安全合规/GDPR--21--研究：GDPR风险评估与组织架构保障

风险评估

风险评估贯穿于企业GDPR合规制度的建立、实施以及更新完善的每一步，也是企业判断GDPR合规制度是否必要以及如何建设的首要步骤。合规初期，企业进行GDPR风险评估的重点主要为:

(1) GDPR是否适用;
(2) GDPR所涉及的业务领域及其数据的收集、使用、处理、保存和跨境传输的状态。

GDPR不仅适用于设立在欧盟境内的数据控制者或处理者，还适用于设立在欧盟境外但向欧盟境内的数据主体提供商品/服务、或监控欧盟境内数据主体的行为的数据控制者或处理者。

数据控制者是指能够单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、代理机构或其他组织。

数据处理者是指为控制者处理个人数据的自然人、法人、公共机构、代理机构或其他组织。GDPR项下所定义的数据处理的范畴非常广泛，包括对数据进行收集、记录、组织、建构、存储、修改、检索、咨询、使用、披露等自动化或非自动化单个或一系列操作。

数据生命周期分析

1、数据收集

数据收集前是否进行充分告知；
数据收集前是否已获得同意；
数据收集是否具有其他合法事由；

2、数据的使用和处理

确保数据处理符合数据初始收集时的目的；
确保数据处理遵循准确、必要、及时的原则，并以相关、必要为限度；
确保数据主体能够限制数据处理；
确保数据主体能够反对特定的数据处理；

3、数据的存储

GDPR规定数据控制者和处理者对于能够识别数据主体个人数据的保存时限不得超过数据处理目的的必要。

4、数据的传输

GDPR规定数据控制者或处理者对数据主体数据的传输应当在采取特定的保护措施保障数据安全的情况下方可进行。

5、第三方数据处理

GDPR规定数据控制者在选择数据处理的合作第三方时，应当选用具有充分保证的、采取合适技术与组织措施的、处理方式符合本条例要求并且能够保障数据主体权利的处理者。

组织架构保障

1、管理层对数据合规的重视和支持

管理层的了解、认可和支持对企业内部有效建立 GDPR 合规制度至关重要。

2、数据保护官（DPO）的支持

GDPR第37条规定了数据控制者和数据处理者应当任命DPO的情形，包括：
(1)公权力部门或机构进行数据处理活动的；
(2)数据处理的核心活动涉及对数据主体进行经常性大规模系统化监控的；
(3)特殊类别个人数据或与刑事违法行为相关的个人数据的大规模处理。

3、欧盟境内代表

根据GDPR的规定，对于非在欧盟境内设立但是因处理欧盟境内数据主体的数据或对欧盟境内数据主体持续监控而受到GDPR规制的数据控制者或处理者，除涉及特殊数据的处理或系公共机构或团体等特殊情形外，应当以书面方式指定一名在欧盟的代表。该代表应当设立在接受商品或服务，或者行为受到监控的数据主体所在成员国。数据控制者或数据处理者所指定的代表在开展活动时，应当得到数据控制者或数据处理者的授权，同时也需取得监管机构和数据主体的授权。