适用欧盟《通用数据保护条例》的公司企业应定期进行合规审计。专家建议通过4个关键步骤加以实现。
对很多公司企业而言,仅仅准备应对欧盟的《通用数据保护条例》(GDPR)就已经耗时耗力精疲力竭了。然而不幸的是,这项工作还远未结束。GDPR生效实施到今天,公司企业需进行经常性的内部审计以评估合规情况。审计记录在发生数据泄露或投诉时非常有用,因为能拿出曾做过善意努力的证据有助于避免遭遇重大处罚。
风险管理咨询公司CompliancePoint总经理兼高级副总裁 Greg Sparrow 表示:审计非常重要,因为问责正是GDPR主要原则之一,公司企业的合规操作中就包括对隐私及合规项目的监理。
审计应确保公司企业能够捕捉到自身项目中的疏漏,并在发生违规或受到质疑的时候能够向监管机构展现出自身的尽职。合规不是一劳永逸。公司企业应符合各种管理规定并设有定期监察机制以确保持续合规。
为什么应该执行GDPR审计?
GDPR辖下很多公司企业都还没有合规。尤其是小公司在合规操作上经常举步维艰。欧盟在5月发布的一份报告显示,欧洲小企业管理层对GDPR合规的理解与他们的实际合规水平之间存在割裂。
720位受访者中约有86%认为他们完全或大体合规。但仅有44%认为他们已向数据主体明确过自身的数据处理行为,有44%不确定自己的个人数据收集或使用行为总是在征得数据主体同意的情况下或建立在合法基础上。而这些,全都是GDPR的核心要求。
同样是在五月,欧洲数据保护委员会(EDPB)报告称,收到了约6,5000件GDPR数据泄露通报,做出了6,300万美元的罚款。报告同时指出,巨大的通报量耗尽了监管机构的资源。尽管报告并未提及审计,但很明显,通报数据泄露的公司企业若未曾就自身GDPR合规进行审计,获得的监管关注会比做好内部审计的公司企业要多。
安全技术公司CSPi网络安全部总经理 Gary Southwell 表示:进行GDPR审计很重要,需检查是否设置了处理所需事项的过程,包括数据的遗忘权和可移植性,以便数据保护官(DPO)及员工都知道发生数据泄露时该怎么做。
通过审计彻底检查过程,能够找到改善过程的方法。而且,审计还可以提供GDPR属意的关键事前合规元素——证明公司设置了此类过程并进行了切实的运营与维护。另外,审计还有助于提升总体调查响应准备度,助力公司企业最小化数据丢失风险。
除了安全人员,GDPR审计还会涉及数据治理、IT、法律和人力资源部门的人。当然,绝大部分注意力会落在网络安全项目上。据行业专家介绍,GDPR审计应包含以下四个步骤。
1. 创建GDPR审计计划
第一步就是要有一个详尽的计划,并按照GDPR的要求逐步设置成文的可执行、可指派过程。初次创建此类计划的公司企业可以参考国际标准组织(ISO)提供的模板。虽然不是专为GDPR所设,ISO的模板可用于创建恰当的可执行计划,详细说明谁负责什么工作,怎样执行,以及何时执行。
该初步过程中,公司企业需对自身收集的欧盟公民数据进行评估,搞清楚数据类型、存储位置及数据处理的方式和地点。审计应确保此类数据得到有效识别。一旦确定了数据,也就能确定合规操作了。
比如说,谁负责跟踪此类数据以便按照欧盟公民的要求进行删除或传输?怎么确定此类请求是合法的?怎样确保数据得到了恰当的处理?如果需要删除数据,必须有个过程确保包括数据备份在内的所有存储库都得到恰当更新。
该计划应包含识别欧盟公民哪部分详细信息遭暴露的方法,并能确认该部分信息是否有加密保护。若能做到这一点,整个数据泄露通报都将大不一样。审计应显示出每个案例的处理过程。最佳操作应能提供完整的取证审计轨迹以应对质询和证明合规。
建立GDPR审计计划时,公司企业应注意到所持个人数据的生命周期,全周期履行数据保护责任。但不幸的是,GDPR是一个模糊的规定,有很多开放的问题有待解决,增加了合规复杂性。公司企业最好是能够实现一个包含了个人数据完整生命周期的审计计划,包括个人数据分类和风险、安全及供应链管理。
2. 查找和报告GDPR合规漏洞
按GDPR的标准审查当前合规项目,包括处理记录、数据主体访问请求过程、技术及安全控制、隐私原则和数据传输机制。
GDPR影响公司绝大部分部门。处理个人数据或负责个人数据治理、操作或技术控制的部门,在审计的发现阶段会被纳入问询和文档 / 策略审查环节。
这一阶段将决定公司企业的GDPR合规能力。发现过程应包含公司在满足规定方面的有效性,包括:
- 主体访问请求
- 隐私原则
- 技术控制及安全控制
- DPO适应性
- 向欧盟外无充分性决策国家的数据传输
- 处理者监督与合约
- 数据泄露响应与向上级监管机构及数据主体的通报
- 隐私影响评估方法
- 从设计开始的默认数据保护
- 合规项目持续监察
发现阶段完结后,审计员需描绘出当前合规过程概况,标出尚未合规的地方,拿出一份显示公司GDPR合规能力的报告。
报告有可能会很长,列出很多需作出改变的地方和整改建议。也可以很简洁,只给出 “合规” 或 “不合规” 的评价——任何归属 “不合规” 门类的就是需要修复的地方。
3. GDPR合规漏洞的排序与修复
接下来,审计团队需依据特定领域的风险水平,对不合规的地方排出个整改优先次序。基于风险的方法十分重要。监管机构曾在相关会议上陈述过,他们的重点放在数据泄露和公司企业促进合法主体访问请求的能力上。所以,如果公司在这方面有所欠缺,那就应该立即予以弥补。
确定风险时应考虑的因素包括发生概率、不合规程度和违规事件对业务的影响。从风险最高的领域开始修复发现阶段暴露出来的GDPR合规漏洞。
鉴于GDPR管辖范围之宽与要求之多,单个团队或个人是无法完成修复任务的,需将任务分派给恰当的修复负责人并设定现实的最后期限。
有些修复项目必然会比其他项目耗去更长的时间。比如说,技术性修复与更新可能要求预算重分配和人手增派,数据主体权益保护也可能要求负责在前端处理终端用户请求的团队成员接受培训。
4. 测试修复工作
审计团队在合规漏洞发现与修复过程中投入时间与资源之后,确保公司的过程与系统符合GDPR规定就成了重中之重。
需反复测试公司设置的控制措施以确保漏洞得到了修复,并及时扑灭可能出现的问题。漏洞修复后就应进行审计,确保满足了各项规定的要求。
需时刻谨记合规是一个持续的过程。定期执行审计可以确保隐私及合规项目按预期开展。持续的审计及合规与隐私框架测试能够保证一切按计划进行。问责是GDPR主要原则之一,公司企业必须实现持续的监视与实施项目,测试隐私项目的有效性,这样才能符合GDPR的要求。
GDPR与数据隐私的各项元素需融合进常规的风险分析中。
该项法规的有些方面可能不适用于所有公司,比如指定DPO或保存处理行为记录。为此,审计本身就能帮助公司企业更好地了解这些合规要求。
GDPR自审计的好处
GDPR审计耗时耗力耗资源,但其投资回报可不单单只是减小罚款风险。良好自审计的正面效益远远超出执行审计所需的人力物力开销。
比如说,自审计就是客户利益代言的绝佳展示。每个受GDPR影响的市场营销公司都应做好自身在客户保护和客户利益代言上的宣传。很多公司都将GDPR视作强制规定而非大好机会,这很令人意外。市场领导者应坦诚宣扬自己在充当客户信息忠实管家上所做的一切,通过向客户展示数据被用于提供更好功能与服务的具体方式及缘由,来巩固自身市场领导地位。
GDPR.eu调查报告:
https://gdpr.eu/wp-content/uploads/2019/05/2019-GDPR.EU-Small-Business-Survey.pdf
EDPB报告:
ISO提供的可行性计划创建过程模板:
https://www.iso-9001-checklist.co.uk/iso-checklists.html
相关阅读