法律专家说,欧盟数据保护规则会影响每个人
欧洲联盟(欧盟)预计2018年受法律的数据保护规则会影响每个企业和组织,并根据法律专家否则不能忽视。
经过四年的政治谈判和游说后,2015年12月商定了一般数据保护条例(GDPR)的最终文本。
旨在改革过时的欧盟数据保护指令的GDPR预计将在2016年1月举行欧盟议会时批准。
批准后,GDPR将于2018年全部28欧盟成员国成为法律,并将取代欧盟成员国实施符合1995年指令的不一致法律。
“这将影响欧洲内外持有或使用欧洲个人数据的每个实体,”PricewaterhouseCoopers(PWC)的Stewart Room,网络安全和数据保护合作伙伴说。
由于这个原因,在2018年在2018年在律师事务所Hogan Lovells的数据保护的伙伴和欧洲数据保护部门,忽略GDPR,忽略GDPR将是一个巨大的错误。
“我们是否将GDPR视为祝福或威胁 - 或者之间的威胁 - 它不仅明智,而且需要注意这一雄心勃勃的框架试图实现和交付的东西,”他在一个博客帖子中说。
因为数字经济处于GDPR所在的核心,Ustaran认为它将影响所有企业,不仅在欧洲。“GDPR最仔细的考虑方面之一是其额外的地区,”他说。
GDPR的最终文本用追踪其数字活动的“监控行为”的概念来替换对基于欧盟的数据处理设备的引用。
“这与GDPR的适用性达到了众所周大,鉴于世界上每个网站和应用程序都这样做,”Ustaran说。“
GDPR的一个关键要素是,它不仅引起了增加的合规性要求,而且这些是由繁重的财务处罚支持,这在最终文本中,该群体最高达到2000万欧元或全球群体年度营业额的额外额外的惩罚公司,以较大者为准。
该罚款适用于侵犯加工的基本原则,包括同意条件,数据主体权利,合法的国际数据转移条件,GDPR允许的国家法律规定的具体义务,以及数据保护机关的订单,包括暂停数据流动。
虽然罚款不如全球营业额100亿欧元或5%,但4%高于预期的2%或2.5%,而大多数组织可能会认真对待这些罚款,特别是大型技术公司作为谷歌,Facebook,Apple和Microsoft,因为不合规可能导致数十亿美元的罚款。
在采取行动之前,未能遵守建议的组织未能遵守GDPR的最终案文,将面临只有两年才能为其制度和运营实施所有必要变更,以满足新的合规要求的挑战。
“GDPR是数据收集和使用的方式的范式变化。我们已经从欧洲的数据相对赞成的数据的时代迁移到世界上具有最严格的数据法律,“罗斯·穆克斯王某罗斯·穆克斯王。
虽然两年似乎可能是一个相当长的时间为制定政权做好准备,但在那个时候,组织需要完全改变他们收集和使用个人信息的方式。
“这不是合规性或法律挑战;它比这更为深厚。他说,组织将需要采用他们收集和使用个人信息的方式采用全新的行为。“
vinod bange,合作伙伴和英国数据保护/隐私实践负责人在律师事务所泰勒惠兵表示,这一基本变化是为其他公司提供服务的公司,也是在“数据处理器”的法律期限下 - 也将是受到GDPR的影响,因此面对违反GDPR的相同综合罚款,这将影响技术服务提供者。
“GDPR希望采用各种规范的规则,组织如何证明他们遵守GDPR。企业将不得不真正采用治理和问责制标准,而不是向数据隐私义务支付唇部服务,否则他们可能会因为僵硬的新罚款也适用于此要求,“他说。
据普华永道的斯图尔特空间,组织的战略和遵守GDPR的方法需要包括在监管中反映的三个关键组成部分,即新的合规旅程,新的透明度框架和新的执法,制裁和补救措施。
新的合规旅程将要求实体映射并分类所有个人数据;进行风险评估;设计隐私保护进入所有新业务运营和实践;聘请专门的数据保护人员;监控和审计合规;并记录他们对数据的一切以及他们所做的一切,以实现法律合规性。
新的透明度框架将要求实体重新思考他们与人们互动的方式,包括他们的签约和权限流程以及如何清楚地提供有关个人数据发生的事情的清晰和完整信息。
当出现违反安全或机密性时,实体将不得不向监管机构通知该事件。在严重的情况下,他们将不得不通知受影响的人。
新的执法,制裁和补救措施框架将使监管机构前所未有的权力在业务中进行干预,并塑造实体如何进行运营,包括强加重金属的权力。
inpiduals将能够锻炼一个“被遗忘的权利”,一个“数据流动权”,增强了对其数据的访问权限,并加强了所需数据结束的权利。
如果他们因不合规行为而苦恼,他们还将申请赔偿。
Ustaran注意到GDPR负载要求,以使企业更加负责他们的数据实践。“这是GDPR的重量在实践中最重量的领域。通过设计,违约,数据保护,违约,录制义务,数据保护影响评估和高风险案件中的数据保护当局的新职责,将需要管理努力和投资,“他说。
许多这些义务完全是新的,因此对于大多数企业来说,这将涉及大量的学习曲线。“了解需要致力多少 - 或者努力如何努力,以获得这一权利将是一个相当大的任务,”乌斯塔兰说。
GDPR明确表示将数据流入非欧盟司法管辖区的数据流动将继续遵守合规性观点的优先事项。
出于这个原因,Ustaran表示,组织面临的另一个关键挑战是克服影响数据转移的法律限制的实用方法。
“至少可用的选项菜单正在变得更加拓宽,因此不合规的借口将变得更加努力,”他说。
随着安全港协议于2015年无效,应向某些公司展开,以至于GDPR确实识别标准的合同条款和将公司规则与将欧盟转移到欧盟的合法框架中的合法框架。
但是,欧盟与美国建立框架以取代安全港协议的框架预计将于2016年1月底完成。
既然文本最终确定,两年的实施期即将开始,Ustaran预测隐私将成为许多董事会议程的常规功能。