保护数据?从整理办公桌开始

被称为《一般数据保护条例》(GDPR)的数据处理和保护新规5月底生效后,欧盟(EU)范围内的工作者用了过去一个月时间掌握安全的电子制表软件和双因素认证程序。但一些专家认为,各组织机构仍有可能被发现违规——因办公桌凌乱。

总部位于伦敦的内容制作公司Barcroft Media正在实施一项“清桌”政策,这是其旨在避免数据泄露的GDPR行动计划的一部分。该公司的50名员工不再被允许随手放置纸质文书。包括笔记簿、名片、便签在内的文件一夜之间都被锁进抽屉。

整洁的办公桌可以降低个人信息落入坏人之手以及违规的风险——新规在个人数据如何存储和使用方面赋予了个人更大的权利。该公司运营主管戴夫•惠尔斯(Dave Wheels)表示,新收拾好的整洁办公室也向全体员工发出了明确的信号,提醒他们GDPR已经带来了“明显且无可否认的变化”。

英国律师协会(Law Society)的GDPR工作组组长彼得•赖特(Peter Wright)表示,Barcroft Media对文件乱放零容忍的做法或许并不极端。新规并未详细说明企业该做什么或不该做什么。“它是特意这么起草的,这样才能在工作实践发生变化时仍能适用。”他说。

赖特说,多数机构都认为GDPR只涉及数字数据、云和系统。这是不正确的,他说。这些条例旨在保护所有私人数据——无论是以数字还是以物理形式存储。

不仅仅是中小型公司以这种方式解读新规。德勤(Deloitte)表示,领先的金融服务公司也在整理办公室。鉴于违规的严重后果(罚款高达2000万欧元或公司全球总营收的4%,以高者为准),许多公司都不敢怠慢。

德勤专注网络风险服务的合伙人彼得•古奇(Peter Gooch)表示,这对员工意味着:“你必须确保自己不会毁掉你为之工作的公司。”

为企业提供GDPR培训的安全咨询公司IT Governance的首席执行官艾伦•考尔德(Alan Calder)表示,多数公司都留有关于前雇员的某些纸质文件。他说:“以简历、工作总结及合同等形式存在的物理数据存储常常可以追溯到数十年前。”

“在许多办公室,心怀不满的员工很容易就可以从未上锁的办公室抽屉里拿走一份文件,并将之报告为GDPR违规行为。”卡尔德表示,此类行为甚至可以算作举报,这意味着这位前雇员不会招致责罚。

他的公司实行严格的“清桌”政策,由审核人员强制执行,他们会在夜间检查办公室,对有文件乱放的办公桌拍照。

当被问及这种做法是否太粗暴时,考尔德说:“如果你不在桌上留下数据,没人会对你的桌子拍照。”

另一位支持用严厉措施保护数据安全的人士是达拉•奥布赖恩(Daragh O’Brien),爱尔兰数据隐私咨询公司Castlebridge的董事总经理。在此前的工作中,奥布赖恩注意到他的团队成员会在笔记本背面胡乱地记下密码。他的回应是撕掉员工记事簿最后几页。

“他们改掉了这种习惯,”他说,“如果垃圾箱正在冒烟,员工不会视而不见——这就是我们正在设法培养的那种关于数据保护的意识。”

惠尔斯认为,企业和员工将来回看GDPR的执行时会想:“我不知道那时候有什么好大惊小怪的。”他说:“你拿到一台笔记本电脑,但你必须以某种方式对待它——这将成为第二天性。”

然而,并非所有人都天生爱整洁。“我们与很多富有创造力的人共事过,他们喜欢在杂乱的环境中工作,”惠尔斯说,“他们很难调整以适应(新规)。”

但开弓没有回头箭。“他们将不断受到督促。”

GDPR:杂乱的办公桌会造成严重后果吗?

英国律师协会的彼得•赖特表示,这取决于各个公司如何解读新的数据条例,包括是否实行“清桌”政策。如果发生违规事件,监管机构(在英国是信息专员办公室(ICO))将寻找具体公司努力合规的证据。

赖特说,标准应得到贯彻并写进员工手册。他建议雇用超过250名员工的雇主任命一名直接向董事会报告的数据保护官员。“那么这些会议的会议记录就成为合规证据的一部分。”他说。

“如果你说你出台了清桌政策,那你需要证明全体员工确实明白这意味着什么。”他补充道。

一家公司需要在获悉发生违规之时起72小时内向监管机构报告,因此赖特表示,拿出所有合规证据符合公司的利益。“清桌”政策有助于拿出证据。

译者/裴伴

来源:FT中文网

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据