【前言】2016年,威斯汀研究中心(the Westin Research Center)發表了一系列文章,分析了對歐盟通用數據保護條例的十大運營影響的分析。現在,隨著2018年5月25日,GDPR實施的最後期限即將到來,IAPP將發佈一個系列,以展示我們的成員在預期的GDPR實現中所做的常見的實際組織反應。
以下是專家認為的最有效的十項應對行動方案的總目錄:
1) 進行數據清點和映射
2)為數據處理和跨境轉移建立合法的基礎
3)建立和維護一個數據治理系統,包括設立負責人
4) 進行數據保護影響評估,以及設計和默認數據保護
5) 準備、進行數據保存,記錄保存的政策和系統
6) 滿足信息透明度要求和履行通信義務
7) 配置系統,並進行適當的處理以滿足數據主體的權利
8) 時刻為數據洩漏通知做準備
9) 一個完善的供應商管理(處理者)協議
10) 建立與數據保護部門溝通的系統和渠道
以下是該系列的第一篇。
數據清點和映射
雖然你在GDPR中搜索不到關於"數據清點"或"映射"的任何信息,但它們即是沒有被法律明文規定的義務。毫無疑問的是,對GDPR應對的第一個措施就是建立一個旨在遵守法律的程序,因此要進行全面的數據映射和清點行動。
這些術語可能與您要求的不同,但至少包括下列內容:
(1)理解GDPR下個人數據的定義。
(2)由組織確定什麼樣的個人數據會被收集和使用 (GDPR中"處理")。
(3)找出存儲數據的位置,包括第三方系統可能存放的位置以及服務器的地理位置。
(4)映射從組織的收集點到外部、從外部到供應商或其他第三方的數據收集。
(5)確定數據的保留時間和格式。這包括對數據"結構化"(在關係數據庫中)或"非結構化"(例如鬆散組織的系統,包括文件或pdf文件)的判斷。
在不進行數據清點和映射的情況下,數據保護專業人員無法有效地建立一個符合GDPR義務的程序,包括建立一個合法的處理程序、保障數據處理的透明度並滿足數據主體其他數據保護權利,知道何時以及如何收集和記錄同意以及類似的情況。例如,在不瞭解收集數據、如何處理數據以及與誰共享數據的情況下,準備隱私聲明或內部隱私策略是相當困難的。
重要的是,數據清點是遵守GDPR第30條規定的處理記錄義務的第一步。這一重要的GDPR條款要求公司對他們的處理活動進行詳細記錄,包括處理的目的;對數據主體和個人資料類別的描述;共享個人數據的收件人,包括其地理位置;任何跨境數據轉移和風險緩解措施;數據保留時間;數據安全策略;歐洲代表和DPO的詳細聯繫信息和其它信息。
工具和方法
進行數據清點和映射的最佳方法根據組織的規模和複雜性以及分配的演習時間和參與者複雜程度的不同而不同。
許多數據保護和隱私專業人員都從一份調查問卷開始,可能由外部顧問或諮詢師協助。時間充足的公司可以進行最初的發現練習以發掘他們組織的一般個人數據生命週期,然後是深入的進行調查問卷和後續訪談,甚至是研討會。
最理想的情況是,創建支持清點數據的程序,至少最終能夠在一個獨立的數據對象的層面上識別數據的位置和存儲信息:企業擁有某人A身的哪些數據?數據的位置在哪裡?如果另一人想訪問A的數據,企業如何才能找到A的所有資料?
在此階段,將風險水平分配給不同的數據類別也很重要。畢竟,GDPR從根本上需要一種以風險為基礎的數據保護方法。信息高度敏感,屬於第9條定義的"特殊類別"嗎?這將要求一家公司依賴於不同的法律基礎做出判斷,而不是常規的處理。未經授權的訪問數據會給數據主體的權利和自由帶來高風險嗎?這將觸發DPIA(AData Protection Impact Assessment,數據保護影響評估)或需要單獨的違規通知。
對很多人來說,這些信息目前都是通過標準的企業軟件產品提供的。在IAPP-EY 2017年的治理報告中,45%的受訪者表示,他們使用包括電子郵件、採訪和電子表格在內的人工和非正式流程進行數據清點和映射;只有32%的人會使用專門用於數據庫存和製圖的商業產品。
在過去的幾年中,面對GDPR和其他隱私監管的發展,隱私技術產業發生了爆炸式的增長。在IAPP的年度隱私技術供應商報告中,有數十家公司致力於為數據保護監管合規、問責制和風險緩解的組織提供解決方案和工具。
傳統的調查表比技術數據映射工具的可伸縮性差,但它的優點是能夠全面,並且可以發送給組織內的許多人,從而可以進行全面和廣泛的調查。然而,他們的風險包括潛在的風險或不準確的反應以及在完成問卷的過程中所產生的誤解,其所做出的結論建立在無法澄清的假設之上。回答問卷的任務可能會被分配給缺乏知識或意識的人。
在這種情況下,隱私專業人士可能無法使用調查問卷。相反,有必要直接參加面對面的會議。這可能需要更多的人力時間,以及組織內部的高層管理,但這可能是在最短時間內獲取關於數據處理的有用信息的最好方法。
思考未來
在進行數據清點和映射時,數據保護和隱私專業人員應該不僅僅考慮
(a)個人數據的收集、處理和存儲的類型或類別,
(b)由誰存儲、訪問和處理,以及
(c)個人數據處理的原因。
有必要了解這些信息嗎?為什麼?GDPR的第5條要求"合法且公平地"處理個人數據,並"以明確、明確和合法的目的收集"。"進行數據清點和映射,可以加速遵守GDPR的核心義務。
實際上,第30條的記錄保存通常與數據清點和映射相聯繫,儘管兩者可以在操作上重疊,但它們不是相同的東西。GDPR第30條沒有明確要求記錄數據處理的合法基礎,但這是GDPR的核心要求。最佳實踐建議,支持分配這些基礎並在清點階段記錄它們。
結論
準備GDPR合規要求從組織的個人數據清點開始,從收集和使用,到存儲、保留和刪除。雖然有人提出一些技術解決方案來幫助這個過程,但許多實踐者發現仍需要自己解決這一問題。這個過程對許多組織來說都是勞動密集型的,而且可能比理想的時間要長,特別是考慮到GDPR執行期限。但是,仔細盤點個人數據是對GDPR業務響應的重要第一步。
作者∣Rita Heimes,是國際隱私專業協會(International Association of Privacy Professionals)的研究主管,並擔任內部數據保護官員。Rita 同時也是一名律師和學者,在隱私、信息安全和知識產權法方面有著多年的經驗。作為IAPP的研究總監,Rita通過在全球範圍內對隱私功能的經驗和定性研究來促進隱私領域的發展,並通過向學術機構拓展新一代的隱私和安全專業人員。
翻譯∣陳德志 律師、孫清 律師助理
閱讀更多 百律 的文章
