OneTrust法律团队作者为IAPP发布的GDPR隐私顾问帖子OneTrust的首席隐私官Andrew Clearwater、CIPP/US和隐私顾问Brian Phillbrook、CIPP/US/E、CIPM、CIPT为IAPP撰写了隐私顾问帖子。点击这里阅读IAPP网站上的这篇文章，或者阅读下面的文章全文。 实施GDPR下数据主体权利的考虑因素《一般数据保护条例》为个人提供了各种权利，可以对处理其个人数据的组织强制执行。这些权利允许个人控制并限制其数据的收集、使用和披露。具体地说，根据GDPR，数据控制者对这些权利负有义务，处理者必须协助控制者履行这些义务。当然，处理数据主题请求不仅仅涉及法规遵从性，它还是一个改善客户关系、服务交付和声誉的机会。以下是组织在考虑如何最好地实施与第12-22条中的数据主体权利有关的要求时应考虑的一些因素。操作注意事项确定你已经拥有的与任何一项新的事业一样，通常的出发点是确定你已经拥有了什么。为了正确处理请求，应审查正在处理的个人数据以及有关处理请求的任何现行政策或程序的知识。同样重要的是要确保有关某个特定个人的个人资料是可存取和容易找到的。此外，个人资料不必为将来能够回应潜在的存取要求而保留。因此，实施数据保留策略和定期删除不再需要的数据将是管理请求工作负载的强大工具，同时也尊重隐私并证明遵守了GDPR的其他要求。决定你需要什么在确定了你所拥有的之后，下一步是确定你需要什么。就遵守GDPR而言，这可能意味着根据GDPR第12-22条进行差距分析，以审查现有的项目组成部分。例如，您当前的隐私声明可能已经以简洁、透明、易懂和易于访问的形式呈现。在这种情况下，可能只需要加强它，以确保第13条和第14条规定的通知内容的所有具体要求都得到满足。对于组织来说，确定他们在何处作为给定处理活动中个人数据的控制者或处理者，确定有关数据主体请求的法律要求也很重要。在某些情况下，首先确定他们的工作的优先次序，这样做也有助于限制他们的工作。填补空白在确定了所拥有的，并确定了您需要什么之后，下一步就是开始创建或增强您当前的数据主体请求策略和过程，以满足GDPR的要求。例如，起草一个逐步的内部流程或清单，供业务用户在处理数据主题请求时遵循。确保流程足够标准化，淘客链接，以便员工清楚地知道在这一过程中的每一步要做什么。识别触发器和嵌入流程确定哪些业务团队可能会收到数据主题请求，并与他们合作以确保他们理解您更新的策略和过程，以及如何识别和处理请求。如果这些团队有可用于其他项目的现有工具，请考虑尽可能利用这些工具和方法。例如，如果您的专业服务团队使用CRM，请考虑通过在该工具和团队使用的隐私管理工具之间添加API集成来提高效率的方法。记住业务用户当构建以满足GDPR的要求时，大数据数据，您必须记住您的业务用户（将要执行大部分工作的人）。例如，如果您计划在收到数据主题请求后使用调查表供业务用户填写，请为用户提供多项选择答案，如何学习大数据，企业内部软件，以提高他们的记忆力，或提供"不确定"选项，以减少猜测和不准确的回答。使用阈值不是所有来自数据主体的请求都是有效的，有些甚至不会触发GDPR。尝试使用阈值问题来排除和分类请求，以确保根据复杂性或具有更多法律、业务或声誉风险的请求优先处理工作。阈值的使用也有助于向监管机构和利益相关者证明，您的组织在合规方面采取了深思熟虑的方法。启用请求另外，请考虑您将如何促进GDPR下数据主体权利的行使。您是否会向他们提供一个指向SFTP站点的链接，在该站点中，用户可以创建登录凭据，并就其请求与您的组织进行安全通信？或者，你会简单地通过电子邮件沟通吗？对于员工，您是否会在公司内部网上为他们提供提交申请的链接？允许用户从已经拥有登录凭据的环境（例如，web或移动应用程序）中提交请求可以帮助验证请求者的身份。编辑数据的能力也很重要，因为实现数据主体的权利不得对其他人的权利和自由产生不利影响，而全面的文件记录对于证明拒绝按请求采取行动的任何理由至关重要。组织和管理请求接下来，考虑如何将所有这些请求组织在一个队列中，以及谁来管理该队列。也许这是由隐私小组的人做的，或者你把这件事委托给你的隐私倡导者。队列管理对于满足GDPR规定的严格时间线尤为重要。因此，有能力按状态（例如，新的、进行中的、已完成的）和年龄对请求进行分类和筛选是很重要的。生成报告和指标GDPR要求组织能够证明其合规性，因此保存请求的证据、请求的实现或拒绝的原因非常重要。这可能包括数据主体的基本识别信息、请求的详细信息、谁处理了请求和结果，以及响应的时间。您可能还需要保留任何内部或外部通信的副本，作为满足请求的证据。但是，为了遵守数据最小化原则，大数据传输，您应该只保留实现这些目标所需的最小值。还可以跟踪请求量、实现或响应的平均时间以及每个数据主题的请求数，以确保请求处理过程的持续改进。对于许多受GDPR约束的美国组织来说，处理这些请求以及伴随这些请求的法律要求将是一种新的体验。因此，需要为2018年5月25日开闸做准备。分享这篇文章