DSARs, irr, 消费者权益要求, Derechos ARCO -如果你读到其中任何一个时突然出了一身冷汗, 那么这篇博文就是给你的. 在今天的日常操作中,隐私请求是复杂而繁重的, 而且只会越来越多产.
f添加不同请求者类型(消费者)的细微差别, 员工, 承包商, 即使是其他公司), 不同的监管规定(CCPA下的45条), GDPR下的30, 等.),你的行动可能很快就会变成一团乱麻,看起来比中学里的食物大战还糟糕. 不断增加新的行业要求,比如 这些都是苹果公司制定的 为了自动删除应用内用户,事情变得令人眼花缭乱.
正确处理这一过程不仅可以建立消费者和员工的信心,还可以帮助组织建立更值得信赖的品牌,并保护隐私.
你如何制定一个有效的策略?
- 绘制和盘点您的数据是的,这真的很有必要. 并非所有隐私法都对数据处理的可演示映射有严格要求. 不管, 映射可以帮助您更好地了解和理解为充分响应请求者而处理的数据,还可以帮助您更好地管理有关必须遵守和不遵守哪些内容的决策. 这可以基于数据处理的法律基础, 法律纠纷,甚至知识产权方面的考虑.
鉴于某些权利可能不适用于所有数据主体(例如对前雇员的删除), 组织需要对如何在这些基础上进行有一个明确的处理. 这应该通过半自动化(在上下文驱动数据的集中存储库中进行映射)和自动化(系统和数据发现)来完成, 在结构化和非结构化存储库中). 发现系统也应该能够“索引”, 或者在这些数据模式中留下一个标志, 来确定什么类型的数据驻留在哪里.
- 尽可能自动化:请求的完全自动化 可能的 在某些情况下. 组织在哪些地方可以适当地使用自动化并确定其范围, OneTrust已经能够将完成请求的时间减少多达87%. 你应该问的问题是: 我们应该尝试完全自动化吗?
当然, 我们都想让请求处理尽可能高效和自动化——大多数隐私, 安全和IT专业人员没有时间在其他部门“赶猫”来满足需求. 然而,应该注意的是,完全自动化并不总是最好的策略. 如果您没有考虑法律审查和保留等因素,以验证完全履行请求的必要性(例如删除/RTBF请求的情况), 你可能会错过重要的步骤.
作为自动化过程的一部分, 组织应该确定他们想要什么类型的请求, 并且可以, 自动化. 访问请求(或知情权)通常可以通过与云中或本地的各种系统集成并查询某些识别细节来处理,以将您所拥有的有关个人的数据联系在一起.
但是删除请求呢? 许多系统, 尤其是老式的本地系统, 无法处理自动删除数据而不对系统内数据集的操作功能造成破坏性影响. 对于大多数公司,可能需要DBA的手动步骤或干预. 您可能还需要请求第三方帮助您满足删除请求, 在很多情况下, 您所期望的自动化程度会有所不同.
总而言之,对大多数公司来说,期望达到100%是不合理的. 您构建的流程应该包括要遵循的结构化阶段和步骤,以便跨部门和管辖范围的规模团队可以重复隐私团队构建的剧本.
- 在整个过程中保持透明和安全沟通在整个过程中都是必不可少的, 这要从你告知个人他们的权利以及如何行使这些权利开始. 大多数组织都有几种方法,包括吸收表格, 电话热线和电子邮件地址——所有这些都在他们的隐私政策中披露. 在实践中, 这个过程可以以多种方式开始,组织应该匹配可以提出请求的地方, 对您的业务(电子商务渠道)的实际性质, 呼叫中心, 应用请求, 为例).
组织充分保护数据也非常重要. 首先要确保有一个有效和安全的身份验证过程, 只要求或收集对验证身份严格必要的数据. 在请求的整个生命周期中, 公司还应确保所有通信通道和门户都是加密的, 并且对通信或文件的访问仅限于最低限度的必要访问控制(如凭据过期的令牌化访问)。.
- 不要过度分享或侵犯他人的权利尤其是在员工要求的情况下, 组织需要谨慎,不要共享非请求者本人的个人数据. 举个例子, 在邮件通信中, 的名字, 地址和其他详细信息是不应该共享的数据的例子-如果不是严格必要的,作为满足要求的一部分.
组织应该考虑围绕数据修订的流程和策略,以保护客户的权利, 雇员和其他个人. 通过编辑敏感或不相关的数据,您可以确保充分的隐私保护.
编校策略和流程还可以在其他方面使组织受益,包括保护知识产权. 举个例子, 在可移植性请求的情况下, 公司可能希望编辑不影响请求者但可能意外泄露专有处理和自动化的敏感算法信息.
- 适应您的隐私权请求过程不会保持不变. 个人在行使权利方面越来越精明,监管环境也在不断变化. 如果你不是 针对法规变更重新评估你们的流程 每隔3-6个月进行一次趋势分析,你很有可能会在某个地方错过目标.
编者按: 有关ISACA的其他数据隐私见解,请 请访问我们的2022隐私资源页面.
作者附言: 有关OneTrust如何帮助您管理隐私权请求的更多信息, 并走在监管变化的前面, 访问onetrust.com
