自2018年5月25日,欧盟《通用数据保护条例》GDPR(General>
对许多组织而言,为满足欧盟《通用数据保护条例》(GDPR)合规性而进行的准备工作是一项非常耗时的工程。不幸的是,这项工程至今尚未“完工”。如今,虽然GDPR已经正式生效,但是相关组织仍然需要定期进行内部审核,以评估自身合规水平。一旦发生违规或投诉事件时,你就会意识到记录这些审核的能力有多么重要,因为它像我们证明了善意的努力从来不会白费,它可以帮助我们避免重大的损失。
审核工作非常重要,因为“问责制”是GDPR的原则之一,而且组织需要依照《条例》规定,定期执行隐私审计和政策审核,作为其证明自身合规性的一部分。
此外,有效的审计工作还可以帮助组织发现其计划中的问题或错误,从而在发生违规事件或遭到质疑时,能够向监管机构提交相关记录,协助其完成相关调查。合规并不是一项“设定-忘记”的项目,组织应该遵循GDPR规定并定期进行监督审核,以确保其符合GDPR要求。
实施GDPR审核是非常重要的一项任务,它需要检查用于处理所需任务的流程是否到位,包括数据的“可遗忘权”(Right to be Forgotten,即当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据,用户有权要求删除数据)和数据可转移权(data portability,即数据主体可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者),以及数据保护官们(data protection officers,简称DPOs)和员工在发生违规事件时知道应该怎么做。
通过对必要流程进行全面审计,可以为组织提供用于流程改进的依据和具体措施。此外,它也为组织提供了一个关键的合规要素——即证明组织在出现违规或遭遇投诉之前就已经制定了这样的流程,并正在正常运行中。具体而言,它可以帮助提高一般调查响应准备工作,这是所有组织都应该做的事,因为它可以尽可能地降低数据丢失的风险。
GDPR审核工作可能需要涉及安全工作以外的人员,包括数据治理、IT、法律以及人力资源等方面的人员。当然,重点还需放在网络安全项目上。为了实现GDPR的合规性审核任务,安全专家们建议组织可以采取如下关键步骤:
1. 制定GDPR审核计划
专家们表示,实施审核的***步就是制定详细的审核计划,并明确一套书面的、可操作和可分配的流程,然后逐步按照计划和流程完成合规性审核工作。对于那些刚刚着手制定此类计划的人来说,ISO(国家标准组织)为他们的流程提供了模板。虽然该模板并非特定于GDPR的要求,但是它解释了如何创建适当的可操作性计划、详细明确了个人的负责内容,以及何时应该采取何种行动等等。
作为初始阶段的一部分,公司需要评估他们收集的欧盟居民数据,存储位置以及处理方式和地点等信息。审核工作顺利开展的重要因素之一,就是要确保正确地识别了这些数据,一旦确定,就可以按部就班的执行合规行动。
例如,是谁在负责跟踪这些数据,以根据欧盟居民的要求来移除或转移此类数据?你如何确保此类请求是合法的?你如何确保数据得到了正确地处理?如果要删除数据,则需要确保包括数据备份在内的所有存储库都已经得到了正确地更新和清理。
因此,这份审核计划中应该确定一种方法,以识别哪些欧盟居民的详细信息得到了披露,以及这些记录是否受到加密保护等。审核计划应该显示每个案件的处理方式。***实践还将提供完整的取证审计跟踪,以帮助应对质疑和投诉,并证明自身合规性。
在为GDPR构建审计计划时,一定要记住,公司需要了解他们在整个生命周期中持有的数据。不幸的是,GRPR是一个模糊的规则,给我们留下了许多开放式问题,这无疑也增加了合规问题的复杂性。话虽如此,我还是建议各组织围绕个人数据的生命周期来实施审核计划,这包括对个人数据进行分类,管理数据风险,安全性和供应链等。
2. 寻找GDPR合规差距并报告调查结果
在GDPR背景下,查看您当前的合规计划,这包括处理记录、数据主体访问请求流程、技术和安全控制、隐私原则以及数据传输机制。
GDPR影响了组织内的大多数部门。审核工作的“发现阶段”将包含访谈和文件/政策审查,以及任何部门处理个人数据或负责与个人数据有关的治理、运营或技术控制措施。这些因素将决定组织与GDPR规则保持一致性的能力。“发现阶段”应该包含组织在满足具体合规要求方面的有效性,主要包括:
一旦“发现阶段”完成,审核人员需要概述当前流程和任何存在出入的区域。这就涉及要生成一份报告,来显示组织与GDPR规则保持一致性的能力。该报告可以涉猎很多内容,包含有关需要进行改进部分的详尽结果和建议等;或者它也可以像“达标”或“未达标”评级一样简单,但需要注意的是,“未达标”类别下的任何内容都需要及时进行改进。
3. 优先考虑并弥补GDPR合规性方面的差距
接下来,审核团队需要根据特定区域的风险级别,来确定不合规区域的优先级。在进行补救工作时,需要采取基于风险的优先级评定方法。例如,监管机构曾在会议上表示,他们将把监管重点放在违规行为和组织促进合法主体访问请求的能力上。如果说您的组织缺乏该领域的合规性,我们建议您及时完成补救工作。
在确定风险时应该考虑的因素还包括发生概率、与监管不一致的程度,以及发生侵权时的业务影响。从风险***的领域开始,对“发现阶段”识别出的GDPR合规性差距进行及时补救。
在该阶段的工作中,至关重要的一点就是要了解这样一个事实:一些补救项目将比其他补救项目耗时更久。例如,技术修复和升级可能需要更多预算和人员支持;或者数据主体权(data subject rights)可能需要为那些负责最终用户请求的前端处理团队成员提供开发培训。
4. 测试修复成果
既然审核团队已经投入了大量时间和资源来寻找并修复合规性差距,那么确保组织的流程和系统能够满足GDPR要求将至关重要。
测试并重新测试组织已经实施的控制措施,以确保弥补差距,并解决可能出现的任何问题。一旦差距弥补过程顺利完成,那么确保组织的流程和系统能够满足GDPR要求就成为审核工作接下来要完成的重点内容。
值得注意的是,这是一个持续的过程。组织需要定期执行审核,以确保隐私和合规性计划正在按预期运行。问责制是GDPR的一项原则,组织必须实施持续的监督和执行计划,以测试隐私计划在满足GDPR要求方面的有效性。
此外,安全专家还表示,为满足GDPR和数据隐私要求,组织还需要纳入常规风险分析。法规的某些方面可能并不适用于所有公司,包括人命DPO或维护数据处理活动的记录等。为此,审核工作本身可以帮助组织更好地理解GDPR合规性要求。
GDPR“自我审核”的额外好处
执行GDPR审核需要花费大量时间、金钱和其他资源。然而,这种投资所带来的回报可能远远不止能够帮助组织降低罚款风险。专家表示,在“自我审核”方面表现良好的积极意义远大于执行审核所花费的成本和付出。
例如,Teradata公司的安全专家John Timmerman就将“自我审核”视为展示客户支持的一种方式。他认为,每个受GDPR影响的营销组织都应该成为行业领先者,在如何保护客户资源和宣传自身优势方面起到行业表率作用。但是,令人惊讶的现实是,很多组织仍然简单地将GDPR视为一个指令,而非一次实现自身发展的机遇。市场***应该牢牢地抓住此次发展机遇,通过向客户展示自己如何以及为何使用这些数据为客户提供更好的服务,来***限度地征服人心,抢占市场。
戳这里,看该作者更多好文
投资理财公司是骗局吗?现在网上招聘怎么全是这种公司在招聘?
行业竞争与流动性非常大,但没有业务又不行,所以基本一直在招聘,其中不正规的公司也相当多
如何建立有效的人力资源共享服务中心?
关于人力资源共享服务中心人力资源共享服务中心(HRSSC)是指企业集团将各业务单元所有与人力资源管理有关的行政事务性工作(如员工招聘、薪酬福利核算与发放、社会保险管理、人事档案人事信息服务管理、劳动合同管理、新员工培训、员工投诉与建议处理、咨询与专家服务等)集中起来,建立一个服务中心。 通过人力资源的共享服务中心的建立提高人力资源的运营效率,更好的服务业务单元。 而企业的人力资源部门则专注于战略性人力资源管理的实施,使人力资源管理实现战略转型。 人力资源共享服务中心是一种新的管理模式,它是一个独立运作的运营实体,引入了市场运作机制,却为企业内部服务。 它通过服务创造价值,它的本质是由信息及网络技术推动的运作管理模式的变革和创新。 人力资源共享服务中心的价值人力资源共享服务中心的终极意义在于帮助企业人力资源管理实现有效转型(如下图:人力资源职能转型)。 人力资源职能转型(HR Transformation)是给人力资源职能注入新的活力或者脱胎换骨的过程,其目的旨在提高人力资源对业务的贡献。 尽管人力资源管理者越来越被认为是战略业务合作伙伴,但人力资源大量的时间仍花费在一些诸如记录、合规和提供服务之类的传统人力资源工作上。 通过共享服务中心的设计与搭建,企业可以实现:服务集中化,降低人力资源运营成本服务的专业化与标准化,改善人力资源服务质量将人力资源工作重点关注与战略性人力资源管理角色有利于人力资源业务的审计与监控人力资源服务模式选择的体系框架要获得一个最合适的模式,就要扩大决策的标准,选择一系列的可选模式而非单一的关键决策点。 服务模式的选择必须被视为一个状态连续演进的系统来考虑而不是对一系列单独状态的分析;人力资源服务模式的选择-连续体在一个组织内,集权或者分权的程度通常反映出一个最适合业务需求的服务模式。 另外,对于一个特定的组织而言,在这个连续体系内选择正确的目标定位应该受其特有的业务、文化和运营环境约束。 连续体系中的共享服务模式状态并不适合于所有组织。 共享服务交付连续体系提供了不同的目标的选择范围。 理想情况下,一个组织应确定其当前在连续体系内的位置,然后设法沿着连续体系达到能够满足业务和人力资源需求的最适合的点。 确定在连续体系中的最佳定位简单而言,组织需要做3个关键的决策:是否启动? 何处着手?以及何处停止?显然,这是由组织的特性而定。 下图(人力资源服务模式的选择-影响因素)阐述了影响决定的最主要的驱动因素。 财务是决定是否启动的关键因素;服务的需求决定了开发的深度。 不过最终还是由组织的环境和文化以及人的因素决定了组织应该或者是能够走多远。 人力资源服务模式的选择-影响因素案例分享以下三家公司进行了对其而言意义重大的行动。 这些案例表明了不同的因素扮演怎样的角色以及组织如何根据每个组织独特的业务环境判断这些因素,从而形成了不同的定位。 这里不存在所谓“正确”的答案,只是从一系列重要的选择和考虑中达到最佳的配合的结果案例1:一家在欧洲拥有近8000名员工的本土科技型企业该公司发展快速并且存在着超过1000条不同的人力资源政策和流程。 采用人力资源共享服务的最主要的驱动因素是希望建立一些标准的人力资源的流程和政策以增强人力资源的操作的一致性。 作为一家科技公司,他们想要最大限度的利用科技和网络来适应其独特的文化并且尽可能的增加与经理们的沟通。 因为涉及很多不同政策,人力资源共享服务中心的经济性存在疑问。 因此,公司将自己定位在实现标准化的政策和流程,使用通用的技术阶段。 该阶段将政策和流程的标准化提升到较高水平,在不同区域间整合复杂的政策。 这一举措提供了关于行为准则和方法步骤的标准,并适应各地方法规的规定。 案例2:合并后的一家大型重型设备制造商在一系列松散的企业的合并后,这家企业的人力资源管理权分散了。 新的业务领导与HR总监要识别和建立人力资源的关键领域和通用性活动以提高竞争力和管理集中度。 通过全面回顾人力资源及其满足业务需求的程度,一些关键领域-主要是学习、发展和人才管理中的关键流程被认为是需要全面关注的。 虚拟的专家中心建立起来对这些核心业务流程进行支持。 其余的人力资源模块仍是本地化的,定位于提供日常人力资源具体服务。 值得注意的是,其中一个的业务单元,也是当时规模最大的,自己完成对人力资源的回顾,其主要动机并非为了形成“一致的富于竞争力的人力资源流程” ,其初衷是为了降低人力资源的成本效益,提升效率。 通过回顾后,这个业务单元发现他们需要更多的通用流程和技术。 他们已经开始设计以共享服务作为最终目标的交付模式。 从文化的角度而言,业务现状决定了全组织范围的共享服务是不适合于组织在当时的阶段; 不过,对于处于发展中并处于整合兼并时期的这家企业而言,共享服务模式可能是适用的。 案例3 :一家制造业公司,在各地拥有名员工第三家企业,同样也是一家制造商,通过收购实现了发展。 他们在新的人力资源系统上已投入了巨资,但既未取得服务上的收益也没有获得成本效益。 针对这个问题,人力资源职能领导认识到必须做到三件事:第一,一个真正的标准化流程;第二,在组织内部进行文化变革以使其从一个收购来的集团转型为一个真正的跨地域性组织; 第三,把重点放在关键的业务驱动上,实现大幅度降低成本,以满足业务需求和为技术实施提供案例。 要实现这些就要求这家企业发展成能向不同地区提供共享服务。 现在他们已经实现了目标。
发表评论