确保GDPR合规的最后5道检查

距离欧盟给出的一般数据保护条例（GDPR）合规截止日期5月25日还有几天的时间，有大量厂商提供的产品和服务涌入市场，无形中给这些企业施加了巨大的压力，不得不在GDPR方面投入大量资金。

但这不是必要的。ICO提供的GDPR清单等免费可用资源，可以帮助各种规模的企业为此做准备。需要注意的是，如果企业能够证明他们已采取正确的措施来遵守规定，那么遭受个人数据泄露的企业组织将不适用高达4％营业额的罚款。

在最后期限到来前，下面这5项检查有助于确保你的企业符合GDPR规定：

记住，员工也在GDPR覆盖的范围内。因此，企业应该向员工发布“数据隐私通知”，告知员工他们的个人数据将由公司根据“合法利益”进行处理，雷丁大学亨利商学院（Henley Business School）GDPR项目研究员兼董事、GDPR手册作者Ardi Kolah给出了这样的建议。

“企业应该用易于理解的方式向员工解释哪些个人数据将会被处理，目的是什么以及持续多长时间，他们拥有什么权利以及如果他们担心的话应该联系谁。你还应该说明一下，如果他们离开企业或者组织，他们的个人数据可能会被谁共享。”

Kolah说，至关重要的一点是，企业将不能凭着获得了同意而作为处理员工个人数据的合法基础，因为“这不会被视为自由给予”。

他警告说：“在无合法理由的情况下继续处理个人数据是严重违反GDPR的。”

确保有足够严密的违规响应流程。随着最后期限的临近，企业的违规响应流程必须是非常严密的。 Nominet公司信息安全主管Cath Goulding建议说：“和你的安全团队为每种可能的场景做好准备，确保每个人都了解对他们的期望是什么。另外，确保你能在72小时内提醒有关当局。众所周知，在这种情况下，人类可能会暴露出自身的弱点，所以最终强化责任是很重要的。”

对GDPR的认知和关于GDPR的培训至关重要。对于企业内的某些部门而言，GDPR会是一个很熟悉的术语，但企业内的其他所有人也都需要知道这项法规对他们意味着什么。Goulding表示：“对于那些跨国运营安全和数据合规团队的企业来说，确保国际团队现在应该注意到他们在GDPR下承担什么责任，以及法规开始实施之后他们承担什么责任，这一点很重要。对于在欧盟以外国家运营的企业来说，这一点也许不那么明显，所以早起的话这一点尤为重要。”

与此同时，企业必须确保他们已经引入或更新了信息安全和数据保护政策，并在企业内开始实施，LegalEdge公司首席运营官Helen Goldberg说。“政策应该解释清楚什么是个人数据、为什么要确保个人数据的安全以及受保护的重要性。每个人都应该清楚自己可以做什么、不可以做什么，并且必须了解违规的后果。”

此外，毕马威全球隐私业务负责人Mark Thompson也提到了加强董事会层面对这件事的认知的重要性。“董事会需要了解GDPR的影响和改进的必要性。”

确保数据保护官不存在任何利益冲突。正如大多数公司所知的，在某些情况下需要聘请一位数据保护官（DPO）。然而，作为最后一道检查，企业应该确保他们的数据保护官没有同时承担着可能导致利益冲突的其他责任。

Rogelio Aguilar是Sungard Availability Services公司的网络弹性、安全和隐私管理顾问。他举例说， 有人既是IT经理又是数据保护官。“数据保护官应该是独立的、数据保护方面的专家。”

“值得注意的是，巴伐利亚州的数据保护机构已经因为数据保护官缺乏独立性而被罚款，”他补充说。

以有创意的方式获得同意，并确定优先顺序。Accenture Digital UK公司董事总经理Russell Marsh表示，关于罚款的警告有很多，但企业应该看到GDPR合规性所能带来的好处。“过去几周，消费者被隐私政策更新电子邮件所困扰。那些能够成功获得消费者同意的品牌，都把GDPR视为与消费者密切接触的一个机会。”

同时，那些在最后期限之前无法完全合规的企业可以设置一个优先级。Privitar公司首席执行官Jason du Preez建议企业组织“查看过去的投诉、公开发布的意见和罚款，看看监管机构最关心的是什么”。

“确保你在所有法律基础上对所有处理流程都十分清楚，可以交付数据主体的权利并制定明确的政策，以便你的员工了解如果发生数据泄露时会怎样。”