【ODPi】ODPi数据隐私包

ODPi数据隐私包提供了最佳实践和相关内容，以帮助组织创建数据隐私计划并在其运营中实施。内容是为该组织的隐私官员编写的。这是负责定义隐私政策并确保其得到实施和遵守的人员。

为什么数据隐私计划很重要？

如今，许多地区正在将数据隐私写入法律，这项立法/法规既扩大了所涵盖的数据范围，也加大了对违规行为的处罚力度。能够管理您的组织，使人们拥有与其数据相关的权利，是在许多地方开展业务的基本能力。

更重要但经常被遗忘的是，一个组织在处理其数据时对客户、员工和业务合作伙伴意愿的态度清楚地表明了该组织的运作方式。为确保数据隐私而采取的行动通过提高组织运营方式的透明度，消除不必要的数据处理和存储，提高了客户服务水平，提高了内部效率，为员工创造了一个更加尊重的工作环境。

隐私专员的角色

任命隐私专员是承认数据隐私对企业重要性的第一步。隐私官员重点关注隐私挑战，评估组织应对挑战的情况，并在必要时进行调整。因为这确实是一个挑战。尊重隐私可能会影响业务的各个方面，这意味着组织中的许多角色都会发生变化。

拥有数据隐私程序需要什么？

数据隐私计划确保组织根据个人意愿处理有关个人的数据（或可能识别个人的数据），同时确保在处理过程中使用和保留最少的数据，并对其进行适当保护，使未经授权的第三方无法出于自身目的访问这些数据。

在高层次上，它包括：

• 定义需要特殊处理的个人的数据范围——这些数据被称为个人数据。在个人数据类别中是需要额外注意的敏感个人数据。
• 记录个人数据的存储和使用位置。
• 验证对个人数据的所有处理是否得到了相关个人（称为数据主体）的同意。
• 创建、实施和实施治理控制，确保根据隐私政策记录和验证个人数据处理的任何更改。
• 在数字服务中提供数据主体可以行使其数据权利的能力。

入门

一个重要的起点是记录和了解组织运营的数字服务。

这些数字服务可能是：

• 直接支持您的客户
• 支持和管理您的员工
• 实现与业务合作伙伴的协作
• 与法律和监管机构互动（如税务、数据保护等）
• 这些数字服务可能会识别个人数据的主要用途以及存储位置。

建立这种库存所需的努力将与组织的规模和复杂性成正比。这意味着它需要优先排序，不能让数据隐私官员独自努力。

数据隐私官员需要为每个业务领域指定数字服务的所有者，并让他们创建数字服务的清单，因为他们将负责服务的正确运营。

数字化服务生命周期

每项数字服务都将遵循一个生命周期，从最初的想法到工作服务，再到运营和改进，直到退役。每个组织都有自己的生命周期定义，但为了便于说明，ODPi Egeria社区PMC开发了一个简单的生命周期，可以用来展示如何引入数据隐私控制。

图1显示了这个覆盖了数据隐私控件的简单生命周期。这些控制措施的细节如下图所示。其目的是收集有关数字服务中数据使用的信息，以证明数字服务是以最具成本效益的方式开发的，并使用相关流程设计、开发、部署和运营数字服务，以确保数据隐私得到尊重。

图1：在整个数字服务生命周期中管理数据隐私所需的附加步骤

• 数据价值评估-审查预期捕获的数据类型以及为什么需要这些数据
• 数据处理影响评估-如果个人（数据主体）的数据由该数字服务处理，则对其可能产生的影响进行审查。
• 数据处理说明-数字服务中数据使用的详细信息。
• 数据处理认证-证明数字服务的数据处理描述准确反映了其处理。
• 安全认证-证明运行数字服务的基础设施符合适当的安全标准。
• 包括最低数据处理说明的合同-这些是个人注册服务时签署的条款和条件。这决定了数字服务的合法利益，有效地表明这是数字服务运营所需的对个人数据的最低限度使用。
• 数据使用报告显示数据主体（和/或数据控制器，如果此服务是数据处理器）的数据使用审计报告
• 个人数据管理-为数据主体行使其权利提供控制。
• 数据导出-数据主体有权要求您的数字服务存储他们的数据。
• 可疑活动报告-描述一些需要调查的活动。
• 数据泄露报告-描述数据泄露-发生了什么以及从中恢复的步骤。
• 数据泄露影响评估-涵盖数据泄露对相关数据主体的影响。