category
ODPi数据隐私包提供了最佳实践和相关内容,以帮助组织创建数据隐私计划并在其运营中实施。内容是为该组织的隐私官员编写的。这是负责定义隐私政策并确保其得到实施和遵守的人员。
为什么数据隐私计划很重要?
如今,许多地区正在将数据隐私写入法律,这项立法/法规既扩大了所涵盖的数据范围,也加大了对违规行为的处罚力度。能够管理您的组织,使人们拥有与其数据相关的权利,是在许多地方开展业务的基本能力。
更重要但经常被遗忘的是,一个组织在处理其数据时对客户、员工和业务合作伙伴意愿的态度清楚地表明了该组织的运作方式。为确保数据隐私而采取的行动通过提高组织运营方式的透明度,消除不必要的数据处理和存储,提高了客户服务水平,提高了内部效率,为员工创造了一个更加尊重的工作环境。
隐私专员的角色
任命隐私专员是承认数据隐私对企业重要性的第一步。隐私官员重点关注隐私挑战,评估组织应对挑战的情况,并在必要时进行调整。因为这确实是一个挑战。尊重隐私可能会影响业务的各个方面,这意味着组织中的许多角色都会发生变化。
拥有数据隐私程序需要什么?
数据隐私计划确保组织根据个人意愿处理有关个人的数据(或可能识别个人的数据),同时确保在处理过程中使用和保留最少的数据,并对其进行适当保护,使未经授权的第三方无法出于自身目的访问这些数据。
在高层次上,它包括:
- 定义需要特殊处理的个人的数据范围——这些数据被称为个人数据。在个人数据类别中是需要额外注意的敏感个人数据。
- 记录个人数据的存储和使用位置。
- 验证对个人数据的所有处理是否得到了相关个人(称为数据主体)的同意。
- 创建、实施和实施治理控制,确保根据隐私政策记录和验证个人数据处理的任何更改。
- 在数字服务中提供数据主体可以行使其数据权利的能力。
入门
一个重要的起点是记录和了解组织运营的数字服务。
这些数字服务可能是:
- 直接支持您的客户
- 支持和管理您的员工
- 实现与业务合作伙伴的协作
- 与法律和监管机构互动(如税务、数据保护等)
- 这些数字服务可能会识别个人数据的主要用途以及存储位置。
建立这种库存所需的努力将与组织的规模和复杂性成正比。这意味着它需要优先排序,不能让数据隐私官员独自努力。
数据隐私官员需要为每个业务领域指定数字服务的所有者,并让他们创建数字服务的清单,因为他们将负责服务的正确运营。
数字化服务生命周期
每项数字服务都将遵循一个生命周期,从最初的想法到工作服务,再到运营和改进,直到退役。每个组织都有自己的生命周期定义,但为了便于说明,ODPi Egeria社区PMC开发了一个简单的生命周期,可以用来展示如何引入数据隐私控制。
图1显示了这个覆盖了数据隐私控件的简单生命周期。这些控制措施的细节如下图所示。其目的是收集有关数字服务中数据使用的信息,以证明数字服务是以最具成本效益的方式开发的,并使用相关流程设计、开发、部署和运营数字服务,以确保数据隐私得到尊重。
图1:在整个数字服务生命周期中管理数据隐私所需的附加步骤
- 数据价值评估-审查预期捕获的数据类型以及为什么需要这些数据
- 数据处理影响评估-如果个人(数据主体)的数据由该数字服务处理,则对其可能产生的影响进行审查。
- 数据处理说明-数字服务中数据使用的详细信息。
- 数据处理认证-证明数字服务的数据处理描述准确反映了其处理。
- 安全认证-证明运行数字服务的基础设施符合适当的安全标准。
- 包括最低数据处理说明的合同-这些是个人注册服务时签署的条款和条件。这决定了数字服务的合法利益,有效地表明这是数字服务运营所需的对个人数据的最低限度使用。
- 数据使用报告显示数据主体(和/或数据控制器,如果此服务是数据处理器)的数据使用审计报告
- 个人数据管理-为数据主体行使其权利提供控制。
- 数据导出-数据主体有权要求您的数字服务存储他们的数据。
- 可疑活动报告-描述一些需要调查的活动。
- 数据泄露报告-描述数据泄露-发生了什么以及从中恢复的步骤。
- 数据泄露影响评估-涵盖数据泄露对相关数据主体的影响。
