您可以实施许多流程来实现 GDPR 合规性,但它们都指向一个更大的概念——数据治理。

可以这样想:

如果您的组织实施的流程是拼图,那么数据治理就是您希望获得指导的盒子上的图片。这是使所有小部分都有意义的大图。

所以呢 确切地 是数据治理?

数据治理 建立组织级控制环境来管理数据的处理、使用、存储和保护方式。它至少包括以下内容:

  • 您的组织处理哪些信息
  • 在哪里处理
  • 如何处理
  • 确保安全处理的控制措施

如何在组织中实施数据治理? 

首先,了解您的组织处理什么类型的信息。这可能看起来很简单,但它是一个起点,可以让您最准确地了解数据治理计划中必要的后续步骤。

您应该使用技术和概念策略来完成此步骤。意思是,您应该进行技术分析,在其中分析所有数据库和信息系统,以确定或验证处理的信息类型。

此外,您应该进行概念分析,在其中布置业务流程以确定处理哪些信息,以及在业务过程中信息会发生什么。

在此过程中,您希望完成两件事:

1. 对信息进行分类。

如果您的目标是 GDPR 合规性,您需要特别关注“个人数据”,GDPR 将其定义为“与已识别或可识别的自然人(‘数据主体’)相关的任何信息”。

但是,对于其他框架,您还需要担心机密或私人数据,因此请务必分类 all 您系统中的信息。

2. 创建数据映射。

除了知道 什么 您处理的信息类型,您还需要记录 什么时候 and 在哪里 该信息被处理。

目标是创建对所有数据的存储和处理的高级描述。

这在解决问题时特别有用 第三十五条,这要求在处理“可能会对自然人的权利和自由造成高风险”时进行数据保护影响评估 (DPIA)。

DPIA 要求对处理进行“系统描述”,并评估这些操作的必要性和风险,包括降低风险的措施。了解您正在处理哪些数据以及它如何在您的组织中流动,将使您在此要求上领先一步。

在您了解组织处理信息的时间、地点和方式的“大局”之后,您需要确保拥有适当的控制环境来管理该信息。您的数据分类将有助于推动为保护数据而建立的控制措施的严格性。数据保护是 GDPR 的要求之一。

GDPR 还对以下方面实施了严格的规定: 国际数据传输.创建数据地图以查看个人数据的传输位置将使您了解当前采取的保护措施以及您可能需要实施的控制措施。

此外,您需要制定政策、程序和基础设施来解决个人隐私权问题。

例如, GDPR 第 15 条 允许用户索取其个人信息的副本或完全删除该信息。您是否拥有允许轻松访问该信息的基础设施?此外,您是否制定了程序来定义如何收集信息并将其传输给请求者?

最后,你需要 培训人员 在用于指导适当数据管理的政策和程序中。虽然您可能能够实施正确的文档和基础设施来帮助遵守 GDPR,但如果员工不知道如何使用这些结构,它们就会变得无关紧要。

数据治理的目标是控制您的数据——准确了解数据的位置、使用方式以及维护其安全性的机制。它提供了一个大局的合规性策略,可以完成数据管理的小细节。

GDPR 即将到来,虽然数据治理可以帮助您了解合规性途径,但它仍然是压倒性的。 LBMC 的 GDPR 合规服务可以帮助您分析和分类您的数据,并提供行动项目让您为合规做好准备。只是 点击此处与我们联系 并了解我们如何帮助您开发符合 GDPR 的控制环境。