的业务范围

实现 GDPR 合规性的指南

发表于

我们生活在激动人心的时代! 数字时代开辟了一个前所未有的可能性世界。 互联网几乎无处不在,几乎可以连接到任何设备,从而导致多样化的数据流通、交换和积累。

足不出户即可轻松支付费用、共享文件、购物以及执行各种其他日常职责。 这就是现代科技如何提高我们的生活质量。 我们的隐私是有代价的。

随着个人信息在线交换,掠夺者会利用安全漏洞。 公司受到损害,身份、资金和知识产权被盗。

GDPR 的合规义务

资料来源:techdonut.co.uk

通用数据保护条例(“GDPR”)的颁布是为了弥补过时的数据保护指令无法解决的数据隐私保护漏洞。 GDPR 对来自 28 个欧盟成员国的企业施加了义务,并规范了他们如何操纵数据 欧盟境内. GDPR 要求企业在存储、积累或传输数据时进行尽职调查并遵守预定的数据保护原则和处理条件。

根据 GDPR 指令,任何与个人有关的信息(姓名、照片、电子邮件地址、银行详细信息、位置详细信息、医疗信息,甚至计算机 IP 地址和社交网站上的更新)都应被视为个人数据,其安全必须保证加工。

个人数据保护策略的有效执行受到 GDPR 原则的支持,这些原则施加了某些限制和要求。 这些原则规定了公司的责任,以确保:

  • 主体明确同意仅出于合法目的收集和处理个人数据
  • 主体了解所有个人数据处理活动
  • 仅收集特定和明确目的所需的信息
  • 数据准确且最新
  • 当不再需要数据时,将其销毁或正确删除
  • 保护数据免遭未经授权或非法处理、丢失、损坏或擦除。

遵守 GDPR 实施步骤

资料来源:coonline.com

基于我们过去的项目经验提供的广泛指导,大多数公司在日常运营中制定了某些策略,以在相当长的一段时间内确保客户个人信息的隐私。

这些策略已经有效一段时间了。 根据 GDPR 的数据保护法规审查和修订隐私政策需要进一步加强现有策略。 为确保遵守 GDPR,例如,像这样的公司 捷威 重新审视了以下领域的数据处理操作。

控制对数据处理设施的访问

公司已实施以下安全措施,以防止未经授权访问处理数据的位置:

  • 仅允许使用个人智能钥匙进入办公大楼,该智能钥匙可以进入办公室的相应区域,而 生物认证 需要获得项目房间的钥匙。 服务器隔间仅供授权人员使用。
  • 当员工离开组织时,他们的个性化智能卡和生物识别记录将被删除。
  • 该办公室在夜间受到保护,并连接到中央警察监控系统。 警卫全天候在场。 入口、楼梯间、大堂和停车场都配备了视频监控系统。
  • 除非事先获得管理层或人力资源部的授权并由员工陪同,否则不允许访客。 来宾无权访问企业网络。

数据处理系统访问控制

资料来源:ncsc.gov.uk

为了防止未经授权访问数据处理系统,他们还实施了以下安全措施:

  • 管理层(CTO、COO、SysAdmin(仅限网络跟踪))根据员工的职位和责任授予对项目数据的访问权限
  • 公司密码政策保护内部系统(CRM、HR、会计、项目管理等)和客户项目文件夹
  • 在路由器上配置的防火墙控制入站流量
  • 数据处理不会外包给第三方。

数据访问控制

团队只能根据数据主体授予的访问权限收集和处理授权访问的数据。 不得访问、存储、复制、修改、传输、删除或与未经授权的方共享个人信息。 它由以下人员执行:

  • 根据 GDPR 获得客户对数据处理的同意。
  • 在授予数据访问权限之前,每位新员工都必须签署保密协议。
  • 每当员工的职位、职能或离开公司发生变化时,修改访问权限。
  • 锁定所有访问权限、归还文件/材料、重新分配现役职责、归还计算机和其他设备、禁用公司电子邮件、禁止个人智能密钥以及从数据库中删除指纹等。
  • 重新格式化过时的数据载体并使用碎纸机清除所有不必要的文件。
  • 加密所有笔记本电脑硬盘 以保护信息。
  • 当项目或支持/保修期结束时,对文档的访问将受到限制。

为不同目的的数据处理的控制分离

以下措施可确保分别处理从不同客户和出于不同目的收集的个人数据:

  • 实施访问权限控制,授予职位对指定信息集的访问权限。
  • 数据存储在不同的位置。 通常,我们不会从客户端服务器传输数据,因为只有与项目相关的员工才能获得客户端的访问权限。
  • 除非要求我们的 DevOps,否则客户的内部 IT 部门负责生产部署。

数据传输管理

资料来源:expressanalytics.com

根据 GDPR 规定,控制者或处理者只有在提供充分保护的情况下才能传输个人数据。 它通过以下方式确保国际数据流动期间的数据安全:

  • 与数据主体签署个人数据传输合同条款,定义数据处理者执行数据处理操作的条件和义务。
  • 访问和/或处理客户端服务器或文档存储上的数据。 否则, 安全的VPN 和协议 通过 SSL 下载包含个人数据的文档。
  • 通过 VPN 和 SSL 仅传输电子数据。
  • 任命一名数据保护官来监督公司对 GDPR 的遵守情况。

数据可用性监管

它采取特定的预防措施来保护个人信息免遭意外破坏或丢失。 实施的措施包括:

  • 防止数据中心的服务中断(不间断电源、空调服务器机房、烟雾探测系统)。
  • 从指定备份自动启动服务器/数据库。
  • 利用 AWS 和 Azure 云服务以及基于欧盟的服务器来托管客户数据和存储备份。
  • 加密数据存档。

GDPR 生效后,公司立即审查其业务流程,以确保它们符合管理个人数据处理的法规,并实施必要的更改以对数据泄露保持警惕。

通过制定适当的技术和组织措施、教育员工、更新合同和保护环境,我们保证我们的客户不会发现任何恶意意图。

相关文章:

相关信息:, , , ,

地球和世界是一个你可以找到我们地球的不同已知和未知事实的地方。 该网站还将涵盖与世界有关的事物。 本网站致力于为知识和娱乐目的提供事实和信息。

联系我们

如果您有任何建议和疑问,您可以通过以下详细信息与我们联系。 我们将很高兴收到您的来信。

markofotolog [at] gmail.com

亚马逊披露

EarthNWorld.com 是 Amazon Services LLC Associates 计划的参与者,该计划是一项附属广告计划,旨在为网站提供一种通过广告和链接到 Amazon.com 来赚取广告费的方法。 Amazon、Amazon 徽标、AmazonSupply 和 AmazonSupply 徽标是 Amazon.com, Inc. 或其附属公司的商标。

到达顶点