如果您是数据专业人员,那么数据治理和GDPR可能就是您现在的首要任务。
因为如果您的组织存在于欧盟(EU)或与欧盟进行贸易,则通用数据保护法规(GDPR)将影响您的运营。
尽管如此,根据2018年的数据治理状况报告,只有6%的组织表示他们在5月25日生效日期之前已做好“充分准备” 。
也许可以找到一些安慰,因为39%的受访者表示他们“有所准备”,有27%的人开始准备。
但11%的受访者表示他们“根本没有做好准备”,最令人沮丧的是17%的组织认为GDPR不会对他们产生影响。
我担心这些人和他们的组织被误导,因为任何行业的任何公司都在GDPR的范围内。即使组织的数据库中只包含一个欧盟公民的数据,也必须遵守法规。
因此,对于组织而言,在截止日期之前准确了解他们需要做什么以及高达2000万欧元或4%的年营业额(以较大者为准)的潜在罚款非常重要。
个人身份信息(PII)
根据GDPR, 个人数据 是与人有关的任何信息,例如姓名,照片,电子邮件地址,银行详细信息,社交网站上的更新,位置详细信息,医疗信息或计算机IP地址。
个人数据也有多种形式,并扩展到不同数据元素的组合,这些数据元素不是PII,但在合并时有助于PII状态。
积极同意,数据处理和被遗忘的权利
GDPR还强化了同意的条件,这些条件必须明确并与其他事项区分开来,并以清晰易懂的语言以易于理解和易于获取的形式提供。它必须像提供同意一样容易撤回同意。
数据主体还有权获得有关其个人数据是否正在处理,何处以及用于何种目的的确认。数据控制者必须以电子格式免费提供所述个人数据的副本。这种变化是数据透明度和消费者赋权的巨大转变。
被遗忘的权利使数据主体有权使数据控制器擦除他/她的个人数据,停止进一步传播数据,并可能让第三方停止处理数据。
记录合规性和数据泄露
GDPR还希望遏制近年来变得更加广泛和频繁的数据泄露事件。数据的价值飙升,使数据驱动型企业成为网络威胁的目标。
组织必须记录他们拥有的数据,所在的数据,保护数据以及为解决错误/违规而采取的措施。事实上,如果违规行为可能“导致个人权利和自由风险”,则必须在72小时内发出数据泄露通知。
数据治理和GDPR:使数据治理发挥作用
根据本文开头提到的DG报告的结果,组织不像它们应该那样准备好GDPR。但仍有时间采取行动。
数据治理和GDPR齐头并进。强大的数据治理计划对于GDPR合规性所需的数据可见性和分类至关重要。它将有助于评估数据风险并确定其优先级,并有助于更轻松地验证GDPR审核员的合规性。
数据治理使组织能够发现,理解,治理和社交其数据资产 - 不仅在IT内部,而且在整个组织中。它不仅包含数据的当前迭代,还包括整个血统和数据生态系统中的连接。
在GDPR的背景下,理解数据沿袭是绝对必要的。例如,采取被遗忘的权利。这种合规性要求组织定位所有个人的PII以及可与其他数据点交叉引用的任何信息以成为 PII。
通过正确的数据治理方法和支持技术,组织可以确保GDPR符合其当前的现有架构和数据资产,并确保新数据源和/或对待构建的更改包含适当的控制。
整个企业的利益相关者需要了解并启用GDPR,以便建立合规性,文化。
(部分内容来源网络,如有侵权请联系删除)
