GDPR项目实践案例:六个“七”GDPR实施思路、重点及步骤(建议收藏)
GDPR已经生效一年多,许多国内企业也在GDPR合规方面不同程度地采取了应对措施,也有不少企业客户专门聘请外部咨询团队帮助其进行全面的数据保护体系的合规构建,结合自身业务范围和特点,梳理数据保护的需求和合规要求,建立起全套的数据保护体系,并提升了内部的数据保护意识和自觉力。
目前,各国(包括我国)的数据保护的监管体系仍在不断建立中,数据保护的实践工作也在根据技术、市场、监管等各种因素的变化而不断完善中。笔者结合自己的项目经验,总结了GDPR合规实施过程中的要点和收获,在此抛砖引玉,请各位同行指正、探讨。
本文包括三部分:GDPR以及企业数据保护的背景要求;数据保护合规项目的实施思路;项目实施各阶段内容及重点。
一背景及需求
和任何咨询项目一样,企业在决定进行GDPR数据保护合规项目之前要明确好项目的范围、目的,以达到最好的收入产出比。
除了对管理体系、公司制度的全面评估和建设,在业务执行层面,通常会选择一个或若干个代表性的产品或业务线来进行数据保护的评估与实施,形成相应的流程、体系和工具,并加以验证,然后再在全公司内推行和持续改进。
1.1GDPR基本背景GDPR的管辖范围由两个原则决定:属地原则和属人原则,所以全球很多企业、组织受到影响。
但并非凡是接触到了一点欧盟人士的个人数据就要完全遵守GDPR,更不必因噎废食而放弃欧盟的业务。各个企业、组织还是要根据自身业务的性质和范围来确定是否受GDPR的约束,以及具体如何满足。
1.2各国隐私保护法规、标准除了GDPR,世界各国也纷纷出台了自己的个人数据保护的法律、规范。我国的个人信息保护法也在起草中。所以,个人数据保护的工作是迟早要做的。特别是对于有跨国业务和跨国数据传输的企业,更要随时关注相关国家的法规的更新,并要处理好国内国外法规中的细微不同。
1.3个人数据保护的风险和挑战对于数据保护合规,容易有两种误解:一种是认为这是法务部门的事,请律师修改一下隐私条款,更新一下各种合同,把法律责任撇清就可以了;另一种是认为这是IT部门的事,把信息安全做好,防止数据泄露就可以了。
实际上,数据保护和企业风险管理一样,是自上而下的各层面的人员都要关注和参与的工作。特别是业务设计和运营部门,在规划业务活动的时候,就要考虑到个人数据的收集、处理过程中的风险以及保护措施。
1.4项目需求和目标通常,个人数据保护咨询项目要达到的目的是在组织内自上而下地建立起完整的个人数据保护体系,包括:组织架构、管理体系和流程、人员、技术工具等。
实施个人数据保护项目不但能满足以上的目的,通常还能通过项目过程来优化资源,通过对数据生命周期的梳理以优化产品的生命周期,通过对数据的盘点和结构优化来促进数据的使用以及价值挖掘。
二六个“七”GDRP实施思路和重点
在项目实践过程中,笔者归纳出了六个“七”。通过对这六个“七”的理解,把GDPR中的抽像的法律权利与义务层层具化为我们的工作任务和行动步骤。
2.1七大权利:数据主体权利GDPR中对自然人的数据权利进行了全面的定义,这也是我们进行个人数据保护的所有努力与付出的核心和最终目标。
特别要补充一点的是,个人数据权利不但是企业的外部客户、用户所拥有的,企业内部员工、第三方外包人员等也拥有同等的数据权利,所以企业在考虑外部个人数据保护的同时,也要记得审查内部的招聘、员工管理、外包人员管理等流程,这既是对员工的保护,也是对内部风险的防范措施。
2.2七个数据处理原则GDPR中针对如何保障前述的个人数据权利给出了七个数据处理原则,其中最后一项是针对于数据控制者的“问责制”原则,即数据控制者应能拿出确凿的证据来证明自己的数据保护工作的有效实施。这一点对各个企业尤其重要,特别是当企业面对监管机构的质疑、用户和律师的诉讼时。
2.3七个数据保护原则GDPR中还明确了组织和企业要实施“by design and by default”的数据保护措施。我们可以理解为个人数据保护是“始于设计,贯穿整个数据生命周期的任务,并且是不言而喻的,自觉自发的”。具体可以细化为这七个实施原则。
2.4七大检查点和控制点企业在评估自身的数据保护工作的有效性时,可以检查这七个方面的工作是否能落实到位,确保这几点工作的到位能很大程度上避免违规的产生。
当然,这几点只是数据保护体系的最终体现结果中的一部分。要想全面评估和提升数据保护工作,还要做更多的考查与工作。
2.5七大难点、重点前边的几个七,都是帮助企业明确数据保护的目标和需求,发现不足和问题。进入实施环节后,就有很多具体工作要由各个部门来承接,包括法务、内控、产品/业务、IT、人力资源、客服,以及外部供应商和合作伙伴,需要把数据保护工作作为一项长期的项目组来进行规划和实施,指派专业的人员和资源,调动各种相关的力量。这需要高管层的支持和关注,以及管理层、执行层面的各级人员的参与。
2.6七步走:建立数据保护体系数据保护合规咨询项目的总体过程与其它风险管理类的合规项目类似,但又有其特别之处。它既有管理层面的制度、流程建设,又有执行操作层面的对业务场景的具体的分解和梳理;既有内控角度的评估完善过程,又有操作风险和产品质量层面的控制和分析;特别是要形成企业内的数据目录(数据仓库),以便企业随时了解其处理的个人数据的情况。
在咨询项目过程中,外部咨询顾问会帮助企业完成前6步的工作,并在项目后期完成知识的转移,最终企业要通过自身的消化和运作机制把项目中的成果推广持续下去。
三项目实施步骤
下面通过笔者参与的一个项目来回顾一下数据合规项目中,各大阶段中的主要工作有哪些。在本项目中,我们与客户的12个部门(团队)进行了多轮访谈、问卷填写、资料收集查阅等,涉及了客户内部几乎所有的部门。
由于客户的现有产品数量较多,我们与客户协商后选取了其中一个产品线进行深入的业务调研和分析。
3.2分析阶段在调研的基础上,我们参照GDPR中的要求,并参考我国的《个人信息保护规范》,识别出客户的产品流程中的数据风险,以及数据保护过程中的不足,并将这些问题进行分类分级,分别提出处置或改进的方案。并帮助客户制定改进行动计划,明确改进的目标和标准。
特别是在分析阶段中,结合客户产品属性和特点,进行了数据目录的模板设计,将试点产品中涉及的个人数据的类型、详细字段,以及收集的目的、来源、处理活动、数据流和传输等进行整理,并记录在数据目录中,并在此基础之上进行DPIA(数据保护影响评估),以发现数据处理中的风险。
3.3实施阶段为了使数据保护工作在公司内部进行固化,项目中还要完善相关的公司制度、管理办法、职位设置和考核标准,并结合现有的产品生命周期管理流程,将数据保护的工作内容和检查点融入其中,以形成by design and by default的数据保护。
并且,根据试点产品的反馈,对数据目录和DPIA模型进行优化,以便适用于公司的其它产品和业务。
结合公司现有各部门的职责划分和应急机制,制定数据泄露的处置流程,特别是在关键时间点、数据泄露的评估、及沟通内容上进行明确定义,以保证客户一旦发生严重的数据泄露事件,能满足GDPR中对数据泄露的通知时间和内容的要求。
由于该客户目前没有达到GDPR中的必须设置DPO(数据保护官)的要求,也受现在组织架构和人力资源的限制,我们在些项目中没有建议客户设置DPO这一职位,但DPO的相关职责仍要有具体的岗位和人员来承担。因为我们将DPO的职责与现有岗位设置进行优化组合,同时建议客户在欧洲和美国市场聘请当地的律师作为其法律代表,以对接当地的监管机构,并可随时应对有可能的相关诉讼案件。
结束语以上是笔者的一些不成熟的总结和想法。随着人们隐私保护意识的加强,以及我国个人信息保护监管法规体系的不断完善,会有更多的企业在个人数据保护方面投入更多的力量,相信也会有更多更好的实践经验不断涌现。
联系我们
扫描二维码关注我们
微信:DaasCai
邮箱:ccjiu@163.com
QQ:3365722008
热门文章
我们的使命:发展数据治理行业、普及数据治理知识、改变企业数据管理现状、提高企业数据质量、推动企业走进大数据时代。
我们的愿景:打造数据治理专家、数据治理平台、数据治理生态圈。
我们的价值观:凝聚行业力量、打造数据治理全链条平台、改变数据治理生态圈。
了解更多精彩内容
长按,识别二维码,关注我们吧!
数据工匠俱乐部
微信号:zgsjgjjlb
专注数据治理,推动大数据发展。