企业完善隐私政策的 10 个步骤

1.评估数据处理的范围

确定贵公司面临的风险，并确定处理个人数据的范围。

2.明确问责

确保在贵公司中制定决策和了解处理数据的法律和技术流程的人员知晓新的隐私规定。

3.主动保护相关人员的权利并确保依法征得同意

新的法律确保个人数据被处理的个人能够适当行使他们的隐私权。因此，您有义务尊重该等权利，包括知情权、拒绝特征分析和自动决策的权利、被遗忘权和数据可携权（个人能以标准格式接收他们的个人数据，以便于传送给其他提供类似服务的供应商）。

4.确定您是否需要进行隐私影响评估

隐私影响评估是一项风险分析，如果处理数据时隐私风险较高（例如大规模处理、特征分析、预测、特殊数据、数据收集链接、新技术、在欧盟以外处理数据等情况），尤其需要开展这项分析。

5.记录数据处理

贵公司必须创建和维护登记册，用于记录公司内部发生和/或由公司负责的所有数据处理活动。监管人员可以要求查看该登记册。

6.调整您的安全和隐私政策

在设计产品和服务的过程中就应确保个人数据的保护（通过设计保护隐私）。之后，您需要采取技术和组织措施，确保您仅出于特定目的处理绝对必要的数据（默认保护隐私）。

7.确定保留期限

在步骤 1 中，您已确定贵公司处理特定数据的目的。在这一步，确定您可以出于该目的存储数据多长时间，该期限从何时算起，以及如何维护数据。

8.制定数据泄露协议并备存登记册

数据泄露是指个人数据无意中被泄露、访问、销毁或篡改的情况。该法律针对公司内部数据泄露的登记制定了严格的要求。因此，贵公司应正确记录数据泄露，以便监管机构可以检查您是否遵循公告要求。

9.评估与数据处理者的协议

考虑能够存储或访问贵公司所收集个人数据的公司内部行政办公室、云服务、IT 服务和其他服务提供商。贵公司需要与所有该等数据处理者签订协议，以确保所有处理的数据都能得到妥善保护，数据处理者都能履行 GDPR 规定的义务。

10.确定您的监管机构

您是否在其他欧盟成员国设立办事处？那么您只需与“主要监管机构”打交道。该监管机构通常为您总部所在成员国的监管机构。

点击此处下载完整的白皮书。