这 2016年4月27日的一般ag亚洲登陆保护条例(GDPR)(欧盟)2016/679 这将在2018年5月生效,将对欧洲联盟的个人ag亚洲登陆处理法律产生重大变革。在未来十个月内,我们将与我们密切合作的几家欧盟和美国律师事务所将加入我们为您提供有关GDPR的更多信息。将不同的主题按月处理,以帮助您为GDPR截止日期准备。
这个GDPR系列的第2部分为您带来了 米尔斯& Reeve。本系列中的其他博客参赛作品将由律师事务所为您带来 保险人 (法国), 格拉夫·韦斯特威伦伦 (德国)和 范·宾馆& Keulen (荷兰)以及 罗宾逊& Cole (United States).
自我评估的重要性
在任何重大项目中,有一个分析阶段 - 涉及仔细检查组织目前的设置以及需要成功提供项目的需要进行什么。为GDPR准备也不例外。根据您组织的结构和实践,合规可能需要重大分配资源,以确保您准备好实施日期:2018年5月25日。
那么可以做些什么来开始呢?
也许最好的第一步是进行自我评估审计。这将有助于组织地图对ag亚洲登陆保护法变化对其活动的可能影响。
一些关键点值得详细看:
管理意识
GDPR战略的发展和实施需要强有力的领导力,最有效的策略将成为那些开始作为董事会优先考虑的人,尤其是可能在新立法下发出20米或以上的罚款。组织应更新其风险登记册和组织工作流,以确保合规 - 记录任何问题并从高级管理层向下分配责任。根据您的活动规模,这可能包括在GPR第37条下任命ag亚洲登陆保护官。
问责制
“问责制”是在整个GDP中运行的“红色线程” - 第5条(2)条指出,控制器“应负责, 并且能够证明遵守“ag亚洲登陆保护原则,虽然第24条指的控制器能够” 证明 处理是根据该调节进行的“。
组织应审查其政策和程序框架,并使这些政策与工作人员和监督合规性进行了沟通。 本系列的第1部分 关于GDPR提到促进基于风险的方法和改变内部流程来遵守问责制的重要性。正确的文件将是关键。
了解您的ag亚洲登陆流程
映射ag亚洲登陆流应优先。解决您的系统中的位置,收到个人ag亚洲登陆,并将其转移出去。谁可以访问它,并且是必要的访问?在网络中的任何时候有没有安全问题? (例如“东西的”东西“设备连接到您的网络和互联网,并且通常没有高度的安全性 - 一个Quime示例是CCTV)。
确定您的哪些ag亚洲登陆流向个体的风险最高。一些例子在当前的法律上已经严重审查 - 国际转移,大规模营销,分析,行为分析和筹款活动都是视为高风险的活动。
公平加工信息
GDPR第5条要求个人ag亚洲登陆是合法地,公平地,透明地处理与ag亚洲登陆主体的透明的方式处理。符合这一点的最佳方式之一是向个人提供清晰和完整的信息,了解如何使用其ag亚洲登陆的方式,何处以及为什么。
自我评估练习应关注目前在收购ag亚洲登陆时对个人提供的公平处理信息。信息可以从各种平台收集 - 营销列表,信用参考检查,Facebook /网站注册或应用程序。每个平台可以通过不同的方式收集ag亚洲登陆,并需要不同的进程。您处理ag亚洲登陆的条件是什么?您是否依赖同意,如果是,那么该同意如何获得?组织应评估当前的同意是否足以满足GDPR下的要求。
特别是,审查是否正在计划中展示任何新项目,并查看从一开始就可以建立在这些中的隐私,特别是如果他们可能会导致个人的权利和自由的风险很大。
知道你的逃生路线
有几种方式可以减轻或不容缓解GDPR的效果。请记住,GDPR仅适用于落在“个人ag亚洲登陆”的定义内的ag亚洲登陆 - 如果您能够有效地匿名ag亚洲登陆,以便个人不再可识别,那么ag亚洲登陆保护的原则将不适用(GDPR Recital 26)。
实施技术和组织安全措施也可以在ag亚洲登陆违规事件中提供安全网 - 第32条注释了加密ag亚洲登陆和备份的重要性。强大的自我评估将看看已经用于保护ag亚洲登陆的技术,这些技术如何改进,以及如何利用新技术(例如假匿语)。
结论
实现GDPR的合规是挑战,早期的自我评估至关重要。希望了解更多信息的组织可以跟踪本系列的下一部分,将重点关注同意和公平处理 - 两个主要主题中需要相当大的主题,以便符合GDPR符合要求符合GDPR的活动。
Edward Hadcock.