探索我们的网络安全资源库, 包括案例研究, 白皮书, 最佳实践和专家思想领导.
了解更多 >欧盟《bet9游戏平台》(GDPR)于2018年5月25日生效. 该条例专门针对个人数据处理方面的自然人保护以及此类数据的自由流动. 该规定适用于在欧盟开展业务或处理源自欧盟的个人数据的任何组织, 无论是居民还是访客的数据.
GDPR深刻改变了人们对隐私的理解, 欧盟的数据保护和个人数据,并对任何处理欧盟数据主体个人数据的人产生广泛影响. 数据主体被定义为其个人数据被捕获和处理的人. 如果您的组织仅捕获欧盟数据主体的一条记录,则此法规适用于您.
GDPR还改变了这些法律的执行方式,并带来了潜在的重大处罚. 未能遵守GDPR条款的处罚可能会使组织面临高达2000万欧元或组织全球总收入的4%的罚款, 取较大的.
施耐德唐斯提供多种解决方案,帮助我们的客户实现并保持GDPR合规性:
1. 意识
您应该确保组织中的决策者和关键人员意识到法规正在发生变化. 他们需要了解这些变更可能对您的组织产生的影响. 除了, 对于组织中定期处理个人数据的某些人员,可能需要一线级别和更大规模的培训.
2. 记录您所持有的个人信息
你应记录你所持有的个人资料, 它从哪里来, 你用它做什么,你和谁分享它. 我们对每个流程使用数据流程图和业务流程图.
3. 沟通隐私信息
您应该查看当前的隐私政策, 程序, 制定合同和通知,并制定计划,以便进行必要的更改,以满足GDPR的最后期限.
4. 个人权利:被遗忘权、数据转移权、数据更正权等.
你应该检查你的程序,以确保它们涵盖了个人的所有权利, 包括如何删除任何过时的数据.g.(被遗忘权)、应要求转移资料或更正任何不正确的资料.
5. 资料当事人查阅资料/索取资料处理资料要求
您应该更新您的程序并计划如何处理数据提取请求,以满足30天的要求. 数据主体有权从控制者那里获得关于是否正在处理与他或她有关的个人数据的确认, 哪里是这种情况, 查阅个人资料. 他们也有权询问进一步处理和处理他们的数据的性质,而这些数据是在控制者拥有的.
6. 整理你的数据
确定您处理或存储敏感数据的所有数据主体,并确定GDPR是否适用于他们的国家. 记录每个成员国的监管机构,并确定每个流程的数据控制者. 您还需要根据您的总体活动确定谁将是领导监管机构.
7. 处理个人资料的法律依据
您应该审查您当前的做法和合同,并确定您在GDPR下处理活动的合法依据, 记录它, 更新你的隐私声明来解释.
8. 同意
你应该回顾你是如何寻求、记录和管理同意的,以及你是否需要做出任何改变. 如果现有的同意流程不符合GDPR标准,请立即更新.
9. 资料外泄/事件应变计划
您应该确保您有一个事件响应计划来进行检测, 报告和调查个人数据泄露. 计划需要被记录和测试.
10. 处理的安全性
您应该确保某些技术保障措施到位,以确保有效减轻个人数据的风险. 您的计划应包括诸如假名化和个人数据加密等技术. 有效的控制不仅保证了持续的安全, 但个人数据的保密性和可用性也必须到位.
11. 数据保护的设计和数据保护影响评估
你现在应该熟悉数据保护影响评估的行为准则,以及第29条工作组的最新指导, 然后决定如何, 何时或是否需要在您的组织中实现这些.
12. 资料保障主任
您应该指定专人负责数据保护合规性,并评估该角色在您的组织结构和治理模型中的位置. 您需要确定是否需要正式指定一名资料保障主任. 如果是这样,这个职位必须向最高管理层报告.
如果您的组织未能及时遵守GDPR,请 访问“我们对”博客 阅读更多关于如何变得合规的建议.