无论是人们对英国的“窥探者的宪章”的辩论,还是网络攻击的高调新闻,数据隐私的新闻近来频繁出现。而引入欧盟最新数据保护条例(GDPR)的新一轮数据保护条例(ILOR)已经确保了数据隐私权保持高度的关注。
欧盟最新数据保护条例(GDPR)在2018年5月将成为法律,但最近的一份报告显示,一些公司实际上已经作出努力以确保遵守。
那么GDPR实际上是什么样的?企业应该遵循哪些步骤呢?
法律条文
欧盟最新数据保护条例(GDPR)取代了目前的欧盟数据保护指令95/46/EC。作为条例,与旧法规不同,这个新规则将直接适用于所有欧盟成员国。主要变化包括:
·责任
至关重要的是,被捕获的人将被要求显示遵从性。(i)保留某些文件;(ii)进行隐私影响评估;(iii)通过设计和默认(在所有活动中)实施隐私,需要大量的前期工作。
·数据保护人员(DPO)
在许多情况下,欧盟最新数据保护条例(GDPR)人员也需要委任数据保护人员(DPO),因此需要考虑是否适用,如果可以胜任,就聘用这个人员。
·同意
新规则引入了关于数据收集的情况,例如,某些类别的同意必须是“明确的”。现有的同意书可能不再是有效的,并且获得的同意应该被清除。
·增强个人权利
围绕(i)主体访问引入新的权利;(ii)反对处理数据;(iii)数据可移植性;和(iv)反对分析等。
·隐私政策
公平的处理通知如今需要更加详细,例如,需要提供关于这些新增加的个人权利的新信息。因此,这些政策将需要更新。
·国际之间转移
首次明确承认控制器和处理器可以结合企业的规则作为转让合法化的手段,因此应被视为转移机制。
·违约通知
新规则要求违反报告在72小时内(视情况而定)被引入,因此需要重新审查流程到位,以适应这些规则。
谁必须遵守?
所有在欧盟经营的组织都将受到新规则的制约。重要的是,欧盟以外的组织,如针对欧盟消费者的美国公司,监测欧盟公民或向欧盟消费者提供商品或服务(即使免费提供)的公司也将遵守。
欧盟最新数据保护条例(GDPR)也适用于“控制器”和“处理器”。总而言之,这意味着那些目前受欧盟数据保护法律管辖的国家几乎肯定会受到欧盟最新数据保护条例(GDPR)的影响,而处理器(传统上不受限制)在欧盟最新数据保护条例(GDPR)方面的法律责任也将比以前的指令严格。
企业不应将英国退欧看作是一种避免遵守法律的手段。作为正在进行的关于英国退欧后监管制度讨论的一部分,普遍接受的是,在英国离开欧盟之后,英国法律将会跟随GDPR(例如通过某种形式的执行立法或新的英国法律,可以有效地反映了欧盟最新数据保护条例)。换句话说,即使是纯粹的英国企业,或者在英国本土之外只针对英国消费者的企业,都不应该忽视这些变化,而且还应该遵守。
企业需要做什么准备?
为了确保合规性,企业需要确保它们具有强大的政策,程序和流程。由于面临欧盟最新数据保护条例(GDPR)巨额罚款的风险,更不用说因违约而导致的声誉损失和消费者信心的潜在损失,企业必须认真对待。在关键的第一步中,企业可能会优先考虑以下措施:
·查看隐私声明和政策
确保这些符合欧盟最新数据保护条例(GDPR)。他们是否提供个人拥有的新权利?
·准备/更新数据安全漏洞计划
确保在必要时可以满足新的规则。
·审核企业同意
是否合法处理数据?企业是否可以继续在欧盟最新数据保护条例(GDPR)下处理数据?
·建立责任框架
例如监视过程,程序,培训人员。
·在需要时指定数据保护人员(DPO)。
·考虑是否有新的义务作为处理器。
企业的合同文件是否足够?审查合同还考虑将需要什么变化。
·审核国际转移
企业有合法的依据来传输数据吗?
现在离2018年5月越来越近,为了避免潜在的财务和声誉损失,各种规模的公司应该开始考虑他们能够做什么来证明合规性。
本文转自d1net(转载)
