回答這個問題,首先要明確針對的主體物件是誰。
如果物件是中國企業,那麼需要自問的問題是公司是否有涉及到歐盟業務或是否涉及到採集歐盟公民的資料?
如果答案是Yes,恭喜你,你要根據GDPR合規要求進行整改了。
GDPR也不是硬生生造出來的東西,歐盟之前也有想過資料保護條例,核心的思想不僅在於資料保護,而在於對使用者individual的資料隱私保護。
這個GDPR對企業資料資料流程(注意,不僅是對資料保護流程的影響)的起點到終點都有嚴格要求。所以改變是巨大的,尤其是對於沒有之前歐盟資料保護基礎的中國企業。
稍微展開來講:
1.資料收集。你的使用者是否瞭解你在採集他們的資料?是否清楚你在採集何種資料?你是否已獲得他們的同意?這些都是企業需要做的。
2.資料分類。你是否瞭解企業所有采集的資料?並對資料進行合理的分類?這是需要各部門協調的過程。
3.資料脫敏。別再傻傻的使用xxx這種方式進行資料脫敏了。幾十年前就已經證明無法有效保護使用者隱私的方法現在仍然是中國企業資料脫敏的主流,也難怪大量資料會流於黑市、網上買賣。企業需要根據不同資料類別選擇更有效合適的脫敏技術。
4.資料傳輸。即使一家企業內部的資料傳輸也有明確的要求,部門間、子公司間、跨區域間,都有嚴格的要求。尤其是中國企業涉及到的資料跨國傳輸,更需格外留心。跨出企業圍欄的資料也是雷區。
5.資料使用。對使用者資料的使用方式和類別使用者是否知情?
回答的簡單了點。GDPR條款繁多,一一解讀非寥寥幾行字所能完成。之前為企業做的資料合規case都是少則幾個月多則一年多的時間,所以裡面內容之繁雜可見一斑。
明年5.25就是GDPR的大限了,還望中國企業未雨綢繆、早做準備,切莫撞上歐盟的鉅額罰金。
回答這個問題,首先要明確針對的主體物件是誰。
如果物件是中國企業,那麼需要自問的問題是公司是否有涉及到歐盟業務或是否涉及到採集歐盟公民的資料?
如果答案是Yes,恭喜你,你要根據GDPR合規要求進行整改了。
GDPR也不是硬生生造出來的東西,歐盟之前也有想過資料保護條例,核心的思想不僅在於資料保護,而在於對使用者individual的資料隱私保護。
這個GDPR對企業資料資料流程(注意,不僅是對資料保護流程的影響)的起點到終點都有嚴格要求。所以改變是巨大的,尤其是對於沒有之前歐盟資料保護基礎的中國企業。
稍微展開來講:
1.資料收集。你的使用者是否瞭解你在採集他們的資料?是否清楚你在採集何種資料?你是否已獲得他們的同意?這些都是企業需要做的。
2.資料分類。你是否瞭解企業所有采集的資料?並對資料進行合理的分類?這是需要各部門協調的過程。
3.資料脫敏。別再傻傻的使用xxx這種方式進行資料脫敏了。幾十年前就已經證明無法有效保護使用者隱私的方法現在仍然是中國企業資料脫敏的主流,也難怪大量資料會流於黑市、網上買賣。企業需要根據不同資料類別選擇更有效合適的脫敏技術。
4.資料傳輸。即使一家企業內部的資料傳輸也有明確的要求,部門間、子公司間、跨區域間,都有嚴格的要求。尤其是中國企業涉及到的資料跨國傳輸,更需格外留心。跨出企業圍欄的資料也是雷區。
5.資料使用。對使用者資料的使用方式和類別使用者是否知情?
回答的簡單了點。GDPR條款繁多,一一解讀非寥寥幾行字所能完成。之前為企業做的資料合規case都是少則幾個月多則一年多的時間,所以裡面內容之繁雜可見一斑。
明年5.25就是GDPR的大限了,還望中國企業未雨綢繆、早做準備,切莫撞上歐盟的鉅額罰金。