进行 GDPR 审计
在最近的一篇文章中,我们讨论了如何为 GDPR 合规计划创建组织结构,其中包括建立报告线、任命数据保护官(如果需要)以及设定数据保护和隐私合规预算。下一个任务是检查现有数据处理操作如何符合英国 GDPR 和 2018 年数据保护法案的合规要求。
启动 GDPR 审计(也称为 GDPR 准备情况评估)需要全面检查您的隐私和数据保护操作。您可以将其视为一份清单,用于确定合规和不合规的领域,首先进行数据映射练习,以发现您的组织持有哪些个人数据。GDPR 审计涵盖几个关键领域:
进行彻底的数据映射练习
确定适用的处理的合法依据。
审查外部通知和透明度文件。
评估内部政策和程序。
评估现有的信息和网络安全、事件报告和风险管理系统。
除了风险领域和任何已发现的弱点之外,审计报告还应列出合规流程和程序的现有优势。完成审计后,可以起草一套关于如何遵循 GDPR 合规的正确路径的建议,并提交给相关利益相关者。
在本文中,我们将帮助您了解您的组织正在保存和处理哪些数据。
您的组织持有哪些个人数据?
在规划和完成数据映射练习时,需要确定以下几点:
您持有哪些个人数据以及为什么?
了解您拥有的数据 土耳其数据 是数据映射的第一步。您拥有的大部分数据可能都是历史数据;因此,您需要找到并记录这些数据的收集方式和原因,以及为什么需要保留这些数据。在确定您持有的个人数据时,请务必记录任何特殊类别数据和儿童数据,因为 GDPR 对这些类别有明确的合规要求。
您还需要确定您是否持有并处理任何欧盟/欧洲经济区公民的个人数据。英国脱欧后,英国现在 战略评估与调整 是欧盟的第三国。这意味着,根据您的经营地点和经营方式,您可能需要任命一名欧盟代表。在欧盟运营的英国公司需要任命一名当地代表代表他们行事,除非他们通过位于欧盟境内并在监管机构注册的专门子公司开展业务。
您如何收集个人数据?
您的组织收集个人数据的所有方法 西班牙电台 都需要被了解和记录。这适用于线上和线下操作,例如网站、移动应用程序、社交媒体、电子邮件、电话、亲自和第三方。
在审查数据收集来源时,记录任何选择加入或选择退出的营销偏好以及创建的任何隐私声明也很重要。如果尚未实施,请记下实施流程以跟踪这些文档的任何更改。
数据如何存储以及存储于何处?
记录个人数据的存储位置以及用于存储的任何应用程序。记得包括备份存储解决方案 – 这些是异地存储还是通过云存储?
了解个人数据的位置对于遵守第 33 条至关重要,该条规定控制者必须在发现数据泄露后 72 小时内通知英国 GDPR 下的信息专员办公室 (ICO) 和/或欧盟 GDPR 下的任何相关监管机构。
你用这些数据做什么?
您需要确定数据的使用方式以及谁有权访问数据。如果外部方正在处理数据,请确定这些方是谁以及这样做的必要性。考虑处理数据是否合理以及应保留多长时间。在使用同意作为处理的法律依据时,记录如何获得同意。回答这些问题可能需要一些时间。
谁拥有以及谁处理个人数据?
您不仅需要确定自己是否是特定个人数据的控制者或处理者,而且了解内部和外部还有谁可以访问这些数据也很重要。例如,您的员工的个人数据可能由人力资源部门和支付工资的第三方薪资公司持有。
您将保存数据多久时间?
第 5(1)(e) 条规定,个人数据“应以能够识别数据主体的形式保存,保存时间不得超过处理个人数据所需的时间”。保存时间由您决定;但是,重要的是要有关于数据保存时间长度的书面说明。您还需要记录个人数据从系统中删除后会发生什么情况。