GDPR倒计时

时间不等人:一年后，欧盟的《通用数据保护条例》(GDPR)将会出台取效果．考虑到这一点，现在是时候谈谈Workday如何提供工具来帮助客户履行GDPR义务了。

但首先，让我们简要回顾一下:GDPR是一项欧盟法规，旨在协调欧洲数据保护法律的拼凑。GDPR不仅废除并取代了当前的欧盟数据保护指令，还废除并取代了每个欧盟成员国根据该指令制定的错综复杂的隐私立法体系。

在GDPR合规方面，Workday和我们的客户都有责任:我们的客户是数据控制者，Workday是数据处理者。引用官方的GDPR常见问题解答“控制者是确定个人数据处理的目的、条件和方式的实体，而处理者是代表控制者处理个人数据的实体。”

下面，我们将重点介绍Workday作为数据处理者所提供的保护，以及我们为客户提供的工具，以履行他们作为数据控制者的责任。Workday已经采取措施更新我们向客户提供的数据处理条款，以满足GDPR的要求。此外，我们在客户网站上有常见问题解答，工作日社区，随着更多指导意见的发布，我们将继续更新。

安全:Workday建立了我们的数据保护和安全标准，定期通过严格的第三方合规审计，包括安全性、机密性、可用性、处理完整性和隐私控制。具体来说，Workday应用程序框架允许客户管理和控制其用户对Workday应用程序的访问，并提供了定义基于角色的访问的标准化框架。

跨境数据流:GDPR继续允许个人数据跨境流动，并包括确保现有数据传输机制继续有效的条款。Workday的客户可以选择符合gdpr的数据传输机制，用于在公司之外传输个人数据欧洲经济区工作日。客户可以利用Workday的隐私保护认证或签署标准合同条款。

私隐影响评估:GDPR要求在许多类型的数据处理中使用PIAs。Workday的隐私团队定期有条不紊地对与我们的服务相关的功能、技术、第三方入职和运营进行PIAs。虽然我们预计不会对已经完善的现有方法进行任何重大更改，但我们的隐私团队将继续监控GDPR，以确保我们的PIAs满足任何新的要求。

安全隐患:GDPR针对任何导致个人数据丢失、销毁或未经授权访问的安全漏洞引入了新的通知规则。Workday有一个正式的内部事件响应计划，与这些通知要求保持一致。

作为客户个人数据的处理者，除了Workday自己在GDPR下的合规义务外，Workday还通过各种方式帮助我们的客户履行他们在GDPR下的义务。以下是一些亮点。

数据清除:支持客户遵守被遗忘的权利在美国，Workday提供了广泛的清理功能。例如，客户可能需要清除法国分公司前员工5年多以前的某些个人数据。使用“清除人员数据”功能，客户可以选择要删除的前员工的数据。

访问权限:Workday提供了一套可配置的功能，以帮助客户遵守GDPR规定的访问权限。更具体地说，Workday应用程序框架允许客户管理和控制其用户对Workday应用程序的访问，并提供了定义基于角色的访问的标准化框架。

活动记录:为了帮助客户保护个人数据免受安全威胁，Workday会记录每个账户的活动。这包括成功的登录和失败的尝试，以及我们的客户及其最终用户对数据的更改或添加。安全管理员可以查看登录/失败登录报告，具有审计员角色的个人可以运行报告，以查看任何个人在某个时间段内在系统中所做的数据更改。这还将帮助客户演示访问监视和监督，显示高水平的遵从性保证。

对Workday的控制和流程进行独立审计:客户可以参考和依赖我们的独立审计师所执行的程序，作为审计的一部分SOC和ISO证明GDPR合规的程序。此外，客户还可以分享我们公开的SOC-3报告，并作为SOC-2报告的摘要版本。此外，如果客户需要对Workday的控制有更多的了解，他们可以订阅Workday的客户审计计划。

我们认真对待合规问题，并期待与客户合作，以便我们每个人都能履行GDPR规定的责任。我们会继续发布常见问题和博客导致GDPR的出台。最重要的是，有了Workday，客户可以有信心，他们将拥有符合GDPR的特性和功能。