黑莓數據保護官為您講述：GDPR合規的故事

至頂網安全頻道 05月30日 編譯：在GDPR開始時擔任數據保護官的感覺如何？黑莓公司（BlackBerry）的全球數據保護官（DPO）David Blonder非常有資格回答這個問題。由於黑莓公司本身是加拿大的一家企業，該公司在開始接受GDPR監管時已經佔有優勢：加拿大是少數被歐盟認為在數據保護法律方面是「足夠」的國家之一。

Blonder表示：「作為一家加拿大公司，我們一直遵循並實施PIPEDA原則，這是加拿大的隱私保護法律制度。」

在2017年，作為黑莓公司的GDPR合規計劃的一部分，該公司組建了一個跨部門的團隊，其中包括法律和網路安全專業人員，以更新現有政策和程序。該工作組承擔了在整個業務中開展隱私影響評估、差距分析和修復建議的日常責任，以便該公司在GDPR生效時做好準備。

但是，合規並非毫無挑戰。因為黑莓公司最近將其業務從手機製造商轉型為企業軟體供應商，該公司推出了眾多面向內部和外部的系統。「我們進行了廣泛的數據映射，以確保我們維護了需要保存的數據，並確保我們在收集這些數據的時候獲得了適當的知情許可。」

「我們還專註於鼓勵我們的員工接受我們的GDPR準備行動——我們很高興看到他們在理解數據、隱私和安全對於我們的客戶和公司方面的作用方面表現得非常棒。」Blonder這樣講到。

這是一個漫長而複雜的過程，而所有的企業都將要經歷。那麼，作為數據保護官，Blonder學到了什麼？「我學到的是，你必須保持靈活。你必須和業務部門合作，並且向他們學習——如果你想有效的話，一定要多使用胡蘿蔔而不是大棒。」

「人們需要參與並投資於這個過程，相信他們的行為很重要，並且理解他們可以產生更大的組織影響力。你需要傳達你想要促進業務目標，同時保護它們和整個公司並減少風險。這是所有法律和合規專業人員必須努力實現的平衡。」

隨著網路攻擊的數量持續增加，企業不得不適應自己可能會遭到攻擊這一事實。正是他們對於這種情況的回應會讓最好的公司脫穎而出。那麼，考慮到這一點，當最壞的情形出現的時候，企業應該如何應對呢?

Blonder表示，最重要的是不要驚慌。「首先，你必須緊急行事，但不要急於判斷。你需要確定是否有任何法定通知義務的事實。這將永遠決定你的下一步行動。」

他表示，黑莓公司有一個全面的數據事件響應流程，涉及網路安全專家、一個調查團隊、法律顧問和眾多利益相關者群體。「我們已經在不同的場景下進行了多種模擬，以確保如果事件發生，我們已經做好了準備。一切始終始於儘可能快速並全面地收集事實。」

黑莓公司的調查和事件管理流程旨在及時檢查任何潛在的數據事件，以確定是否有任何個人身份信息（PII）受到影響。「我們高級領導團隊的關鍵成員會立即得到通知並及時收到情況更新。正如數據安全專業人員所理解的那樣，確定所有事實並確定是否需要向客戶和數據保護機構發出通知是一個關鍵的時間窗口。」

5月25日的合規期限剛剛過去，像所有公司一樣，黑莓公司也正處於GDPR旅程的起點。正如Blonder所指出的那樣：「GDPR是全新的，企業界正在合理地關注監管如何實施和執行。同時，我們這些受託管理客戶數據的人必須不斷詢問『我們做的已經足夠了嗎？』今天的GDPR合規並不等同於永遠GDPR合規。這個月只是一個過程的開始。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！