GDPR合规审核需要遵循的4大关键步骤

自2018年5月25日，欧盟《通用数据保护条例》GDPR(General Data Protection Regulation)正式生效以来，凡受到该条例管辖的组织都必须依照《条例》规定，证明自身的合规性，包括数据记录和活动处理、完成隐私影响评估，以及定期执行隐私审计和政策审核。以下是专家们建议您在进行合规性审核时，应该采取的几大关键步骤。

对许多组织而言，为满足欧盟《通用数据保护条例》(GDPR)合规性而进行的准备工作是一项非常耗时的工程。不幸的是，这项工程至今尚未“完工”。如今，虽然GDPR已经正式生效，但是相关组织仍然需要定期进行内部审核，以评估自身合规水平。一旦发生违规或投诉事件时，你就会意识到记录这些审核的能力有多么重要，因为它像我们证明了善意的努力从来不会白费，它可以帮助我们避免重大的损失。

审核工作非常重要，因为“问责制”是GDPR的原则之一，而且组织需要依照《条例》规定，定期执行隐私审计和政策审核，作为其证明自身合规性的一部分。

此外，有效的审计工作还可以帮助组织发现其计划中的问题或错误，从而在发生违规事件或遭到质疑时，能够向监管机构提交相关记录，协助其完成相关调查。合规并不是一项“设定-忘记”的项目，组织应该遵循GDPR规定并定期进行监督审核，以确保其符合GDPR要求。

实施GDPR审核是非常重要的一项任务，它需要检查用于处理所需任务的流程是否到位，包括数据的“可遗忘权”(Right to be Forgotten，即当用户不再希望个人数据被处理并且数据控制者已经没有合法理由保存该数据，用户有权要求删除数据)和数据可转移权(data portability，即数据主体可以无障碍的将其个人数据以及其他数据资料从一个信息服务提供者处转移至另外一个信息服务提供者)，以及数据保护官们(data protection officers，简称DPOs)和员工在发生违规事件时知道应该怎么做。

通过对必要流程进行全面审计，可以为组织提供用于流程改进的依据和具体措施。此外，它也为组织提供了一个关键的合规要素——即证明组织在出现违规或遭遇投诉之前就已经制定了这样的流程，并正在正常运行中。具体而言，它可以帮助提高一般调查响应准备工作，这是所有组织都应该做的事，因为它可以尽可能地降低数据丢失的风险。

GDPR审核工作可能需要涉及安全工作以外的人员，包括数据治理、IT、法律以及人力资源等方面的人员。当然，重点还需放在网络安全项目上。为了实现GDPR的合规性审核任务，安全专家们建议组织可以采取如下关键步骤：

1. 制定GDPR审核计划

专家们表示，实施审核的***步就是制定详细的审核计划，并明确一套书面的、可操作和可分配的流程，然后逐步按照计划和流程完成合规性审核工作。对于那些刚刚着手制定此类计划的人来说，ISO(国家标准组织)为他们的流程提供了模板。虽然该模板并非特定于GDPR的要求，但是它解释了如何创建适当的可操作性计划、详细明确了个人的负责内容，以及何时应该采取何种行动等等。

作为初始阶段的一部分，公司需要评估他们收集的欧盟居民数据，存储位置以及处理方式和地点等信息。审核工作顺利开展的重要因素之一，就是要确保正确地识别了这些数据，一旦确定，就可以按部就班的执行合规行动。

例如，是谁在负责跟踪这些数据，以根据欧盟居民的要求来移除或转移此类数据?你如何确保此类请求是合法的?你如何确保数据得到了正确地处理?如果要删除数据，则需要确保包括数据备份在内的所有存储库都已经得到了正确地更新和清理。

因此，这份审核计划中应该确定一种方法，以识别哪些欧盟居民的详细信息得到了披露，以及这些记录是否受到加密保护等。审核计划应该显示每个案件的处理方式。***实践还将提供完整的取证审计跟踪，以帮助应对质疑和投诉，并证明自身合规性。

在为GDPR构建审计计划时，一定要记住，公司需要了解他们在整个生命周期中持有的数据。不幸的是，GRPR是一个模糊的规则，给我们留下了许多开放式问题，这无疑也增加了合规问题的复杂性。话虽如此，我还是建议各组织围绕个人数据的生命周期来实施审核计划，这包括对个人数据进行分类，管理数据风险，安全性和供应链等。

2. 寻找GDPR合规差距并报告调查结果

在GDPR背景下，查看您当前的合规计划，这包括处理记录、数据主体访问请求流程、技术和安全控制、隐私原则以及数据传输机制。

GDPR影响了组织内的大多数部门。审核工作的“发现阶段”将包含访谈和文件/政策审查，以及任何部门处理个人数据或负责与个人数据有关的治理、运营或技术控制措施。这些因素将决定组织与GDPR规则保持一致性的能力。“发现阶段”应该包含组织在满足具体合规要求方面的有效性，主要包括：

• 数据主体访问请求;
• 隐私原则;
• 技术和安全控制;
• DPO适用性;
• 数据处理者(Data Processors)监督和合约;
• 数据泄露响应和通知监督机构和数据主体;
• 隐私影响评估方法;
• 通过设计和默认来证明数据保护;
• 持续监督合规计划;

一旦“发现阶段”完成，审核人员需要概述当前流程和任何存在出入的区域。这就涉及要生成一份报告，来显示组织与GDPR规则保持一致性的能力。该报告可以涉猎很多内容，包含有关需要进行改进部分的详尽结果和建议等;或者它也可以像“达标”或“未达标”评级一样简单，但需要注意的是，“未达标”类别下的任何内容都需要及时进行改进。

3. 优先考虑并弥补GDPR合规性方面的差距

接下来，审核团队需要根据特定区域的风险级别，来确定不合规区域的优先级。在进行补救工作时，需要采取基于风险的优先级评定方法。例如，监管机构曾在会议上表示，他们将把监管重点放在违规行为和组织促进合法主体访问请求的能力上。如果说您的组织缺乏该领域的合规性，我们建议您及时完成补救工作。

在确定风险时应该考虑的因素还包括发生概率、与监管不一致的程度，以及发生侵权时的业务影响。从风险***的领域开始，对“发现阶段”识别出的GDPR合规性差距进行及时补救。

鉴于监管范围和要求的广度，单靠一个人或一个团队根本不太可能弥补“发现阶段”识别出的GDPR合规性差距。为此，组织可以向负责补救和现实截止日期的相关所有者分配任务。

在该阶段的工作中，至关重要的一点就是要了解这样一个事实：一些补救项目将比其他补救项目耗时更久。例如，技术修复和升级可能需要更多预算和人员支持;或者数据主体权(data subject rights)可能需要为那些负责最终用户请求的前端处理团队成员提供开发培训。

4. 测试修复成果

既然审核团队已经投入了大量时间和资源来寻找并修复合规性差距，那么确保组织的流程和系统能够满足GDPR要求将至关重要。

测试并重新测试组织已经实施的控制措施，以确保弥补差距，并解决可能出现的任何问题。一旦差距弥补过程顺利完成，那么确保组织的流程和系统能够满足GDPR要求就成为审核工作接下来要完成的重点内容。

值得注意的是，这是一个持续的过程。组织需要定期执行审核，以确保隐私和合规性计划正在按预期运行。问责制是GDPR的一项原则，组织必须实施持续的监督和执行计划，以测试隐私计划在满足GDPR要求方面的有效性。

此外，安全专家还表示，为满足GDPR和数据隐私要求，组织还需要纳入常规风险分析。法规的某些方面可能并不适用于所有公司，包括人命DPO或维护数据处理活动的记录等。为此，审核工作本身可以帮助组织更好地理解GDPR合规性要求。

GDPR“自我审核”的额外好处

执行GDPR审核需要花费大量时间、金钱和其他资源。然而，这种投资所带来的回报可能远远不止能够帮助组织降低罚款风险。专家表示，在“自我审核”方面表现良好的积极意义远大于执行审核所花费的成本和付出。

例如，Teradata公司的安全专家John Timmerman就将“自我审核”视为展示客户支持的一种方式。他认为，每个受GDPR影响的营销组织都应该成为行业领先者，在如何保护客户资源和宣传自身优势方面起到行业表率作用。但是，令人惊讶的现实是，很多组织仍然简单地将GDPR视为一个指令，而非一次实现自身发展的机遇。市场***应该牢牢地抓住此次发展机遇，通过向客户展示自己如何以及为何使用这些数据为客户提供更好的服务，来***限度地征服人心，抢占市场。