GDPR在法律上的实施已经一年多了，让我们回顾一下关于GDPR的6个常见问题和回答。

什么是GDPR？

GDPR是欧盟的一项法规，它有两个主要目的，即保护个人的隐私权和个人信息安全的权利。该GDPR将影响到所有组织以某种方式处理或处理个人数据，除了少数例外，如执法机构。

目前，许多公司都受到GDPR的压力-您可以为正在努力成为GDPR合规性的人提供最佳建议吗？

记录数据处理活动

用个人数据记录组织所做的一切。您甚至应该指定数据处理的目的，将处理什么类型的个人数据以及将其保存多长时间（要求30）。如今，通常使用系统进行处理活动（例如付款），因此公司可能会选择根据系统记录数据处理。但是，重要的是要意识到活动本身应该是焦点，并且明智的做法是将某些系统（例如CRM系统）拆分为记录不同活动的不同记录。在此处下载我们的免费模板。

评估用于擦除个人数据的常规程序

组织具有存储和处理个人数据的目的非常重要。如果没有目的，则应删除数据。您不应仅仅因为没有能力建立新的数据删除例程而存储数据，或者因为将来可能会需要它的可能性很小。这些借口将不再有效。但是，删除数据的截止日期并不一定要表示为：“一年后将删除个人信息……”可以这样表述，以便您声明一旦目的就将删除个人数据已经实现了。例如，“当临时雇员成为永久雇员时，他们的信用报告将从人力资源系统中删除……”

考虑GDPR制定IT策略

如果该组织还没有特别关注GDPR的IT政策，那么该是时候该制定了！GDPR将要求组织制定保护个人数据的例行程序和政策，因为除其他事项外，有关事件处理和涉及个人数据的违规行为都有具体要求。

个人有权查看有关组织处理和处理个人数据的哪些信息？

在收集数据时，个人有权（除其他事项外）知道正在收集什么个人数据，存储数据的目的以及是否会将数据转移给第三方。这是在隐私政策中指定的。在某些情况下，个人也有权获得正在存储的个人数据的副本。因此，重要的是考虑如何处理用CRM和支持系统中的自由文本字段编写的信息。

您认为关于GDPR的最大误解是什么？

我认为最大的误解是，有人认为即使是最小的个人数据事故也将受到严厉制裁。惩罚将与犯罪成正比。最高处以20,000,000欧元或全球销售额4％罚款的原因是为了向处理大量个人数据的Facebook和Google等最大企业传达信息。

被遗忘的权利有多严格？即使有人想被遗忘，您也可以存储信息吗？

我注意到，该要求根本没有某些人想象的那么严格。规则有很多例外。最重要的是，组织必须有充分的理由说明为什么必须保留有关个人的个人信息，例如，由于法律原因或出于存档目的将其作为统计数据。如果不再需要处理，例如，如果注册人撤回了他或她的同意，或者不再使用Facebook或电子商务网站之类的服务，则注册人有权删除其信息。

那么，您认为组织会受到什么处罚？

由于没有足够的文档，政策或适用于GDPR的例程来处理个人数据。投资时间和精力来记录数据处理活动，重新编写数据处理协议和供应商协议，编写适合GDPR的IT策略，并教育员工有关这些新例程和流程的知识。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• 揭示PKI动态：全球各地区技术趋势和监管见解

• 数据脱敏和数据加密一样吗？

• 针对GDPR合规性的加密