你准备好参加GDPR了吗？我们的GDPR清单可以帮助您保护您的组织，保护您客户的数据，并避免因不合规行为而遭受高额罚款。

为了理解GDPR清单，了解一些术语和法律的基本结构也很有用。您可以在我们的“什么是GDPR？”？页请记住，本页中的任何内容均不构成法律意见。我们建议您与GDPR合规专业律师交谈，该律师可以将法律适用于您的具体情况。

法律依据和透明度

进行信息审核，以确定您处理的信息以及谁可以访问这些信息。

要求拥有至少250名员工或进行高风险数据处理的组织保留其处理活动的最新详细列表，并准备在监管机构提出要求时向其展示该列表。证明GDPR合规性的最佳方法是使用数据保护影响评估。员工少于250人的组织也应进行评估，因为这将使遵守GDPR的其他要求变得更容易。在您的列表中，您应该包括：处理的目的、您处理的数据类型、在您的组织中谁有权访问数据、有权访问的任何第三方（以及他们所在的位置）、您正在做什么来保护数据（例如加密），以及您计划何时删除数据（如果可能）。

为您的数据处理活动提供法律依据。

根据GDPR，数据处理是非法的，除非您可以根据第6条中列出的六个条件之一证明其正当性。第7-11条中还有其他与儿童和特殊类别个人数据相关的规定。审查这些规定，选择合法的处理基础，并记录您的理由。请注意，如果您选择“同意”作为您的合法依据，则会有额外的义务，包括为数据主体提供撤销同意的持续机会。如果“合法利益”是您的合法基础，您必须能够证明您进行了隐私影响评估。

在您的隐私政策中提供有关您的数据处理和法律理由的清晰信息。

你需要告诉人们你正在收集他们的数据以及原因（第12条）。您应该解释数据是如何处理的，谁有权访问数据，以及您如何保证数据的安全。此信息应包含在您的隐私政策中，并在您收集数据时提供给数据主体。必须“以简洁、透明、易懂和易于获取的形式，使用清晰明了的语言，尤其是针对专门针对儿童的任何信息。”

数据安全

从开始开发产品的那一刻起，到每次处理数据的时候，都要始终考虑数据保护。

您必须遵循“设计和默认数据保护”的原则，包括实施“适当的技术和组织措施”来保护数据。换句话说，无论何时处理他人的个人数据，都必须考虑数据保护。您还需要确保任何个人数据处理都符合第5条中概述的数据保护原则。技术措施包括加密，组织措施是限制您收集的个人数据量或删除不再需要的数据。关键是，它必须是你和你的员工都知道的。

尽可能加密、化名或匿名个人数据。

企业使用的大多数生产力工具现在都内置了端到端加密，包括电子邮件、消息、笔记和云存储。GDPR要求组织在可行的情况下使用加密或假除名。

为团队成员创建内部安全策略，并建立数据保护意识。

即使您的技术安全性很强，操作安全性仍然是一个薄弱环节。创建一个安全策略，确保您的团队成员了解数据安全。它应该包括有关电子邮件安全、密码、双因素身份验证、设备加密和VPN的指导。可访问个人数据的员工和非技术员工应接受GDPR要求方面的额外培训。

了解何时进行数据保护影响评估，并制定执行过程。

数据保护影响评估（又称隐私影响评估）可以帮助您了解您的产品或服务如何危害客户的数据，以及如何将这些风险降至最低。英国信息专员办公室（ICO）在其网站上有一份数据保护影响评估清单。GDPR要求组织在计划以“可能对[他们的]权利和自由造成高风险”的方式使用人们的数据时进行此类分析。ICO建议在你准备处理个人数据的任何时候都这样做。

在发生数据泄露的情况下，有一个通知当局和您的数据主体的流程。

如果存在数据泄露和个人数据泄露，您需要在72小时内通知您所在辖区的监管机构。这里可以找到许多欧盟成员国监管机构的名单。如果您不是欧盟组织，GDPR没有规定您应该通知谁。对于讲英语的非欧盟国家，您可能会发现最容易通知爱尔兰数据保护专员办公室。您还需要将数据泄露快速告知您的数据主体，除非该泄露不太可能使他们面临风险（例如，如果被盗数据被加密）。

 

问责制和治理

指定负责确保整个组织符合GDPR的人员。

“设计和默认数据保护”的另一部分是确保组织中有人对GDPR合规性负责。应授权此人评估数据保护政策和这些政策的实施情况。

在您的组织和代表您处理个人数据的任何第三方之间签署数据处理协议。

这包括处理您的数据主体的个人数据的任何第三方服务，包括分析软件、电子邮件服务、云服务器等。绝大多数服务在其网站上都有标准数据处理协议供您查看。它们阐明了各方在遵守GDPR方面的权利和义务。您应该只使用可靠且能够提供充分数据保护保证的第三方。

如果您的组织在欧盟之外，请在欧盟成员国中指定一名代表。

如果您处理与某个特定成员国的人员有关的数据，您需要在该国指定一名代表，该代表可以代表您与数据保护机构进行沟通。GDPR及其官方支持文件没有为处理影响多个成员国的欧盟个人的情况提供指导。在解释这一要求之前，谨慎的做法可能是在使用您语言的成员国指定一名代表。一些组织，如公共机构，不需要在欧盟任命代表。

任命一名数据保护官员（如有必要）

在三种情况下，组织需要有一个数据保护官（DPO），但即使规则不适用于您，也最好有一个。DPO应是数据保护专家，其工作是监控GDPR合规性、评估数据保护风险、就数据保护影响评估提供建议，并与监管机构合作。

隐私权

您的客户可以轻松地请求和接收您关于他们的所有信息。

人们有权查看您拥有的关于他们的个人数据以及您如何使用这些数据。他们也有权知道您计划将他们的信息存储多长时间，以及将其保留多长时间的原因。您必须免费向他们发送此信息的第一份副本，但可以为后续副本收取合理费用。确保您可以验证请求数据的人的身份。您应该能够在一个月内满足此类要求。

您的客户很容易更正或更新不准确或不完整的信息。

通过实施数据质量流程，尽最大努力使数据保持最新，并使您的客户易于查看（第15条）和更新其个人信息，以确保其准确性和完整性。确保您可以验证请求数据的人的身份。您应该能够在一个月内遵守第16条下的请求。

您的客户很容易请求删除其个人数据。

人们通常有权要求你删除所有关于他们的个人数据，你必须在大约一个月内满足他们的请求。有五种理由可以拒绝该请求，例如行使言论自由或遵守法律义务。您还必须尝试验证提出请求的人的身份。

您的客户很容易要求您停止处理他们的数据。

如果某些理由适用，您的数据主体可以要求限制或停止处理其数据，主要是在处理的合法性或数据的准确性存在争议的情况下。你必须在一个月内满足他们的要求。虽然处理受到限制，但您仍然可以继续存储他们的数据。在再次开始处理数据主体的数据之前，必须通知该数据主体。

您的客户很容易收到其个人数据的副本，其格式可以轻松地传输到另一家公司。

这意味着您应该能够以通用可读格式（如电子表格）将他们的个人数据发送给他们或他们指定的第三方。从商业角度来看，这似乎不公平，因为您可能必须将客户的数据移交给竞争对手。但从隐私的角度来看，这个想法是人们拥有他们的数据，而不是你。

您的客户很容易反对您处理他们的数据。

如果你为了直接营销的目的处理他们的数据，你必须立即停止处理。否则，如果你能证明“令人信服的合法理由”，你就可以对他们的反对提出质疑

如果您根据自动化流程对人员进行决策，则您有一个程序来保护他们的权利。

某些类型的组织使用自动化流程帮助他们对具有法律或“类似重要”影响的人员做出决策。如果你认为这适用于你，你需要建立一个程序来确保你在保护他们的权利、自由和合法利益。你需要让人们更容易请求人工干预，参与决策，并质疑你已经做出的决策。

本文：https://cioctocdo.com/gdpr-checklist-data-controllers