欧盟的新数据保护制度是什么意思
在新加坡约克酒店,客户和客人必须提供明确的同意,如果他们希望联系促销和即将到来的活动。
酒店在客房内,酒店还发表了评论卡,并在联系客人以了解更多信息,了解更多信息。
这些措施除了其他方面,该措施使得酒店与来自世界各地的客户建立信任 - 即使在过去几年中颁布了新加坡的个人数据保护法案(PDPA)等数据保护法案之前。
2018年5月,包括The Asean地区的组织,包括York Hotel,将不得不遵守另一个数据保护立法 - 一般数据保护法规(GDPR),该规例将适用于收集欧盟个人数据的任何公司(欧盟)居民。
Rajnesh Singh,亚太地区互联网协会的亚太地区董事表示,该公司受到电子商务公司的影响,该公司可以收集大量的个人数据,例如物理地址,电子邮件和名称,到砂岩商店收集用于广告的数据,针对或运输货物。
他们也可以是在欧洲经营的东盟企业,以及已经通过当地子公司和分支机构在该地区开展业务的欧洲公司。本地初创公司,尤其是那些为全球观众开发移动应用程序,包括来自欧盟的人的移动应用程序也受到GDPR。
“许多公司将受到影响,因为GDPR扩展到超越欧盟地理界限的受试者,”辛格说。“这意味着当地公司也可以预期欧洲合作伙伴要求进行数据审核,以确保遵守新规定。”
“许多公司将受到影响,因为GDPR扩展到超越欧盟地理界限的主题”Rajnesh Singh,互联网社会凯文·谢泼斯斯官员,数据保护咨询海峡两岸互动的首席执行官和创始人表示,尽管人们不久,新加坡的GDPR的全面意识仍然很低。
“缺少的是在处理个人数据的日常业务职能中确保数据隐私和保护的商业文化,例如人力资源,财务,营销和采购,”牧羊犬说。“即使使用PDPA,公司也只是从合法而不是操作合规角度来看它。”
IDC亚太地区安全实践副总裁Simon Piff,甚至在新加坡这样的市场,在数据保护上的公司“脱颖而出”,有些组织已经做得很少,并且没有完全理解GDPR的潜在影响。
牧羊犬估计,直到新加坡发生大数据违规行为,导致财务处罚超过10万美元,组织不会认真对待数据保护法 - 更不用说GDPR。运行GDPR犯规的公司可能面临年度全球营业额的罚款高达4%。
“如果有的话,我们正在从当地跨国公司的需求中看到,欧洲公司的分支机构和子公司总部位于欧盟,但即使是这种静音,”牧羊人说。“我们的预测是,当我们达到2018年5月25日截止日期时会有更多的紧迫感。”
Gartner的研究总监Manjunath Bhat表示,如果他们一直在遵循PDPA等当地数据保护规则发生数据违规。
根据Shepherdson的说法,GDPR和PDPA共同的其他数据保护要求包括同意义务,任命数据保护官,获取和纠正个人数据,并负责未能满足要求的外包供应商。
但是,根据互联网协会的辛格,两种法律之间存在差异,例如同意的理由。
虽然PDPA需要组织寻求清楚同意的收集和使用个人数据,但如果他或她自动提供数据,并且如果可以证明史要算法将在中文中共享数据,则可以获得杀戮的同意。情况,不同意以任何形式表达。在GDPR下不允许这样的“被视为同意”。
“我们的预测是,当我们达到2018年5月25日截止日期”Kevin Shepherdson,海峡互动时会有更多的紧迫性根据GDP,必须自由地授予,具体,知情,并应提供“明确的数据主体愿望的愿望,遵守声明或明确的肯定行动,这意味着协议对有关的个人数据的协议他或她“。
Singh表示,GDPR的一个关键特征可以更广泛地影响企业是数据充足性和数据最小化原理。这意味着公司无法再收集他们认为需要或使用的所有数据,然后稍后决定实际使用。
“公司必须审查并决定他们在汇集之前所需的数据以及目的是什么,”他说。“这些目的必须传达给数据受试者,这与PDPA的条款不同。此外,数据应该保存在一种形式中,该表单允许识别数据受试者,不应超过处理个人数据的目的所必需的。
“与PDPA不同,GDPR,也允许数据受试者访问,正确,块甚至是擦除其个人数据的权利,如第17条的,标题为”忘记/权威“。公司未使用的数据也必须立即删除。“
海峡互动的Shepherdson还指出了GDPR的个人数据的更严格定义。在GDPR下,业务联系信息被认为是个人数据,但这不是如此在PDPA下。
全球律师事务所保罗黑斯廷斯的一项调查显示,遵守GDPR,预计财富500强企业为该技术为100万美元。
由于东盟市场一般对外国投资与欧盟开放,因此辛格表示,大部分企业将受到影响,并提出一些公司可能没有完全预算的GDPR合规成本。“在短时间内,必须这样做的是,通常超过阶段,计划的遵守方法,”他说。“也可能需要对IT系统的更改。”
为了继续与欧洲科目进行业务,公司,无论他们所在地,都必须使必要的投资遵守GDPR,例如任命欧盟代表。这与保护危险的风险相关,公司必然会受到损害的情况。
“声誉风险的真正成本难以估计,由于其对企业的影响和享受众所周知的损害的持续时间,但在今天的数字经济中,它可能会很大,”辛格说。
IDC的PIFF警告说,如果组织不包括建立良好的数据治理的新流程,则长期可能会更高。
“这不仅仅是关于确保信息,而是管理其生命周期并确保”被遗忘的权利“是可行的,”他说。“即使它[删除单个记录]无法实现,组织需要能够表明他们试图这样做。只是呕吐他们的双手并说'太难'会产生惩罚。“
海峡互动的Shepherdson建议公司不仅从法律角度来遵守GDPR的合规性,而且在需要遵循的规则方面,如果他们收集,使用,披露和存储个人数据。
“监管机构不看被动合规性,”他说。“如果有投诉或违规行为,您需要展示问责制和合规 - 这意味着您需要所有权,责任,最重要的是,遵守证据。”
Sheena Chin是Veritas Singapore的国家经理,该公司表示,公司可以通过灌输数据卫生实践来开始合规旅程,例如了解他们所持有的数据,并且可以访问它的数据,并且可以访问它,但是虽然数据审核。“如果您在云中存储数据,则确保数据治理的责任在于数据控制器,而不是云提供商或数据处理器,”她说。
互联网协会的辛格表示,可以指定一名主要数据官或数据保护人员进行数据审核,这也可以帮助公司了解它们是必要的,以及数据集是多余的。
“映射出数据在公司面临着甚至没有使用的高风险个人数据的情况下,”映射出来是有用的,“他说。“一旦映射冗余数据集,应丢弃它们。”
数据审核完成后,公司可以修改他们的隐私政策,说辛格。“没有一种尺寸适合数据策略,因此定制和设计最适合您组织的政策,以及它运行的环境是关键。”
IDC的PIFF表示,对于具有强大数据治理策略的组织来说,GDPR合规性不应该是繁重的 - 但很少有一个。“当然,已经拥有数据隐私法律的市场组织应该在符合符合条件的方式上,但泰国等市场的组织将拥有最陡峭的学习曲线,”他说。