目前距歐盟發(fā)布的“一般數(shù)據(jù)保護(hù)條例”(GDPR)的實(shí)施期限已不到60天。而在2018年5月25日之后，組織必須能夠證明他們已經(jīng)遵守或正在努力滿足將在可預(yù)見(jiàn)的將來(lái)管理數(shù)據(jù)保護(hù)的條款。

因此，考慮到這個(gè)最后期限，企業(yè)需要確保工作負(fù)載在云計(jì)算運(yùn)行的過(guò)程中符合GDPR法規(guī)。

完成控制者/處理者的合同

收集個(gè)人數(shù)據(jù)(數(shù)據(jù)控制者)并在云計(jì)算環(huán)境中運(yùn)行的組織必須確保他們收集的數(shù)據(jù)在所有傳輸、存儲(chǔ)和處理過(guò)程中都盡可能得到了保護(hù)。

組織通常使用第三方服務(wù)來(lái)托管和處理數(shù)據(jù)，云計(jì)算就是一個(gè)明顯的例子。作為數(shù)據(jù)控制者，企業(yè)現(xiàn)在應(yīng)處于制定合同的最后階段，這些合約將會(huì)提交企業(yè)數(shù)據(jù)處理者(例如企業(yè)的云托管服務(wù)商)以處理企業(yè)的數(shù)據(jù)，并定義GDPR法規(guī)要求的安全、地理位置和訪問(wèn)標(biāo)準(zhǔn)。

在此，企業(yè)應(yīng)該包括建立一個(gè)審計(jì)系統(tǒng)來(lái)主動(dòng)監(jiān)控?cái)?shù)據(jù)處理器，并確保它們持續(xù)滿足GDPR的監(jiān)管要求。

這種監(jiān)督應(yīng)該包括通過(guò)審查政策和定義的審計(jì)來(lái)了解企業(yè)的數(shù)據(jù)處理者的活動(dòng)，深入了解處理者可能執(zhí)行的任何子處理功能，并確保這些子處理活動(dòng)本身符合控制者的需求。同樣重要的是，合同確定了將要處于范圍之內(nèi)的個(gè)人數(shù)據(jù)的類(lèi)型，將要使用的協(xié)議，以及通知控制者的處理者是否違反數(shù)據(jù)或其所依據(jù)的條款的程序正在處理。

在這個(gè)階段，企業(yè)的數(shù)據(jù)處理者應(yīng)該與企業(yè)充分合作，通過(guò)數(shù)據(jù)處理的合規(guī)程序展示如何與企業(yè)需要的一致，以確保企業(yè)滿足GDPR要求。

教育組織的數(shù)據(jù)保護(hù)職責(zé)

GDPR法規(guī)遠(yuǎn)遠(yuǎn)超過(guò)了可以包含在審計(jì)和合同中的合規(guī)工作。它需要每個(gè)組織全力承諾將數(shù)據(jù)保護(hù)納入其從支持到會(huì)計(jì)到產(chǎn)品開(kāi)發(fā)的文化和運(yùn)營(yíng)的所有方面。 GDPR法規(guī)的遵從并非僅限于IT部門(mén)，它必須滲透到組織的各個(gè)方面，并確保建立一種安全文化。

企業(yè)的員工現(xiàn)在應(yīng)該意識(shí)到法規(guī)變更對(duì)其日常工作流程和責(zé)任的影響。企業(yè)各部門(mén)將受到不同程度的影響：有些部門(mén)一直受到監(jiān)管，對(duì)其他部門(mén)來(lái)說(shuō)可能是全新事物。但是，數(shù)據(jù)保護(hù)意識(shí)不再是可選的事項(xiàng)，而是一個(gè)關(guān)鍵和規(guī)范的事項(xiàng)。

制定一個(gè)持續(xù)不斷的從入門(mén)到定期進(jìn)修的教育培訓(xùn)計(jì)劃，這至關(guān)重要。這一過(guò)程的一部分應(yīng)該包括為員工提供他們自己的數(shù)據(jù)隱私聲明，告知他們的雇主將如何管理和保護(hù)他們的個(gè)人信息。這將有助于提高企業(yè)全體人員的數(shù)據(jù)安全意識(shí)。

數(shù)據(jù)映射、風(fēng)險(xiǎn)和訪問(wèn)評(píng)論

在這個(gè)階段，企業(yè)應(yīng)該知道所持有的數(shù)據(jù)，為什么持有它，以及它的位置。企業(yè)應(yīng)該確定與該數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)級(jí)別，以及運(yùn)營(yíng)過(guò)程中允許用于數(shù)據(jù)的訪問(wèn)級(jí)別和機(jī)制，以衡量和監(jiān)督這些活動(dòng)的有效性。企業(yè)還應(yīng)該了解組織中的數(shù)據(jù)流，并確定可能導(dǎo)致數(shù)據(jù)風(fēng)險(xiǎn)升高的數(shù)據(jù)流中的任何更改的系統(tǒng)。

對(duì)于應(yīng)用程序，服務(wù)或程序的修改應(yīng)通過(guò)GDPR法規(guī)中注明的PIA和DPIA過(guò)程進(jìn)行評(píng)估，并由企業(yè)的數(shù)據(jù)保護(hù)官員(DPO)監(jiān)督。在此階段，企業(yè)的DPO與處理者的DPO之間應(yīng)該建立聯(lián)系，確保數(shù)據(jù)主題查詢處理的方式正確，程序監(jiān)督功能正常。

數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)應(yīng)該已經(jīng)發(fā)現(xiàn)任何高風(fēng)險(xiǎn)數(shù)據(jù)，并且正在制定策略以將該風(fēng)險(xiǎn)降低到可接受的水平。企業(yè)的員工對(duì)數(shù)據(jù)的訪問(wèn)級(jí)別也應(yīng)該進(jìn)行審查，限制訪問(wèn)操作的數(shù)量的原則。

鎖定歐盟數(shù)據(jù)存儲(chǔ)的大門(mén)

歐盟公民數(shù)據(jù)的分離和限制以及確認(rèn)其安全的地理位置應(yīng)該處于最后階段。這與上述有關(guān)數(shù)據(jù)控制者和處理者的觀點(diǎn)密切相關(guān)，并且與云計(jì)算特別相關(guān)?？刂迫藛T需要知道，與歐盟公民有關(guān)的數(shù)據(jù)被鎖定在某個(gè)地理位置，不會(huì)被其他地區(qū)的工作人員無(wú)意中訪問(wèn)。

處理者必須承諾滿足并維持這一要求。對(duì)于利用云計(jì)算服務(wù)的實(shí)體，驗(yàn)證適當(dāng)?shù)暮戏〝?shù)據(jù)傳輸機(jī)制是否到位非常重要。如果企業(yè)的數(shù)據(jù)處理者在這一階段以及其他所有與數(shù)據(jù)保護(hù)相關(guān)的問(wèn)題都沒(méi)有積極地與企業(yè)聯(lián)系，那么企業(yè)需要開(kāi)始對(duì)此進(jìn)行關(guān)注。

指定和嵌入數(shù)據(jù)保護(hù)人員

如果組織是一家大規(guī)模監(jiān)控的數(shù)據(jù)主體，或者處理特殊類(lèi)別的受保護(hù)數(shù)據(jù)的公共機(jī)構(gòu)，則必須聘用向組織最高級(jí)別報(bào)告的數(shù)據(jù)保護(hù)專(zhuān)員(DPO)。到目前為止，數(shù)據(jù)保護(hù)專(zhuān)員(DPO)應(yīng)該具備足夠的資源和支持來(lái)領(lǐng)導(dǎo)組織的GDPR合規(guī)計(jì)劃。

即使企業(yè)沒(méi)有按照法規(guī)的規(guī)定正式指定數(shù)據(jù)保護(hù)專(zhuān)員(DPO)，也需要確保自己有合適的工作人員負(fù)責(zé)確保合規(guī)。目前世界各國(guó)都似乎缺少合格的數(shù)據(jù)保護(hù)專(zhuān)家，這并不奇怪。企業(yè)的另一種選擇是考慮采用第三方服務(wù)來(lái)協(xié)助開(kāi)展自己的GDPR合規(guī)活動(dòng)。

在人們接近這個(gè)監(jiān)管法規(guī)實(shí)施的時(shí)候，這些都是企業(yè)需要開(kāi)展的各種活動(dòng)。對(duì)于準(zhǔn)備不充分的組織，現(xiàn)階段的關(guān)鍵是需要證明其正在努力實(shí)現(xiàn)合規(guī)。

請(qǐng)記住，5月25日只是不斷致力于改善每個(gè)人的數(shù)據(jù)隱私的開(kāi)始，并且這項(xiàng)工作將會(huì)持續(xù)進(jìn)行下去。