GDPR - 通用数据保护条例

GDPR:不是一种选择,而是当今任何组织的必要条件


SOX合规性 SOX程序 SOX文档

GDPR背景

2018年3月,Facebook首席执行官马克·扎克伯格(Mark Zuckerberg)面临的指控加剧了隐私问题,此后,数据隐私问题出现了新的转机,并引起了全球的关注。

作为连锁反应,人们开始对他们的个人隐私问题关注。 主动和被动的数字足迹都成为讨论的问题,这引发了一系列的问题。

个人数据保护伞下的意识形态以及欧盟的严重问题。 这时,《通用数据保护条例(GDPR) 的概念萌芽,并最终更新了个人数据隐私保护与控制的法律。

数据保护指令的基础

该条例的最终目的是合法地保护基本的个人隐私,同时作出这种权衡,不会对组织造成过度伤害。 同时,它帮助欧洲居民认识到正确使用其个人数据的重要性。以下是GDPR赋予数据主体的基本权利。

在欧盟授权下的人将有权:

  1. 终身可完整、免费地访问其个人数据
  2. 进行更改以更正现有数据
  3. 用所有可能的痕迹擦除数据
  4. 限制处理其数据
  5. 发生违规时,将收到通知
  6. 将他/她的数据传输到其他组织
  7. 反对任何与处理、存储或循环等有关其数据的决定
  8. 不赞成数据控制器或处理器做出的自动决策

这意味着欧洲数据主体现在有权询问使用其数据的原因、方式、地点、原因和时间。 对象甚至可以要求数据控制器和处理器删除、修改、更正、检索或将其数据从一个数据控制器移到另一个数据控制器。

为什么合规是不可避免的?

为了实施GDPR,欧盟规定组织在30天内有法律义务回答数据主体的要求。否则,公司将受到高达2000万欧元的行政处罚,或占总收入的 4%,以较高者为准。因此,现在每个受GDPR影响的企业都需要每天响应批量请求。

由于没有具体的合规定义,因此没有任何确定的方法来避免罚款。 公司必须急于响应每个请求,无论需要多少额外时间、成本和资源。

GDPR对企业的影响

随着GDPR消除了欧洲公众的担忧,作为数据控制器的组织突然承受了在GDPR框架下实施9条173款的压力。 “默认隐私和设计”的影响是如此根本,以至于商业模式,甚至基本的工作流程都受到干扰。 隐私政策协议不再被视为同意,因为数据控制器需要明确且更频繁地从主体(即”选择加入”而不是”选择退出”)获得同意 。 此外,如果组织决定将数据处理外包给第三方,这些数据处理器也将被追究责任,这与将他们从问责中解放出来的DPD不同。 总之,GDPR意味着企业处理这种情况的唯一方法是做好充分合规的准备。为此,他们需要有效的GDPR战略。

实施通用数据保护条例后的主要挑战

根据国际隐私专业人员协会(IAPP)的说法,由于GDPR,组织面临的主要障碍是使数据可移植、可忘记。 在此背景下,定义优化的业务程序可能会对数据隐私专业人员造成挑战。

有些企业甚至可能将重点从生产力转移到流程合规性、数据治理和质量控制上,因为这些要求在GDPR中最为突出。

更确切地说,企业面临的主要挑战是:

变革管理

在实时流程和遗留系统中进行如此巨大的结构变革是困难和耗时的,尤其是对跨国公司而言。

文档

组织需要建立、记录和维护GDPR计划的所有记录,包括目标、目标、方法、规则、法规、资源、任务和结果。

数据完整性和标准化

完整、优质、标准化的数据是扎实的GDPR战略的基础。 但是,存储新数据、改进现有数据和集成不同数据结构可能非常复杂。

不可避免的人为因素

非结构化过程和口头沟通会使数据更容易泄漏。

间接费用

对所有员工进行初始设置和持续培训,以正确和科学地处理GDPR相关流程,可能会损害企业的核心生产力,甚至损害收入。

数据识别与分类

精确定位存储、处理、记录和报告所需的合法数据可能非常令人困惑。

数据及时性

取消有效和过时数据的耦合可能很不完善,因为组织需要根据不同的数据生命周期决定数据何时变得没有必要。

数据安全性

组织需要保持数据的合法性、安全性和最新性,同时定期进行数据备份和清除,并维护对数据的不同访问权限。

审计与合规

收集、存储、使用、编辑或删除数据的经过验证的跟踪记录对于任何组织在审计时证明其合规性至关重要。

欧盟范围外的执法

虽然听起来很容易,但找出GDPR适用于哪个主题在哪个语境下并不容易。 在欧洲没有业务的公司可能会处理来自英国客户的数据,并且需要推出全方位的措施以确保合规性。 如果其他类似法律适用于不同地区,跨国公司制定不同的战略就更具挑战性。 组织需要为多种监管要求找到共同的理由。

所有这些挑战都不是由您的DPO(数据保护官)、首席信息官(首席信息官)或CISO(首席信息安全官)承担的独立活动。 它需要一个整体战略重新设计和工艺改造,从而获得特别关注,工作队和提高熟练员工,以满足GDPR的要求。

仔细研究用BPM解决GDPR的优势

为了应对组织面临的挑战,使GDPR合规性与组织的日常运营保持一致,以流程为导向的方法是以最有效的方式实施、管理和维护GDPR计划的唯一途径。

这就是说,业务流程管理(BPM)是一种强大的方法,能够解决GDPR的所有上述挑战。 BPM工具可以轻松地构建到组织的现有业务流程框架中,并将GDPR的7个支柱中的每一个扩展到业务流程层次结构中,将异步业务活动和分散的工作流程转变为符合GDPR定义的精心设计和高效的流程。 这也将确保由于GDPR而引入的所有新流程或因GDPR而发生变更的现有流程将完全合规。

这样,持续的管理和维护将变得更加容易,而且可靠性将非常清晰。 归根结底,流程优化、风险管理和监管合规是BPM和GDPR的共同目标。

BPM方法可以通过一些现成的BPM 工具和应用程序(可映射到合规性要求)提供大量基本和附加功能,从而成倍提高业务生产力。

以下是BPM 工具的一些显著特征及其与应对GDPR的要求:

影响分析

BPM工具能够提供影响分析或影响图,帮助识别因GDPR而受到影响的任何过程和人工制品。 这将确保GDPR合规计划能够在规定时间内实施。

监控与分析

BPM工具可以帮助您可视化正在进行的活动并加强跨部门协作。 他们将在一个共同共享存储库中跟踪数据流,从而实现完全安全、完全可追溯性和各种访问级别。 数据控制器和业务经理可以生成审计跟踪,以确保一切正常。

基于职责分离的数据所有权

BPM工具的每个用户将被分配明确的角色和责任,每个过程,任务,资源,监管,规则,文档等。 员工绩效将被量化。 因此,评估将变得更加容易,并可以促进改进。 此类数据所有权最终将增强您的DPO的工作能力。

批准周期和安全设置

批准消息和地面交互可以通过BPM门户实现自动化,以获得数据处理的具体同意。 批准周期确保您的数据个人权利将自动和固有地得到保护。

灵活性和可访问性

包含的BPM工具可以从/导出不同数据库的数据,从而允许灵活、精确和安全的数据传输。 值得一提的是,许多BPM工具都对移动负责,允许随时随地无忧无虑地访问您的数据。

通知和警报

BPM工具确保参与流程的负责任和负责任的个人将收到自动通知,以便及时、迅速地执行其任务,无论是批准还是拒绝行为。 如果滥用或泄露您的敏感数据,此类实时警报将非常有用。

审计跟踪

许多BPM工具支持对业务流程和相关文物进行变更的完整审计跟踪。 此功能将帮助业务流程所有者保留更改的历史记录,并在必要时回溯到以前的版本。

协作

为了确保解决GDPR的所有要求(适用于客户组织),流程更改基于跨职能协作进行,以便对所有交接进行适当的映射,并在重新设计过程中达成充分共识,这一点至关重要。

逆向学习 + 再学习

为了符合GDPR要求,组织的管理层和员工必须经历大量不学习和重新学习的业务流程。 因此,基于存储库的BPM工具可在确保人员和流程的一致性、促进知识保留和最佳实践共享方面提供重要价值。

要了解更多关于BPM如何保护您的GDPR计划,请查看我们的博客

Interfacing如何为您提供帮助

Enterprise Process Center——GDPR 实施的催化剂

Interfacing 的Enterprise Process Center®(EPC)是公认的领先的 BPM和GRC解决方案,提供从流程优化、文档管理、绩效分析、数据治理、风险评估到审计和控制等各种模块。 除了流程建模工具之外,EPC 还帮助许多组织改进流程、自动化工作流程、文档系统数据可提高性能、降低风险和共享知识。 EPC 将是使:

1. 流程设计与规划:

确定与数据相关的关键流程,将GDPR映射到您的组织工作流程中,涉及所有与GDPR相关的参与者

  • 通过流程映射将流程转换为操作,显示相互关联的过程,以提高整体生产力和流程智能
  • 记录与数据相关的活动,生成完整的可追溯性和合规性审计跟踪
  • 通过实施控制来防止日常操作中违反监管的行为,以确保所有员工无缝执行
  • 版本控制以监控您的数据环境,安全数据清除以管理您的数据库存

2. 数据安全与问责制:

  • CRUD(创建、读取、更新、删除)方法,以确保整个生命周期内的数据安全
  • RACI扩展矩阵,根据不同的角色、规则和职责(职责划分)为数据设置不同的安全级别
  • 对整个组织的数据进行同步修改,以保证数据一致性和信息对称性
  • 移动响应平台,支持所有数字业务环境和端点的数据流
  • 即时通知,以创建对话,确保一致性,并增加与您的员工和客户的信任

3. 风险评估和缓解:

  • 通过不同的观点和报告可视化和分析所有与数据相关的活动,以便更好地发现、阻止和预防风险
  • 优先考虑风险缓解行动,根据计算的分数制定对策,以合理化决策
  • 设置定期审查和监测不同的成熟度水平,以便在GDPR旅程中持续改进

简而言之, GDPR

GDPR影响了数据治理和合规的未来格局 – 欧盟对每家处理与欧洲相关的公司都规定零数据违规。

在先进的BPM工具的帮助下,企业可以在不牺牲生产力和效率的情况下专注于质量和安全性。 BPM工具是一种关键策略,允许欧洲客户信任其数据处理器和控制器,并最终提高对品牌的忠诚度和保留度。

BPM工具可以一体解决GDPR之后的一大堆问题,毫无疑问,企业应该开始实施此类工具,为迈向更美好的未来铺平道路。

了解我们如何帮助您管理合规性

立即免费试用!

使用Interfacing的业务流程管理软件(BPM软件)Enterprise Process Center®,记录,改进,标准化和监视您的业务流程,风险和绩效!