新兴数据隐私注意事项- GDPR, CPRA, VCDPA等!

随着有关数据隐私的立法不断涌现, 数据保护, 和网络安全, 对于公司来说，采取措施识别和保护客户的关键私人信息比以往任何时候都更加重要, 供应商, 和员工.  以下是一些新兴的资料私隐法例:

• 2018年5月生效的《盈禾体育》(GDPR)保护欧盟居民的个人数据
• 2020年1月生效的《盈禾体育》(CCPA)保护加州居民的个人数据
• 加州隐私权法案(CPRA)——2023年1月生效——CCPA的扩展, 介绍消费者权利和新的业务需求
• 弗吉尼亚州消费者数据保护法(VCDPA)于2023年1月生效，保护弗吉尼亚州居民的个人数据
• 科罗拉多州隐私法案(CPA)于2023年7月生效，保护科罗拉多州居民的个人数据
• 《盈禾体育》于2023年12月生效，保护犹他州居民的个人数据
• 中国个人信息保护法(PIPL)将于2021年11月生效，旨在保护中国消费者的数据, 以及现有的网络安全和数据安全法律

随着景观的成熟, 有一件事是明确的——公司需要一个通用的数据隐私和安全框架来满足本地和全球的众多需求.

以下是你可以采取的一些关键步骤，以确保你的公司准备好处理数据隐私合规性:

步骤1.  执行数据映射

识别个人数据，包括类型、位置和安全措施

首先对系统、接口和记录进行盘点.  工具可以在发现过程中提供帮助, 或者你可能已经有了一个电子表格, 配置管理数据库(CMDB), 或者另一个库存.  一旦你确定了系统, 您将需要定义由这些系统存储或传输的数据类型.  是客户、供应商还是消费者的个人信息?  它是加密的还是纯文本的?  这些是需要记录和回答的问题类型

步骤2.  针对既定框架进行差距分析

查看数据隐私要求，看看哪些已经到位，哪些还缺失

确定适用于您的数据隐私框架和法规.  你们在哪里做生意?  您的客户或用户位于何处?  一旦您确定了需要遵守的框架, 然后，您可以执行结构化分析，以查看您在哪些地方拥有符合要求的过程，或者在哪些地方存在差距.

步骤3.  制定行动计划和路线图

创建一个补救计划，其中包括目标日期、所有者、风险级别和可操作步骤

在解决步骤2中确定的差距时，确定行动所有者和时间表是很重要的.  你可能需要一个项目经理来推动工作, 你需要持续的监控和更新，以确保你的团队保持在正轨上.

步骤4.  执行必要的补救步骤

根据风险最高或最容易获胜等优先级来解决问题

在短时间内填补所有空白是很困难的, 因此，您需要确保根据已定义的列表来修复差距, 基于优先级.  例如, 您可以选择首先实现对最高风险区域的修复, 或者你的目标是在最短的时间内修复最多的区域.  最佳方法取决于您的业务和特定的遵从性需求.

步骤5.  进行修复后评估

分析修复是否有效，以及如何改进

一些数据隐私法规要求将评估作为合规的一部分, 虽然这只是与他人保持一致的良好做法.  无论哪种方式, 在大多数差距得到纠正之后，对环境进行评估是非常有益的, 因此，您可以清楚地了解您的遵从性状态和任何必要的附加步骤.  在进行此评估时，使用独立的第三方通常是最佳实践.

数据隐私合规之路可能充满挑战，沿途会遇到许多问题.  不遵守规定的后果可能是代价高昂的, 包括罚款和罚款, 负面媒体报道, 损害公司声誉, 等.  例如, GDPR已被广泛执行，并导致了大量罚款, 包括以下一些值得注意的处罚:

• 亚马逊——8.77亿美元罚款
• WhatsApp——2.55亿美元罚款
• H&罚款4100万美元
• 英国航空公司——罚款2600万美元

如果您不确定如何实现完全合规，我们经验丰富的数据隐私专家团队可以提供帮助. Bridgepoint咨询公司可以指导您的组织完成流程的每一步, 包括数据映射, 制定并执行你的行动计划, 并进行修复后评估. 学习如何 在这里.