您的 DMS 和其他系统是否符合 GDPR 要求？-- 评估指南

在我们之前的帖子中，我们探讨了识别个人数据并了解如何在不违反法律或个人权利的情况下使用个人数据的必要性。现在，我们将帮助您了解如何评估您可能在经销商处使用的各种软件，以确保您符合 GDPR 要求。

引入 GDPR 的一个重要原因是在日益数字化的世界中加强数据保护的做法。理想情况下，一个组织所处理的所有数字数据都应该存储在一个地方，并通过适当的访问级别和策略来使用。

在实践中，包括个人数据在内的数据以不同的方式存储（标准或专有文件、本地或云中的数据库）并由具有不同专业水平的软件使用，例如车间工具、文件管理系统、文字处理器等。此外，这些数据通过本地网络或通过互联网传输以远程使用。

因此，了解 IT、软件和技术在 GDPR 合规方面做出正确决策的作用至关重要。

软件的 GDPR 要求

参与数据保护的双方、控制者和处理者都有责任遵守 GDPR 要求。为了实现这一目标，他们需要做出多种选择来构建适合其需求并满足法律要求的 IT 生态系统。

GDPR 在默认情况下和设计上都需要保护隐私，这意味着无论何时做出这些决定，都要从一开始就考虑到隐私法规。

软件本身并不符合 GDPR 要求。拥有该工具并不能保证合规性，而是要看如何使用该工具。根据其技术特性，软件包可能会阻碍或促进 GDPR 的合规性。以下段落列出了相关文章：

“......以确保个人数据被以适当安全的方式进行处理，包括使用适当的技术或组织措施（'完整性和保密性'）防止未经授权或非法处理以及意外丢失、破坏或损坏。”

（GDPR 第 5 条 f 款）

“......控制者和处理者应实施适当的技术和组织措施，以确保与风险相适应的安全水平，特别包括：

(a) 个人数据的假名化和加密；

(B) 确保处理系统和服务的持续保密性、完整性、可用性和复原力的能力。

(d) 定期测试、评估和评价确保处理安全的技术和组织措施有效性的过程。”

（GDPR 第 32 条）

如何评估您使用的软件？

以下是评估特定软件对 GDPR 的支持程度的技术特征列表：

加密——跨两个远程点传输的数据必须仅对发送者和接收者可读。未经授权的各方无法读取数据存储（包括备份）。
高度的可用性和完整性——通过备用存储和定期备份，软件必须在用户需要时立即可用。
身份验证方法——必须能够识别谁更改或访问了个人数据。身份验证（即识别人或界面）不能是“弱”（即没有密码）的；理想情况下，应该使用先进的方法（例如生物识别）。
精细的用户权限——限制经过身份验证的用户（或界面）能够访问或更改哪些数据——不同的角色和用户只需要处理需要的内容
记录——能够识别谁以及何时访问或修改数据是特别有帮助的，尤其是在案例识别和违规报告方面。
补丁——没有软件是没有漏洞的，但是从软件提供商那里获得正确的支持会极大地帮助系统保持最新状态。

请注意，这可以适用于整个 IT 基础架构，而不仅仅是一个特定的软件。它包括工作站、服务器、网络、设备、操作系统。
网络应提供安全可靠的数据传输方式，工作站需要定期检查是否存在恶意软件或病毒，这些恶意软件或病毒会侵入敏感数据，并使其落入不法分子手中。

这些元素的实施、维护和支持可以是内部任务，也可以是外包的——软件即服务正变得越来越流行。