一般的数据保护监管(GDPR),到处都是小公司迅速成为一个话题,但越来越多的困惑在如何遵守它。专家的文章告诉我们关于其庞大的规模和巨大的罚款,但是他们没有解释如何把它的原则付诸实践。小公司如何应用GDPR项目吗?
作为一名律师和数据保护官员对于美国财富500强公司,我有什么可行,什么不的经验。这里有一些高级技巧如何使合规为贵公司工作。
满足到警区办公室访问
在GDPR你必须任命一个数据保护官员(数如果:
- 你是一个公共机构,或
- 你执行监控大规模的个人,或
- 你的“核心业务”包括大规模处理的特殊类别的数据。
重要的是要记住,你会违反GDPR如果你不任命DPO当你应该。
知道你的风险
在数字世界中,公司处理个人数据比以往任何时候都多。让组织GDPR你必须找出你的数据和在哪里。你需要踢你GDPR项目数据审计。给你部门一份调查问卷,关于如何处理该公司的数据,后续会议与他们完全理解如何处理这些数据。
你还需要画的地图数据,与谁共享它和发送,为了帮助你更好的了解贵公司面临的风险。举个例子,如果你是一个营销公司发送个人资料工资单供应商公司你会想知道你的数据,如果工资提供者与别人分享它。数据地图将帮助您理解风险,并采取有效的行动。
训练你的员工
让员工了解他们的新责任是至关重要的。你的员工一线的业务,但他们往往是最薄弱的环节——研究表明,员工错误数据泄露的主要原因。
我的培训建议:
- 提供基本数据保护对所有员工的培训;
- 谁需要进一步面对面培训:如你的会计部门,人力资源等,
- 让它引人入胜的和相关的例子是如何影响他们的日常生活和工作;和
- 记录所有培训你执行——这将是有用的,如果一个监管机构来敲门。
使这些政策真正
GDPR要求公司“证明合规在所有的操作涉及个人数据。这意味着在地方教育政策的员工他们的责任在处理个人数据。当然,这并不容易:你很可能需要制定一些新政策:数据泄露事件计划,大数据政策,人力资源数据保护政策、营销和数据保护政策,社交媒体政策,自带设备的政策。这些文件需要清晰、简短而又通俗易懂的,所以你的员工阅读和行动。不要回避这个阶段:找到你的政策漏洞和填充,快。
让供应商在船上
处理GDPR不会赢得你人气竞赛与你的一些供应商因为你需要修改你的一些供应商合同GDPR下插入所需的条款。这些条款说明当他们处理供应商主要的职责是代表你的个人数据。
从今天开始
GDPR监管是一个行动。犹豫的时间已经过去了。规定,可以适用于你的生意如果你采取行动并开始必要的步骤应用到您的业务。
Patrick O 'Kane律师和数据保护官是美国财富500强公司的作者GDPR:快速修复它。
