数据保护条例自2018年5月18日起生效

自此就是:“设计好的隐私保护”而不再是“边做边学”

2018年5月18日起,欧盟的数据保护条例(DSGVO)即行生效。为了应对数据保护法领域这一重要的变化而作好准备工作的时间只剩下4个多月了。

迄今为止,大家在数据保护方面还只是“边做边学”而已。只要没有人提出任何抱怨,数据保护也就不会是一个实际的议题。而DSGVO却会带来根本性的改变,因为DSGVO侧重于积极主动的自我倡议以及相关负责企业的自我负责精神。相比于目前,DSGVO将更侧重于要求落实预防性的策略从而避免数据泄漏,以及就数据处理、数据保护措施和违反数据保护事项作精确的记录。有关遵守数据保护法规性要求的情况需要经受检验。最起码的要求是,每一家企业都要具备一项面向具体风险的数据保护的方案(“设计好的隐私保护”)。

为何要对于数据保护和落实DSGVO的规定予以高度优先的重视

通过加强自我负责的原则,DSGVO也明显地扩展了对违反数据保护的行为处以罚金的框架。现在是要面临上限最高到两千万欧元(EUR 20 Mio.)或者数额为上一个业务年度全球营销总收益4%的罚金,具体是看哪一个数额更高。由于DSGVO对于数据处理者给与了多项纪录和接受检验的义务,对于监管机构而言,未来在调查违反数据保护的行为时就明显地更为便利了。

落实法规的基础:现状分析

落实DSGVO法规的基础必定是对于目前实践中的数据保护的方案和单项的数据处理流程的现状作一个细致的分析。如果还没有这样做的话,应当尽快完成。只有在此基础上才能够进行经得起推敲的合规状况分析,以便确定要开展哪些单项的落实法规的步骤。

单项的落实法规的步骤

一项重要的──特别是由于其费工耗时而不可对其掉以轻心的──任务是依照DSGVO第30条制定数据处理活动的目录。就每一项数据处理活动都要作记录,并给出如下的

  • 负责人的姓名和联系方式
  • 处理的目的
  • 设计人员的类别
  • 经过处理的涉及个人的信息的类别以及
  • 涉及个人的信息的接收者的类别

的信息。如果可能也要记录销毁的时限和适用的安全保障方案。

在制订数据处理活动的目录时可以使用表格模板,并且归拢在一个收藏夹之中以便不时地予以更新。

此外还要制订一份涵盖广泛的数据保护方案并时时更新。它要求是

  • 审查进行单项数据处理的法律依据,
  • 即时更新数据处理的许可,
  • 为了保证合理的保护水准而根据技术所能达到的相应程度来落实数据安全措施,
  • 出现违反数据保护的行为时,保证履行相关义务,
  • 即时更新委托进行数据处理的协议,
  • 必要时任命数据保护专员,公布他的联系方式并通知监管机构,
  • 必要时调整现有的企业内部协议以及
  • 必要时让数据保护方案获得认证。

进一步的展望

在一些其他各点上,比如对于数据保护作进一步评估,作为数据处理者的企业未来将面临什么样具体的任务,这仍然还不够明朗。这得要在2018年5月25日之后的实践并通过法庭的判例才能逐步厘清。

如果由此得出结论,现在还可以安安稳稳地听之任之的话,未免会自欺欺人。单单是制定数据处理活动的目录和数据安全方案的工作就够绝大多数的企业忙一阵子的了。

免责声明
本页面中的信息可能为第三方(如“中国走出去”网站加盟机构)提供,仅供用户个人参考。所有内容提供方在将任何内容/信息发布于敝网之任何数字平台之前,须获得该等内容/信息版权所有方之授权/许可。敝网不保证任何内容和信息的准确性,亦不对任何内容提供商提供或发布于敝网的任何信息承担任何责任。页面中的链接可能指向非由CGA可控的第三方网站,敝网对其他网站上的内容及链接有效性既不认可亦不承担任何责任。更多详情,请参阅敝网 免责声明
Top