安全合规/GDPR--25--我们通过了GDPR合规认证
Number one
首先,GDPR是一个数据隐私保护条例,类似法律那种的一个东西,是需要你无条件遵守的,因此并没有官方给你发证书这么一说,违反了它你吃罚款就是。于是,大家在欧洲开展业务就变得小心翼翼,自己好不好先不说,深怕遇上猪队友的合作方将自己拖下水。因此,在选择合作伙伴的时候,就非常的小心翼翼,这个过来问你是怎么保证GDPR合规的,那个过来问你是怎么保证GDPR合规的,有的客户还不信任你,谈个业务合作要单独审计,基本都要持续个半年一年的。
而有一些咨询公司在这一方面就非常专业,它们研究解读GDPR条例,并为其他公司提供合规咨询服务,同时利用自己在行业内的影响力,为它们审核通过GDPR合规要求的客户公司提供背书。如此,客户公司就可以利用该背书去更好的开展业务(有了该背书,就能证明自己不是猪队友了,你们可以放心的跟我合作了)。
因此,我司与全球知名的合规咨询机构TrustArc合作,开展对我司的GDPR合规建设,并在今天拿到了TrustArc的GDPR合规背书!
Number two
我司的GDPR合规建设工作大概是18年6/7月左右开始的,这个项目一开始不是我负责的,是其他同事负责的。在到19年2月的时候,这个项目已经倒了好几手了,可能是倒手过多导致的信息交接不全面,或者是由于倒手导致的推动不利,总之到我这的时候,这个项目基本上没有太大的进展。
接手后,公司层面决定应当尽快完成GDPR合规建设,TrustArc建议我推翻之前同事做的所有成果,化整为零,重新开始更为科学的GDPR建设之路。于是,在我手里,GDPR合规建设工作重新开始做了。
中间要写各种空缺的材料、画各种流程图以及一些技术方面的东西需要落地,我和TrustArc的顾问每周开一次会以互通项目进度,推进项目进行。由于GDPR的所有合规文档都需要英文,我的英语又很差,我们决定先写中文,中文文档审核没问题之后,再由专业的翻译人员统一翻译为英文。
GDPR合规建设之路上,有些问题的解决是很耗费时间的。在这些耗费时间的问题中,印象最深的就是由于我公司的特殊性,我们需要在欧洲注册一个实体公司以满足数据的跨境传输,为了使效果达到最佳,我们选择将这家公司注册在德国,因为德国在欧盟的影响力是最大的,它的审核以及其他方面都是最严格的。而这个欧洲实体公司如果注册在其他国家,虽然审核很快,但效果就没有注册在德国这么好。这家注册在德国的公司,由于各方面的原因,直到19年5月才审核下来。
接下来,又是一个难题,新注册的欧洲公司需要有一个数据保护代表(DPR),这个人是否需要在物理上常驻欧盟?TrustArc对此讨论了两个星期后得出的结论是:必须是物理上常驻欧盟,而不是一个中国员工挂名。于是我们和欧洲的律师事务所、TrustArc共同商讨对策,并最终选定了DPR合作商( https://www.dpr.eu.com/contact ),从公司名字就可以看出,他们专业提供数据保护代表服务。如此,才解决了这个问题。
……
困难太多太多,但我们都一个一个的跨过去了,想尽各种办法!
Number three
每一个跨国企业,只要你还想在欧洲开展业务,甚至在北美开展业务,就绕不开GDPR。而欧洲这样大的市场,如果放弃,就是放弃了相当大比例的营收,这大概类似于谷歌放弃中国市场一样。因此,GDPR合规建设就显得极为重要,GDPR合规人才也显得极为重要!
整个合规建设过程中,我个人的收获非常大。从不知道什么是控制者、处理者这种初级概念;到通读GDPR条例,研究GDPR合规案例;再到推动GDPR合规落地,并为全公司提供GDPR合规咨询;再到面试公司合规人才;最终推动我司的GDPR合规建设顺利完成。
在整个过程中,我发现我的记忆力好像又回来了,看过GDPR合规条例后,在遇到实际问题时能第一时间想到条例中的相关规定;GDPR准备的一大堆材料,我能记得哪个合规点写在哪个文档的什么地方。这在对公司内部提供GDPR咨询时,就会很专业了。
现在,我已经是算是一名比较专业的GDPR合规建设者了(自己给自己戴个高帽吧)。
Number four
安全这个行业,是五彩斑斓的。除了技术,还有很多非技术的工作也是极具价值的,是值得去做的。而我们安全从业者的技能,也不应该仅仅局限于技术工作,而应该去拓展视野,去体验外面世界的美妙。
这半年,我搞定了ISO 27001/27017/27018合规年审、搞定了GDPR合规建设、搞定了CCPA合规、也搞定了等级保护三级……在安全合规的道路上,我体验到了做合规的乐趣,也学到了很多,也成长了很多。
展望未来,世界的美妙等待我去体验……