GDPR合规审核需要遵循的4大关键步骤

自2018年5月25日，欧盟《通用数据保护条例》GDPR(General Data Protection Regulation)正式生效以来，凡受到该条例管辖的组织都必须依照《条例》规定，证明自身的合规性，包括数据记录和活动处理、完成隐私影响评估，以及定期执行隐私审计和政策审核。以下是专家们建议您在进行合规性审核时，应该采取的几大关键步骤。

对许多组织而言，为满足欧盟《通用数据保护条例》(GDPR)合规性而进行的准备工作是一项非常耗时的工程。不幸的是，这项工程至今尚未“完工”。如今，虽然GDPR已经正式生效，但是相关组织仍然需要定期进行内部审核，以评估自身合规水平。一旦发生违规或投诉事件时，你就会意识到记录这些审核的能力有多么重要，因为它像我们证明了善意的努力从来不会白费，它可以帮助我们避免重大的损失。

审核工作非常重要，因为“问责制”是GDPR的原则之一，而且组织需要依照《条例》规定，定期执行隐私审计和政策审核，作为其证明自身合规性的一部分。

此外，有效的审计工作还可以帮助组织发现其计划中的问题或错误，从而在发生违规事件或遭到质疑时，能够向监管机构提交相关记录，协助其完成相关调查。合规并不是一项“设定-忘记”的项目，组织应该遵循GDPR规定并定期进行监督审核，以确保其符合GDPR要求。

实施GDPR审核是非常重要的一项任务，它需要检查用于处理所需任务的流程是否到位，包括数据的“可遗忘权”(Right to be Forgotten，即当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据，用户有权要求删除数据)和数据可转移权(data portability，即数据主体可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者)，以及数据保护官们(data protection officers，简称DPOs)和员工在发生违规事件时知道应该怎么做。

通过对必要流程进行全面审计，可以为组织提供用于流程改进的依据和具体措施。此外，它也为组织提供了一个关键的合规要素——即证明组织在出现违规或遭遇投诉之前就已经制定了这样的流程，并正在正常运行中。具体而言，它可以帮助提高一般调查响应准备工作，这是所有组织都应该做的事，因为它可以尽可能地降低数据丢失的风险。

GDPR审核工作可能需要涉及安全工作以外的人员，包括数据治理、IT、法律以及人力资源等方面的人员。当然，重点还需放在网络安全项目上。为了实现GDPR的合规性审核任务，安全专家们建议组织可以采取如下关键步骤：

1. 制定GDPR审核计划

专家们表示，实施审核的第一步就是制定详细的审核计划，并明确一套书面的、可操作和可分配的流程，然后逐步按照计划和流程完成合规性审核工作。对于那些刚刚着手制定此类计划的人来说，ISO(国家标准组织)为他们的流程提供了模板。虽然该模板并非特定于GDPR的要求，但是它解释了如何创建适当的可操作性计划、详细明确了个人的负责内容，以及何时应该采取何种行动等等。

作为初始阶段的一部分，公司需要评估他们收集的欧盟居民数据，存储位置以及处理方式和地点等信息。审核工作顺利开展的重要因素之一，就是要确保正确地识别了这些数据，一旦确定，就可以按部就班的执行合规行动。

例如，是谁在负责跟踪这些数据，以根据欧盟居民的要求来移除或转移此类数据?你如何确保此类请求是合法的?你如何确保数据得到了正确地处理?如果要删除数据，则需要确保包括数据备份在内的所有存储库都已经得到了正确地更新和清理。

因此，这份审核计划中应该确定一种方法，以识别哪些欧盟居民的详细信息得到了披露，以及这些记录是否受到加密保护等。审核计划应该显示每个案件的处理方式。最佳实践还将提供完整的取证审计跟踪，以帮助应对质疑和投诉，并证明自身合规性。

在为GDPR构建审计计划时，一定要记住，公司需要了解他们在整个生命周期中持有的数据。不幸的是，GRPR是一个模糊的规则，给我们留下了许多开放式问题，这无疑也增加了合规问题的复杂性。话虽如此，我还是建议各组织围绕个人数据的生命周期来实施审核计划，这包括对个人数据进行分类，管理数据风险，安全性和供应链等。

2. 寻找GDPR合规差距并报告调查结果

在GDPR背景下，查看您当前的合规计划，这包括处理记录、数据主体访问请求流程、技术和安全控制、隐私原则以及数据传输机制。