选择页面

GDPR合规Made Easy

2018年3月19日

GDPR合规Made Easy
 迈克尔·穆哈(Michael Muha)

迈克尔·穆哈(Michael Muha)

首席信息安全& Privacy Officer

纽约时间早上7点。

梅根(Megan)是一家总部位于美国的全球公司的薪资主管,他的新员工哈里(Harry)粗鲁地唤醒了他,他打电话来距英国很远。

他没有得到报酬,当地的财务团队正在休假。

哈利非常恐慌-在伦敦有3个孩子的单身父亲,他承担着巨大的财务责任,并且生活着薪水。

与此同时,在纽约,自己的母亲梅根(Megan)急忙帮助她的同事,为她的孩子们上学做准备。在早餐之间,她迅速登录了英国的工资系统,发现哈里的银行信息和地址丢失了。

哈里向梅根发送了他的银行帐户信息和地址。梅根(Megan)更新了系统并重新提交了哈利(Harry)的工资,然后哈利得到了工资。梅根(Megan)感觉像是一位多任务的超级女人,并准时在学校放下孩子。

她几乎不知道这种仁慈的举动会使她的公司面临违反新的GDPR准则的价值超过一百万美元的罚款的风险……

GDPR:您需要知道的

欧洲新的《通用数据保护条例》(GDPR)即将出台,对于违反规定的组织,最高可处以2000万欧元或全球收入4%的罚款。当赌注如此之高时,就没有错误的余地。

尽管如此,多达61%的组织尚未开始致力于使其流程和系统符合GDPR的要求。

请记住,GDPR适用于“处理”来自欧洲居民的个人信息的任何组织。 “处理”的定义包括存储和传输数据,甚至只是查看数据。即使是一家在欧洲设有雇员的美国公司,在美国人力资源系统中存储欧盟雇员数据也要遵守GDPR准则。如果同一组织将欧盟雇员数据存储在欧盟中,但从美国查看,则该查看构成跨边界的个人信息传输,并使该组织在全球范围内受GDPR约束。

正如我们刚刚读到的那样,梅根想做正确的事来帮助她的英国同事,但是她查看了来自美国的英国员工的个人数据,并将未加密的个人数据越过内部边界移动了两次,从而使GDPR倍增。

GDPR对安全性有五个一般要求。这是从人力资源角度总结的要了解的内容,需要提出的问题和需要制定的计划:

1.实施适合您的风险状况的安全级别

为了评估您的风险级别,您必须首先确定员工数据的存储位置。对于大多数组织而言,这并非一成不变。从一般的HR系统到第三方供应商以及卫星办公室使用的区域系统,所用系统的可变性越大,组织的风险就越大。

一旦确定了数据所在的位置,就可以量化所面临风险的严重性。请记住,您的数据(例如指纹,工会会员身份,健康数据)越广泛或敏感,风险特征就越高。

如果您持有的个人数据可以某种方式对个人使用(识别盗窃,公开个人家庭住址或私人电话号码等) 它被认为是重大风险。

2.假名化和加密个人数据

当然,HR数据应该加密并存储在安全的系统中,但是从来没有那么简单。根据查看者的访问权限,某些数据应可见,而其他数据则不可见。
考虑:

  • 您是否在休息和运输时进行加密?
  • 是否所有系统都以相同的方式以相同的保护级别加密数据?
  • 您的访问权和流程会阻止敏感数据的跨境传输吗?
  • 您是否在保护任何纸质文档免遭未经授权的访问和查看?
数字化合规流程以降低风险

您的组织准备好接受GDPR了吗?

详细了解我们的WorkForce Suite以及我们的解决方案如何帮助实现GDPR合规性。

3.确保个人数据安全且可用

个人数据必须保持机密,并且只能由授权人员和流程进行更改。数据主体(员工)也必须随时可用,并且必须在弹性系统中存储/处理。

问你自己:

  • 有哪些控制措施可确保个人数据保持“机密”?
  • 我们能否保证只有授权人员才能访问或更改数据?
  • 是否存在关于谁访问和谁更改过数据的永久性安全记录?
  • 我们使用的系统是否足够可靠和可访问的24/7,以便在需要时可以访问个人数据?

4.确保可以快速恢复系统和数据

GDPR要求快速恢复对数据的访问。 “快速”开放供解释,但它必须足够快,以便数据主体(员工)可以在他们合理需要时访问他们的数据。 毕竟数据。

5.证明您定期测试,评估和评估安全性的有效性

GDPR要求组织证明数据保护已经到位并且有效运行。

以下是一些证明方法:

  • ISO 27001认证:这直接链接到GDPR的数据保护要求,因为它要求公司管理风险,使用风险分析来驱动适当的安全控制措施的实施和有效性评估。
  • Sarbanes-Oxley,SOC 1和SOC 2审核。它们表明您已实施安全控制。
  • 内部IT审核团队:通过对安全性和隐私控制,例行漏洞扫描和网络渗透测试的例行审核,使您保持最新状态。

利用数字化劳动力管理系统来处理您的数据

数字劳动力管理解决方案是一个关键平台,可以帮助简化和加速您的GDPR合规性工作。
例如,当新员工的数据转移到另一个国家时,他会收到通知。结果,如果没有适当的劳动力管理解决方案,我们的朋友梅根(Megan)就不会违反GDPR来组成公司。

想了解更多? 联系我们 讨论劳动力管理解决方案如何帮助您实现GDPR。

固定在Pinterest上

分享
分享这个