(1)组织的业务是否符合GDPR规定?

　　GDPR与其前身数据保护指令(指令95/46/EC)相比，适用于更大范围的组织。事实上，不受欧洲隐私法律约束的许多企业实际上需要遵守GDPR。以下是如何确定是否必须遵守：

　　GDPR用于在欧盟存在的所有组织，在执行业务活动期间处理个人数据，即使是规模最小的公司也是如此。

　　如果在欧盟没有实体存在的公司希望为欧盟居民提供商品和服务，那么适用于GDPR。 这包括使用欧盟语言或货币，为欧盟居民量身定制产品，或在欧盟范围内积极营销。 “监控”定义为在线跟踪人员创建个人资料，或分析和预测个人偏好，行为模式或态度。

　　(2)组织是否需要数据保护官(DPO)?

　　与合规官或法律顾问不同，组织的数据保护官(DPO)需要向执行委员会报告，并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们是否处理敏感数据的情况而定，拥有少于250名员工的组织可能也需要指定DPO。

　　(3)是否有程序响应删除/修改/提供数据副本的请求?

　　除了数据保护指令规定的权利，例如访问数据副本，修改权和限制处理权。GDPR还包括在线信息删除和数据可移植性的权利(允许人们将其数据传输到另一个服务提供商)。这意味着组织必须制定完整的程序来回应这些类型的请求。

　　(4)组织是否有符合GDPR要求的事件响应计划?

　　GDPR包括数据泄露通知要求。如果有危害人身的风险，数据违规将会受到监督机构的通知，限72小时内改正。受影响的数据科目也必须在没有“不当延误”的情况下通知。

　　(5)组织的数据传输机制是什么?

　　如果组织还没有决定如何从欧盟转移个人信息，那么现在是检查转移机制的好时机，因为它们将受到行政处罚。如果组织将数据从欧盟转移到美国，组织的选择是：

　　隐私保护认证
　　执行示范条款
　　组织内部数据传输的约束性规则

　　在所有这些要求中，共同的线索似乎是为数据保护和治理分配更多的资源，并采取更主动的隐私和安全方法。企业必须制定出应对新监管条例的程序，并对员工进行培训，因为任何不合规行为都可能导致严厉的制裁。此外，企业更应该虚心去学习了解GDPR的细则和应用规则。

　　加强IT建设，谨慎处理好企业平台上现有的用户大数据。为了遵守GDPR要求，公司必须弄清楚他们收集和存储欧盟公民个人身份信息的所有方式。这需要组织内所有部门人员之间的紧密合作，从IT到销售，营销到财务。
第三十八届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。