正如我们在这个博客上讨论了一段时间，"狂野西部"数据的日子已经屈指可数了。通用数据保护条例（GDPR）于2018年5月25日生效。这意味着，欧盟内外所有希望向欧洲客户提供产品和服务的公司都需要清楚地理解并回答以下问题：我们收集/保存客户/员工的哪些数据？谁在内部拥有这些数据？我们与第三方共享哪些数据？我们从哪弄来的？我们有什么控制措施？违约的影响是什么？数据控制器（法律实体，如公司）和数据处理器（如SaaS提供商）都会受到影响。而且，这与其说是保护数据，不如说是保护数据主体的权利，数据主体是您的组织正在捕获其数据的人。英国信息专员办公室（ICO）提供了一份文件，其中包含了如何为GDPR做准备的12个步骤。虽然ICO是英国数据隐私监管机构，但它的建议完全适用于任何需要实现GDPR合规性的公司或机构，并希望从何处着手以及应涵盖哪些关键领域提供一些指导。让我们看看下面ICO建议的每一个步骤，并探究为什么您需要一个数据治理平台来有效地实现它们。（来源）第一步：意识ICO说：你应该确保决策者和组织中的关键人物意识到法律正在改变到GDPR。他们需要意识到这可能产生的影响。科利布拉能帮上什么忙任何数据治理程序都需要调整现有的业务文化，实现GDPR也不例外。虽然提高知名度是内部沟通和市场营销的一部分，但如果企业不乐意采用新的做法，而且是半心半意地去做，那么再多的宣传也无济于事。像Collibra这样的数据治理平台以业务为中心，便于采用和协作。我们将相关信息带给用户，通过我们的移动应用程序和无处不在的数据管理Windows和Office集成。第二步：掌握信息ICO的意思是：你应该记录你持有的个人资料，这些资料来自哪里，以及你与谁分享。您可能需要组织信息审核。科利布拉能帮上什么忙为了解决这个问题，您确实需要一个数据治理平台。这就是科利布拉闪耀的地方。它提供了跨业务和技术数据环境的集中的个人数据项清单，允许用户使用全文或正则表达式搜索来查找资产。我们的用户友好界面允许导航从任何项目开始的层次结构（包括向下钻取和上卷）。通过将信息上下文化并自动将术语表术语相互链接，可以更好地理解数据。例如，资产定义中使用的词语可能指的是平台上管理的其他资产。如果您的组织使用一个位于所有数据仓库之上的管理平台，这将确保向所有人显示最新版本的集中库存。这与对所有更改的审核跟踪一起，有助于建立对元数据的信任并推动采用。我们灵活的开箱即用的操作模式允许捕获和分类元数据信息、业务术语到业务词汇表、数据元素到数据字典再到数据集、围绕所有这些的角色和职责、定义和跟踪数据共享协议，数据活动和数据使用，以及管理这一切的原则和政策。第三步：交流隐私信息ICO说：你应该检查你当前的隐私声明，并制定一个计划，以便在实施GDPR时及时做出任何必要的改变。科利布拉能帮上什么忙数据治理平台可以帮助您制定这些计划。在Collibra中绘制数据流程时，您可以包括隐私通知的捕获、何时发送、发送给哪些类别的客户以及适用的任何相关同意。您可以跟踪不同数据主题组的单独隐私声明，并了解哪个数据主题类别或私有数据类别需要什么公式。协作工作流可用于涉及业务的所有相关部分，以便理解和捕获作为这些数据流程一部分发生的所有相关步骤。数据治理平台处理所有元数据。而GDPR的规定，你的隐私声明等等，实际上，只是这样。Collibra的合作伙伴已经在我们的平台上构建了GDPR加速器，以帮助公司加快GDPR的实施（例如，将完整的GDPR法规条款作为业务对象提供，以进行链接和上下文化）。步骤4和5：个人权利和主体访问请求ICO说：你应该检查你的程序，以确保它们涵盖了个人拥有的所有权利，包括如何删除个人数据或以电子方式和常用格式提供数据。你应该更新你的程序，计划如何在新的时间范围内处理请求，并提供任何其他信息。Collibra的帮助：您是否了解有关个人的数据存储在组织中不同系统中的位置，以及从捕获到在报告中使用这些数据的每个点上谁都接触过这些数据？我们的谱系图可以告诉你。该平台允许在整个生命周期（包括过程和技术体系结构）中对个人数据进行可搜索的端到端跟踪。一个正确实现的数据治理解决方案可以帮助您准确地了解您存储的关于个人和跨哪个系统的数据，从而使"被遗忘的权利"和"主题访问"请求更易于管理。这些信息可以很容易地导出到Excel、CSV、PDF或任何常用的数据格式。第六步：处理个人资料的法律依据ICO说：你应该看看你所进行的各种类型的数据处理，确定你进行处理的法律依据并记录下来。Collibra的帮助：这个项目听起来有点像数据治理吗？那是因为它是！而像Collibra这样的数据治理平台使您能够跟踪整个组织的执行情况和法规遵从性，记录业务规则并将其与策略和数据质量规则联系起来，保存本地合规性的证据并提供审计跟踪。步骤7和8：同意和儿童ICO声明：您应该审查您是如何寻求、获得和记录同意的，以及您是否需要进行任何更改你现在应该开始考虑建立系统来验证个人的年龄，并收集父母或监护人对数据处理活动的同意。Collibra的帮助：这些步骤特别强调了技术在GDPR合规性中的重要性。使用我们的可配置资产模型，您可以定义个人数据类别的分类，以及一个同意属性，然后可以根据需要对其进行过滤/报告。同意类型（显式、隐式、监护人同意等）可以链接到每个数据类别，然后将数据类别分配给您的数据处理活动。第9步：数据泄露ICO说：你应该确保你有正确的程序来检测、报告和调查个人数据泄露。Collibra的帮助：虽然检测到违反是一项操作活动，但一旦检测到并标记了问题，Collibra内部的问题和异常管理流程提供了一个集成的警报机制，以通知用户所需的操作（例如，数据处理、工作流批准、数据问题解决等）。使用我们的沿袭图，可以执行相关的影响分析，以了解特定系统/接口的破坏会影响哪些数据集和数据进程。缓解步骤也可以在Collibra中直接跟踪，例如请求匿名化、伪动画化、数据集加密和通过各自的标志进行搜索过滤，以了解准备情况和/或影响。步骤10：设计数据保护和数据保护影响评估ICO说：你现在应该熟悉ICO制定的关于隐私影响评估的指南，并弄清楚如何以及何时在你的组织中实施它们。Collibra的帮助：正如我的同事Shamma在之前的一篇博客文章中所解释的那样，Collibra平台使所有的元数据都可以链接起来并追溯到系统、用户和相关的策略。任何新的系统将需要通过GDPR合规性检查，此后，公司应准备好对其系统进行DPIA，评估应确定：信息符合与隐私相关的法律法规遵从性要求收集、处理和共享个人信息的风险保护和处理信息的过程，以减轻任何潜在的隐私风险。用户选择同意或不同意的注释和规范选项第11步：数据保护专员ICO的意见：如果需要，您应该指定一名数据保护专员，或者指定一名负责数据保护合规性的人员，并评估此角色在组织结构和治理安排中的位置。Collibra的帮助：当您任命一名数据保护官时，他或她将需要以集中的方式跟踪他们的数据登记簿，以责任和审计跟踪为平台的核心。数据治理中心允许您使用角色和职责、工作流和视图来实现和跟踪责任。您可以捕获业务管理员、数据所有者、SME和涉众。您可以根据需要重命名现成的角色或配置新角色。DPO可以配置自己的仪表板，在那里他们可以按用户或用户组（例如dat）查看更改请求/工作流任务的列表