长期以来,许多企业疏于对用户数据进行有效追踪和采取相应的保护措施。2018年5月25日起,欧盟通用数据保护条例(GDPR)将强制执行,数以万计的企业必须遵守GDPR规定的一套全新数据管理规则。 何为GDPR?
欧盟通用数据保护条例(General Data Protection Regulation,简称GDPR)2018年5月25日将正式生效。历经多年商讨的GDPR新条例的实施,意味着欧盟的数据保护水平将达到前所未有的高度,堪称世界史上最严格的数据保护法律。无论企业是否在欧盟境内,只要与欧盟企业发生业务往来,或涉及存储、处理、交换任何欧盟公民的数据,都必须严格遵守该条例。 为何说最严?
在数据保护上,数据供应链自上而下的各方(包括数据的拥有者和使用者)都会被问责;在获取和管理个人信息上,GDPR提出了新的、更严格的要求,并赋予个人明确的权利,为企业通过人工、流程和技术进行客户数据管理都带来了一定的冲击;而且,GDPR还大大增加了数据保护的强制性和责任性,对违规的处罚提高。
GDPR有两大“杀手锏”:一是设定了重罚;二是确立了“长臂”管辖原则。 重罚:对于数据处理的违法行为,GDPR主要设定两个等级的处罚。第一等级最高可处以1000万欧元,或上一财年全球营业额2%的行政处罚,以较高者为准。第二等级的行政处罚:最高可处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。后者主要针对于数据处理的违法行为。GDPR以重罚为理念,试图倒逼数字经济企业完善数据保护制度。 “长臂”管辖原则:或称为效果原则,将法律适用的属地主义与属人主义原则结合起来,扩大法律适用的域外效力,依欧盟法规或国际公法规则对数据处理行为进行监管。 企业如何自检?
1、企业是否了解客户数据的存储位置?要想全面落实GDPR,企业必须掌握所存储和处理数据的特征,从而可以全面保护数据。 2、企业能否明确证实已获得客户同意?GDPR要求企业向用户提供简明易懂的数据收集和处理相关的知情通知,确保在获得用户同意后方可继续使用这些数据。例如,未经用户明确同意,企业不得将个人信息用于营销目的,甚至不得用作客户群的背景说明。 3、企业的内部隐私管控机制是否健全,相关产品和服务是否符合隐私策略?GDPR要求企业将隐私管控机制全面集成到需要使用个人数据的各个系统和流程中,从而确保为客户提供可自动应用隐私保护设置的产品和服务。 4、企业存储的数据是否支持移植和传输?企业必须满足用户将个人信息向自己或其他组织传输的要求,并采取可机读格式。这就要求企业具备多项能力,包括对数据结构化处理,使其成为可移植的数据,以及管理多个平台或供应商之间共享的数据。高科技企业还需着力构建数据安全解决方案,提高消费者的数据可视化程度,和筛选哪些数据需要传输的能力。 5、企业能否在必要时彻底清除个人数据?GDPR规定,用户有权“被遗忘”,这就意味着企业必须删除不必要的或用户不再允许使用的个人数据。因此,企业必须具备相应的技术和流程,在整个企业中查找相应的数据,将其从系统中删除,同时将用户的数据清除请求告知第三方处理机构。 6、企业能否快速识别并报告数据泄露事件?GDPR规定,如果数据遭到泄露,用户有权快速获取相关信息,这就要求企业必须在72小时内向数据保护机构报告数据泄露事件。目前,只有1%的云服务供应商能够在24小时内向客户发出数据安全事故通知。 7、企业能否确保所使用的第三方供应商符合GDPR标准?GDPR明确规定了整个数据供应链上的企业各自的数据保护职责。企业必须明确划分各利益相关方的角色、责任和义务,同时具备卓越的履约能力、供应商管理和风险管理知识,从而打造各平台合作伙伴间紧密合作的全新架构。 8、企业是否拥有经验丰富的隐私保护工作人员?要想全面落实GDPR,企业必须加大对个人和员工隐私保护的培训力度,建立相应的工作流程,促进不同业务部门之间的协作。企业必须及时填补隐私保护方面的关键职位空缺,安排相应的员工培训,以满足GDPR的合规要求。对于需要处理大量敏感数据的企业,可能还需聘请专职的数据保护官。 企业如何落实?
1、制定企业内部GDPR合规战略。尽管本规定适用于欧盟公民,但却可能跨越多个国家和运营线,实现全球适用。 2、确定合规战略之后,立即对企业运营达标情况展开评估。评估企业内部执行GDPR要求的实际能力。要想加快这一步伐,企业可考虑采用外部评估机构,针对公司具体的合规目标和业务范围展开评估。 3、制定最佳合规解决方案,确保数据处理供应商与合作伙伴安全可靠。由于数据供应链存在一定的合规风险,企业在实施合规战略时可考虑将运营流程外包,最大程度降低风险。 文章来源于网络公开发布的关于GDPR的相关内容,由华东小编收集整理,版权归原创者所有,如有侵权请及时联系我们删除。
|