GDPR正式生效 企业怎样建设隐私数据安全防护？

　　清晰辨析和知晓个人信息数据的物理和逻辑存放位置，本地还是云端，国内还是国外。尤其是对于涉及公有云的业务情况，需要评估是否涉及跨境数据存放以及评估业务所在国对跨境数据存放与传输的法律规定对业务开展的影响情况。

　　5. WHEN

　　每年定期在机构内部开展个人信息数据保护的培训工作。培训内容包含在业务开展中保护个人数据的实施操作指南，发生信息泄露后的上报及处置机制与流程等

　　每年定期在机构内部开展针对个人信息数据保护情况的安全审计工作。审计的内容主要包括机构的隐私保护安全政策、实施流程以及措施有效性等。

　　四、 主要的注意事项

　　结合《个人信息安全规范》与GDPR的要求，在隐私数据安全防护建设中有以下五个事项需要得企业机构着重关注。

　　1. 数据主体信息的获取与删除

　　个人信息的获取无疑是所有隐私保护工作的初始，没有获取，自然也无从谈起对其的安全保护。但在获取过程中，作为数据控制的实体，在数据获取过程中，必须考虑以下三点。其一，信息数据的搜集遵循最小需求的原则。对于与业务功能无关联的数据不应进行搜集。其二，对于未成年人个人数据的获取。《个人信息安全规范》5.5条款中提到对于未成年人的数据搜集必须获得其监护人的明示同意。其三，对于从非数据主体间接获取数据的方式除需要合法合规外，还需要认识到获取数据的同时意味着自身也承担了对数据进行保护的等同责任。

　　《个人信息安全规范》和GDPR都明确了数据主体所具备的对个人信息数据进行删除的权利(《规范》称为主体参与原则，GDPR称为删除权或被遗忘权)。就目前而言，提供删除的功能以及删除相应数据的工作在短期内全球大部分企业可能都难以提供和完成。当然，一些巨型跨国公司较早认识到这点并已开始提供此项功能，例如Facebook和Google已提供个人数据下载和账户信息删除功能。对用户而言，一旦他们向上述服务商提交个人数据删除申请后，它们将在最长90天的时间内进行相关信息删除。

　　2. 第三方合作方的合规遵从

　　对企业机构而言在与第三方开展合作时，务必考虑以下二点。其一，只要第三方参与并涉及到个人信息数据的读取、存储、再加工等，第三方均有责任对数据进行保护。其二，与第三方的合作，对企业机构而言不意味着安全责任也随之外包。在此过程中，作为数据控制主体的机构应该与合作方通过签署一系列的合同和协议来进行安全约定。这些内容包括约定合作方应有的安全保护措施、对数据的最小采集(包括范围、类型和数量)、最小使用(仅限特定用途)、发生信息泄露的处置措施和处罚措施以及当合作终止时，对数据的回收以及第三方对数据(包括原始和备份数据)的销毁。

（编辑：网站开发网_盐城站长网 ）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!