示。

“撤銷同意必須很容易，你需要能夠清楚地說出你所在組織的名字，并向個人、以及可能共享數據的第三方表明這一點。”

對所有取得的同意保持清晰的記錄，建立直接的退出機制，并定期審查程序，以跟上處理活動的任何變化。

下一篇:如何根據《一般資料保護規例》(GDPR)準備同意書

對個人或特殊類別的資料或與刑事定罪及罪行有關的資料進行大規模監察的政府當局或機構，必須設有資料保護主任。

即使DPO對您的組織來說不是必需的，指定一個人負責數據管理將有助于保持GDPR合規。

高德納咨詢機構建議任命個人作為數據保護機構(DPA)和數據主體的協作點，并設立一個DPO來確保處理操作符合規范。

國際隱私專業人士協會(IAPP)在2018年10月報告稱，75%的受訪者目前至少任命了一名DPO。

“這個職位不僅僅是履行法律義務;此外，各機構認識到，它們有必要獲得內部運營所需的GDPR專業知識，并與監管機構、商業伙伴和消費者進行溝通，”IAPP總法律顧問和研究主管麗塔•海姆斯(Rita Heimes)表示。

下一篇:企業如何為GDPR做準備?

建立檢測、調查和報告違規行為的程序，并制定內部應對計劃。數據泄漏測試可以確保您的程序是有效的。

隱私智庫信息政策領導中心(CIPL)建議各組織“進行違約通知計劃的‘預演’，擁有網絡保險，或保留公共關系和法醫專家。”

請閱讀下一篇:戴爾EMC如何為GDPR做準備

確保你的程序足以讓資料當事人行使其在GDPR下的擴展權利。這些權利包括知情權;查閱權;矯正權;限制加工的權利;數據可攜性的權利;反對的權利，不服從自動決策的權利，包括剖析;抹去的權利(被遺忘的權利)。

考慮你的機構如何回應落實每項權利的要求，由誰負責，需要什么支援系統，以及如何確保以常用的格式提供資料。

建立風險評估框架是管理資料私隱和確保依從性的明智方法。《保險公司條例》建議包括對加工工序及目的的描述、對加工工序與目的有關的需要的評估，以及對風險的評估，以及因應這些風險而采取的措施。

GDPR在設計和默認情況下都需要隱私保護。信息治理的最佳實踐應該嵌入整個組織和每個業務流程的每個階段。

“數據對于許多業務流程、產品和服務都是至關重要的，”信息政策領導中心(CIPL)的報告解釋道。“這就是為什么GDPR的實施必須是整個組織的共同努力，DPO必須與首席數據官(CDO)、首席信息官(CIO)、首席信息安全官(CISO)和其他高級領導層攜手合作。”

應進行培訓，以確保每個工作人員了解GDPR的要求及其確保遵守規定的個人責任。

IBM全球網絡安全情報主管尼克•科爾曼(Nick Coleman)表示:“在我看來，首席隱私官是組織中許多人的真正捍衛者，幫助提高他們的意識，并確保人們理解這一點。”

在確定當前哪些政策和實踐需要修改之后，建立實施必要更改的計劃。

“它有一個作戰計劃，”科爾曼說。“實際的(部分)是優先考慮資源、優先考慮支持、優先考慮你需要什么能力、處于什么成熟水平才能讓你處于一種讓你感覺舒服的狀態”。

請閱讀下一篇:IBM如何為GDPR做準備

在一次漏洞中丟失個人身份信息(PII)的組織必須通知每一個受影響的個人，如果數據未加密。如果他們對信息進行加密，只需要通知信息專員辦公室(ICO)，因為加密將阻止任何人讀取數據。

數據安全公司Digital Pathways董事總經理科林•坦卡德(Colin Tankard)表示:“公司必須自動將任何可識別個人身份的數據轉移到一個應用了加密技術的安全地點。”

“對我來說，這樣做似乎是很明智的選擇，而不是面臨巨額罰款、高昂的管理和通知數千人的成本，以及處理他們隨后提出的問題、公開息披露和負面報道。”

熱衷于利用GDPR賺錢的軟件公司正在發布越來越多的產品，以支持遵守規定。

沒有人能保證您的數據實踐是有序的，但是有一些實踐可以幫助您為規則做好準備。它們包括數據發現工具、同意管理系統、自我評估工具包和綜合數據管理平臺。

英國《計算機世界》匯編了一些最好的產品，可以幫助組織為GDPR做準備。

《GDPR》第22條規定，從信用決定到欺詐調查結果，個人有權了解有關他們的任何數據驅動決策是如何做出的。這對于機器學習系統和其他形式的人工智能黑箱來說是很困難的。

有一些工具可以幫助打開這些黑匣子，讓人工智能變得可以解釋。

例如，分析軟件公司FICO可以建立比所使用的模型更透明的代表性模型，刪除不重要的變量，使人工智能更具可解釋性，或者向一個變量添加噪聲，并評估決策對噪聲的敏感性。

“有些模式非常透明。換句話說，這些模型可以被分解，而且很容易解釋它們是如何運作的。”

“但也有神經網絡、梯度增強、隨機森林，這些是更多的黑盒模型，在這種情況下，你需要采取不同的方法來解釋它們。”

遵守GDPR將需要大量的時間和努力，但正如ICO專員伊麗莎白·鄧納姆解釋的那樣，這一規定也有積極的意義。

她在11月的ICO blogin中寫道:“數據保護變化的一個關鍵驅動力是數字經濟在英國和世界各地的重要性和持續發展。”“這就是為什么ICO和英國政府多年來一直推動歐盟法律改革的原因。

“數字經濟主要建立在數據收集和交換的基礎上，包括大量的個人數據——其中很多是敏感數據。數字經濟的增長需要公眾對保護這些信息有信心。”