荷兰DPA为GDPR准备提供10步计划荷兰DPA最近发布了一个10步计划，帮助各组织准备将于2018年5月25日生效的欧盟通用数据保护条例（GDPR）。第一步：意识组织应确保适当的人员了解GDPR带来的新变化。这些个人需要评估GDPR将如何影响其当前的流程、服务和产品，以及为了遵守GDPR需要进行哪些更改。由于GDPR要求冗长，且对不合规行为的处罚较大，因此应尽快开始评估。第二步：数据主体的权利《全球数据保护条例》扩大了数据主体的权利。因此，各组织需要确保有使个人能够行使这些权利的程序（包括技术和行政程序）。数据主体将有能力向DPA投诉他们的个人数据是如何处理的，以及他们的权利是如何受到尊重的。DPAs将考虑所有投诉。步骤3：处理活动记录《全球数据保护条例》要求各组织保持其处理活动的最新记录，包括有关所处理的个人数据的信息、处理这些数据的目的、来源以及与谁共享的信息。组织需要能够根据要求与DPA共享这些记录，以证明其合规性。步骤4：数据保护影响评估（DPIA）根据全球数据保护条例，当处理活动可能对个人的权利和自由造成高风险时，组织必须进行数据保护影响评估（DPIA）。但是，建议对所有处理活动执行DPIA，而不管风险级别如何。如果识别出的风险无法成功缓解，组织必须在开始处理活动之前咨询DPA。第5步：设计隐私和默认数据保护组织需要了解GDPR对设计隐私和默认数据保护的要求，并开始在组织内集成这些原则。在设计产品和服务的整个过程中，都需要嵌入隐私。必须制定技术和组织措施，以确保个人数据的完整性和保密性，并确保只有在为实现特定目的而必要时才对个人数据进行处理。步骤6：数据保护官（DPO）有些组织可能需要任命一名DPO。组织需要评估这一要求是否适用于他们，如果适用，尽快任命一名DPO为GDPR做好准备。无论如何，许多组织可能希望指定DPO作为最佳实践，即使该要求不适用。步骤7：数据泄露通知数据泄露通知要求在GDPR下基本相同。然而，GDPR对记录发生的数据泄露信息有更严格的要求。所有数据泄露必须在内部记录，无论是否必须报告。文档必须准备好，以便在接到请求时与DPA共享。步骤8：处理器协议确保他们与处理者的数据符合GDPR协议的要求。新协议的起草应考虑到GDPR的要求。第9步：主要监管机构在多个欧盟成员国设有机构或在多个欧盟成员国开展加工活动的组织可能受到多个监管机构的监管。然而，组织需要确定与之合作的主要监督机构。第10步：同意根据GDPR，获得个人有效同意的要求更加严格。依赖同意书作为处理活动的法律依据的组织需要确保同意书符合GDPR的要求。这包括如何请求、获得、记录、跟踪和修改同意。组织需要能够证明同意书符合GDPR的要求，并确保个人能够在任何时候轻易地撤销他们的同意书。在这里查看完整的文章。分享这篇文章