無論是人們對英國的“窺探者的憲章”的辯論,還是網絡攻擊的高調新聞,數據隱私的新聞近來頻繁出現。而引入歐盟最新數據保護條例(GDPR)的新一輪數據保護條例(ILOR)已經確保了數據隱私權保持高度的關注。
歐盟最新數據保護條例(GDPR)在2018年5月將成為法律,但最近的一份報告顯示,一些公司實際上已經作出努力以確保遵守。
那么GDPR實際上是什么樣的?企業應該遵循哪些步驟呢?
法律條文
歐盟最新數據保護條例(GDPR)取代了目前的歐盟數據保護指令95/46/EC。作為條例,與舊法規不同,這個新規則將直接適用于所有歐盟成員國。主要變化包括:
·責任
至關重要的是,被捕獲的人將被要求顯示遵從性。(i)保留某些文件;(ii)進行隱私影響評估;(iii)通過設計和默認(在所有活動中)實施隱私,需要大量的前期工作。
·數據保護人員(DPO)
在許多情況下,歐盟最新數據保護條例(GDPR)人員也需要委任數據保護人員(DPO),因此需要考慮是否適用,如果可以勝任,就聘用這個人員。
·同意
新規則引入了關于數據收集的情況,例如,某些類別的同意必須是“明確的”。現有的同意書可能不再是有效的,并且獲得的同意應該被清除。
·增強個人權利
圍繞(i)主體訪問引入新的權利;(ii)反對處理數據;(iii)數據可移植性;和(iv)反對分析等。
·隱私政策
公平的處理通知如今需要更加詳細,例如,需要提供關于這些新增加的個人權利的新信息。因此,這些政策將需要更新。
·國際之間轉移
首次明確承認控制器和處理器可以結合企業的規則作為轉讓合法化的手段,因此應被視為轉移機制。
·違約通知
新規則要求違反報告在72小時內(視情況而定)被引入,因此需要重新審查流程到位,以適應這些規則。
誰必須遵守?
所有在歐盟經營的組織都將受到新規則的制約。重要的是,歐盟以外的組織,如針對歐盟消費者的美國公司,監測歐盟公民或向歐盟消費者提供商品或服務(即使免費提供)的公司也將遵守。
歐盟最新數據保護條例(GDPR)也適用于“控制器”和“處理器”。總而言之,這意味著那些目前受歐盟數據保護法律管轄的國家幾乎肯定會受到歐盟最新數據保護條例(GDPR)的影響,而處理器(傳統上不受限制)在歐盟最新數據保護條例(GDPR)方面的法律責任也將比以前的指令嚴格。
企業不應將英國退歐看作是一種避免遵守法律的手段。作為正在進行的關于英國退歐后監管制度討論的一部分,普遍接受的是,在英國離開歐盟之后,英國法律將會跟隨GDPR(例如通過某種形式的執行立法或新的英國法律,可以有效地反映了歐盟最新數據保護條例)。換句話說,即使是純粹的英國企業,或者在英國本土之外只針對英國消費者的企業,都不應該忽視這些變化,而且還應該遵守。
企業需要做什么準備?
為了確保合規性,企業需要確保它們具有強大的政策,程序和流程。由于面臨歐盟最新數據保護條例(GDPR)巨額罰款的風險,更不用說因違約而導致的聲譽損失和消費者信心的潛在損失,企業必須認真對待。在關鍵的第一步中,企業可能會優先考慮以下措施:
·查看隱私聲明和政策
確保這些符合歐盟最新數據保護條例(GDPR)。他們是否提供個人擁有的新權利?
·準備/更新數據安全漏洞計劃
確保在必要時可以滿足新的規則。
·審核企業同意
是否合法處理數據?企業是否可以繼續在歐盟最新數據保護條例(GDPR)下處理數據?
·建立責任框架
例如監視過程,程序,培訓人員。
·在需要時指定數據保護人員(DPO)。
·考慮是否有新的義務作為處理器。
企業的合同文件是否足夠?審查合同還考慮將需要什么變化。
·審核國際轉移
企業有合法的依據來傳輸數據嗎?
現在離2018年5月越來越近,為了避免潛在的財務和聲譽損失,各種規模的公司應該開始考慮他們能夠做什么來證明合規性。
京公網安備 11010502049343號