欧盟《bet9游戏平台》(GDPR)于2018年5月25日生效. 该条例专门针对个人数据处理方面的自然人保护以及此类数据的自由流动. 该规定适用于在欧盟开展业务或处理源自欧盟的个人数据的任何组织, be it data of residents or visitors.
The GDPR has made profound changes to the understanding of privacy, 欧盟的数据保护和个人数据,并对任何处理欧盟数据主体个人数据的人产生广泛影响. 数据主体被定义为其个人数据被捕获和处理的人. 如果您的组织仅捕获欧盟数据主体的一条记录,则此法规适用于您.
GDPR还改变了这些法律的执行方式,并带来了潜在的重大处罚. 未能遵守GDPR条款的处罚可能会使组织面临高达2000万欧元或组织全球总收入的4%的罚款, whichever is greater.
How We Can Help
施耐德唐斯提供多种解决方案,帮助我们的客户实现并保持GDPR合规性:
- Comprehensive compliance and gap assessment
- 数据保护影响评估(DPIA)和隐私影响评估项目管理
- Data discovery and data classification programs
- 数据保护官作为一种bet9平台游戏——施耐德唐斯专家可以为您的组织承担这一必要的角色.
- Guidance and implementation of erasure, or “right to be forgotten” programs
- Guidance and implementation of security measures, including anonymization and pseudonymization of personal data
- Developing and executing training and awareness programs
- 指导和实施供应商管理最佳实践,以确保对供应链中的数据进行控制
- Policy and procedure development to bring current practices into compliance
Schneider Downs Approach to GDPR Compliance
1. Awareness
您应该确保组织中的决策者和关键人员意识到法规正在发生变化. 他们需要了解这些变更可能对您的组织产生的影响. In addition, 对于组织中定期处理个人数据的某些人员,可能需要一线级别和更大规模的培训.
2. Document the Personal Information You Hold
You should document what personal data you hold, where it came from, what you do with it and who you share it with. 我们对每个流程使用数据流程图和业务流程图.
3. Communicating Privacy Information
You should review your current privacy policies, procedures, 制定合同和通知,并制定计划,以便进行必要的更改,以满足GDPR的最后期限.
4. Individuals’ Rights: Right to Be Forgotten, Transfer Data or Correct Data, etc.
你应该检查你的程序,以确保它们涵盖了个人的所有权利, including how you would delete any obsolete data (e.g.(被遗忘权)、应要求转移资料或更正任何不正确的资料.
5. Data Subject Access Requests for Data / Information on Data Handling
您应该更新您的程序并计划如何处理数据提取请求,以满足30天的要求. 数据主体有权从控制者那里获得关于是否正在处理与他或她有关的个人数据的确认, where that is the case, access to the personal data. 他们也有权询问进一步处理和处理他们的数据的性质,而这些数据是在控制者拥有的.
6. Inventory Your Data
确定您处理或存储敏感数据的所有数据主体,并确定GDPR是否适用于他们的国家. 记录每个成员国的监管机构,并确定每个流程的数据控制者. 您还需要根据您的总体活动确定谁将是领导监管机构.
7. Lawful Basis for Processing Personal Data
您应该审查您当前的做法和合同,并确定您在GDPR下处理活动的合法依据, document it, and update your privacy notice to explain it.
8. Consent
你应该回顾你是如何寻求、记录和管理同意的,以及你是否需要做出任何改变. Refresh existing consent processes now if they do not meet the GDPR standard.
9. Data Breaches / Incident Response Plan
You should make sure you have an incident response plan in place to detect, report and investigate a personal data breach. The plan needs to be documented and tested.
10. Security of Processing
您应该确保某些技术保障措施到位,以确保有效减轻个人数据的风险. 您的计划应包括诸如假名化和个人数据加密等技术. Effective controls to not only ensure the ongoing security, 但个人数据的保密性和可用性也必须到位.
11. Data Protection by Design and Data Protection Impact Assessments
你现在应该熟悉数据保护影响评估的行为准则,以及第29条工作组的最新指导, and decide how, when or if you need to implement these in your organization.
12. Data Protection Officers
您应该指定专人负责数据保护合规性,并评估该角色在您的组织结构和治理模型中的位置. 您需要确定是否需要正式指定一名资料保障主任. If so, this position must report to the highest levels of management.
