印度组织如何为GDPR体制做准备？

西瓦拉玛·克里希南（Sivarama Krishnan）

2016年4月27日，通过了欧盟通用数据保护条例（GDPR）。并且将于2018年5月25日全面生效，从而标志着整个欧盟数据保护法律的里程碑。GDPR的核心是加强和统一欧盟内部个人的数据保护，并解决欧盟（EU）以外的个人数据的出口，这意味着它可以保护滥用任何类型的个人身份信息（PII）欧盟公民。

这一发展不仅将改变欧盟的商业格局，还将影响全球市场和跨国公司。组织有两年的时间来本着精神来理解，理解和实施法规，并因此证明了法规遵从性。但是随着“五月”生效日期的临近，对于组织来说，评估其对新政权的准备程度很重要，以避免重罚或罚款。

印度的产业格局和GDPR的影响

欧洲是印度ITeS，BPO和制药行业的重要市场。欧盟前两个成员国（即德国和法国）的IT行业规模估计约为155至2200亿美元。1因此，要使印度IT行业继续在欧洲开展业务，就需要符合GDPR。

如果违规，GDPR处以2000万欧元或全球营业额4％（较高部分）的罚款结构。

该法规要求采用程序化的方法来保护数据，并且需要遵循有效的程序来证明您的行为正常。作为这些努力的一部分，需要寻求以下问题的答案：

我们在欧盟的数据足迹是什么（例如有关员工，消费者和客户的数据）？我们是否准备向可能要求欧盟或美国隐私监管机构提供GDPR符合性的证据？我们对哪些个人数据具有可见性并可以控制我们收集？我们如何使用它？我们与谁共享它？我们是否有一个设计私密性计划，其中包含隐私影响评估（PIA），文档和升级路径;我们是否有一个经过测试的，符合GDPR 72小时通知要求的违规响应计划？我们制定了符合GDPR的路线图？是否采用了跨境数据传输策略？

组织需要在合规性工作中考虑以下方面：

制定符合GDPR的愿景和战略;评估您当前的合规计划与GDPR要求之间的差距;分析风险;创建数据保护合规责任框架;制定促进合规所需的运营结构;文档处理活动审查合法的处理基础和第三方合同。通过设计和隐私影响以及风险评估来创建隐私流程。确定并确定优先补救措施的优先级以降低风险状况。

GDPR需要重点关注的领域是：

关

数据处理通知和同意数据主体权利问责制跨境数据传输第三方和供应商管理信息和通信的透明度数据安全性，存储，违规，违规通知培训和意识培训挑战印度数据保护法薄弱：印度的外包产业据估计价值超过1500亿美元，占GDP的将近9.3％。2欧盟一直是印度外包行业最大的市场之一，而且印度相对薄弱的数据保护法律使我们在这一领域的竞争力不及其他外包市场。跨境限制：GDPR非常不灵活，可降低企业在欧盟以外地区传输数据时评估风险和做出决策的程度。印度公司需要按照GDPR的要求实施足够的保护措施，以便将个人数据转移到欧盟之外，从而进一步增加合规成本。更大的处罚和诉讼风险：GDPR第3条（领土范围）明确规定，无论是否在欧盟进行加工，该规定均适用。对于不遵守GDPR的印度公司而言，这意味着没有生意可言，而对于那些不遵守GDPR的印度公司而言，这意味着增加的合规成本，如果不这样做，将面临巨额罚款的风险。服务于欧洲市场（仅次于美国的第二大市场）的印度IT公司必须遵守GDPR。但是，印度公司不应将其视为合规方面的额外负担，而应将其视为敲门的巨大商机。多年来，印度已成为拥有深厚专业知识和人才库的技术中心。GDPR可能是印度公司在提供符合隐私规定的服务和解决方案方面脱颖而出的领导者的机会。印度隐私领域的发展：GDPR的“充分性要求”使欧盟委员会可以考虑在寻求将个人数据转移到的国家中普遍存在的法律框架是否在隐私和数据保护方面为数据主体提供了充分的保护。在最近的事态发展和最高法院的判决之后，Srikrishna委员会提出了一个数据保护框架。有趣的是，即将到来的立法将如何形成以及它是否将符合GDPR规定的标准，印度公司应如何为GDPR做准备呢？

印度公司需要仔细查看GDPR合规性要求。他们需要：

相关新闻Mangalam药品2019年12月独立净销售额为61.94千万卢比，同比增长27.5％Wockhardt独立2019年12月净销售额为328.74千万卢比，同比下降35.36％Torrent Pharma独立2019年12月净销售额为1471.00亿卢比，同比下降0.68％

审查政策，程序和现有的隐私计划；进行数据发现练习并维护文档以证明所处理的个人数据的可见性;对员工或分包商进行数据隐私培训;实施流程以执行数据保护影响评估（DPIA），管理数据主体请求，按设计进行隐私保护等。 ;查看/更新与第三方供应商签订的合同。

除上述内容外，组织应着重于更改其使用的技术，并应考虑：

处理个人数据时需要假名化和加密;审查和更新数据丢失防护（DLP），安全信息和事件管理（SIEM）等技术解决方案的配置;为安全生态系统配备有效的身份和访问管理（IdAM）解决方案;审查数据保留时间表，跨境数据传输，隐私声明，同意等；日志记录监视和事件管理解决方案；投资于系统以进行数据发现练习以确定PII（在何处/如何/在何处存储PII（特别是非结构化数据，即存储在PII上）组织内部处理本地工作站，电子邮件，文件服务器等）将帮助印度公司顺利进入GDPR体制。

结束-

（作者是普华永道印度网络安全负责人。该博客首次出现在https://www.pwc.in/）