Gartner預測，在歐盟《通用數據保護條例》(GDPR)實施之日，半數以上受GDPR影響的企業將不能完全滿足其法規條例要求。

[[218874]]

當GDPR于2018年5月25日生效時，其影響將超出整個歐盟(EU)的范圍。它將適用于所有處理和持有歐盟居民個人資料的公司，而不論公司地理位置設置在哪里。隨著對個人數據主體的重新關注，以及高達2000萬歐元或超過4%全球年營業額的罰款威脅，企業別無選擇，只能重新評估安全處理個人數據的措施。

GDPR生效時，組織必須把重點放在五個高度優先的變化上，以確保合規：

1. 確定你在GDPR下的角色

任何決定為什么以及如何處理個人數據的組織本質上都是一個“數據控制者”。因此，GDPR不僅適用于歐盟的企業，也適用于歐盟以外的所有正在處理個人數據以提供貨物和服務，或者監測歐盟內部數據主體的行為。這些組織應指定一名代表擔任數據保護當局(DPA)和數據主體的聯絡人。

2. 任命數據保護官

由于GDPR的推出，許多組織將被要求指定數據保護官員(DPO)。當組織是公共機構，正在進行需要定期和系統監控的加工業務，或者有大規模的加工活動時，這一點尤為重要。“大規模”并不一定意味著成千上萬的數據對象——GDPR的早期草案提到在任何12個月的時間內處理5000多個科目的數據。

3. 在所有處理活動中證明問責制

目的限制，數據質量和數據相關性應在開始新的處理活動時決定，但也適用于現有的處理活動。這將有助于維護未來個人數據處理活動的合規性。組織必須在個人數據處理活動的所有決策中表現出問責性和透明度。

第三方服務提供商(即數據處理商)也必須遵守，這將影響組織的供應，變更管理和采購流程。在GDPR下的問責制要求適當的數據主體同意的獲取和注冊。預先選中的框和隱含的同意將不再是足夠的。相反，組織將被要求實施簡化的技術來獲得和文件的同意和撤回同意。

4. 檢查跨境數據流量

向歐盟28個成員國中的任何一個的數據傳輸仍將被允許，挪威，列支敦士登和冰島也將被允許。向歐盟委員會(EC)認為具有“適當”保護水平的其他11個國家中的任何一個國家的轉移也是可能的。在這些領域之外，組織應該使用適當的保護措施，例如“有約束力的公司規則”(BCR)和標準合同條款(即“歐盟示范合同”)。

5. 準備行使權利的數據主體

數據主體在GDPR下擁有延伸的權利。這些包括被遺忘的權利，數據可移植性的權利和被告知的權利(例如，在數據泄露的情況下，或者接收解釋，例如在機器學習系統的自動決策中)。

如果企業還沒有準備好充分處理數據泄露事件和主體行使權利，現在是時候開始實施額外的控制。

GDPR：正在讓數據安全走上正軌!