法律明确规定了收集和处理个人数据的组织的责任。您必须制定政策和程序,并确保所有人员都了解并接受《通用数据保护条例》的培训。不遵守规定可能会导致高达数百万英镑的数据泄露罚款 – 这还不包括相关的法律费用和声誉损失。
尽管如此,2019 年,英国仍有 88% 的企业遭遇数据泄露。最近,波耐蒙研究所 (Ponemon Institute) 进行的研究显示, 2020 年英国企业数据泄露的平均成本为 390 万美元(275 万英镑)。这略高于全球平均水平 386 万美元,略低于 2019 年的 392 万美元。IBM 赞助的这项研究已进入第 15 个年头,分析了 17 个国家/地区的 524 家遭遇数据泄露的组织,得出了这些结论性结论。这些报告证实,您的组织需要接受的现实不是是否会遭受重大数据泄露,而是何时发生。
什么是隐私计划?
为了满足数据保护合规性,组织需要了解以下内容:
您的组织(包括任何子公司)正在收集、处理和保存哪些个人数据?这些数据存储在哪里?
与您组织的数据保护合规性可能相关的动机、目标、要求和任何其他操作考虑。
您的组织必须遵守的隐私和数据保护法律、法规或行业行为准则。
与作为(数据)处理者的外部供应商签订了哪些合同安排,或者与客户或商业伙伴签订了哪些涉及处理个人数据的其他协议?
如何处理员工个人数据。
您还需要进行数据映射练习,以便了解:
个人数据进出贵组织的入口和出口点有哪些(电子邮件、电话、即时通讯、网站、社交媒体)?
收集和处理个人数据的目的是什么?
个人数据来自哪里,例如客户、供应商、员工?
数据存储在哪里以及适用什么法律管辖?
如何访问数据以及谁有权访问数据?
强大的隐私管理程序 手机号码数据 会考虑所有这些因素,并提供坚实的基础,使您的组织能够有效地管理数据处理操作,旨在建立全企业的隐私和数据保护合规文化。
如何实施隐私计划?
制定和实施隐私计划需要投入时间和金钱。回答完上述问题后,您需要进行风险评估。这涉及查看您收集、处理和保存的个人数据,并分析以下内容:
哪些处理器参与处理贵组织收集的个人数据?
他们是否拥有强大的隐私框架和合规文化?
您持有的个人数据有多敏感?是否应将其归类为特殊类别数据?
谁有权访问贵公司的数据? 是否可以从外部设备(例如员工或第三方的手机、iPad 和/或笔记本电脑)访问?
贵公司和合同处理方处理数据泄露的程序是怎样的?过去如何处理数据泄露?吸取了哪些教训?流程中的弱点是否得到解决?
一旦风险评估完您可以按需雇用的职位 成并达成一致,下一步就是选择隐私框架。
建立有效的隐私框架
隐私框架将提供基本结构,并提供有关如何整合适用于贵组织的任何合规性要求的指导。它将确保您制定正确的合规性政策和程序,同时提供灵活性,以调整流 西班牙电台 程以满足您的商业要求。
良好的隐私框架将帮助您:
识别并优先考虑您的业务风险。
降低发生数据泄露的威胁。
衡量对隐私和数据保护法律、法规和行业标准的遵守情况。
正确的隐私框架取决于您企业的独特要求、结构和组织文化。以下是一些常用的框架:
AICPA 隐私框架是为组织提供的工具,可帮助它们为隐私计划奠定基础,是对《一般可接受隐私原则》 (GAPP)的更新。AICPA 会查看组织与个人数据的收集、创建、存储和传输相关的活动。您必须是 AICPA 会员才能下载该框架。
NIST 隐私框架是一种自愿且免费的资源工具,可帮助组织将隐私实践与网络安全要素相结合。组织可以采用适用于自己的方面,而不是采用整个框架。
ISO/IEC 27701:2019规定了如何创建、实施、维护和改进组织的个人信息管理系统 (PIMS)。ISO 标准选项是 ISO /IEC 27001:2013的扩展,它提供了信息安全管理系统 (ISMS) 的要求并映射到其他ISO/IEC 27000 系列标准。ISO 标准并非免费,但如果您符合/通过 IOS 27701 认证,您的 PIMS 很可能符合 GDPR 标准。ISO 标准还将映射到美国法律,例如《加州消费者隐私法案》(CCPA)、《消费者数据隐私和安全法案》(CDPA) 和《健康保险流通与责任法案》(HIPAA)。
BS 10012是个人信息管理系统 (PIMS) 的另一个框架。它更符合 GDPR 标准,并且与 ISO 框架类似,需要考虑成本和认证要素。
在隐私框架方面,ISO/BSI 框架通常是最受欢迎的选择,因为它们包含认证。获得认证表明您的组织已在隐私合规性和培训方面进行了投资,这在接触投资者或申请招标、合同和/或合资企业时提供了强大的卖点。但是,如果您觉得您只需要一个基础来建立隐私合规性,那么 AICPA 或 NIST 框架是一个很好的起点。
我如何支持隐私计划负责人?
建立、实施和运行隐私计划需要专业技能。您可能希望考虑任命一名数据保护官(DPO),以确保流程顺利进行,结果有效。任命 DPO 并投资所需培训以确保他们能够实现既定目标的优势包括:
您的组织将受益于拥有最新隐私和数据保护法规、项目管理和 IT 安全知识的专家的专业知识。
他们必须独立运作,并且不能因履行职责而受到纪律处分。DPO 还具备管理个性强的人和推动隐私计划完成所需的人际交往技能。
您可以选择了解您所在行业领域的 DPO。
经验丰富的 DPO 竞争非常激烈,即使您设法招募到合适的人选,他们也会要求高薪和奖金。除了最大的组织之外,提供这样的待遇,无论多么应得,通常都是不可能的。因此,通常更现实的做法是从企业内部任命某人作为 DPO,然后投资发展他们的技能和知识,以便他们能够领导您的隐私计划。
认证隐私管理培训
在为 DPO 提供的所有培训计划中,很少有课程涉及实施和管理隐私操作所需的专业知识。这就是为什么IAPP 认证信息隐私经理 (CIPM)是一个独特的资格。
IAPP CIPM 致力于将数据保护法知识转化为政策和程序。它使持有者能够制定有效的实践,包括实施隐私计划框架、衡量绩效以及了解隐私计划的运营生命周期。CIPM 是欧洲认证信息隐私专业人士 (CIPP/E)或BCS 数据保护从业者证书的完美伴侣,两者结合后,涵盖了成为英国和欧洲 DPO 或同等隐私主管所需的所有关键领域。