对应GDRP有很多人可能不了解，有些组织已做好准备，有的组织是如此毫无准备，以至于提到“GDPR”这些字母的内容都是空白的。

“符合GDPR标准”究竟是什么样的？我们会面临巨额罚款吗？其实很多问题都围绕着企业展开。

这些都是商业世界中常见的问题，而且几乎没有什么帮助文档。缺乏建议是基于两个最重要的因素：

没有人愿意提供指导，因为如果他们错了，那么他们可能会在法律上容易受到伤害。

即使是所谓的“专家”也没有弄清楚什么是完全合规符合GDRP规范的，下面由我们为你分析如何进行GDRP，并让你的企业符合GDRP规范。

第1步 - GDPR概述，它的全部内容是什么？

2016年5月24日，欧洲议会投票的通用数据保护条例（GDPR）成为法律。法规公布后，直至2018年5月25 日的两年倒计时立即开始，在那一天，GDPR成为整个欧盟的法律，取代之前的所有其他数字数据隐私法律和条款。

该法律旨在提供一套一致的新规则，涉及公民数据的保护 - 无论记录在何处。  

它还使公民能够查询，更改并在必要时删除从世界任何地方的任何系统引用它们的个人信息。这是对的人，如果你在孟加拉国并且你处理欧盟公民的私人信息，那么这些数据受到GDPR的保护。“为什么？”我听到你问。

那么，欧盟GDPR 2018是过去十年中通过的一些影响国际贸易的域外法律之一。这些法律影响到世界各地的所有司法管辖区，并且预计将由地方当局执行，而不管它们是否在海外颁布。  

例如，2010年通过了“外国账户税收合规法案”（FATCA），要求所有非美国金融机构识别属于美国公民的资产，然后将这些资产报告给美国财政部（以及资产持有人）。  

GDPR监管类似，因为它给所有组织带来了负担，以确定他们所持有的欧盟公民的数据，并确保这些细节可以根据这些公民的要求进行识别，更新，并在必要时予以删除。

容易吗？毕竟，那里有多少个人信息？好吧，事实证明，相当多。

第2步 - 根据GDPR 2018确定哪些数据下降（并且不会下降）

GDPR保护两种类型的数据 - 个人数据和敏感的个人数据。

敏感个人数据被定义为包括种族或族裔，性取向，政治观点，宗教或哲学信仰，工会会员资格，遗传或生物识别数据和健康数据的详细信息。

个人数据被定义为与已识别或可识别的自然人有关的任何信息。

敏感的个人数据就像定义一样简单明了。它基本上确定了个人的一些最私密的数据，并确保以最高级别的自由裁量权保护该信息。然而，个人数据的定义更加模糊 - 这似乎是设计上的。  

我的名字是否被视为个人资料？是。我家的地址怎么样？是。 

那我有3通讯第三各方如电子邮件，社交媒体，聊天和短信？是的，是的，是的。  

IP地址或GPS数据怎么样？是的 - 他们也是。任何可用于追溯到自然人的信息都可以被归类为个人数据，无论其采用何种形式，这都是一个巨大的问题。

您是否知道在GDPR生效时将有多少数据重新归类为“个人”？  

我不能说我是。而且，我很确定你也不能。事实上，我唯一可以肯定地说，如果有人告诉你他们对个人数据有一个“无所不包”的定义，那么他们就不知道他们在谈论什么。  

我们谈过的大多数顾问已经对冲了他们的赌注并将几乎所有内容归类为“个人数据”，无论他们的解释有多么不切实际。可操作的假设似乎是 - 欧盟尚未明确其定义，以便能够提供具体建议。因此，所有此类信息都将尽可能通用，以免受到潜在的法律影响。

未能实施建议的数据保护措施的组织面临两级GDPR处罚。GDPR案文第83条规定了如何适用行政罚款。

从本质上讲，GDPR对特定组织的罚款和处罚将取决于多种因素，包括侵权的性质，严重程度和持续时间，受影响的数据类别，防止侵权所采取的措施。 

名单还在继续。

第3步 - 任命GDPR数据保护官（DPO）

在开始使用组织内GDPR实施的更多技术方面之前，您需要指定某人在这方面领导您的工作。那个人是你的DPO（数据保护官）。他们将是最终负责GDPR EU战略的应用和成功的人，并将成为所有问题的焦点。

在GDPR的大多数文章中，您可能会阅读一些关于是否需要DPO的模糊信息。我的建议？无论如何都指定一个。如果您将GDPR合规计划转变为一个完整的项目，那么您只会真正了解您的组织存储的私人记录数量的深度，并且该项目需要一个领导者。

你任命的任何人都将面临相当大的任务。他们的职责包括：

在整个组织内宣传 GDPR关键点和安全意识，并教育员工遵守法规;

确保实施适当的培训计划，以便参与处理私人记录的所有工作人员都为GDPR及其影响做好准备;

对系统和数据管理实践进行内部和外部审计，并在必要时规定补救措施;

作为贵组织与欧洲各种保护机构之间的主要联系点和联络点;

确保作为GDPR合规工作的一部分进行的所有活动都有充分的文件记录，以便您为任何可能的外部GDPR审核做好准备;

联系数据主体，作为您实施的任何访问请求流程的一部分，以确保他们了解他们的数据如何存储，管理和删除; 并且他们知道存在支持性政策和程序。

第4步 - 让每个部门都参与进来

在定义了什么个人数据之后，您会注意到的第一件事是，数据分布在广泛的区域。  

您的运营团队将控制其中的一部分; 您的财务团队将管理其中的一个独立部分。有些部门会为自己的目的使用冗余副本。许多团队将共享通用数据库。

要形成一个连贯的数据资产图片，并将每个人都集合到你的横幅上，你将不得不找到一些方法来为这种混乱带来秩序。您的团队可以将GDPR视为开销，浪费资源，也可以选择将其视为向数据管理政策和流程分支下达订单的机会，您的组织从未有时间或倾向于改革。  

你需要在你的方法中衡量：

慢慢开始。如果你带着对未实施GDPR改革可能产生的负面影响的悲观和悲观的看法，你就会失去潜在的盟友。相反，请帮助您的团队将此视为在很少发生的规模上进行真正的跨部门合作的机会。

不要期待完美。你将面临恐惧。那种不愿采取行动可以破坏项目的行为。确保团队中的每个人都知道完美既不可实现也不可取。相反，请指导您的团队将GDPR视为一个持续的过程，随着时间的推移，您可以更清楚地了解您的数据资产。您的第一步可能会觉得它们不足，但它们是该过程的重要组成部分。

从顶部买入。如果您的组织与大多数人一样，那么只有当他们知道某项计划得到最高级别的支持时，才会移动。GDPR也不例外。如果您的C级执行者没有推动它，那么没人会跟随。得到他们的买入，所有门都将打开。

保持积极的展望。听起来像是一张鼓舞人心的海报--GDPR是一个旅程，而不是目的地。在此过程中很容易失去驱动力和注意力。对手头任务采取积极态度将有助于推动人们沿着这条道路前进，并确保在5月25 日截止日期之前更顺畅地行驶。

第5步 - 查找您存储的数据并识别您业务中的各种参与者

你存储谁的个人数据？  

如果您像大多数企业一样，那么您可以存储员工（人力资源），用户（销售和运营）以及合作伙伴（供应链和支持）的记录。

贵公司中的每个参与者通常都需要不同的系统来存储他们的记录，而且这些系统中的每一个都可能已经运行了一段时间。有些系统可能是基于纸张的，有些可能是全自动的（即基于软件），有些可能是两者的组合。

无论哪种方式，都必须进行全面审计，以确定存储业务中每个参与者的私人记录的位置。

一旦完成练习，真正的工作就开始了。

GDPR框架的核心原则是同意。从本质上讲，GDPR立法的这一部分提出了一个问题 - 根据法律，我在什么基础上收集了我存储的个人数据？GDPR提供了一系列被认为合适的理由：

明确同意- 数据所有者为了特定目的而向您提供明确且明确的批准以存储其记录。

合同义务- 您需要提供个人数据以履行协议/合同的终止。

重要利益- 如果您需要使用自然人的数据来保护他们的生命，他们无法提供明确的同意（很少有组织可以声明这一点）。

公共利益- 在执行官方任务时必须使用特定的个人信息（更少的组织可以声称这一点）。

合法利益- 当您使用某些个人信息时，因为您确信这样做会对数据隐私产生最小的影响，或者有合理的处理理由。您必须平衡您的利益与个人的利益，如果您可以通过其他更少侵入性的方式获取数据，那么您处理其记录的基础将被视为无效（这是处理数据的最“合法灵活”理由，但也是最充满潜在陷阱的人）。

特殊/犯罪利益- 此信息属于“敏感个人数据”标题，只能由特定组织合法处理。

很明显，大多数组织将明确同意和合同义务作为他们最常见的两个同意基础，因为它们通常是收集私人详细信息的主要方式。然而，在收集数据之后同意数周，数月甚至数年的逆向工程将比人们想象的要花费更多的精力。

第6步 - 您是数据控制器还是数据处理器？

一旦您进行了评估并分析了您在组织中使用的记录，您需要了解您是否是该数据的GDPR控制器，或者您是否仅仅是其处理器。两者之间的差异将决定您在GDPR下的义务。

GDPR数据控制器和数据处理器之间的操作差异是控制。GDPR文本指定控制器确定“处理个人数据的目的和方法”，而处理器“代表控制器处理个人数据。”因此，很明显，控制器比处理器具有更重要的责任和法律义务。 。

数据控制器是获取数据的人，因此负责确保有明确的同意基础 - 收集的数据是特定目的所需的最小数量，尽可能准确，存储数据尽可能安全，并在不再需要时进行清除或匿名处理。

处理器仅使用控制器提供的详细信息，因此可以假设上面列出的所有正确检查都已到位。但是，它们仍然有一些责任，即“提供足够的保障，以便以处理数据符合GDPR要求并确保保护数据主体权利的方式实施适当的技术和组织措施。”

第7步 - 确定数据保留策略

如果你像大多数组织一样，那么归档，匿名或彻底删除记录的想法并不是你曾经考虑过的。数据是一项宝贵的资产，为何限制它？

那么，因为现在，如果你不这样做，你违反了GDPR政策，那就是原因。有很多问题要问：

这些员工离开组织后，我需要多长时间才能记录员工记录？

一旦客户信息不再是客户，我会保留多长时间？

一旦收集的原因通过，我会坚持营销记录多长时间？

所有这些问题的答案都是 - 这取决于。这非常令人不满意。

欧盟内部的工作人员数据保留因国家/地区而异。没有严格的规则可以适用于所有欧盟国家。但我们确实知道，一旦工作人员离开您的组织，他们的记录将不再由其前雇主合法持有。客户，合作伙伴和供应商也是如此。

销售和营销信息完全是另一回事。GDPR数据保留清楚地表明，为了营销目的而收集私人信息的原因必须在一开始就对自然人完全清楚，并且只有他们明确同意向您提供这些数据才会被视为合法。一旦该同意被撤销或收集其信息的狭隘理由不再存在（例如短期营销活动），则必须以某种方式删除或匿名这些记录。

这些是一些令人不安的事实，需要在你向前推进之前充分理解和内化。

第8步 - 如何准备数据主题访问请求（DSAR）

这是GDPR的客户/客户/面向人的方面。

当法律生效后，个人将能够要求您的组织向他们提供您持有的私人内容列表。这些请求必须在收到后立即得到确认，并且提出请求的个人的身份需要超出任何合理怀疑。完成后，您有一个月的时间表来查找他们的记录并以电子形式提供给他们（除非他们要求其他方式）。

这是关于数据保护的GDPR指令的技术部分。但这些请求对运营的影响又如何呢？

显然，您需要培训所有前线和面向客户的员工，了解GDPR数据安全性以及如何处理这些请求。但它超越了这一点。它涉及从头到尾“操作”整个过程。例如：

您是否有特定的电子邮件地址来处理所有传入的DSAR？

您的所有前线工作人员是否应将所有传入的口头DSAR请求重定向到在线表单系统？

是否会针对所有现有和新任员工制定具体的培训计划，涵盖其工作的这一方面？

哪个个人/部门最终将负责确保DSAR得到及时响应？

我们在第1天，第1年，第1年期待的DSAR数量是多少？

如果您正在寻找上述问题的一个通用答案，请再想一想。答案将根据您的技术系统，内部情况和技术能力而有所不同。

第9步 - 修正完善

您不太可能对GDPR是什么以及如何应用它获得一个坚实的意见。

以上表达的观点和意见纯粹是我自己的观点和观点，是基于我作为DPO的经验以及我组织内的一般数据保护条例2018规则的实施。

假设我给出的任何建议适合所有组织都是愚蠢的，因此，我会建议每个人考虑他们在实施GDPR要求和寻求外部建议的规则方面的选择。这个建议可以/应当通过聘用3的服务进来法律顾问的形式以及和潜在的RD 方会计师事务所。

前面的道路尚不清楚。我建议大家尽可能多地获取知情意见并制定自己的GDPR合规性检查表。