19 Apr 10个步骤,为遵守欧盟《常规数据保护条例》做好准备
《常规数据保护条例》(简称GDPR或AVG)是处理和保护欧盟居民个人数据和隐私的一套欧盟条例。新的GDPR(AVG)将从2018年5月25日起生效,届时各企业将承担更多的义务。这次改动将对经常处理客户个人数据的行业产生最大影响。例如,电子商务公司需要小心处理关于客户个人偏好的数据。对于招聘公司和货运公司来说,保护客户的个人信息,如地址和电话号码,是十分重要的。需要注意的是,如果不遵守新的AVG,荷兰数据保护局(AP)将会对企业进行罚款,金额达两千万欧元,或为企业年营业额的4%。遵循以下十个步骤将能帮助企业及时为新的AVG做好准备:
1.通知领导层
您需要确保企业中的相关人员(例如决策者)熟悉新规则和相关调整。请注意,实施新规则可能需要一定数量的人力和资源。
2.用户权利
数据主体(特定数据所针对的个人)将拥有更多的隐私权。您必须确保用户能有效使其权利。例如他们的访问权限,更正和删除的权利以及数据可携权。
3.配置个人数据
企业对所收集的个人数据应创建记录,明确说明使用目的,数据来源以及共享对象。您必须确保能够证明您的企业遵从AVG的规定。
4.数据保护影响评估(DPIA)
根据AVG,企业有义务进行数据保护影响评估(DPIA),该评估是预先映射数据处理系统隐私风险的工具。当您预判被处理的数据将涉及高隐私风险的情况下,您必须执行此类DPIA,然后采取相应措施来降低风险。
5.从设计着手保护隐私
这意味着企业在设计产品和服务时就应考虑数据保护。此外,您应当仅收集与特定目的相关的数据。
6.数据保护专员
根据AVG,企业需要决定是否应当指定一名数据保护专员。例如,雇员超过250人的企业有义务任命一名数据保护专员。
7.数据泄漏通知义务
AVG为发生数据泄漏的企业需要进行的报告提出了更严格的要求。所有的数据泄漏必须记录在案。
8.数据处理供应链需合规定
如果企业将数据处理外包给第三方,则应该评估合同是否需要进行必要的更改,来符合新AVG的要求。
9.主导监督
如果您的企业在多个欧盟成员国设有分支机构,您只需在一个隐私权监管机构的AVG下开展业务。
10.获取权限
在征求用户是否同意企业处理其数据时,AVG提出了更严格的要求。企业需要获得用户的有效许可才能处理其个人数据。
在数字时代,寻求个人数据的使用和隐私保护之间的平衡是一个巨大的挑战。为新的AVG做好充分准备将对您的企业十分有益。如想了解有关新AVG的更多信息,请随时与我们联系。
No Comments