黑莓数据保护官为您讲述：GDPR合规的故事

至顶网安全频道 05月30日 编译：在GDPR开始时担任数据保护官的感觉如何？黑莓公司（BlackBerry）的全球数据保护官（DPO）David Blonder非常有资格回答这个问题。由于黑莓公司本身是加拿大的一家企业，该公司在开始接受GDPR监管时已经占有优势：加拿大是少数被欧盟认为在数据保护法律方面是“足够”的国家之一。

Blonder表示：“作为一家加拿大公司，我们一直遵循并实施PIPEDA原则，这是加拿大的隐私保护法律制度。”

在2017年，作为黑莓公司的GDPR合规计划的一部分，该公司组建了一个跨部门的团队，其中包括法律和网络安全专业人员，以更新现有政策和程序。该工作组承担了在整个业务中开展隐私影响评估、差距分析和修复建议的日常责任，以便该公司在GDPR生效时做好准备。

但是，合规并非毫无挑战。因为黑莓公司最近将其业务从手机制造商转型为企业软件供应商，该公司推出了众多面向内部和外部的系统。“我们进行了广泛的数据映射，以确保我们维护了需要保存的数据，并确保我们在收集这些数据的时候获得了适当的知情许可。”

“我们还专注于鼓励我们的员工接受我们的GDPR准备行动——我们很高兴看到他们在理解数据、隐私和安全对于我们的客户和公司方面的作用方面表现得非常棒。”Blonder这样讲到。

这是一个漫长而复杂的过程，而所有的企业都将要经历。那么，作为数据保护官，Blonder学到了什么？“我学到的是，你必须保持灵活。你必须和业务部门合作，并且向他们学习——如果你想有效的话，一定要多使用胡萝卜而不是大棒。”

“人们需要参与并投资于这个过程，相信他们的行为很重要，并且理解他们可以产生更大的组织影响力。你需要传达你想要促进业务目标，同时保护它们和整个公司并减少风险。这是所有法律和合规专业人员必须努力实现的平衡。”

随着网络攻击的数量持续增加，企业不得不适应自己可能会遭到攻击这一事实。正是他们对于这种情况的回应会让最好的公司脱颖而出。那么，考虑到这一点，当最坏的情形出现的时候，企业应该如何应对呢?

Blonder表示，最重要的是不要惊慌。“首先，你必须紧急行事，但不要急于判断。你需要确定是否有任何法定通知义务的事实。这将永远决定你的下一步行动。”

他表示，黑莓公司有一个全面的数据事件响应流程，涉及网络安全专家、一个调查团队、法律顾问和众多利益相关者群体。“我们已经在不同的场景下进行了多种模拟，以确保如果事件发生，我们已经做好了准备。一切始终始于尽可能快速并全面地收集事实。”

黑莓公司的调查和事件管理流程旨在及时检查任何潜在的数据事件，以确定是否有任何个人身份信息（PII）受到影响。“我们高级领导团队的关键成员会立即得到通知并及时收到情况更新。正如数据安全专业人员所理解的那样，确定所有事实并确定是否需要向客户和数据保护机构发出通知是一个关键的时间窗口。”

5月25日的合规期限刚刚过去，像所有公司一样，黑莓公司也正处于GDPR旅程的起点。正如Blonder所指出的那样：“GDPR是全新的，企业界正在合理地关注监管如何实施和执行。同时，我们这些受托管理客户数据的人必须不断询问‘我们做的已经足够了吗？’今天的GDPR合规并不等同于永远GDPR合规。这个月只是一个过程的开始。”