Todd-Ruback-Crop-for-bylines CPO托德·鲁巴克(Todd Ruback) Ghostery Inc

隐私是新的黑手,但随着欧盟即将颁布的通用数据保护条例(GDPR)生效,企业需要了解高层要求,而不是将其交给法律部门来确保合规性。风险太大了。

欧盟已经确立了以隐私为中心的地位,因此已经与GDPR展开了竞争。该法规具有旨在将对个人数据的控制权交还给欧洲公民的单一法律的效力。针对公司的第二个目标是为在欧盟开展业务的组织提供合规性确定性,因此,它们仅需遵守一项法律,而不必遵守28条法律。确实是高尚的概念,但执行起来会很困难。

如果您将商品提供给欧盟的任何人,GDPR均适用,因此,除非您不打算向欧盟出售产品,否则它将成为事实上的全球隐私法。许多跨国公司已经开始考虑是否应该在全球范围内简单地对GDPR进行标准化,因为它是世界上规定最严格的隐私法之一。遵循这一理论,您就可以遵守全球80%的隐私法。

GDPR的棘手之处在于,尽管GDPR直到2018年5月18日才生效,但没有太多时间采取行动。像我一样,经验丰富的高管可能会认为GDPR将是2018年的Y2K时刻。

简而言之,您最有可能需要组建跨职能的GDPR团队进行差距分析,并根据将来的要求将您当前的隐私惯例作为基准,然后制定合规路线图。获得预算,向律师事务所,顾问和供应商发布RFP以及实施和测试GDPR解决方案将需要时间。与Y2K相似,明智的做法是将5月25日的违规行为视为生存终止事件,至少与您的工作有关。

这是您需要了解的内容:

应用– GDPR适用于欧盟的所有国家。 GDPR在欧盟以外的地区适用于向欧盟公民出售或提供其商品或服务的任何组织。

同意–为了使人们重新控制自己的个人数据,制定了一系列新的个人权利并将其赋予该人,而与他们进行业务往来的组织将承担新的义务。除非您对收集某些数据有“合法利益”,否则组织有责任通知消费者其新权利并获得他们的同意,但这是合法的,并且不适用于大多数企业。从广义上讲,根据GDPR,网站使用条款政策页脚中埋没的捆绑同意是不好的。同意既不能接受也不能放弃,在获得同意之前,需要以易于理解和简洁的形式有意义地通知个人的新权利。

公司将需要透明地了解所收集的信息,使用方式,以及如果要将这些信息用于新事物,则需要告知消费者。此外,企业需要确切地了解收集了有关人员和库存的哪些数据,并将其分类到整个企业中。为什么?因为法律规定一个人有权访问其数据并要求将其删除(被遗忘的权利)或以可读格式提供给他们(携带权)。如果您允许跟踪,GDPR在您的网站或应用程序上将其称为“分析”,那么您需要提供一种反对或选择退出的机制。如果跟踪具有法律效力,即要对某人的信用度做出决定,则需要更高的同意要求。

尽管细致入微的快速入门是关键,因为GDPR会影响您的业务。实际上,将要求组织进行年度隐私影响评估,以了解其流程如何影响消费者的隐私。您的内部法规遵从小组还需要实施新的企业范围内的数据保护策略,并对其进行记录。所有这些都汇总成一个元需求,以对从网站和应用程序到客户服务,订单履行及以后的所有流程和工作流进行全面的审查和分析,并且所有这些都需要记录并提供。如果消费者有隐私风险,则需要实施控制措施。

忽视或不执行即将到来的立法的风险是高额罚款。 GDPR具有执行力,数据保护监管机构(有权保护欧盟公民的数据和隐私权)有权获得惊人的授权,处以两个级别的罚款。第一层可酌情处以公司年度总收入的2%或1000万欧元(以较高者为准)处以罚款。达到此阈值的罚款是违规行为,例如没有适当地通知监管机构或个人有关数据泄露的信息,或没有适当指定数据保护人员的信息。第二级可处以最高年度总收入的4%或2000万欧元的罚款,以较高者为准。此级别的罚款是违反数据收集和处理的基本原则,包括未获得适当的同意或其他违反先前提到的新数据权利的行为。

如果您的组织在执法机构面前找到自己,那么当我说这可能是职业定义时刻时,请相信我。现在还不应该惊慌,但现在该是介入的时候了。现在就与法律总顾问联系,让对话继续进行。 GDPR的合规性将要求跨职能的,具有权力的高层管理人员集合做出努力,这些高管人员有权获得预算并推动合规性。但是,就像Y2K一样,时钟无休止地在滴答作响,因此,宜早于晚。