今年5月，GDPR（《通用数据保护条例》）就正式生效了，这就意味着现在是时候该应对这一挑战了。不知道从何下手？可以先阅读一下英国信息专员公署（ICO）的指南《为GDPR做准备：现在要做的12件事》。

不论你负责数据处理还是承包商，很可能都会意识到，要遵守 GDPR，有很多很多的事情要做：在安全、法务、组织、商业、客户体验等各个方面，都可能面临挑战。如果你没有足够的内部资源（没有法务部门，没有精通GDPR的数据保护官），那可不要单打独斗！

律所和数据公司：强强联合

对于 GDPR，你的第一反应可能是去找一家律所。这一点也没错！但是如果能再找到一位数据战略专家，便能很好地对法律援助起到辅助作用。如果数据是你的数字化战略中的核心，并且你会使用特定的数据处理软件（网站分析、媒介购买、可视化数据报告、数据管理平台等等），需要全面了解这些工具的功能和业务上的挑战，那么便更应如此。

律所的好处：

• 帮助你解读 GDPR，回答你的一些疑问，例如“我什么时候必须征得用户同意？”“我怎么来处理潜在用户和现有客户的数据？”还有“我应该如何和客户沟通，该传达什么信息？
• 协助你完成当地机构所需的行政手续（如果有需要）
• 起草或更新法律文件（合同、数据保护政策、特许执照、引用法律、个人数据登记册
• 告知你的数据保护官（DPO）他们应该承担的新责任

同时，数据公司可以帮助你：

• 完成初步的审计工作，并制定行动计划，包括评估公司是否对 GDPR 做好了准备、检验现有系统、确定每一步主要任务，并进行相应安排
• 在一些专业领域深入研究，包括检验特定工具（比如标签管理系统或网站分析工具），市场监测（比如找到重定向广告的最佳实践方法），对检测和通知数据违规行为的流程提出建议，建立数据假名化方法（CRM 识别器等）
• 承担一些法务方面的责任，以减轻法律援助的负担，比如建立个人数据映射、为每种数据使用的情况设立正规的目的、寻找承包商、教育/普及 GDPR、提出内部和外部的沟通策略、记录数据处理活动、负责项目管理、在数字化项目中考虑“从设计着手保护隐私“等等。
• 保证用于营销目的之数据遵循 GDPR（例如，创建用户清单和电子邮件营销）

要遵守 GDPR，现在采取行动还不晚。你可以根据自己的需求、行业、公司的发展程度来决定，哪些人会对你的团队提供最大的帮助：你可以仅雇佣一家律所，或者雇佣一家和数据公司合作的律所，也可以雇佣一家数据公司让他们与自己公司的法务部门合作。你可以任意组合，但要保证职责的明确，并且每个团队成员都可以贡献自己的专长。