欧洲改革即将获得批准,该改革将深刻改写个人数据的使用规则。
753x436
GDPR 和法律问题
指数
1)法规扩大了限制
2)新的问责标准
3)隐私政策中需要传达的消息
4) 修改、整合、删除数据
5) 隐私影响评估
如果说我们在第一篇博客文章中已经概述了 新法规的总体愿景,那么现在是时候详细讨论 改革的新特征了。我们已经确定了 10 项,今天我们向您展示前 5 项,从义务的地理范围到隐私影响评估的呈现。
我们通过快速列举来呈现改革带来的变化
256x218
尝试平台
了解 MailUp 可以做的一切。
从集成开发到战略支持,从创意概念创建到结果优化。
立即激活
1)法规扩大了限制
问题出现了:“如果一家 非欧洲公司 处理旧大 美国商业传真列表 陆公民的个人数据,适用什么法律?”到目前为止,应用的是数据控制者,即收集数据的人。
随着改革,一切都发生了变化:法规的义务还延伸到处理并非在欧盟开发但用于向 欧盟 28 个成员国的公民提供商品和服务的个人数据;这同样适用于涉及 数据监测的治疗。
如果我们认为旧规则考虑到适用的立法完全是进行数据处理的国家的立法,那么这是革命性的变化 。
Facebook 和 谷歌呢 ?根据新规定,他们应该如何行事?即使是这两家硅谷巨头也将遵守欧洲立法。
2)新的问责标准
根据新规定,必须制定 隐私管理文件系统,其中包含与个人数据处理相关的所有行为并定期更新。
这是问责的逻辑,即 治疗活动的正确组织、 记录 和 追溯。文档系统必须包含一系列“丰富”的信息:数据的获取方式、地点、时间。一种 黑匣子 治疗。
任何不以最佳方式组织数据管理的人都将受到惩罚,无论是否会产生滥用行为。
3)隐私政策中需要传达的消息
隐私政策将不再是官僚和正式的工具。根据新规定,信息必须以简洁、清晰、易于理解和易于获取的方式提供,并且 语言简单明了,特别是专门针对未成年人的信息。
该信息必须以书面、纸质或电子形式提供 。如果利害关系方提出要求,只要信息所有者的身份已通过其他方式证明,则可以口头方式管理该信息。
另一方面,必须随时告知相关方所处理数据的来源及其指定的 保留期限。
4) 修改、整合、删除数据
根据之前的规定,有兴趣修改、整合或删除自己信息的人在请求访问数据时会遇到很大困难。
新标准旨在促进利益相关方行使自己的权利,包括请求和获得免费访问数据、更正和删除数据的机制。数据收集者的义务之一是提供必要的手段以电子方式转发请求,特别是在通过电子方式处理个人数据的情况下。
5) 隐私影响评估
多年来,我们一直习惯于管理所谓的安全政策声明(SPD),这是一种记录 处理个人数据所采取的安全措施是否充分的照片。
2012 年,它不再是强制性的,但随着新法规的出台,我们很快就必须学会使用新工具: 隐私影响评估 (PIA),或用于评估对数据处理影响的文件。
它包括对与数据处理相关的潜在风险的真实分析:所有者现在有义务 从业务流程设计的那一刻起,对数据处理所确定的影响进行评估,应用 IT 支持运营,特别是在处理 对数据主体的权利和自由造成特定风险的情况下。
该过程涉及 三个不同的阶段,必须定期(至少每年一次)进行:
风险分析(清单分析);
定义关键因素清单(差距清单);
干预计划(行动计划)的定义。
与数据处理相关的风险的概率和 水平 将取决于数据处理的性质、应用领域、背景和目的。
对于那些习惯了 DPS 舒适节奏的人来说,这是一场真正的革命。 EIP 对业务流程进行了深入分析,旨在通过预防风险来管理风险。