最近我参加了一个为期两天的会议，会上GDPR是一个常见的演讲主题，我不得不承认，我对讨论的主题越来越有关注感。对于那些四处寻找答案以满足GDPR需求的组织来说，这是一种沮丧。因此，今天我想更仔细地了解一下GDPR对问责制的定义，并就组织如何做到"廉洁"、"保持廉洁"和"表现廉洁"提供一些建议控制器和数据处理器，但这是一个二进制0/1的事实，现在你知道你必须遵守。你怎么遵守？看一下问责制。

在早期的ICO"GDPR指南"文件中，他们指出：

最重要的补充是问责制原则。GDPR要求你展示你是如何遵守这些原则的——例如，记录你对处理活动所做的决定。

你必须实施适当的技术和组织措施，确保并证明你遵守这些原则。

高德纳最近的一份出版物认为"欧盟GDPR的前5个优先事项"是：是：

因此，在（1）确定GDPR对您的影响后（例如，您是数据处理者、数据控制者，还是两者兼有；您是否与欧盟或欧盟居民的数据有交易）和（2）确定您是否需要任命DPO，下一个最关键的事情是（3）证明处理活动的责任性。

GDPR本身在第5条第2款中特别谈到责任性，"控制者应负责并能够证明遵守，第1款（"责任"）。"

本款是指GDPR的六项原则，为简洁起见，我在本博客中只强调每项原则末尾的措辞：

第30条第3款要求数据控制者和处理者以书面形式记录其职责和责任，数据分析与大数据，包括电子形式。

条例要点

换言之，监管机构要求，为了避免审计和潜在的财务制裁和/或训斥，您既要对上述六项原则负责，也要证明您是如何遵守这些原则的。你必须以书面形式（包括电子形式）记录你作为数据处理者和/或控制者的职责，这将是最具成本效益、可重复、可报告、可可靠审计的方式。

例如，推出一些加密、假名或阻止和数据删除技术是必要的，也是很好的。它们显然是有用的，在某些情况下是必不可少的。但就其本身而言，这并不一定表明问责制。

换句话说，返现网，他们没有回答更大的GDPR合规性问题-表明你如何遵守原则，如记录处理决定，记录决定，在执行DPIA后采取缓解措施。

在方法和工具上都需要更多的东西。

因此可以采用三阶段方法：

1）技术工具（‘清理’）

这为您提供了解决技术GDPR问题的技术措施。这是必要的，并将为你制定的GDPR计划奠定基础。能够提供端到端的加密功能，并且能够为敏感的业务线流程提供假名，这无疑是明智之举。第17条描述了与数据处理、同意、目的等相关的数据擦除的上下文，这表明这不是可选的。

但是，GDPR完全基于这样一种假设，即由于公司处理个人数据，业务和IT流程将发生变化，以尊重数据主体的风险水平。如果这听起来很简单，那么请阅读GDPR中关于处理（第4条第2款）和数据泄露（第4条第12款）的定义，数据分析平台，看看这能达到什么程度。

技术工具是"保持清洁"的起点。但这并不是"保持清洁"的完成或能力，或向监管机构或DPO演示"显示干净"。

2）流程治理（"保持干净"）

这使您能够演示和电子记录满足GDPR所需的组织措施。它为文化变革提供了内在的"渠道"。它提供了一个工具来推出一个"最高层的基调"框架，以应对变化，例如：

一个GDPR政策，提供分配和接受的证据隐私声明及其实施的证据关于处理的合法处理和记录决定信息安全和网络安全更新（政策和基础技术）记录与个人数据相关的流程的所有者将DPIA的结果整合并记录到企业决策中数据泄露管理

引用最近更新的WP29关于DPIA的指导文件之一："‘个人数据的假名化和加密’（以及数据最小化、监督机制等）不一定是适当的措施。它们只是例子。适当的措施取决于特定于处理操作的背景和风险。"

需要更广泛的背景和对技术工具的监督，包括业务运营方式和数据主体的风险水平：需要制定技术和组织措施，以确保处理符合GDPR。这对于GDPR是必要的，但同样重要的是，免费企业管理软件，这在组织内部嵌入了一个可持续的成本效益业务变革，以继续交付GDPR。它提供了技术合规工具和业务变更之间的联系，以利于业务，而不仅仅是"合规"。

换言之，公司目前所努力的所有工作都可以像往常一样进行，并记录其对GDPR的适当贡献，除了所有权和有文件记录的决策。

这更接近于考试问题，但仍然没有给你GDPR问责的"要求"。

3）法律合规（‘显示干净’）