10个关键事实企业需要注意到GDPR
隐私律师和库平宫分析师Karsten Kinast表示,欧盟新的数据保护监管很复杂,但有10个关键事实企业需要了解企业。
“一般数据保护条例(GDPR)在不到两年的时间内生效,但组织开始回应这些关键事实并不为时已有,”他在慕尼黑告诉欧洲身份和云大会。
GDPR适用于全球所有公司处理欧盟(欧盟)公民的个人数据。
“欧洲委员会首次[EC]是将欧洲数据保护原则出口到世界其他地区,”Kinast说。
这意味着任何与欧盟公民有关的信息的公司都必须符合GDPR的要求,使其成为第一个全球数据保护法。
Kinast认为这方面仅对世界各地的所有公司贡献 - 包括欧洲的公司 - 更认真地追查数据隐私。
虽然个人数据的定义一直相当宽,但Kinast表示,GDPR进一步拓宽,促进了规则下的新型个人数据。
“这意味着它在过去的数据保护法不受影响的部分将需要企业的注意力,以确保他们遵守新的监管,”Kinast说。
GDPR考虑任何可用于标识待识别作为个人数据的数据。它包括遗传,精神,文化,经济或社会信息等事物。
“从现在来看,几乎没有任何个人数据不会落在GDPR下,使组织难以避免必须遵守其要求,”Kinast说。
根据Kinast的说法,有能力证明使用个人信息的有效同意可能是GDPR的最大挑战之一。
“组织需要确保他们在要求同意收集个人数据时使用简单的语言,他们需要清楚他们将如何使用这些信息,并且他们需要了解沉默或不活动不再构成同意,”他说。
GDPR要求收集个人数据的所有组织能够证明清楚和肯定的同意处理该数据。然而,Kinast表示,他在市场中看到的大多数同意机制都不在GDPR下有效。
“将来,对于组织来说,这将更重要,以便于他们收集的个人数据以及如何处理和使用。没有有效同意,任何个人数据处理活动都将被当局关闭,“他说。
当“核心活动”要求“大规模的数据受试者”或“大规模的数据”或“大规模的数据”或“大规模加工”或“大规模加工”或“大规模的处理”或“大规模加工”或“大规模加工”或“大规模的处理”或“大规模加工”或“大规模加工”或“大规模的处理”或“大规模加工”或“大规模加工”)时,请处理个人信息特殊类别的数据“。
根据国际隐私专业人士协会(IAPP)的一项研究,这项要求意味着,在欧洲,在未来两年内必须委任28,000名DPO。
“这将影响德国公司,在那里有要求为拥有10多名员工的组织任命DPO,”Kinast说。
“这是因为,随着当今的技术,有许多组织具有少于10名员工,这些员工可以处理成千上万人的个人数据,并且具有比许多更大组织更高的风险。
“GDPR与员工数量的标准脱离,并侧重于组织与个人信息有关。
“因此,任何取决于处理个人信息的企业将不得不指定一个DPO,谁将延伸数据保护机构,以确保个人数据流程,活动和系统通过设计符合法律,”他说。
根据Kinast的说法,GDPR中的强制性隐私影响评估(PIAS)主要是由于英国信息专员办公室的影响,这与过去的匹配有很多工作。
GDPR需要数据控制器进行PIAS,其中隐私漏洞风险很高,以最大限度地减少数据对象的风险。
“这意味着组织甚至可以开始涉及个人信息的项目,他们必须进行隐私风险评估,并与DPO合作,以确保他们遵守项目进展,”他说。
GDPR协调欧洲各种数据泄露通知法,旨在确保组织不断监控个人数据。
“该规定要求组织在发现它的72小时内通知当地数据保护权限数据泄露。这意味着组织需要确保他们有技术和流程,使他们能够检测和响应数据泄露,“Kinast说。
“对于许多组织来说,这可能需要相当多的培训。它还可能需要更改内部数据安全策略以及如何在组织中促进这一点,以确保数据泄露得到妥善了解,并将容易地识别出来,“他说。
Kinast表示,GDPR介绍了非常限制的,可执行的数据处理原理。
其中一个是数据最小化原则,需要组织不超过绝对必要的任何时间,而不是从最初收集的目的改变数据的使用,同时 - 他们必须删除数据主题请求的任何数据。
“这意味着组织必须在改变他们使用他们收集的数据的方式之前获得新的同意,”他说。
它还意味着组织确保他们有程序和技术,以响应数据科目的请求删除数据。
在过去,只有数据控制器被认为负责数据处理活动,但GDPR向触摸个人数据的所有组织扩展了责任。
“GDPR还涵盖了向数据控制器提供数据处理服务的任何组织,这意味着甚至是使用与个人数据一起使用的纯服务提供商的组织需要遵守数据最小化等规则,”Kinast表示。
GDPR要求通过设计中包含在系统和流程中的隐私。
“这意味着软件,系统和流程必须考虑符合数据保护原则,”Kinast说。
“但是,例如,可以正确地擦除信息,这不是软件中经常看到的。但是,在未来,所有软件都必须能够完全删除数据,这将是许多软件工程师的挑战,“他说。
在过去,爱尔兰很受美国公司,例如谷歌,因为该国相对允许的数据保护机构Kinast表示。
“然而,这一切都与GDPR消失,允许任何欧洲数据保护机构对组织采取行动,无论世界上都是基于世界的地方,”他说。
Kinast指出,这项执法也被高达2000万欧元或4%的年度全球营业额的重大罚款支持。
他说,业务的好处是,他们只需要一个监督权,而不是每个欧盟国家的不同权限。
“这将使组织更简单,更便宜,但与此同时,欧盟公民门槛有权接近他们选择的任何数据保护权给Lodge投诉,”Kinast说。