什麼是 GDPR ? 不可不知的歐盟資料保護規則 General Data Protection Regulation
通用數據保護條例(GDPR)是歐盟的一項條例,目的在保護自然人 (稱為數據主體)處理和自由移動其個人數據。它於 2016 年正式發佈為「2016 年 4 月 27 日歐洲議會和理事會條例 (EU) 2016/679」,並於 2018 年 5 月 25 日生效。
《通用數據保護條例》是對個人數據保護的巨大變革,影響全球數據被用於充分的商業目的。GDPR 是一個巨大的變化有幾個原因,包括 GDPR 的所謂域外適用性:它的應用擴展到歐盟和 EEA (歐洲經濟區)的邊界之外。
個人數據的處理應目的在為人類服務。個人數據保護權不是絕對權利;必鬚根據其在社會中的功能加以考慮,並根據相稱性原則(通用數據保護條例)與其他基本權利相平衡
歐盟 GDPR 還授予數據主體更多的權利,並對數據控制 者(決定處理個人數據的目的和方式) 和數據處理 者(代表控制者進行處理活動)產生更多和更深遠的影響。
《通用數據保護條例》的地域範圍 (適用於個人數據處理類型)和擴大的材料範圍在全球範圍內具有重大影響。
在 Facebook 和 Cambridge Analytica 數據隱私醜聞,以及主要公司的重大個人數據洩露事件之後, 《通用數據保護條例》(以及 GDPR 的ePrivacy 條例)的影響引起了全球的廣泛關注。
隨著網路安全風險的增加和多個國家和,通過的個人數據保護立法,GDPR 和數據保護法規總體上也引起了對網路彈性的日益關注。
概括地說通用數據保護條例:範圍、合規性、罰款、處罰和 GDPR 步驟
在開始深入探討之前,簡要介紹為什麼認為歐盟 GDPR 被認為是必要的,以及一些基本方面,從通用數據保護條例的「內容」和「原因」開始。本章涵蓋了一些要點,因此如果 GDPR 對你來說不是那麼新,請使用目錄。
GDPR 的含義和定義是什麼?
沒有真正的 GDPR 定義。GDPR 是通用數據保護條例的縮寫。
如前所述,從技術上講,《通用數據保護條例》文本發表在《歐盟法律和出版物》雜誌上,被稱為「歐洲議會和理事會 2016 年 4 月 27 日關於保護自然人關於個人數據的處理和此類數據的自由流動,並廢除指令 95/46/EC」。
但是,《通用數據保護條例》的文本中對其使用的術語有幾個定義。如果你正在尋找超出本 GDPR 概述範圍的術語的 GDPR 定義,例如個人數據處理、同意、控制者等,GDPR 文本的第 1 章在第 4 條中提供了這些定義。
為什麼歐盟用通用數據保護條例,取代現有的數據保護條例?
通用數據保護條例的存在有多種原因。第一個是提到的數據保護指令,或指令 95/46/EC,雖然已經過調整,但不再適合應對這些數位時代的個人數據挑戰。
歐盟的數據保護指令自 1995 年就已經存在。1995 年,人們幾乎不使用網路。儘管自 1995 年以來已經有了額外的規定,但歐盟認為是時候取代數據保護指令了。
2012 年初,歐盟委員會表示,歐盟需要在許多方面與數位時代保持一致,而不僅僅是個人數據。同時,出於同樣的原因,它還決定是時候改革現有的數據保護規則框架了。數據保護指令是這些現有數據保護規則的關鍵。
個人數據處理的示例包括個人數據的儲存、收集和收集個人數據(無論以何種方式)、匯總、記錄、交換、分析、公開、數位化、豐富、結構化、更改、搜索、利用、刪除、結構化、銷毀、上傳和簡單地使用/保存個人數據。
此外,《數據保護指令》是一項指令,《通用數據保護條例》是一項法規。2015 年 12 月 15 日,歐洲議會、歐洲理事會和歐盟委員會就新的數據保護規則達成協議,該規則將被稱為 GDPR 並取代數據保護指令。
作為一項指令,歐盟 GDPR 的前身被不同的國家採用。歐盟想要一種更加一致的方法。GDPR 是為單一數位市場而設計的,在這個市場中,處理個人數據的組織,知道他們可以用個人數據做什麼,不能做什麼。透過這種方式,數據非常重要的數位經濟,應該在數據日益密集的世界中蓬勃發展。GDPR 提供了適應當今數位世界現實的監管框架,同時將數據主體置於其個人數據的主導地位。
我們現在所做的幾乎所有事情都是由數據驅動的,而個人數據幾乎存在於我們所做的所有事情中:使用社交媒體、線上購物、開設銀行賬戶、透過 Skype 進行交流、在網站上填寫表格以接收促銷活動、從我們最喜歡的商店,看醫生,訂閱時事通訊,與政府互動,清單是無窮無盡的。
數據控制者擁有大量關於自然人的數據,他們處理、儲存、收集、分析和交換這些數據。儘管很少有公司擁有我們所有的個人數據,但個人數據的聚合,可以讓我們深入瞭解我們的個人生活和隱私,從而導致潛在的濫用。大量的個人數據也容易受到潛在的破壞,而且個人數據的使用方式,通常是人們沒有明確同意的。
例如,在在線廣告和社交媒體中,大量個人數據和所謂的個人數據標識符被用於在許多數位平台上追蹤和定位我們,並且出於我們未同意的目的,或其他法律依據的目的,存在用於合法處理個人數據,除了同意。
關於 GDPR 合規性,我需要了解哪些信息?
GDPR 合規性僅意味著遵守《通用數據保護條例》中有關你進行的個人數據處理活動的所有規則。鑑於歐盟 GDPR 的大量規則和許多變化,與其前身數據保護指令 95/46/EC 相比,實現這一目標並不容易。
雖然通用數據保護條例於 2016 年生效,但所謂的 GDPR 截止日期(提到的適用日期)是你的組織應遵守的時間。這意味著從 2018 年 5 月 25 日起,GDPR 中提到的高額行政罰款也可以適用。
《通用數據保護條例》對組織內的角色和責任做出了明確的規定,以便能夠響應數據主體在行使其多項權利中的一項或控制和監視實例的請求時的請求。
GDPR 不僅僅是關於罰款和截止日期。合規是一項持續的工作。你需要制訂一個策略計劃,從數據主體角度的主要風險開始(事實上你當然也會考慮你的風險),以及通用數據保護條例的基本方面和變化,按照 GDPR 文本的規定。
當然,僅此文本並不能回答所有問題。這就是為什麼有數據保護機構、DPA 和其他機構的指導方針(這些機構的作用遠不止罰款),例如歐洲數據保護委員會,當然還有數據保護官員 (DPO)等專家,你可能需要這樣做遵守歐盟 GDPR,但如果你嚴格來說不需要,你也可以僱用(DPO 培訓已滿員,很快將有更多 DPO 可供僱用,例如在已經存在的 DPO 即服務模型中) )超出你的想像。
換句話說:尋求建議,而不僅僅是在有疑問的情況下。GDPR 合規性是端到端的,沒有法律文本或指南涵蓋所有內容。在某些情況下,最終法官需要像往常一樣進行裁決。
重要的是,通往合規的道路是持續存在的,這一切都與風險和管理有關。因此,在以優先方式映射這些風險和基本任務之後,你需要逐漸從解決它們轉向進一步的合規步驟。展示你已經完成和仍計劃做的事情的能力,是這裡的關鍵,始終展示合規性的能力,也是數據控制者的職責之一。
關於通用數據保護條例,我應該瞭解哪些信息並開始使用?
雖然罰款不是最好的起點,但關鍵是確保數據主體的權利能夠得到行使,並且有適當的法律依據來合法處理個人數據。
不讓數據主體行使其權利或無視他們的請求會使情況變得更糟,並可能導致更高的罰款,當數據主體提出投訴時,他們每個人都可以這樣做,而適當的數據保護機構需要跟進。
換句話說:沒有理由恐慌,有理由小心,繼續並理解 GDPR、數據主體的權利、控制者和處理者的義務、合法處理的法律依據、一般數據處理原則和規定你的個人業務、各個部門(人力資源、行銷、銷售、客戶服務等)、你處理的個人數據類型、適當的安全業務措施和以端到端方式的基本步驟,從GDPR 意識和(意識)對員工進行培訓,因為人是數據保護中最薄弱的環節(無論是在資訊管理的範圍內)文件共享、使用他們的工作工具等方面;以及在網路安全範圍內)並讓他們意識到(在他們的工作環境中處理個人數據時要遵循的政策)是證明合規性的第一步,也是簡單的一步。其他步驟,例如查看與你的數據處理者的協議(當你是控制者時)和註冊個人數據處理活動,並提供有關處理內容、原因和方式,以及獲取數據的基礎的附加資訊,在此 GDPR 概述中進一步瞭解。
最後,請注意,GDPR 合規性也是一項持續的工作,因為數據保護挑戰不斷發展,法理學也在不斷發展,有關合規性和新技術和風險的規則,也在不斷發展,這些規則在瞬息萬變的世界中構成了挑戰。
在技 術方面確實考慮到 GDPR 及其「特別法」,即電子隱私條例,還涵蓋個人數據和 PII (個人身份資訊)以及 IoT (物聯網、可穿戴設備和智慧設備)等領域的標識符家庭自動化,應用到所謂的工業 4.0 應用中的個人數據)、網路、先進的「第三平台」數位技術和電子通信,等等。雖然後兩者也包含在以前的法律中,但它們被擴大以符合當今存在的平台和工具,當然其中有不少(想想社交網路、Skype 等應用、大數據分析、透過在對人進行排名的應用中,賦予社交分數來自動決策,通常與社交活動和其他數據(例如「影響力」等)相結合)。物聯網是新事物。因此,在此需要額外關注,理想情況下,對於該領域的應用以及在新數位技術的背景下,建議進行所謂的數據保護影響評估。它確實不再只是關於 cookie 和電子郵件地址。
GDPR:蓬勃發展的數位經濟的個人數據保護和隱私規則
如前所述,罰款和處罰不是《通用數據保護條例》的目的。此外,它還適用於比消費者關於(使用和保護)其個人數據的基本權利更大的背景。
GDPR 被視為在數位轉型經濟中,保護個人數據及其所有權的框架,其中數據是商業資產、新貨幣、石油和創新加速器;以及透過更廣泛的個人視角,在整個互聯生態系統中,利用個人數據來實現收益,以便在各個學科中取得更好的結果。
在這種經濟、數位和社會背景下,所有組織都有明顯的好處,但也有一些規則需要在個人層面得到尊重,否則我們將看到,不斷增長的數位市場會受到多重挑戰的阻礙。換句話說:儘管 GDPR 對許多人來說似乎很痛苦,但它也需要讓數位和數據驅動的世界,變得更容易和更清晰。由於我們將解決的幾個原因,這也為組織帶來了好處。
GDPR 的關鍵定義、術語、權利和規定
要符合 GDPR,您不僅需要一些工具。您需要一份全面的分析、計劃、詳細的清單等,涵蓋所涉及的所有方面和流程。任何此類策略、清單或合規計劃的第一階段是意識。
雖然這更多的是關於組織中,所有利益相關者的意識和專業知識(包括培訓你的員工),但我們還需要瞭解 GDPR 中的一些關鍵術語、概念、權利和義務。你可能已經掌握了大部分內容,並且你可以在本概述下方的列表中看到更詳盡和詳細的指南。
個人數據的處理:處理的廣義 GDPR 定義
GDPR 是關於歐洲經濟區(包括歐盟)自然人個人數據的處理,在法規中稱為「數據主體」。
「處理」是指對個人數據或個人數據集 (GDPR) 執行的任何操作或一組操作
處理涵蓋了廣泛的行動現實,包括個人數據的儲存、傳播、更改和管理。正如我們將看到的,個人數據還涵蓋標準、定義、例外、個人數據標識符、假名數據等廣泛現實。此外,這往往被忽視,它適用於個人數據的處理,無論處理是否以自動化方式進行。換句話說:手動處理個人數據(營運商)也包括在內。
在 GDPR 最終文本第 1 章第 4 條(「定義」)的第二部分中,GDPR 將處理定義如下:
「處理」是指對個人數據或個人數據集執行的任何操作或一組操作,無論是否通過自動化方式,例如收集、記錄、組織、結構化、儲存、改編或更改、檢索、諮詢、使用、透過傳輸、傳播,或以其他方式提供的披露、對齊或組合、限制、刪除或破壞。
如果你開始考慮誰處理個人數據,你就會開始看到冰山一角。處理的定義非常明確,這表明 GDPR 如何涉及有關個人數據的所有活動。這還包括捕獲、掃描和處理硬拷貝文檔包含的個人數據,甚至包括「擁有」個人數據(或者我們不會儲存或處理它們)或「有權訪問它們」的簡單事實。
GDPR 對數據主體和個人數據的定義和範圍
歐盟 GDPR 對個人數據的定義也幾乎沒有解釋的餘地。在第 4 條中,案文規定:
「個人數據」是指與已辨識或可辨識的自然人(「數據主體」)相關的任何資訊;可辨識的自然人是可以直接或間接辨識的人,特別是透過參考諸如姓名、身份證號、位置數據、在線標識符等標識符,或特定於身體、生理、該自然人的遺傳、心理、經濟、文化或社會身份;
GDPR 的定義很明確:如果你處理數據主體的個人數據,一般規則是適用 GDPR。然而,正如我們將看到的,在這個看似簡單的定義下隱藏著很多東西。
另一方面,在公共衛生和科學研究等領域,個人數據存在一些例外情況,因此瞭解 GDPR 對你所在行業的影響非常重要。這又是一個即時準備並瞭解它,如何影響你的個人組織和活動的論點。
經過假名化的個人數據,可以通過使用附加資訊歸於自然人,應被視為有關可辨識自然人的資訊。
歐盟 GDPR 不涵蓋匿名數據。但是,它確實涵蓋了所謂的假名化個人數據,因為假名化是安全和分析等領域中經常使用的「策略」,可以逆轉,並且與匿名數據相反,可以追溯到可辨識的自然人,數據主體。然而,假名以及加密是 GDPR 推薦的方法之一,作為「一種適當的技術和組織措施,以確保與風險相適應的安全級別」。
研究表明,相當多的公司事實上使用技術對數據進行去識別化,以降低風險敞口。
請注意,一般來說,合併的數據越多,去辨識化變得越困難,風險就越高。如果涉及特殊類別的數據(「敏感數據」),則會產生額外的風險和措施。
瞭解數據保護原則以及有關已辨識和可辨識人員的資訊
GDPR 第 26 條是理解數據保護原則的關鍵,並規定 GDPR 適用於與已辨識或可辨識人員有關的任何資訊。
它對通用數據保護條例適用於已辨識,或可辨識自然人的資訊類型,進行了基本概述。它還概述了應如何確定數據主體,或自然人何時變得可辨識,並指出假名數據也屬於 GDPR,而匿名資訊則不屬於。所有這些主題都在 GDPR 中更多的獨奏會和文章中得到了進一步的深入確立。
線上標識符、基因數據和個人健康數據
在 GDPR 中,個人數據的定義已經擴大(對於同意和保護都很重要)。
它包括標識符,例如遺傳數據和與數據主體健康狀況有關的所有數據。科學研究的數據也包括在內,但只是在一定程度上。
基因數據包括 DNA 分析結果,健康狀況數據包括治療、病史、疾病等數據——如下圖所示。標識符是可以使自然人可識別的數據元素,並且有很多。有些更籠統,有些則「敏感」。瞭解所有這些標識符以及自然人如何成為數據主體(他/她變得可辨識的各種方式)非常重要。給你一個想法:下圖中的一種標識符,即在線標識符,由多種類型和形式組成,從 IP 地址和 cookie 到 RFID 標籤。
《通用數據保護條例》第 30 條介紹了在線標識符,例如 IP 地址、cookie、RFID 標籤等,但並不詳盡。然而,在文本中,GDPR 進一步放大了它們。
要記住的關鍵是,上述那些線上標識符被視為個人數據,因為與唯一標識符相結合,它們可以導致數據主體的辨識,並且因為此類在線標識符再次與其他標識符相結合,可以並且確定 facto 用於分析,這在 GDPR 中明確提到。
我們看到很多人不知道這一點,甚至經常看到調查顯示,各個行業的專業人士不將其他標識符視為 GDPR 範圍內的標識符,例如電子郵件地址或照片。必須瞭解它們是(以及它們在什麼情況下)。
正如你可以在 Recital 34 中閱讀的那樣,遺傳數據被明確視為個人數據。此外,遺傳數據被視為敏感數據,應受到特殊保護。個人健康數據也是如此,其中包括來自基因數據的資訊,但更進一步,正如 GDPR 的 Recital 35 中所解釋的那樣,它總結了 GDPR 下各種形式的與醫療保健相關的個人數據(並且有特殊保護規則)。
GDPR 擴大的地域範圍
與現有指令相比,GDPR 的一個重大變化是其所謂的域外適用性,即 GDPR 不僅僅影響歐盟公司,這一事實的技術術語。
GDPR 涉及所有處理居住在歐盟的公民(「數據主體」)個人數據的公司,無論這些公司(「數據處理者」和「數據控制者」)位於何處。
當歐盟數據主體的個人數據處理由不在歐盟的控制者或處理者完成時,GDPR 適用於與向歐盟公民提供商品或服務(免費和付費服務)和歐盟行為監控相關的活動數據主體。
此外,處理歐盟公民數據的非歐盟公司需要在歐盟任命一名代表。
有關此領土範圍的相關鏈接和文本包括:
- GDPR Recital 22 規定,在歐盟建立控制者或處理者的活動中,對個人數據的任何處理都應按照《通用數據保護條例》進行,無論處理髮生在歐盟境內還是不是。
- GDPR 文本的第 23 條主要規定,歐盟以外的組織在提供商品和服務(有償或無償)方面對數據主體的個人數據的處理受 GDPR 的約束。
- Recital 24,其中說 GDPR 適用於不在歐盟但監控歐盟數據主體行為的組織。
- Recital 25,涵蓋了 GDPR 在國際公法範圍內的領土適用,例如歐盟以外的外交使團在適用歐盟規則的情況下屬於 GDPR。
- 《通用數據保護條例》第 3 條(「地域範圍」)總結了所有內容,並具體解決了 GDPR 的地域範圍。
GDPR 以及控制者和處理者的職責
與其前身相比,GDPR 並沒有太大改變控制器和處理器的定義。然而,改變的是對處理器的影響 (以及在控制者本身之上的各種參與者的整體情況中的報告流程和義務,以及監管機構,和取代該條款的歐洲數據保護委員會的作用 29 本 GDPR 合規指南中,進一步提到的工作組)。
在關於 GDPR 地域範圍的資訊圖中,我們已經提到了數據控制者和數據處理者的定義。
- 數據控制者是任何自然人或法人、公共當局、機構或其他機構,它們單獨或與他人共同決定,處理個人數據的目的和方式。假設它是主要組織。
- 數據處理者是代表控制者處理個人數據的自然人或法人、公共當局、機構或其他機構。因此,根據個人數據處理活動的類型,實際上每個人都作為外包合作夥伴關注特定處理任務,因為處理涉及個人數據的任何可能的業務功能,因為處理的定義如此廣泛,如其他地方所述。
我們專門為數據處理者的角色設置了一個特別頁面,因為在 GDPR 下數據處理者的義務很多,並且在侵權或個人數據洩露的情況下,存在事實上的共同責任。
處理者必須遵循與控制者完全相同的個人數據處理原則。最重要的是,處理器等,
- 必須記錄他們為控制者完成的所有處理活動(審計跟蹤)以及他們為其進行數據處理活動的所有控制者,
- 必須有一份合同或法律依據,清楚地描述他們為數據控制者所做的事情、持續多長時間、出於何種原因、數據類型和數據主體類別等等,
- 必須協助控制者履行許多義務,例如安全數據處理、個人數據洩露時的通知義務(從處理者到控制者的個人數據洩露通知義務)、對數據保護影響評估或事先諮詢的潛在需求,
- 在使用或考慮使用其他數據處理者的服務時,必須通知數據控制者,並有額外義務,對所描述的個人數據處理活動有明確的授權。
換句話說:GDPR 對數據處理者影響很大,因此對行銷、數據服務、人力資源、物流等領域的各種外包公司都有影響。
上面的處理器義務列表遠未完成。他們必須以安全和合規的方式自己工作,他們必須以比以前更透明的方式與數據控制器操作,數據控制器反過來必須更加關注與他合作的處理器的合規程度,必須有一個明確的數據處理協議,和處理者以比以往更多(直接)的方式承擔責任。
注意:在某些情況下,組織可以同時充當數據處理者和數據控制者。Jessica Lam 在下面的資訊圖和關於該主題的全文中解釋了這種情況。
GDPR 合規和同意:同意定義、重要性和規則
GDPR 在同意方面比其前身更為嚴格。同意仍然是合法處理個人數據的幾個法律依據之一。但是,當它被選為法律依據時,它增加了我們在本 GDPR 合規指南中進一步介紹的一般數據主體權利,因此實現 GDPR 合規意味著能夠滿足數據主體權利的要求,當他們想要行使這種權利時正確的。
同意應通過明確的肯定行為給予同意,該行為建立自由、具體、知情和明確的指示,顯示數據主體同意處理與其有關的個人數據,例如透過書面聲明,包括透過電子方式,或口頭陳述。
以同意為法律依據,適用附加規則,數據主體對其個人數據的控製程度更高,同時控制者和處理者的職責增加,額外的特定同意相關權利加入一般數據主體權利,例如作為撤回同意的權利。在實踐中,這很困難,需要同意管理的可能性。因此,在任何時候,關鍵是要看什麼是最好的法律依據,因為同意當然不是聖杯,也不是在公園裡散步。然而,在某些情況下,這將是最合適的法律依據,或者可能是特定個人數據處理活動的唯一(有效)依據。
根據 GDPR,當在任何數據處理活動中選擇同意作為合法處理依據時,數據控制者需要證明同意。同意還需要自由、具體、知情、明確,並透過聲明或明確的肯定行動給予。所有這些元素都非常重要。
透過選擇基於行動的同意方法 GDPR 合規性,不僅意味著在選擇時更難證明同意,還意味著獲得同意的方式,需要真正基於數據主體的明確行動,而不是透過預先勾選的框、不活動、沈默,和其他幾個可能使數據主體,更難自由同意的理由獲得。其他提到的關於同意的要素顯然與主動同意的概念有關,即自由給予、具體、知情和明確的事實交織在一起。
如果對數據處理活動的同意與使用服務,或合同的其他條款和條件捆綁在一起,則在未將特定數據處理活動的同意與這些條款分開的情況下,則認為同意不是自由給予的,因為需要對每個條款和條件給予同意單一活動(粒度)。
此外,數據控制者必須使用清晰和簡單的語言,來說明尋求同意的處理活動的目的,並且同意需要暗示真正的肯定和自由選擇,其中有幾個概念會使自由給予的同意無效。
這方面的一個例子:當在數據控制者和數據主體之間的權力,明顯不平衡的情況下給予同意時,同意將不被視為自由給予。
某些形式的數據處理的使用也存在限制,因此需要明確同意,這是一種更嚴格的同意形式,嚴格來說僅適用於某些條件。
如前所述,關於處理個人數據的同意需要清晰明瞭,且語言通俗易懂。
在實踐中,這意味著採用法律術語且易於區分,和易於理解的方式,來描述數據主體給予什麼同意,以及如何給予同意。同樣的簡單程度必須適用於撤回同意。此外,未經同意,不得與其他方共享個人數據。
同意和關於同意的後果/義務的詳細資訊
GDPR 說明和文章決定了應如何給予同意、何時適用、何時不適用、組織在同意方面的職責、數據主體如何撤回同意等等。
這一切都始於 GDPR 的第 30 條,其中明確提到數據主體同意處理他/她的個人數據的同意必須通過「明確的肯定行為」發生,正如剛才提到的。它不僅必須明確和肯定,還必須是該協議的自由給出、具體、知情和明確的指示。
這一切都會帶來更多後果。
- 自由給予意味著絕不存在強迫、壓力或無法行使自由意志的情況。自由同意也意味著同意,當用作合法處理個人數據的法律依據時,數據主體可以在任何給定時間自由(並且輕鬆)撤回,而不會產生任何負面後果或損害。
- 知情意味著數據主體確實知道他/她同意什麼,這是任何徵求同意的人的義務。
- 明確意味著組織不能以合法或模稜兩可的方式,隱藏對個人數據處理的同意,以及處理的目的和數據主體的權利。
- 具體是指為特定目的和在特定範圍內徵求同意的原因、個人數據,將如何使用等給予同意。
- 肯定行為是我們之前提到的,關於數據主體方面的活動維度的內容,其中,預先勾選的框是「不行的」。
換句話說:它延伸得很遠,並且真正將知情的數據主體置於中心位置。Recital 32 清楚地表示同意的預先勾選框的結束,因為這些並不意味著同意。清晰和透明是關鍵。GDPR 文本第 3 章(主要是第 1 節)中的數據主體權利範圍進一步解決了透明度問題。
有許多關於同意的獨奏會和文章,因此請檢查你的具體情況的規則。舉個例子:GDPR 的獨奏會 33 著眼於科學研究範圍內的同意和個人數據。
除其他外,GDPR 文本的第 2 章(第 5-11 條)更詳細地處理了同意的主題,包括同意的條件、同意和 16 歲以下的兒童、撤回同意的權利等。
明確同意和具體/明確之間的區別
對於明確同意的含義,經常存在誤解。如上所述,同意的定義中未提及明確同意。
在明確同意的情況下,建議使用兩階段驗證方法作為一個不錯的選擇。
然而,明確同意一詞在 GDPR 中多次出現,其中包括關於特殊數據類別的第 9 條、關於自動決策和分析的 GDPR 第 22 條,以及關於國際數據傳輸減損的 GDPR 第 49 條。
在 2017 年 12 月 GDPR第 29 條數據保護工作組的同意指南中,明確同意是提到的幾個與同意相關的主題之一。
在個人數據保護存在嚴重風險的特定情況下,需要明確同意,並且認為對個人數據進行更高級別的個人控制是適當的。
換句話說:明確同意與具體同意不同,也不同於 GDPR 同意定義中使用的任何其他術語。上述指南進一步詳細說明了,獲得明確同意的機制,以及在哪些情況下你需要它,你可以在我們的文章中閱讀。
GDPR 合規性和合法處理個人數據的法律依據
同意只是合法處理的法律依據之一,儘管是最常提到的。這絕不意味著同意在 GDPR 眼中更重要,即使規則更嚴格。
我們一直在說:為個人數據處理活動擁有最適當的法律依據是最重要的。除了同意之外,合法處理個人數據的其他法律依據如下所述。它們是合同必要性、法律義務、切身利益、公共利益和合法利益。
除了我們剛剛介紹的同意之外,快速瀏覽一下它們中的每一個。此外,對於同意、明確同意、合法處理的法律依據等,我們在本 GDPR 合規指南中指出了更多文章。
合同必要性
顧名思義,合同必要性確實是合法處理的法律依據,其中為了簽訂合同而執行或採取的步驟需要處理特定的個人數據。
很明顯,如果你不知道與誰簽訂了合同,那麼在幾種類型的合同中很難有一個到位。獲取使合同生效的基本數據是一種處理形式,由於這些數據是個人數據,因此適用 GDPR。
這並不是新的,並且存在於 GDPR 的前身中,因此它不會對現有合同產生太大影響。但是,請確保你在簽訂合同時,要求提供的個人數據,是合同所必需的(不要超出合同範圍內嚴格要求的數據),檢查你在合同中進行的所有數據處理活動合同範圍,檢查特定業務職能 (例如人力資源)或行業的合同示例,在有疑問時尋求幫助,並確保你不會在一份合同中,混合多個目的和法律基礎(如果其中一個是同意的)。還請查看特定行業、商業活動、數據處理活動和合同規定的 GDPR 文章和 GDPR 說明會。
法律義務
法律義務,顧名思義,意味著為了履行其法律職責,數據控制者只需處理某些個人數據。
這已經作為法律依據存在,就像法律義務一樣。但是,GDPR 將法律義務限制,在歐盟或歐盟成員國的法律範圍內。
雖然這不是新的,你應該已經有了它,再次檢查是否符合 GDPR,列出法律義務範圍內的各種數據處理活動,看看它何時作為法律依據,並尋找你的行業。此外,對歐盟及其成員國法律的限制確實會帶來後果。
切身利益
切身利益本質上是當你需要獲取一些個人數據,以幫助自然人,並且沒有時間考慮規則和法規時。
換句話說:當你不立即採取行動時,本質上是生死攸關或對人們造成潛在災難的問題。例如,當你需要剛發生事故的人提供緊急資訊時,並且在試圖幫助他們的過程中,這些資訊非常重要。此外,在真正關乎生死和切身利益的情況下,其中一些數據可以服務於公眾利益。真的認為這裡有災難。
公共利益
公共利益主要是在公共當局的任務,和職責範圍內的法律基礎,以及控制者為公共利益或對公共當局,和公共利益所承擔的職責。
公共利益也不是什麼新鮮事物,因此對於大多數人來說,它已經為人所知,並且它也確實存在於非歐盟數據隱私法中。科學研究和公共衛生是這裡的一些活動。
合法權益
在幾種情況下,合法利益是最常提及的同意替代方案之一。它在 GDPR 中並不新鮮,但你在考慮這樣做時需要非常小心,因為有一些例外情況和很容易忽略的微小細節。
合法利益的一個例子是,在數據主體是客戶或為控制者服務的情況下,數據主體與控制者之間,存在相關且適當的關係。合法利益通常被用作營銷範圍內同意的替代方案,其中也存在 GDPR 是否意味著你需要重新同意的問題;意思:請客戶再次同意。一般來說,如果你已經按照 GDPR 前身的規則工作,你就不會這樣做。然而,魔鬼在細節中:只有在你之前所做的符合 GDPR 的情況下才會如此。所以,檢查兩次。
其他合法利益示例,例如網路和資訊安全原因,以及更多關於這些法律依據的更多資訊,請點擊下面的按鈕。
處理個人數據:透明、合法、公平等原則
除了合法處理數據的法律依據之外,還有個人數據處理的透明度、公平性和合法性的一般原則。
因此,請務必查看《通用數據保護條例》第 5 條和第 39 條,因為它涵蓋了根據 GDPR 處理個人數據的透明度、合法性和公平性的本質,以及處理這些數據的組織的若干後果。
說明和文章更詳細地介紹了透明度(例如,為什麼要處理個人數據,讓數據主體易於查找和理解的義務,使用清晰明了的語言的義務),但也著眼於關於個人數據儲存時間限制的基本規則和基本義務,以確保數據主體可以行使他們在 GDPR 下的多項權利(透明度原則、目的限制、儲存限制等)。
數據主體的同意以及在某些情況下,其他法律依據是根據 GDPR 合法處理個人數據的基礎,作為一般規則(通常的例外情況除外),由組織(或控制者)決定能夠證明數據主體,確實同意處理他/她的個人數據,或者有其他合法處理的依據。控制者還應確保遵守若干數據處理原則並得到證明。(責任原則)。
個人數據洩露通知義務
GDPR 對何時以及如何報告對數據主體,構成風險的個人數據洩露有明確的規定。GDPR 合規意味著能夠履行該職責。
違反通知義務意味著幾件事。首先,這意味著需要將個人數據洩露事件傳達給所謂的監管機構。如果可行,該個人數據洩露通知應在不適當的延遲內發出,並且不遲於控制者知道它的 72 小時。
如果控制者提交個人數據洩露通知的時間超過 72 小時,則通知需要附有延遲 原因的解釋。
如果個人數據洩露不太可能對各種權利和自由造成風險(這些權利和自由的解釋比 GDPR 單獨的範圍更廣),那麼所有這些都不適用。
個人數據洩露是指安全漏洞導致意外或非法破壞、丟失、更改、未經授權披露或訪問傳輸、存儲或以其他方式處理的個人數據(GDPR 第 4 條,定義)
如果發生個人數據洩露,可能會給數據主體帶來風險,處理者顯然還需要通知控制者。但是,這必須在意識到個人數據洩露後立即發生,不得無故拖延。GDPR 第 33 條對此進行瞭解釋,其中還有關於個人數據洩露通知至少應包含哪些內容的規則。
除了處理者有義務通知控制者,和控制者在個人數據洩露,可能對數據主體的權利和自由造成高風險時,通知監管機構之外,控制者還必須傳達個人數據洩露的資訊數據主體,再次在這裡,不得無故拖延。
GDPR 第 34 條中有關向數據主體,傳達個人數據洩露,以及不需要的情況的基本規則。
GDPR 第 4 條包含 GDPR 定義,定義了個人數據洩露的含義,正如你在引文中所讀到的那樣。
兒童個人資料的特殊保護
《通用數據保護條例》第 38 條,規定了在其個人數據範圍內,對兒童的具體保護。
這裡提到了父母的作用,和關於兒童個人數據保護的一般規則,主要是在行銷、分析和收集兒童個人數據,以提供針對他們的服務的範圍內。
確切的細節在文本中進一步確定。在第 8 條(GDPR 文本的第 2 章)中引入了 16 歲的年齡,儘管歐盟成員國可以預見在特定條件下較低年齡的法律,即較低年齡永遠不會低於 13 歲。
在 GDPR 的範圍內,對兒童的特殊保護非常重要,因此它絕對應該在你的 GDPR 合規列表中排名靠前。
GDPR 合規性和數據保護官
GDPR 範圍內的數據保護官,或 DPO 僅在以下情況下,才需要大規模處理特定類別數據的數據。
數據保護官有明確的職責,需要在數據保護法律和實踐方面有經驗,並且需要能夠以完全獨立的方式工作。但是,對於 DPO 的過去經驗,並沒有準確的「職位描述」,也沒有一套固定的規則。可以透過多種方式任命和選擇數據保護官:他或她可以在組織內部(僅在沒有利益衝突和獨立工作能力問題的情況下為內部),甚至可以「共享」由幾個組織。
有關數據保護官的確切職責和角色,以及技能組合,請單擊下面的按鈕,你可以在其中找到比 GDPR 概述更多的資訊。該資訊圖總結了 GDPR 何時需要數據保護官。
數據主體權利和 GDPR 合規性
GDPR 繼承了其前身數據保護指令的多項數據主體權利。但是,除了擴大和收緊有關某些數據主體權利的規則之外,《通用數據保護條例》還引入了新的數據主體權利。我們在我們的網站上深入解決了其中的幾個問題。下面是一些。
很明顯,GDPR 合規意味著你已盡一切努力,使數據主體能夠行使這些數據主體權利。這還不夠。GDPR 合規性還意味著,資訊以透明和清晰的方式,正確告知數據主體這些權利。
數據主體權利:訪問權和資訊權
訪問權也是知情權、透明度以及(撤回)同意的權利。
數據主體可以詢問數據控制者,是否處理了與他們有關的個人數據,為什麼、在哪裡,以及如何處理,並獲得一份電子副本。
數據主體權利: 被遺忘或數據刪除的權利
數據主體可以要求數據控制者,刪除他們的個人數據。此外,如果明確同意傳播數據和/或第三方處理數據,則可以撤回該同意。但是,有適用的條件。
仔細研究數據擦除權或被遺忘權。數據主體有權要求在特定情況下刪除有關他或她的個人數據。
可以調用該被遺忘權的理由(並且控制者必須立即刪除數據並進行報告)是:
- 不再需要與收集或處理個人數據的目的相關的事實,
- 在同意被選擇作為合法處理的基礎(或在特殊類別數據的情況下為明確同意)的情況下選擇撤回同意,並附加規定除同意外沒有其他法律依據進行處理,
- 數據主體反對按照 GDPR 第 21 條第一款的規定進行處理(反對權是另一種數據主體權利)以及該反對權的一般規則或個人數據,為直接行銷而處理的情況(包括直銷範圍內的分析),
- 被要求刪除的個人數據,一開始就以非法方式處理,
- 控制者有一項法律義務,需要刪除才能遵守該法律義務,
- 如 GDPR 第 8 條第 1 款所述,個人數據涉及兒童,並已被收集,以直接向兒童提供資訊社會服務。
此外,如果要求刪除的個人數據,已被控制者以一種或另一種方式公開(例如,將個人數據放在網路上,其他人可以查閱),則控制者必須嘗試確保與該數據的鏈接,副本和復制也被刪除。
然而,這不是絕對的:它必須考慮到這樣做的現有技術,以及實施它的成本和控制者的努力必須是「合理的步驟,包括技術措施」。
被遺忘權或刪除權的例外情況,包括以下需要處理(按比例)的原因:
- 行使言論和信息自由權,
- 處理活動以履行法律義務,
- 公共衛生範圍內的原因,
- 為公共利益存檔的目的、科學或歷史研究的目的以及統計目的,
- 法律主張的確立、行使或辯護。
有關 GDPR 第 17 條中刪除權或被遺忘權的全文(帶有鏈接)。
數據主體權利:數據可移植性的權利
數據可移植性的權利是 GDPR 附帶的一個新概念。簡而言之:數據主體有權在特定條件下(如前所述)接收有關他們的個人數據,但除此之外,還有權將其傳輸給另一個數據控制者;這僅在使用自動化方式完成數據處理時才會發生。
數據可移植性的權利賦予數據主體以結構化、常用和機器可讀的格式接收與他或她有關的個人數據的權利,以及將這些數據傳輸到另一個組織的權利。它是數字數據和數字時代的數據主體權利。
- 控制者有責任使這成為可能,以便數據主體可以將其個人數據傳輸給另一個控制者。
- 控制者也有責任毫無阻礙地做到這一點。
- 如果技術上可行,數據主體也應該能夠直接將這些數據從控制者 A 傳輸到控制者 B。換句話說:不需要控制者乾預,但同樣只有在技術上可行的情況下。
數據可移植性的權利意味著:
- 處理的發生是因為數據主體已經同意(因此同意被用作基礎或合法處理),或者,如果它涉及特殊類別的個人數據,數據主體已經明確同意;
- 在數據主體為一方的情況下,為履行合同需要進行處理(合法處理的第二個基礎);
- 處理是使用自動化手段(因此,數位和電子)完成的。
我們已經提到了其他關鍵方面,例如更高的罰款(處罰)和通過設計原則採用隱私。
GDPR 中的其他關鍵要素和/或變化
上面的列表遠非詳盡無遺。在本文的資源、資訊圖表和其他材料中,你會發現更多變化和元素。
為了能夠證明對本法規的遵守,控制者應採取內部政策並實施措施,特別是符合設計數據保護和默認數據保護 (GDPR) 的原則
其中包括:
- 正如我們將看到的,設計隱私和默認數據保護 是對許多領域產生影響的兩個關鍵原則。例如,設計隱私在記錄管理層面發揮作用。
- 所謂的一站式服務意味著,國際組織事實上必須與一個監管數據保護機構合作。
- 關於特定文章的靈活性。與普遍的看法相反,國家監管機構可以在幾個領域解釋和/或詳細說明 GDPR 中的規定。在敏感數據的背景下,情況尤其如此。
- 國際數據傳輸原則是 GDPR 的一部分。
- 組織需要能夠證明已採取適當的技術和組織措施。ISO 27001 等認證有助於證明這一點。
- 合法處理:如前所述,同意在 GDPR 中提出;然而,在更廣泛的合法處理範圍內,還有更多重要的因素。
- GDPR「提倡」降低風險的具體措施,其中加密是主要措施。如前所述,將數據匿名化也是一種降低風險的方法。
- 關於 DPIA 的新規則:在某些情況下, 數據保護影響評估是強制性的,同樣側重於「新技術」。
GDPR 合規策略和 GDPR 清單
優化、(恢復)信任、更全面的方法以及將安全和茲歌,更好地轉化為數位化轉型的推動力,這些只是智慧組織可以透過 GDPR 等框架,實現的一些好處(你將在下面找到更多資訊)。
另一方面,要符合 GDPR 標準,還需要付出艱苦的努力。如前所述,著眼於業務各個方面的策略方法是關鍵。
各種組織,通常與在 GDPR 的實際影響的,一個或多個特定領域具有主題專業知識的其他組織合作,提出了這樣的戰略方法。事實上,這也是整個 GDPR 現實的一部分。GDPR 預見了數據保護影響評估。
它們或多或少都有相同的步驟,並且是任何 GDPR 合規性清單,或數據保護和風險檢測清單的一部分。
GDPR 合規步驟 1:歐盟 GDPR 意識
顯然,組織需要了解 GDPR 及其影響。這是我們在本概述中所做的部分工作,如前所述,有相當多的組織缺乏意識和/或不會做好準備。
然而,在 GDPR 合規性的戰略方法中,意識也意味著其他東西:你的員工、管理層、IT 團隊、安全人員、資訊經理等,也需要了解 GDPR 在實踐中,對他們意味著什麼。這通常在研討會和培訓中完成,從有意識轉變為有意識地行動,從理解轉變為相應地採取行動。
請注意,重要的是要有負責建立這種意識的人,並且隨著新人加入公司,教育將成為一個反復出現的主題。GDPR 還預見了幾個角色。
當然,GDPR 也不應該被視為在 2018 年 5 月 25 日之前,「準備好」的一項重大努力。在 GDPR 及其他範圍內的數據保護,需要持續的努力、評估、監控和控制。此外,好像明天你不會再利用新技術來解決新問題。
最後,意識還意味著充分了解 GDPR 及其影響,否則很難看出你現在所處的位置,和你當然需要的位置之間的差距在哪裡。
GDPR 合規性第 2 步:GDPR 評估/審計:發現和差距分析
這些差距將我們帶到所有戰略方法的第二部分:有一個評估/審計階段,包括發現和差距分析。為了到達某個地方,你需要知道你今天所處的位置,這是一個普遍的給定。
為了評估你今天所處的位置——從而也看看差距——這個階段是發現和映射幾乎任何與 GDPR 範圍相關的東西。
因此,你需要從各個層面深入了解你當前的實踐,例如審計能力/方法、數據所在的位置(數據發現)、涉及哪些流程、你如何處理數據、你的隱私和安全實踐如何運作、誰負責並負責今天,什麼樣的系統,網絡和數據庫進入等式等等。
在進行風險評估時,請查看個人權利和隱私的風險。
在實踐中,評估/審計和意識,你可以想像有些重疊。看到你所做的事情可以讓你意識到你可能忽略的方面,反之亦然。
在實踐中,評估和發現階段還需要對差距進行分析。如前所述,這顯然也意味著你已經了解 GDPR 及其作為一種基準的全面影響,可指導你在考慮差距的情況下以優先方式進行評估。
審計還包括收集和分析組織中現有的所有當前文檔策略:從安全和業務連續性策略到可接受的使用和隱私策略。
一些額外的 GDPR 審計提示:
- 審計以映射風險。建議承擔所有風險要素並從優先級的角度對其進行分類。在進行風險評估時,不要(只是)考慮您組織的風險。GDPR 希望您了解個人權利和隱私的風險。
- 評估所有框架、組織方面、戰略和安全/數據/事件/報告管理實踐。
- 關注人:這不僅關乎當前實踐、流程、系統和框架中的風險,還關乎個人數據保護和技能組合的組織文化。
- 獲取文件。確保您可以訪問所有其他數據和文檔,其中包含有關您的最新安全評估和事件等的資訊。
- 聽。眾所周知,書面政策與現實生活中的實踐之間往往存在天壤之別。這不可避免地意味著你需要與人們討論,他們在實踐中的工作方式,而不管任何文件和政策如何。
GDPR 合規步驟 3:規劃/戰略——準備要採取的 GDPR 行動
一旦您知道差距在哪裡,就該制定真正的戰略併計劃需要做些什麼來縮小差距並採取您確定的所有其他措施。
計劃的目標是執行它,並且需要全面瞭解差距、各種涉及的領域,以及角色和責任。
由於 GDPR 涉及的領域如此之多,因此你基本上也需要以綜合和整體的方式進行規劃。在進行 GDPR 合規性練習時,計劃以及接下來以整體方式採取行動是您可以獲得的好處之一。畢竟,數位化轉型、安全、資訊管理、行銷、客戶服務等,也需要一個整體的視角才能成功。我們仍然生活在一個有許多孤島的現實中。
但是,在實踐中,你將跨多個功能和實踐領域進行規劃。這些包括:
- 資訊管理和治理
- 安全性(以及作為安全性的 ICT 需要在任何地方得到保障)
- 人力資源
- 合法的
- 行銷、在線上展示和廣告管理(請注意,GDPR 將由新的歐盟電子隱私法規補充)。
- 客戶服務和聯絡中心
- 等等。
你還必須查看你的業務生態系統,其中包括第三方數據合作夥伴,。和業務流程外包 (BPO),因此也需要查看 SLA(供應商管理)。
在計劃階段(以及審計階段),你必須查看以下內容:
- 遷移到「設計隱私」組織的實際方面。
- 「新」資訊治理計劃。
- 有關資訊管理、安全和隱私計劃的實施計劃。
- 有關需要實施的訪問策略、角色管理和安全控制的計劃。
- 計劃解決你在評估/審計階段檢測到的潛在漏洞。
- 針對行動勞動力的政策計劃和應對影子 IT 的行動計劃。
- 關於審計和角色和職責的計劃(例如數據保護官)。
- 有關推出有助於提高安全性和隱私性的技術的計劃。
- 有關資訊審計、數據保留、主數據管理(MDM)、設備管理(工人的手機……)等的計劃……
- 在安全和技術的許多非常具體方面的非常具體的計劃:GDPR 和雲、GDPR 和物聯網,不勝枚舉。
GDPR 合規性第 4 步:採取行動:按照你的計劃行事
有一個計劃?是時候開始實踐了,將其推廣並佈署到你已確定和計劃的所有領域。
正如下面所承諾的,我們將更深入地研究兩個領域,並鏈接到其他資源,這些資源可以解決這些領域的各種影響和採取的行動。
但是,如前所述,需要以整體方式看待各種組件。如前所述,許多人將 GDPR 視為安全、隱私、資訊治理、合規等整合的加速器。這確實是一個好處。
GDPR 合規性- 第 5 步:管理/評估和改進/調整
一旦計劃推出,工作就沒有完成。事實上,如果我們忘記歐盟 GDPR 本身並查看有關安全、隱私、資訊治理等方面的綜合方法,你會注意到我們實際上正在查看一個週期。
因此,除了管理我們所做的工作,用明確的 KPI 評估我們的工作之外,總是需要改進和適應。
有幾個原因:
- 新員工將進入組織。
- 新技術將被部署並觸及個人數據:無論是雲、大數據還是物聯網,你都需要不斷發展。
- 在不斷變化的數位生態系統,以及不斷變化的法律和地緣政治環境中,持續改進和適應是必然的。
GDPR 與企業資訊和內容管理
信息系統、數據品質監控、資訊治理流程、業務流程等需要根據設計要求的隱私以及 GDPR 的同意和控制等方面進行構思或重新設計。
治理是資訊管理和數據管理難題的眾多方面之一。合規是當今網路安全發展的主要驅動力,意味著資訊治理和資訊管理。
當然,GDPR 還有更多資訊管理方面的內容。如前所述,所有領域都在融合,事實上,對於我們在網路安全部分提到的幾個主題,我們已經在治理和資訊/數據管理方面。
從資訊管理角度看歐盟 GDPR 合規性
讓我們在這裡再次深入探討一個好處。我們仍然生活在資訊源和數據密集型流程的現實中,而從資訊管理的角度來看,集成是數位化轉型成功的關鍵。
此外,許多組織在應對非結構化數據的增加,以及如何理解這些數據方面,面臨挑戰。最後,在許多業務功能中,你需要一種方法來組合各種格式和數據源。例如,想想聯絡中心。或保險索賠流程。雖然數據湖在這方面提供了一種解決方案,但對於這些不同的情況有一些特定的方法。對於聯絡中心,有可以處理多通路通信的人工智慧平台,對於保險索賠處理,有案例管理解決方案等等。所有這些,顧名思義,整合的方法、連接資訊和通信孤島,並利用各種形式的數據,可幫助你改善客戶服務、響應時間和簡化業務。
如果你還沒有,請將 GDPR 視為朝著這些更好的綜合方向前進的一種方式。然後我們甚至還沒有談到重新審視你的保留政策的好處,或者確保你擁有使數據易於搜索的方法的好處,這不僅使你的知識工作者的生活更輕鬆,而且還不錯想知道個人是否想要訪問他的個人數據。
從資訊管理的角度來看的一些要素
- 映射和分類數據。許多組織沒有清楚地瞭解他們處理的數據類型(個人和其他)。此外,分類不充分也使必要的政策難以實施。所有相關數據在整個組織中的位置,在合規控制和潛在問題的情況下,需要什麼才能擁有單一視圖和快速有效的方式?
- 映射個人數據和數據流。雖然瞭解數據的位置,以及在 GDPR 的背景下個人數據的位置總體上很重要,但我們顯然希望查看各種類型的個人數據。其中一些數據更敏感。例如:很明顯,在被盜時可能會被濫用並造成重大後果的財務數據比一些用於簡單任務的基本數據更敏感。所有個人數據都是平等的,但有些人比其他人更平等,使用喬治奧威爾。最後,還要繪製處理個人數據的數據流,並記錄這些流的各個方面:什麼、為什麼、為誰(訪問!!!)和多長時間。借助 GDPR,人們可以詢問處理了哪些個人數據,在何處以及如何進行記錄非常重要。
- 「多長時間」將我們帶到數據保留和刪除。個人數據無處不在。傳統的大挑戰圍繞著所有非結構化數據/資訊/通信組織一直在各種存儲庫中囤積。這種囤積帶來了許多不利因素,但在 GDPR 的背景下,關注保留和刪除是關鍵(記住諸如被遺忘權、可移植性和訪問權等要素)。你今天積極使用哪些(個人)數據,你擁有和不使用哪些數據,但可以/應該使用哪些數據來改善你的業務,哪些是 ROT(冗餘、過時、瑣碎的資訊)並且可以刪除,從而進一步降低風險?
轉向整體資訊治理方法,處理碎片化數據並提高可見性。
GDPR 合規 和資訊管理技術和策略
在 GDPR 和資訊管理的解決方案層面,我們除其他外,注意到同意管理平台、記錄管理解決方案、安全解決方案和人工智慧等等。
從自動分類的角度來看,後者特別有趣,並且可以隨時瞭解個人身份資訊的位置。儘管需要修改安全策略和資訊管理策略,但它是接近 GDPR 合規性要求的最有效方法之一。
正如我們在將通用數據保護條例,作為業務戰略和資訊管理挑戰的文章中,提到的那樣,GDPR 的隱私設計意味著你實際上從「開放式除非」轉變為「封閉式除非」企業資訊管理和企業內容管理辦法。
簡單地說:不是在資訊管理級別上擁有一個安全模型(或根本沒有),原則上一切都對團隊開放,除非對特定文件夾或資源另有決定,你做相反的事情:需要關閉什麼從 GDPR 的角度來看,什麼可以開放,我們如何確保什麼是開放的,以及它的位置。
GDPR 合規性和網路安全
這是不可避免的,但也是有益的,而且是時候了:沒有更多的藉口不提高網路安全成熟度,並超越過時的安全方法。
如前所述,在數據就是石油的時代,安全不能成為事後的想法,個人數據的價值遠遠超過石油,而數字化轉型只需要更好的安全性。
在不深入細節(目前)的情況下,這意味著:
- 擁抱安全設計,就像 GDPR 要求設計隱私一樣。設計安全意味著安全無處不在,從產品一開始(想像有多少消費者物聯網製造商需要改變)、流程和人們的活動。
- 擁有主動和嵌入式安全方法,包括無處不在的安全邊界現實中的所有方面(邊界並沒有消失,它無處不在),其中所有方面都很重要(邊緣、網絡、雲、IT 系統、數據儲存、數據庫,應用,你的名字)。
- 採取全面的網絡安全方法,從意識和員工教育(邊緣行動邊界的一部分)開始,一直貫穿你的系統、流程以及靠近(個人)數據的生成和處理位置。
- 你很可能需要重新設計您的整體網路安全基礎設施,重點關注剛剛提到的特徵,並且在 GDPR 上下文中顯然關注數據流,以及可能涉及隱私和個人數據的任何流程和風險因素(違規是非常重要的,但只是幾個維度之一)。
- 尋求即時安全可能性,包括在設備管理、訪問(數據)、用戶活動等領域執行安全策略。GDPR 也強調個人數據的加密。
- 無論形式和結構如何,你都需要對數據、數據流程、大數據環境(例如數據湖)所發生的情況有一個統一的視圖,並為首席(資訊)安全官、IT 經理,或所有營運中需要它的任何人提供單一可見性、工作負載和 IT 基礎架構等。
- 進行定期測試。除了具有預測能力的主動網絡安全方法之外,主動性還意味著,定期並在可能的情況下進行持續測試。從道德駭客到滲透測試等等。在 Web 應用程序和 Web 服務級別進行滲透測試,在單個設備和整個組織上佈署漏洞掃描程序,進行漏洞管理和整合方法。
- 查看防止身份欺詐的機制和解決方案(某些國家/地區有特定的解決方案,例如確保被盜的身份證或駕駛執照不會被濫用)。
- 進行社會工程測試。網路釣魚仍然是獲取個人數據的重要方式。工人需要接受有關這些策略、社會工程和整體安全的培訓。還可以使用眾多網路釣魚模擬器之一,來測試員工對社會工程的敏感程度。
最後但同樣重要的是:壞事發生了,我們當然不應該忘記違規通知義務。
在實踐中,這意味著你需要設置必要的監控、審計和警報機制來執行此操作。這也是一項跨職能的任務,並且有法律解決方案來處理它。你需要事件管理流程,並清楚地了解在發生違規時誰需要做什麼以及在哪裡做。測試它們是否運行良好並不是一種奢侈。
歐盟 GDPR 如何使你的組織受益:信任
除了上述提到的跨越各個國家邊界的數位經濟增長所需的框架之外,如果你正確地完成 GDPR 合規性作業,那麼通用數據保護條例,還有其他幾種方式和原因,使你的組織受益。
其中一些好處與優化機會有關,另一些與社會有關,並且在 2016 年和 2017 年初達到了沸點。我們從信任開始。
如果數據是新油,那麼信任就是新油井
我們已經到了一個歷史點,利用這些新技術的技術可能性,和創新能力即將爆發。
借助大數據、分析、雲、物聯網、認知/人工智慧、社交和行動等領域的技術,我們作為組織、政府、個人、行銷人員、製造商等可以做的事情,今天看起來已經很大了。
然而,事實是我們還沒有看到任何東西。例如,儘管受到了廣泛關注,但物聯網仍處於早期階段。我們開始稱之為大數據的海量和種類的數據,只是數據海洋中的一些小水滴,這些數據很快就會僅在科學中產生。儘管我們看到了,我們相信我們今天看到的這個宏偉的數位數據世界,它是所有提到的技術,以及我們沒有提到的許多其他技術的共同點,但我們確實還沒有看到任何東西。
今天在上述幾個領域工作的許多聰明人都知道,就行業和我們生活的許多方面的數位化轉型而言,他們知道潛力。對一些人來說,這是非常樂觀的理由,對另一些人來說,這很可怕,而對那些關心它的人來說,這兩者兼而有之。
然而,對於所有這些新石油來說,這裡正在發生一個巨大的挑戰,需要解決這個問題:信任。
不僅僅是新油井,如果它被破壞,我們在數位社會中使用這種新油(稱為數據)所做的任何事情都不會失敗。如果我們正在做的事情沒有信任和透明度,就會不可避免地出現反彈,為了繼續保持油井形象,我們可能會看到一些油田著火了。
為末日情景道歉:數位創新和數據在工作中的好處是巨大的,但我們必須牢記人們和信任,因為它很重要,因為人類的情感和能力停止進化,或迅速採用完全轉變的心態勝過所有數據、技術轉型/創新和預測,無論數據有多大。
GDPR 和信任:數位時代的信任狀態
有充分的跡象顯示,我們今天使用數據的方式遭到強烈反對,從更廣泛的角度來看,對收集和處理數據的各方,以及數位演進本身的不信任。
我們之前已經多次提到它,其中包括透過利用可信賴的內容(行銷)進行可信賴和透明的通信,來恢復信任的重要性:愛德曼 2017 信任晴雨表,它顯示所有領域的信任水平都在下降。
其他研究顯示,即使是年輕一代也越來越警惕他們數據的使用方式,而消費者正處於潛在破壞隱私狀態的邊緣。
作為一個框架,《通用數據保護條例》提供了恢復對數位經濟的信任的可能性,並且至少同樣重要的是,它使組織能夠改進其當前的數據和安全實踐,這在這些超連接時代非常重要如前所述,數據已不僅僅是一項重要的商業資產,順暢和透明的流程導致人們對信任、效率和良好商業實踐的看法。顯然,以安全性、透明度、效率和以人為本的方式改進當前的實踐和流程,也有利於組織(在數字經濟中)的底線和有效性。
更好的安全和資訊管理導致更高的數位化轉型成功概率
研究清楚地表明,在任何具有(新)技術作用的數位業務轉型專案中,從一開始就涉及安全性,會帶來更多和更快的成功。
此外,設計安全是有益的(也是必須的),安全是數位化轉型的推動者和加速器。無論你的數位化轉型處於哪個階段或轉型的各個方面(業務流程、以客戶為中心、開發新功能、開發新業務模式等),事情都必須以可靠的方式平穩運行,不僅保證業務連續性,還保護那些推動數位經濟的資產:數據和人員。
此外,想像一下更好的安全實踐,以及更好的隱私實踐,正如 GDPR 的設計所要求的那樣,將如何推動物聯網顯然具有變革潛力,並帶來切實成果的各種市場,今天主要是在工業物聯網背景。這同樣適用於其他相關的技術集,最重要的是,如何利用它們來重塑商業模式或優化現有流程、面向客戶的營運等等。
在資訊管理層面,這也是 GDPR 的關鍵,並且從數據和治理的角度(以及其他)與安全性密切相關,關於增強通用數據保護條例的各種審計、計劃和佈署,實際上包括數據發現、孤島的整合、需要查看你「擁有」哪些數據,及其所在位置、更流暢的報告和搜索可能性、改進的數據映射、保留策略等等。
不可否認的事實是,許多數位化轉型項目的主要障礙之一,圍繞著糟糕的數據和資訊管理實踐。
我們已經多次報導了這一點,因此將《通用數據保護條例》視為在這裡做得更好的一種方式。
歐盟 GDPR 的整體(客戶)優化優勢
當你根據定義就如何處理個人數據,以及客戶數據的各個方面進行全面的戰略性練習時,考慮到後者的利益,你被迫 1) 辨識數據(並在此過程中找到你尚未利用和/或獲得更好見解的非結構化數據)和 2)重新審視你處理數據的方式。
如果你認真對待此練習,並考慮到相關性、同意、隱私和提到的整體方法,那麼你幾乎不可避免地還會發現,許多優化多個面向客戶的活動的機會。也許你的聯絡中心最終會處理所有需要的數據,以更好地服務和服務客戶,也許您會提高行銷效率,因為你的員工將學會,不要將名單上的姓名和電子郵件地址視為僅此而已。
我們可以繼續一段時間。
有關 GDPR 的挑戰和問題
可能我們已經解決了足夠多的挑戰,並且在資源列表中您會發現更多。然而,也存在需要研究的挑戰、擔憂和問題。
毫不奇怪,各種行業組織經常呼籲澄清 GDPR 中有時有些模糊的術語(例如「不成比例的努力」),還要仔細研究出現的一些實際問題.
我們並不天真,很明顯,雖然《通用數據保護條例》帶來了好處,但它也帶來了大量的不確定性、實際挑戰,並且對於某些行業而言,至少可以說比其他行業更嚴重不便。
一些行業協會在向其成員和專家學習這些問題時,會考慮這些問題,並遊說靈活性或事實上的改變。
雖然我們無法涵蓋所有挑戰、問題和倡議,但最好看看這些問題,因為它們在各處都被提出來,看看它們是否也適用於你。舉例來說,我們涵蓋了 2017 年 3 月一些營銷/廣告協會提出的四個通用數據保護法規問題。有些對您的業務也有幫助。
有關歐盟 GDPR 和 GDPR 合規性的更多文章
GDPR 罰款、GDPR 員工意識、GDPR 合規性、控制者和數據主體。你迷路了嗎?然後還可以查看有關 GDPR 的以下資源。
GDPR 合規性:戰略業務和資訊管理視圖
實際上,本文結合了 GDPR 的兩個重要方面,我們之前已經簡要討論過。
端到端戰略業務資訊管理 GDPR 合規方法的 3 個階段:1) 授權你的人員和用戶的意識階段,這是任何 ECM 和安全項目中最薄弱的環節;2) 評估和方法階段,以檢測風險並製定解決方案; 3) 實施階段:推廣、監控和改進。
- · 一方面,它著眼於《通用數據保護條例》的戰略業務方面,並提供了一種嚴肅的方法,說明如何盡可能地符合 GDPR,並優先考慮首先要做的事情和如何取得進展,這表明你盡最大努力,將個人數據風險和 GDPR 罰款降至最低。
- · 另一方面,它著眼於 GDPR 合規性,以及主要從個人數據和資訊治理,以及資訊管理的角度採取的各種策略步驟。從通用數據保護法規意識的基本階段(和快速獲勝)到風險分析,透過設計有效實施隱私,透過保留方案和記錄管理實現擦除權,以及真正先進的 GDPR 合規性:自動分類!
GDPR 意識和 GDPR 員工意識
鑑於 GDPR 合規性確實應該從 GDPR 意識和 GDPR 員工意識開始,本文將深入探討原因和方式。
公司能否成功通過 GDPR 法規取決於他們是否願意通過設計來接受隱私。他們還必須了解,良好的安全和隱私流程除了受到監管要求的驅動外,還可以提供巨大的競爭優勢並成為贏得消費者信任的驅動力(Peter Gooch,網絡風險合夥人,德勤)
雖然 GDPR 意識是唾手可得的成果,並且是 GDPR 合規道路上的快速勝利,但它確實需要高管的參與,並明確關注人並讓所有員工參與,因為個人數據保護是整個組織的事情。不幸的是,正如文章所解釋的,最常參與 GDPR 合規的部門是 IT、安全和法律。
那麼,要建立一種透過設計支持隱私的文化和跨組織的 GDPR 意識,從而真正理解個人數據的價值,需要什麼?知道消費者確實希望得到個人數據保護(如果發生違規,對你的商業聲譽造成的後果比罰款更多)並且知道個人數據保護文化甚至必須超越組織邊界(因為你有合作夥伴、供應商等為了避免責任討論等等,誰也需要這樣做),這是一本重要的讀物。
GDPR 合規失敗始於錯誤的認知
許多組織非常有信心他們符合 GDPR。不幸的是,各個層面的脫節導致未能遵守 GDPR。
首先是對通用數據保護條例缺乏理解(一個脫節),然後是缺乏高管的支持,這也在這篇關於 GDPR 和雲的文章中發現,以及缺乏基本的數據治理策略。
不要成為許多對您的 GDPR 合規程度和你的通用數據保護條例合規性的現實存在脫節的組織之一。看看你是否確實做好了充分的準備,而不是相信對事實的看法。
GDPR 和個人數據保護:關於數據主體、個人數據、敏感數據、個人數據標識符等的一切
《通用數據保護條例》是關於保護數據主體的個人數據的。這很清楚。
然而,在實踐中,我們發現許多人不知道個人數據在 GDPR 下的含義和重要性,數據主體更加可辨識和/或使個人數據敏感數據的標識符,假名化的重要性和含義,加密,所有新的標識符,甚至數據主體在 GDPR 下的身份。
本文深入探討了所有這些術語及其作用和含義!
GDPR 罰款和處罰:指南
我們之前談到了 GDPR 罰款。GDPR 中有兩組行政罰款:一類最高可達 2000 萬歐元或全球年營業額的 4%,另一類最高為 1000 萬歐元或 2%。
對於這兩個組,附加規定是兩者中的最高者將被應用。GDPR 文本確實有關於這兩組罰款的一般規則的具體文章。它們可以在文本第 8 章第 83 條中找到。
然而,許多人發現它相當不清楚。2017 年 10 月,所謂的第 29 條工作組提出了監管機構根據《通用數據保護條例》實施罰款和處罰的指導方針。你可以在這篇關於 GDPR 罰款和處罰的文章中找到它們。此外,我們還會研究公司是否認為他們在財務上,準備好支付潛在的 GDPR 罰款,以及網路保險的價值和使用情況。當然,還有一些關於如何避免 GDPR 罰款並開始遵守 GDPR 的提醒。
如果你想知道 GDPR 文本中關於罰款和處罰的內容,那麼你可能需要查看文本中提到的第 8 章,該章全部關於 GDPR 補救措施、責任和處罰,並包含第 77 至 84 條。
GDPR 合規性和成為 GDPR 合規性:常見問題解答
我們經常收到有關歐盟 GDPR 的問題,這些問題乍一看似乎很明顯,但當然值得回答。其中許多問題涉及 GDPR 合規性、通用數據保護條例合規性的截止日期是什麼時候,以及當你未及時遵守 GDPR 時會發生什麼。
什麼是 GDPR 合規性?
GDPR 合規意味著組織遵守《通用數據保護條例》的規則,並能夠滿足其中規定的數據主體權利和組織職責。當人們談論 GDPR 合規性時,他們通常意味著個人數據洩露風險保護措施,以及所有其他要遵守的風險和規則,都得到了完美的涵蓋。
然而,在數字時代沒有完美的安全或保護,有時黑客甚至比安全公司更聰明,黑客有時是由犯罪集團組織的,甚至還有國家支持的攻擊。由於數據和技術如此重要,一些國家將技術用於網絡戰。
此外,數據永遠不可能得到 200% 的完美保護,而且還有無數其他原因導致數據洩露和不合規可能發生,而人是最薄弱的環節。即使你採取了所有可能的預防措施,您的一名工人也可能犯錯誤,例如,他的筆記本電腦被盜。
因此,組織必須能夠證明他們做了並繼續做(也在 GDPR 應用之日之後)他們可以盡可能合規的一切。這包括瞭解個人數據在組織中的位置,確保(並能夠證明)在《通用數據保護條例》中預見的法律條件下給予同意,能夠保護獲得、處理、儲存和 - 在特定情況下條件 —— 共享個人數據以防止違反、濫用和誤用,並能夠響應數據主體的請求和權利。如果這些能力中的任何一個沒有到位,罰款和處罰可能會很高。
GDPR 何時適用?GDPR 的合規期限是什麼時候?
歐盟理事會於 2016 年 4 月 8 日通過了《通用數據保護條例》,並於 2016 年 4 月 14 日通過了歐洲議會。官方文本自 2016 年 5 月 4 日起提供。由於該數據,GDPR 文本也可以在 24 個官方網站中查閱語言。
《通用數據保護條例》實際上已經生效,但自 2018 年 5 月 25 日起適用。GDPR 的合規截止日期也是 2018 年 5 月 25 日。
然而,它並沒有停止。遵守 GDPR 是一項持續的努力。此外,正如我們在實現 GDPR 合規的道路,和該領域的現實中看到的那樣,可以肯定很多公司不會遵守 GDPR。這就是為什麼從風險角度製定計劃,並以該計劃為基礎,並能夠證明存已採取(並且仍在採取)GDPR 合規步驟的重要性。但當然,如果發生個人數據洩露或控制,最好至少在 2018 年 5 月 25 日之前盡可能合規。
如果組織在歐盟 GDPR 合規期限之前不符合 GDPR 怎麼辦?
不幸的是,儘管在截止日期前兩年正式發布,但仍有大量組織遠未遵守《通用數據保護條例》。
雖然肯定會有嚴重的罰款案例來樹立榜樣,但也可以肯定,組織需要繼續 —— 在某些情況下甚至開始 —— 努力盡可能地合規,並在 2018 年 5 月 25 日之後繼續這樣做。理想情況下,這始於更廣泛計劃中的 GDPR 意識階段。由於 GDPR 的罰款和規定與數據主體角度的風險相關,並且側重於個人數據的特定類別和用途,尤其是在處理大量個人數據的行業中,因此從風險的角度出發非常重要,並有明確的行動計劃和記錄的步驟。風險分析是關鍵,戰略和員工意識也是如此。《通用數據保護條例》也從風險和數據主體的角度出發。
一些組織更願意為自己投保,但即便如此,努力實現合規性也很重要,因為你不希望成為其客戶和全世界,都知道的完全不符合 GDPR 的公司,更不用說遭受額外明確的違規行為了缺乏對個人數據保護的理解和關注,這與領導力、文化、人員、流程和尊重以及安全、資訊管理和其他實現合規的技術方式一樣重要。
是否有具體方法有助於證明 GDPR 合規性?
GDPR 條款中充滿了關於遵守法規,和證明 GDPR 合規性的義務的規則。如果你將 GDPR 最終文本的說明添加到其中,則不僅關於合規職責,而且還關於幫助組織(控制者和處理者)表明他們在證明合規性方面採取了必要步驟的各種方式。
這些證明 GDPR 合規性的方式顯然與成為 GDPR 合規性一樣重要。並不是說在 5 月 25 日所有組織都將接受 GDPR 合規性檢查。然而,當控制措施完成時,數據主體的投訴被提出,個人數據洩露事件發生,數據隱私(設計和默認)和個人數據保護原則明顯受到侵犯,證明 GDPR 合規性變得非常重要。
在每個 GDPR 合規策略中,都應考慮證明合規性的方式,並且從數據主體權利和自由方面的風險角度來看,是其中的關鍵。我們之前已經介紹了很多已知和鮮為人知的方法,來證明 GDPR 合規性。要求 DPIA 被視為證明合規性的一種方式,也可以向監管機構徵求意見,然後是遵守批准的行為準則或認證,不勝枚舉。隨著 GDPR 合規期限的臨近,我們將添加更多內容。我們已經討論了 DPIA 和其他方式,所以這裡有更多關於證明 GDPR 合規性的兩種方式的資訊:行為準則和認證。
遵守經批准的行為準則以證明 GDPR 合規性
行為守則可由監管機構和私人協會起草,這些協會代表進行類似數據處理活動或活躍於允許此類行為守則的特定行業的控制者或處理者類別。
行為準則需要獲得批准,一旦獲得批准,控制者和處理者就可以決定遵守它。如果他們這樣做,這不僅是作為證明 GDPR 合規性的一種方式而被明確考慮的因素,而且還提供了額外的好處,其中包括處理器對控制器的感知可靠性,控制器將根據其程度選擇處理器,足夠的保障措施,和 GDPR 合規性,以及跨境轉移。
請注意,遵守行為準則當然也伴隨著責任。遵守行為準則作為合規性的證明太容易了,然後就不再關心太多了。這就是為什麼還有監督機構檢查你是否遵守行為準則的原因。
證明 GDPR 合規性的認證
有關認證的通用數據保護條例規則與有關批准的行為準則的規則相對可比。但是,認證當然不等同於行為準則。兩者在 GDPR 合規範圍內的共同點是,認證也是證明 GDPR 合規性並明確承認的方式。
你可能已經或打算參加某種 GDPR 認證課程。但是請注意,認證需要滿足某些規範,行為準則也是如此,因此請注意方式和地點。
就像行為準則一樣,《通用數據保護條例》「推廣」認證不僅是證明合規性的一種方式,而且還作為任何利益相關者的象徵,顯示你的組織知道為了進行合法處理需要做什麼個人資料。
上圖:Shutterstock -版權所有: symbiot - 鬧鐘圖片:Shutterstock - 版權所有: Carlos Amarillo - Awareness 圖片:Shutterstock -版權所有: Kunst Bilder - 所有其他圖片均為其各自提及的所有者的財產。儘管本文的內容經過徹底檢查,但我們不對潛在的錯誤負責,並建議您尋求幫助以準備符合歐盟 GDPR 的要求。
沒有留言:
張貼留言