卢卡·克里维拉罗
Facebook 叽叽喳喳 领英 Instagram
评论
13
2018 年 5 月 25 日:令人担忧的 GDPR(新的欧盟隐私法规)生效时刻即将到来。但需要做什么才能遵守 GDPR?这是一项管辖新欧盟隐私法规的法规,任何公司都必须在 5 月 25 日之前遵守并遵守该法规。处罚:巨额罚款……
但我们还是按顺序来吧……
新的 GDPR 法规包括哪些内容?它对每个网站或应用程序上准备的隐私政策有何影响?
欧洲议会颁布的新隐私立法适用于所有欧盟 司法部数据库 国家;将为所有意大利公司带来一些简化,但也带来一些复杂性,这些公司显然必须遵守责任原则收集和管理用户数据方面的新义务(处理责任 – 请参阅“隐私设计”方法),但是将使每个人对其个人数据有更大的控制权,并保证对未成年人提供更大的保护。
【义务前提:我们不是律师,本文应视为免费深度分析。明智的做法是咨询那些专业处理隐私问题的人]
如何处理 GDPR?
> 咨询隐私问题方面的律师专家或律师事务所。
> 妥善保管在您的在线设备(无论是网站还是应用程序)上发布的隐私政策您可以在线创建符合 GDPR 的隐私政策; 带有相关同意解决方案的 Cookie 政策,可轻松跟踪、存储、管理和检索用户同意;活动登记册以及您遵守 法律所需的一切也得益于可靠的在线服务,例如 iubenda.com –点击此链接可享受 10% 的折扣。
什么是 GDPR?
它是新的欧洲隐私法规,是通用数据保护法规 (EU 2016/679) 的缩写,它将保护自然人的个人数据确立为一项基本权利。
互联网的出现使得有必要更新该学科,这也是由于用户数据的扩散和日益明显的商业价值:在线进行的任何行为都会留下痕迹、数据,这些痕迹和数据可以识别兴趣和习惯,这些痕迹和数据被大公司所利用。互联网已经繁荣。随着这一有利于用户隐私的里程碑的实现,欧洲各国迄今为止在个人数据方面的法规中存在的差异将被消除(因此,之前的 95/46/EC 指令现已过时)。
遵守 GDPR 需要做什么:给公司和中小企业的一些建议
新的隐私法规适用两个原则:
隐私设计
默认隐私
这些基本原则规定,对个人数据处理的同意必须始终有效、可撤销且明确。事实上,从每个流程的初始阶段起,每个公司所持有的数据都需要持续保护。此外,还需要一个新的公司人物(并不总是强制性的):数据保护官(DPO)。
隐私设计原则
这是一个关于用户隐私主题的“进化”过程,用户是一切的中心。任何项目的设计和实施都必须考虑如何保证特定项目中涉及的个人数据的机密性和保护,通过隐私影响评估预先识别任何隐私风险。
因此,任何项目都没有固定且独特的标准,但必须针对每个项目专门设计保护措施,主要有以下三点:
信息技术系统;
商业程序(充分且正确);
结构设计和项目基础设施。
这种新的隐私方法(在线和其他方式)还有 7 个关键原则:
我们需要采取主动而非被动的方法(因此有利于预防);
尊重隐私是基本做法;
隐私保护是设计中的一个目的;
安全无“如果”或“但是”;
完整的数据生命周期保护;
数据管理的可见性和透明度;
尊重用户隐私。
默认隐私原则
然而,这一基本原则认为,公司只能在达到预期目的所需的范围内以及在这些目的严格必要的时间内处理个人数据。因此,设计阶段再次至关重要,必须考虑这种方法,同时牢记保证收集的数据不过多。
当您为用户提供在网站上注册、预订访问或订阅时事通讯等的机会时,您需要注意收集哪些数据以及原因。
不能随意,但必须明确数据收集的方式、收集的每个数据的目的、哪些主体有权访问存储该数据的数据库、可能存在哪些安全风险以及将采取哪些措施来保护该数据库。被采纳。
数据泄露
大量提及了发生数据泄露时应采取的措施。但是,如果公司管理的数据遭到泄露,会发生什么情况呢?
GDPR 很明确:每家公司都必须解释并记录在发生数据泄露时将如何采取行动;此外,在这种情况下,必须在事件发生后 72 小时内通知监管机构。
上述“PIA”——隐私影响评估——的目的是预先确定特定业务中的数据处理可能存在哪些风险,以及采取哪些措施将风险降至最低。此外,还必须提供在发生数据泄露时与用户进行通信的方法。
面对 GDPR,每个公司必须做什么
综上所述,每个公司适应GDPR必须解决5个关键点:
通过结构化和非结构化数据库完全控制对数据的访问
清晰识别所管理的个人数据(立即访问、分析、有利于数据保护的安全规则)
数据治理:政策澄清、管理流程识别、职责分配。
数据保护策略:数据记录匿名化和加密。
通过内部报告、检查、主动管理与用户的关系来控制应用程序。
所有这些方面都汇集在数据处理活动登记册中,其中解释了管理所处理的个人数据的所有程序、目的、使用的软件、涉及人员、责任和安全措施。
中小企业和 GDPR:小公司对新隐私法规的义务
对于小公司来说,监管要宽松一些。上面列出的几点对于所有公司来说都可以,但最好知道:
当数据处理对公司业务并不重要时,中小企业实际上无需任命 DPO;
如果数据访问请求成本较高(例如时间或金钱),则可能需要付费才能提供访问或保证数据修改;
隐私影响评估不是强制性的,除非由于大量数据处理(特别是通过互联网)导致的特定风险;
不再需要向隐私管理局发出普通通知;对于危及用户隐私的问题,只会保留特殊的通信方式。
公司中有关 GDPR 隐私主题的角色
除了数据控制器(Data Controller)之外,还可能会发现新的人物……
数据保护官应该做什么? (GDPR 第 37 条)
DPO(数据保护官)必须为公司的每个实体分支机构(已通知的跨国公司:每个总部或工厂任命一名)任命,并对数据收集、管理和处理的方法进行监督和控制。
DPO 的基本目标是保证数据以及管理或保护数据的软件的安全。特别是在软件更新层面,有必要实现流程自动化,以便能够在出现数据漏洞问题时证明已采取一切可能措施来保护数据本身(减少可能的“基础设施的破坏”)。始终出于相同的目的,最好利用安全软件的自动监控,以便识别来自外部的访问尝试(基本思想始终是保护数据免受外部攻击):这适用于提供给公司的合作者,适用于网站和应用程序,也适用于智能手机或平板电脑。
如果数据处理由公共机构或当局进行,则必须任命 DPO;当管理的数据量需要定期和系统的监控时;当相关数据具有特定特征(例如敏感数据)或司法数据时。
如果中小企业的核心活动中不包括用户数据管理,则可以免除任命 DPO。
在这里您可以找到有关这个新公司形象的更多信息。
数据处理器,又名“数据处理器”
数据控制者或数据处理者是代表数据控制者管理数据的自然人或法人、公共机构、服务或其他“参与者”。因此,它也可以是外部人员,即被委托处理数据的供应商(但必须保证遵守 GDPR)。
对违反 GDPR 隐私法规的人处以罚款
一如既往,处罚非常高:违反规定的公司全球年营业额的 2% 至 4%,或者罚款10 至 2000 万欧元。谁愿意冒险?
对用户/个人的保护
整个监管体系都是有利于用户的,用户 隐藏的宝石:我们最喜欢的芝加哥企业及其影响 实际上会得到更大的保护,这要归功于:
更轻松地访问您的数据,并提供有关公司如何处理数据的更多信息(清晰且准确)
不同服务提供商之间的数据传输权
如果个人不再希望处理其数据,则有权被遗忘(沃达丰,已警告您……)
有力保护未成年人个人数据
知道您的数据何时被泄露的权利
为了避免风险,请联系可以为您提供有 BY 列表 关 GDPR 和隐私问题建议的人员,例如律师事务所或专门从事隐私主题的安全且有保障的在线服务(例如 iubenda.com -单击此处获取 10% GDPR 隐私和 Cookie 解决方案折扣- 以及相关的 Cookie 同意和活动日志)。
