如果你是一名数据专业人士,那么数据治理和GDPR可能是你目前的首要议程。
因为如果您的组织位于欧盟(EU)内或与欧盟进行贸易,则《通用数据保护条例》(GDPR)将影响您的运营。
尽管如此,根据数据治理状况报告,只有6%的组织表示,他们在授权生效之前“完全准备就绪”。
也许可以从这份报告中找到一些安慰,39%的被调查者表示他们“有点准备”,27%的人开始准备。
但11%的人表示他们“完全没有准备”,而最糟糕的是,17%的组织认为GDPR不会影响他们。
我担心这些人和他们的组织被误导了,因为任何行业的任何公司都是GDPR力所能及的。即使一个组织的数据库中只包含一个欧盟公民的数据,也必须遵守。
因此,重要的是组织要准确地了解他们在截止日期前需要做什么,以及可能被罚款高达2000万欧元或年营业额的4%,以较大者为准。
GDPR如何影响我的业务
随着任何新法规的出台,组织必须了解其组织的哪些要素受到影响,以及需要做什么才能保持法规遵从性。关于后者,GDPR要求组织具有全面有效的数据治理战略。就受影响的领域而言,组织需要了解以下方面:
个人识别信息(PII)
GDPR对PII的存储、管理和传输引入了更严格的规定。根据GDPR,个人数据是与个人相关的任何信息,如姓名、照片、电子邮件地址、银行详细信息、社交网站更新、位置详细信息、医疗信息或计算机IP地址。
个人数据也有多种形式,并扩展到不同数据元素的组合,这些数据元素单独不是PII,但在合并时有助于PII状态。
数据治理使组织能够更容易地识别和分类PII,进而引入适当的措施来确保其安全。
因此,一个好的数据治理解决方案应该使组织能够添加和管理元数据——关于数据的数据——关于数据单元的敏感性。它还应该具有强大的数据发现能力,以及通过基于用户的权限控制数据访问的能力。
主动同意、数据处理和被遗忘的权利
GDPR还加强了同意的条件,该条件必须明确且可与其他事项区分开来,并以可理解且易于获取的形式提供,使用清晰明了的语言。撤回同意必须和给予同意一样容易。
数据主体也有权获得关于其个人数据是否正在处理、处理地点和目的的确认。数据控制器必须以电子格式免费提供上述个人数据的副本。这一变化是数据透明度和消费者赋权方面的重大转变。
遗忘权使数据主体有权让数据控制者擦除其个人数据,停止进一步传播数据,并可能让第三方停止处理数据。
解决这些限制所需的信息和过程可以在元数据中找到,并通过元数据管理工具进行管理,元数据管理工具是数据治理的一个关键方面。更好地管理此类元数据是优化组织数据处理能力的关键。如果没有这样的优化,遵守GDPR授予的“被遗忘的权利”可能变得过于复杂,无法有效管理。
记录合规性和数据泄露
GDPR还希望遏制近年来越来越广泛和频繁的数据泄露。数据的价值飙升,使数据驱动的企业成为网络威胁的目标。
组织必须记录其拥有的数据、数据所在地、保护数据的控制措施以及为解决错误/违规而采取的措施。事实上,如果数据泄露可能“给个人的权利和自由带来风险”,则必须在72小时内发出数据泄露通知
全面的数据治理战略包括并支持上述文档过程。然而,数据治理策略降低了发生此类违规的可能性,因为它为组织提供了更深入的了解,以了解哪些数据应该得到更严密的保护。
数据治理和GDPR合规性
根据本文开头引用的《危险品状况报告》的结果,各组织并没有做好GDPR的准备。但还有时间采取行动。
数据治理和GDPR齐头并进。强大的数据治理计划对于GDPR合规性所需的数据可见性和分类至关重要。它将有助于评估和优先考虑数据风险,并使GDPR审计师更容易验证合规性。
数据治理使一个组织能够发现、理解、管理和社交其数据资产——不仅在其中,而且在整个组织中。它不仅包括数据的当前迭代,还包括其整个沿袭和通过数据生态系统的连接。
在GDPR环境中,理解数据沿袭是绝对必要的。以被遗忘的权利为例。这种合规性要求组织定位个人的所有个人个人识别号和任何可以与其他数据点交叉引用的信息,以成为个人识别号。
通过正确的数据治理方法和支持技术,组织可以确保GDPR符合其当前的体系结构和数据资产,并确保新的数据源和/或对未来体系结构的更改纳入适当的控制。
企业中的利益相关者需要了解并启用GDPR,以便在文化层面构建合规性。
