广告

GDPR将如何影响数据管理实践

公司没有'不必在欧洲进行物理操作,才能受到新法规的影响,准备不足会带来严重后果,包括严厉的罚款。

随着欧洲的《通用数据保护条例》将于2018年5月25日生效,世界各地的IT和数据管理领导者(包括美国的领导者)应为影响欧洲内部和外部组织的新要求做准备。

您不必在欧洲进行实体操作就可以受到GDPR的影响,而准备工作不完善可能会造成严重后果,包括严重的罚款。

指令,法规和联邦制

广告

人们常常对美国各州法律的多样性感到惊讶。美国联邦制由中央政府与州和地方政府共同掌权,导致法律经常相互冲突。

欧洲的数据保护法也有所不同。指令和法规之间的区别很重要。

根据1995年指令中通常所知的-正式而言, 欧洲议会和理事会1995年10月24日第95/46 / EC号指令,关于在处理个人数据和此类数据自由流动方面的个人保护—欧洲数据保护法有点像美国法律的联邦制。

在美国,有50个州,一个联邦区和多个制定法律的地区。同时,欧盟(至少目前)有28个成员国,欧洲经济区(EEA)共有31个国家。他们制定了有时相互矛盾的不同法律。 1995年的指令(于1998年生效)提供了指导,但是欧洲人寻求一种能够协调欧洲数据保护法的法规。

进入将于2018年5月25日生效的通用数据保护法规(GDPR)。在本文中,我将研究新法规背后的原理,分析GDPR的条款,并让您知道如何准备明年五月。

欧洲数据法和谐

首先,我要指出的是-尽管许多观察家只是简单地说欧盟GDPR,但新法规实际上不仅对欧盟产生影响。

首先,该法规本身不仅针对欧盟的28个成员国。它适用于欧洲经济区(EEA)的31个成员国,其中包括28个欧盟成员国以及冰岛,挪威和利希滕斯坦。 GDPR已纳入1992年EEA协议。

其次,如果您坐在得梅因市,想着:“我不在乎欧洲人在做什么,我在爱荷华州。”您可能应该在意,因为GDPR不仅影响欧洲经济区国家,而且影响任何提供商品或服务的组织向控制,处理或保存欧洲国民个人数据的欧洲数据主体或组织提供服务,无论该组织位于何处。是的,得梅因,这也意味着你。

乍一看,人们会认为GDPR对于跨境业务和与欧洲的电子发现都有好处。毕竟,在31个EEA国家之间协调了数据保护法律和法规之后,事情应该变得容易些,对吧?问题在于,一些新规定使欧洲数据保护法与美国法律有很大不同,这对国际业务和诉讼构成了巨大挑战。

有什么变化?

为了将GDPR的条款放在上下文中,我应该指出,美国和欧洲对数据隐私的看法截然不同。在美国,相对于数据隐私,我们倾向于在言论自由和诉讼证据权上赋予更大的价值。实际上,与许多美国人的想法相反,美国宪法没有具体的隐私权。

美国法院从《宪法》修正案中解释了某些隐私权,其中包括前十项修正案,通常称为《权利法案》。但是,原始文件未提及隐私问题,直到1965年,美国最高法院在推翻了美国关于避孕方法的州法律后,才明确规定了个人隐私权。 格里斯沃尔德诉康涅狄格州.

与欧洲相反。从欧洲开始到第二次世界大战的悲惨历史,隐私在那里变得越来越重要。实际上,与美国不同,根据欧盟《基本权利宪章》第8条,隐私权是欧洲的一项基本权利。

控制器诉处理器

在确定GDPR如何影响您时,首先要考虑的是您是数据控制器还是仅仅是数据处理器。差异是显着的。 GDPR第4条提供以下定义:

A 控制者 单独或与他人共同确定处理个人数据的目的和方式的自然人或法人,公共当局,机构或其他机构。”

A 处理器 是“代表控制者处理个人数据的自然人或法人,公共当局,机构或其他机构。”

GDPR第5条规定,数据控制者应对处理个人数据的原则承担责任,并必须证明遵守这些原则,而第24条规定,控制者应采取技术和组织措施以确保GDPR的遵守。处理器确实有某些限制。例如,GDPR第28条规定,未经数据控制器的许可,处理器不得使用其他数据处理器。处理者也必须执行适当的控制,第83条规定GDPR罚款适用于控制者和处理者。

巨额罚款

GDPR带来的最大的数据保护变更之一是巨额罚款。违反GDPR的可能导致其年营业额(收入)的4%或2000万欧元的罚款,以较高者为准。

同意

数据控制者必须能够证明数据主体已同意处理其数据,并且必须以清晰明了的语言获得同意。

数据泄露通知

GDPR最具争议性的规定之一是,必须在数据泄露发生后72小时内将数据泄露通知发送给适用的监管机构,并且在可行的情况下且数据泄露很可能“导致对个人权利和自由的风险”个人。评论家担心72小时的通知充其量是不切实际的,最坏的情况是适得其反。

删除权

这些规定以前被称为“被遗忘的权利”,也引起了争议,使数据主体有权“删除”有关它们的信息。数据可能不会传播,但是在数据的个人权利和公众利益之间存在平衡测试。

访问权

GDPR还使数据主体可以更好地访问其数据,要求控制者向主体确认是否正在处理数据,在何处以及出于何种目的处理数据。此外,控制者必须向数据主体免费提供其数据的电子副本。

数据保护官

GDPR的另一个要求是,公司必须任命数据保护官(DPO)。最初,DPO要求仅限于员工人数超过250人的公司,但GDPR的最终版本不包含此类限制。但是,在就GDPR进行谈判的过程中,拥有DPO所需的组织数量大大减少了。

尽管几乎所有公共组织都必须拥有DPO,但是只有定期监视数据主体或处理定罪信息的私人组织才需要DPO。 DPO的职责之一是为GDPR要求的控制者和处理者提供建议并监督合规性。

向前走

鉴于这些新要求,您应该如何准备GDPR?我有几点提示:

  • 取得ISO 27001认证ISO 27001:由国际标准化组织(ISO)和国际电工委员会(IEC)颁布,是数据安全的国际标准。 ISO 27001认证要求组织检查其信息安全威胁和漏洞,制定和实施安全控制措施,并继续监视潜在的安全威胁。 ISO 27001认证不能确保完全符合GDPR,但是要走很长一段路。
  • 雇用DPO或CISO:根据GDPR,不再需要聘用数据保护官(DPO)。如上所述,该法规的原始草案要求更多的组织拥有DPO,但仅仅因为GDPR不需要您拥有DPO,并不意味着您就不应该拥有DPO。拥有DPO或首席信息安全官(CISO)可以帮助实现GDPR合规性和ISO 27001认证。
  • 雇用消费者数据调查专员:根据GDPR,消费者对其数据享有更大的权利。除非您希望您的DPO / CISO或其他员工因不断出现的客户数据需求而陷入困境,否则请专门创建一个角色或部门来处理数据主体的请求和投诉。
  • 使用顾问和IAPP:尽管GDPR可能是许多组织的警钟,但在谈判的几年中,其他组织一直在监视和准备GDPR。咨询公司和组织(例如国际隐私专业人员协会(IAPP))可以提供指导,欧盟本身也可以提供一些见识。
  • 建立资料图:在GDPR之下,至关重要的是准确掌握您拥有的数据以及这些数据所处的位置。如果您的数据流向欧洲经济区(EEA)或被认为具有适当数据保护标准的国家/地区之外,则需要了解并采取适当的保护措施。

无论您准备多少,时间都是至关重要的。明年五月即将到来,欧盟极有可能以某人为榜样。不要让它成为你。

分享

信息管理的更多内容