GDPR关于改变管理,Startup DPO说
遵守一般数据保护条例(GDPR)的准备基本上是Digital Identity Firm Yoti的Emma Butler数据保护总监(DPO)的变更管理计划。
“这不是你可以留给律师处理的东西,而公司的其余部分可以正常继续,”她谈到了关于IT行业Bodytechuk的立法的讨论。
“这是变革管理,因为有些政策,流程,技术和文化,其中许多你需要改变和适应,”巴特勒负责三岁的启动的GDPR规划和保持150名员工公司追踪GDPR合规性。
她说,组织之间的变化量会有所不同,因为每个人都在不同的业务和合规阶段。虽然它可能相当有限,但由于GDPR引入的所有个人数据处理要求,虽然对他人来说可能相当突出。
然而,巴特勒表示,组织应该将GDPR视为做信息治理的机会,并确定所需要的信息,而不是对商业模式和创新的威胁。
“有威胁和风险,但如果你看起来就像那样,那么你就会走错了路径,你只是不会到达任何地方,”她说。
通过进行差距分析,Butler表示,许多组织可能会发现他们需要简化他们的运营,但这通常会节省成本。
“在映射您的数据时,找出您的数据所在的位置,并且真正了解您所拥有的内容,您可能会找到一个新产品系列的机会。这就是你必须采取的方法,“她说。
Butler表示,任何努力获得高级管理层的DPO,都应强调GDPR合规性的业务福利,如成本节约和新产品机会。
“使用罚款和股价影响,因为您需要备用贴纸,但如果您可以作为帮助业务发展和发展的方式,您可能会在更好的地方。”
众所周知,GDPR广泛地推动个人数据周围的更好的实践和安全控制,因为潜在的罚款高达2000万欧元或全球年度营业额的4%,以较大者为准。
但巴特勒表示,组织应该专注于更以客户为中心和建立消费者信任,而不是简单地遵守GDPR。
“它是关于涉及信息治理的组织涉及信息安全,营销,人力资源和产品开发,以确保该组织正在改善所有部门的信息治理,而不是勾选勾选框合规性的信息施用律师或DPO在某个地方的一个角落里,“她说。
组织的最大问题之一是GDPR对明确同意的要求,民意调查显示,但巴特勒表示,这一令人担忧往往源于错位的想法,他们必须选择同意,即他们想要做的数据处理的合法依据意识到他们不应该首先使用它。
“对于太长的公司来说,已经做了”假装同意“并将其视为做到的事情,当在大多数情况下,它是加工的最后一个条件,我们应该看看,而实际上,公司的许多加工都已完成另一个基础。它不是同意的,因为没有真正的选择,“她说。
“[围绕同意的GDPR要求]是强迫公司努力看看他们正在做的事情,并考虑杀戮,如果inpidual说'不'是否仍然发生处理,在大多数情况下,它将是不是真正的选择。“
巴特勒认为,一旦组织确定了他们所做的处理的实际原因或基础,围绕同意的大多数担忧都会消失。
转向与GDPR相关的风险,她重申了信息专员办公室(ICO)观点,该组织在采取任何行动之前不能等待所有监管机构指导。
然而,巴特勒表示,缺乏监管机构指导和政府缺乏英国实施是一些组织的问题。
例如,她说,数据便携性的权利是在能源和金融部门以外的组织全新的全新。
其他部门正在努力掌握数据便携性如何工作以及需要实现的技术和过程更改,以使数据可移植性成为可能。
Butler表示,第一个问题将是关于范围的范围,但这对许多组织提出了问题。
“[GDPR]定义范围是一种方式,监管机构的指导扩大了它,欧洲委员会表示,监管机构已经走得太远了,因此DPO面临着决定谁的问题,”她说,因为每一个具有不同的成本影响。
Butler表示,泛欧洲公司的其他风险是,GDPR应该是一个统一的监管,但它显然不是。
“将有很多国家差异,不仅仅是在法律上,而且还在监管机构的解释和执法行动中,”她说。
管家说监管机构之间有很多合作,但它将不得不增加,但她说并不难以想象,这是一个或三个监管机构对诠释的言论的解释可能具有截然不同的观点。
“这是一个风险和一项挑战,即在欧洲运营的公司,因为我们不确定在不同国家的事情究竟如何发挥作用,并且有一些监管机构比ico更有可能让您获得技术性,这很难管理,“她说。
Butler表示,虽然组织需要诚实地对这些风险和挑战,但他们应该积极地将GDPR视为“获取信息治理的机会”,并表明他们可以信任,她说是最好的方法。