Privacy Regulations

GDPR适用于所有处理和持有居住在欧盟的数据主体个人数据的公司, 不管公司在哪里. 强制执行日期从5月25日开始, 2018, 因为GDPR是20年来国际数据隐私监管中最重要的变化, 我们想确保你的组织准备好了. Many U.S. 组织对GDPR如何影响他们有疑问, 特别是关于他们所拥有的个人数据类型, GDPR如何定义个人数据, 以及针对这些个人数据的新保护法律.

LBMC Cybersecurity 能帮你回答这些问题吗, 确定您的组织是GDPR下的控制者还是处理者(或两者兼而有之), 决定是否需要指派一名资料私隐主任, 并了解GDPR如何影响您的组织，即使在欧盟(CCPA)之外。.

明升体育app下载合规和审计专家可以通过以下方式帮助您的组织遵守GDPR:

• GDPR Applicability Analysis—LBMC Cybersecurity 可以帮助您的组织了解GDPR是否适用. 我们将了解你的环境, 您保留个人资料的合法目的, 以及如何与欧盟公民互动. 这将包括对当前数据流的审查和对主要利益攸关方的访谈.
• GDPR Readiness-准备情况评估需要更深入地了解您的组织在GDPR下的分类. LBMC Cybersecurity 是否会帮助您确定您是数据控制者还是数据处理者，并指导您确定处理个人数据的法律依据最适合您的公司. Once this groundwork is laid, 我们可以通过了解当前的隐私成熟度和跨组织的数据流来发现GDPR对组织的影响. 我们还可以帮助您制定应采取的GDPR合规行动项目列表, 包括定义您的组织是否是控制者, processor, or both. 我们将确定关键的利益相关者和数据流, assess contractual obligations, 并将GDPR纳入合规计划计划.
• 数据分析与分类-明升体育app下载团队可以帮助贵组织定义和建立数据分类和标签系统, 以及审查任何现有的数据分类政策，以确保根据GDPR的定义保护个人数据，并制定持续的合规策略. 通过对敏感数据类型进行盘点，并对信息和数据进行分析, 然后，我们可以帮助您实施适当的控制措施，以确保符合GDPR.

您可以实施许多流程来实现GDPR合规性, 但它们都指向一个更大的概念——数据治理.

Think of it like this:

如果您的组织实施的流程是拼图碎片, 数据治理是您寻求指导的框框上的图片. 只有大局才能让所有的小碎片都有意义.

So, what exactly is data governance?

Data governance 建立一个组织级别的控制环境来管理如何处理数据, used, stored, and protected. 它至少包括以下内容:

• 您的组织处理哪些信息
• Where it’s processed
• How it’s processed
• 确保安全处理的控制措施

如何在组织中实施数据治理?

首先，了解您的组织处理什么类型的信息. This may seem simplistic, 但是，这是一个起点，它将为您提供数据治理计划中必要的后续步骤的最准确的图像.

您应该使用技术和概念策略来完成此步骤. Meaning, 你们应该进行技术分析，分析所有数据库和信息系统，以确定或验证所处理信息的类型.

Additionally, 您应该进行概念性分析，在其中布置业务流程，以确定处理哪些信息, 以及在业务过程中信息会发生什么变化.

在这个过程中你需要完成两件事:

1. Classify the information.

如果你的目标是GDPR合规, 你需要特别关注“个人数据”,， GDPR将其定义为“与已识别或可识别的自然人('数据主体')有关的任何信息”。.

However, for other frameworks, 您还需要担心机密或私人数据, so be sure to classify all information in your system.

2. Create a data map.

In addition to knowing what 你处理的信息类型，你也会想要记录 when and where that information is processed.

目标是创建所有数据的存储和处理的高级描述.

这在称呼时特别有用 Article 35, 当处理“可能对自然人的权利和自由造成高风险”时，要求执行数据保护影响评估(DPIA).”

DPIA要求对处理过程进行“系统描述”，并对这些操作的必要性和风险进行评估, 包括降低风险的措施. 了解您正在处理的数据以及它如何在您的组织中流动，将使您在满足此需求方面处于领先地位.

在你了解“大局”之后, where, 以及你的组织如何处理信息, 您需要确保拥有适当的控制环境来管理这些信息. 您的数据分类将有助于推动为保护数据而建立的控制的严谨性. 数据保护是GDPR的要求之一.

GDPR还对以下方面进行了严格的规定 international data transfer. 创建数据图以查看个人数据传输的位置，这将使您了解当前的保护措施以及可能需要实施的控制措施.

Additionally, 您需要建立策略, procedures, 以及解决个人隐私权的基础设施.

For example, Article 15 of the GDPR 允许用户请求其个人信息的副本或完全删除该信息. 你有基础设施来方便地访问这些信息吗? Additionally, 您是否有适当的程序来定义如何收集这些信息并将其传输给请求者?

Finally, you’ll need to train personnel 在政策和程序中用于指导适当的数据管理. 尽管您可能能够实施正确的文档和基础设施来协助遵守GDPR, 如果员工不知道如何使用这些结构, they become irrelevant.

数据治理的目标是获得对数据的控制——了解数据的确切位置, how it is used, 以及维护其安全的机制. 它提供了一个大局观的遵从性策略，可以完成数据管理的小细节.

The GDPR is coming, 虽然数据治理可以帮助您了解实现合规性的途径, it can still be overwhelming. LBMC的GDPR合规服务可以帮助您分析和分类数据，并提供行动项目，为合规做好准备. 明升体育app下载，了解我们如何帮助您开发符合gdpr的控制环境.