你能幫我解決我的 GDPR 問題嗎?
當您在實施與法規相關的事情時遇到特定問題時,Server Fault 可能會為您提供幫助,但有關 GDPR 合規性的一般問題過於廣泛,我們不是可以解釋法律問題的律師,而且 Q/A 風格不允許深入討論需要了解您組織中的所有細節,以確保您真正遵守。
我有一個關於通用數據保護條例(GDPR)、歐盟條例 2016/679 的問題。
- 如何遵守 GDPR?
- 我的組織準備好接受 GDPR 了嗎?
- 我應該做 X 以遵守 GDPR 嗎?
- GDPR 是否禁止我做 Y?
- GDPR 仍然允許 Z 嗎?
與大多數法規一樣,GDPR 並沒有明確列出該做什麼和不做什麼的規則。因此,有關它的問題通常過於廣泛,無法在 Q/A 網站上處理。圍繞法規存在許多神話和不正確的簡化,整個行業都基於對法規實施制裁的恐懼。
該答案試圖對該主題進行實際概述。我不是律師,但自從它被引入以來,我一直在圍繞這個主題開展工作,首先是採用資訊收集觀望方法,目前採用另一種實用的、優先排序和迭代的方法。
我們(尚)不知道法院將如何解釋該法規,許多公司仍在觀望其他公司採取什麼行動。由於 Server Fault 適用於 IT 專業人士,我們不是可以解釋法規及其與其他法律關係的律師。即使我們可以,Q/A 風格的問題也會很長,以獲取所有需要回答的詳細資訊:GDPR 合規性不是個人行為的問題,而是公司內部的整個戰略。如果您需要提出此類問題,您可能需要聘請顧問甚至律師。然而,許多人會在沒有人的情況下生存。
您必須制定(可能有一些法律建議)您自己的策略,並在此基礎上決定您為遵守 GDPR 而採取的行動。當您嘗試在實際資訊系統中實施這些更改時,您可能會遇到有關如何實現某些內容的技術問題。 那時問題已縮小到伺服器故障的範圍!
要開始,您應該知道該法規的用途。它基本上是一個法律框架,用於確保個人數據在其從收集到刪除的整個生命週期內得到仔細處理。GDPR第 5 條描述了處理個人數據的原則,簡而言之:
- 合法、公平和透明
- 目的限制
- 數據最小化
- 準確性
- 儲存限制
- 完整性和保密性。
GDPR 為數據主體(即公民)提供了對其個人數據的控制權,以及確保這些原則得到尊重的工具。其中包括訪問自己的數據、更正和移動數據以及刪除數據的權利,即被遺忘的權利(如果沒有其他法律要求保存數據)。它還提供了製裁的可能性,您的公司可能需要指定一名數據保護官。
大多數原則已經在國家法律中實施(由於數據保護指令95/46/EC),這使得歐盟內部公司的變化非常有限。如果歐盟以外的公司處理歐盟公民的個人數據,他們可能需要做更多的事情。
改變的一件主要事情是問責制,這在實踐中最好通過徹底記錄您的程序來實現:
- 收集個人數據的方式和原因
- 是什麼使處理合法(同意只是第 6條中的一個條件)
- 如何儲存和處理數據
- 誰有權訪問數據以及您如何控制和審核這些數據
- 儲存原因到期時是否刪除(自動/標準做法)
- 您如何處理所涉及的風險,即風險分析。
在我看來,如果你一直在仔細考慮這些事情,解決問題並減輕你發現的風險,然後記錄這一切,你應該遠離制裁——即使你確實受到了入侵。在您的情況和導致您承擔2000 萬歐元 / 4% 營業額罰款的行為之間,可能存在大量疏忽行為。