GDPR 还有许多方面尚不清楚,这个新的缩写词几周来一直震撼着企业家、顾问和公共实体的脉搏,并将于2018 年 5 月 25 日起全面生效。欧盟于 2016 年推出的新《通用数据保护条例》(英文为“General Data ProtectionRegulation”——欧盟条例 2016/679),旨在规范和规范成员国内个人数据的处理,事实上伴随着疑虑和不确定性,涉及其内容、改编方法,甚至申请的开始日期。为了更好地了解新规定以及遵守所必须满足的要求,我们联系了律师 Francesco De Sanzuane,并向他提出了一些问题。
问:欧洲法规中出现了一些关键词,例如:设计隐私、责任、数据泄露、数据可移植性、数据保护官。我们尝试从后者开始解释一下GDPR 2018的内容?
答:当然,让我们从设计隐私开始,这有助于我们提供一些一般信息。 具体来说,这涉及 GDPR 第 25 条,其中规定,根据处理的性质、背景和目的,数据控制者需要实施可以保护数据的措施(技术、组织、假名等)和工具有效地,
还涉及其最小化 – 即所请求的数据量的最小减少
使用 Chet Data 的巴哈马 WhatsApp 号码发 巴哈马 WhatsApp 号码 现您的理想受众!我们的目标数据库可帮助您与巴哈马的潜在客户建立联系,实现个性化营销和有效互动。更好地了解您的市场,完善您的客户资料,并通过直接沟通推动转化。立即访问 Chet Data,获取提升业务所需的见解!
换句话说,设计保护隐私只不过是数据收集程序适应数据质量或转向门户的用户类型,这意味着:例如,在设计特定操作或在线系统时在涉及用户数据收集的营销活动中,公司(或设立该公司的机构或公共机构)必须尝试预测数据本身的数据泄露风险、接收流程(数据从何处到达:在线或离线?)以及数据的质量(是否“仅”个人数据,例如姓名和电子邮件,甚至是生物识别数据等敏感数据)。一旦确定了这些元素,您就可以设计界面或计划用来收集数据的任何工具。
2018 年 GDPR 风险评估
因此,有必要进行积极主动的研究,以防止数据管理中可能出现的问题,在设计门户或特定在线操作时将隐私视为项目的核心因素,并考虑尽量减少数据管理中可能出现的问题的程序。收到数据。事实上,该法规的基本思想是,尽可能压缩所处理的数据,这也有利于公司本身,因为公司拥有的数据较少,因此遵守的义务也较少从而减少任务,同时优化整个流程的成本。因此,始终必须了解在删除这些数据之前需要管理该数据多长时间。显然,对于那些在互联网上工作的人来说,隐私设计比那些离线工作的人要严格得多。
而责任,又是什么呢 ?
这是该法规引入的另一项原则,在设计上与隐私密切相关:有些人将其翻译为“责任”:该术语指的是所有者必须做出的评估,以便能够以最佳方式组织自己并保证个人数据的安全,显然符合规定。问责制是一个概念,所有者必须保证对其处理的数据实施适当的工具。这是2018年GDPR中更“哲学”或者至少是自由裁量的部分:基于自我评估的问责,这也可以从积极的意义上来看。
一般来说,我们可以说,如果所有公司都向用户介绍他们的数据是如何处理的,那么,如果在介绍性帽子的基础上,清楚地解释和演示了某种操作的原因,那么这表明公司认真评估风险,按照责任追究原则行事。这是一种反证明:如果你能很好地解释这个过程,我们就应该被认为是合规的。
GDPR 2018:信息和同意收集
让我们简单地关注一下“介绍性帽子”:收集同意的信息。是否有欧洲或至少是意大利的模式可供遵循?
不,不幸的是,还没有一个模型,至少我不知道有一个。然而,基本的指示仍然存在:GDPR 规定信息必须简单易懂(如果我们愿意的话,这会让您微笑,因为这始终取决于谁阅读它)。但我们可以说,是的,信息必须尽可能精简并以简单的方式编写,因为感兴趣的用户必须能够理解留下数据意味着什么,因此有必要使用明确的语言来“教育”他“了解您的数据正在做什么。虽然以前我们有非常详细的信息,但现在我们倾向于制作更灵活的信息,例如带有文本部分的网格和带有更具体文章参考的部分,供那些想要深入研究的人使用。
GDPR 2018 隐私信息
如果我没记错的话,尤其是在国外,一些公司也在以更具创造性的方式解决这个问题,例如将数据处理的解释委托给视频或信息图,并将更具技术性的文本推迟到后续步骤。一种信息分为两部分。
是的,这也是可能的。一般来说,公司确实是数据的所有者,但这并不意味着免除用户的责任,用户仍然必须不厌其烦地阅读信息中包含的内容。就内容而言,信息变化不大:《隐私法》第7条——在我看来已经是一个很好的文本——已被分解为几条,基本原则得到保留。信息发生变化只是因为它必须尽可能简单易懂,我不知道即使在视觉层面上也是如此。
让我们暂时停留在信息和同意收集的主题上,让我们举一些实际的例子?收集用户个人数据(电子邮件、姓名)以通过其网站发送电子邮件通信的公司应如何行事?
这是设计隐私的典型例子:根据新规定,同意必须是知情的、具体的、自由的和可撤销的。因此,处理的目的必须明确,例如使用“通过订阅我们的网站,您使我们可以定期向您发送包含我们新闻的电子邮件”的措辞以及可勾选“是/否”复选框。重要的是,检查已设置为“否” :要接受,用户必须单击“我同意/是”部分,然后从“否”更改,这样也知道同意。这是针对具体情况作出回应。之后,在数据收集表格下可能有:
同意处理的复选框
与接收新闻通讯相关的复选框
接收商业信息的复选框
依此类推,每个处理目的一个。例如,如果进行直接营销/直接联系活动,则必须指定联系方式(“我希望通过电子邮件/短信/等方式联系…始终处于是/否模式,并且始终使用预设勾选“否”),随后可能会被撤销。
2018 年 GDPR 同意收集
很明显,这一切如何迫使打算开展电子邮件营 AI 支持的用户体验 (UX) 改进 销活动的公司调整其工具和表单字段以适应其将处理的最小数据量,或调整设计以适应隐私。然后,必须专门针对您打算将数据传递给第三方的情况:在这种情况下,拥有一个处理寄存器可能会很有用,该寄存器必须与交付给第三方的数据分开。
说到第三方,或者更确切地说是中介机构:假设公司授权一个机构创建网站并设置数据收集表格,以便通过发送软件(mailchimp、mail-up 等)发送新闻通讯,我们在这些方面的行为如何案例?
对于那些作为用户和所有者之间的中间人来管理数据的人来说,一份任命书就足够了:这个人实际上不是数据的所有者,不能透露数据,但仍然可以看到它们。然而,使用像 Mailchimp 或类似的系统有点特殊,该机构不是所有者,而是将数据用于自己的工作:可能,在这种情况下,为了避免进一步的任务,我建议始终生成以下信件:代表,但在公司和代理机构之间的合同中,我会插入数据丢失时赔偿的可能性,以及使用自动发送工具的具体说明,这提供了一定的保证,要求公司明确授权使用它们(一种责任的释放)。显然,我们有点受限:必须根据具体情况进行评估。
然后请记住,可能有很多“第三方”:会计师、律师、开发商,甚至是为公司工作的通讯机构。因此,必须不时评估第三方在数据处理中的影响类型,同时考虑到 GDPR 在共同所有权方面引入的创新。例如:如果有两个不同的法人实体共享数据(例如会计师事务所和数据处理中心),但将其用于不同的目的,则它们可能受到双重数据所有权制度的约束。
如果该机构也使用这些数据,例如用于统计目的的分析,我们需要向用户解释这一点,并必须指定它们可以存储的时间限制。出于统计目的进行分析还提出了另一个问题,即“明确”同意的问题,为此建议获得 DPO。
数据保护官?也就是说?
这是我们一开始提到的另一个关键词。这个缩写词代表数据保护官,这个数字并不是对每个人都强制的(我们谈论的是至少拥有 250 名员工的公司 -编辑),它一方面被认为具有监督和控制的双重功能,以及其他方面的咨询。现在市场上提供的课程有很多,因为其实它是一个新的职业。我们可能必须小心,因为许多人会出于热情而不是经验而提出建议。理论上,据说他将成为 AGCOM 的联系人 – 鉴于任何人都可以联系 AGCOM – 但很明显,如果 AGCOM 本身培训 DPO,这将使他们有可能与更容易地接收其指示,或者通过直接交互更容易地接收其指示。
我们可以将她视为“黑匣子逻辑”的女儿形象,即我们的记忆、我们的计算机良心的女儿,它必须告诉我们我们做得好还是不好。DPO 跟踪一切,就所有义务向所有者或数据控制者提供通知和建议,并验证其实施情况。正如我们所说,这并不是所有公司都有义务:最重要的是验证“大规模处理”的概念,因为当所有者需要系统地、定期地、持续地监控用户数据时,我们谈论的是大规模处理。 -规模化处理。例如,AGCOM 研究小组中流传的观点是,大型连锁酒店应该为自己配备 DPO,因为它们收集的数据规模很大。大规模包括所有数据,包括敏感数据,例如当前帐户、访问设施的频率、同伴、地理位置:收集这些数据时,需要有 DPO。
2018 年 GDPR 数据保护官
说到AGCOM,最近几天有很多关于“宽限期”的讨论:它到底是什么?
宽限期是一段时期,制裁不会暂停,但基本上负 AUB 目录 责验证正确应用的机构暂停控制活动,给予宽限期,让特定国家的义务主体通过配备自己来适应法规要求的个人数据保护制度。
目前对于宽限期还没有很明确的说法,因为一方面,有消息称AGCOM也宣布希望给予宽限期,因为它实际上正在等待最终立法令的颁布(在目前只披露了该项目,但 Finocchiaro 博士保证,最终的项目将及时到来),因此,她打算留出一些时间进行最后一刻的更正,因为无论如何,超出了公司必须采取的行动需要一段时间。这也将是一个正义问题,但这是一个有偏见的新闻,因为这是对 AGCOM 条款的解释,该条款实际上表示它将考虑不根据 CNIL 行使权力 – 这是相应的意大利 AGCOM 的法国人 – 相反,该公司公开宣称希望给予这一宽限期。所以即使在这种情况下,仍然有点意大利风格,90%是的,我们可以使用它,但它不确定。因为实际上这不是官方的。
让我们继续讨论关键词,数据泄露如何转化?
就是对个人数据的侵犯,是最近提出的一个原则,与数据存储密切相关。它可能与最终导致数据被盗的黑客攻击(所有者的责任非常明显,因为他没有配备防病毒软件、防火墙等)有关,也可能与对数据的不必要的修改有关、未经授权的披露或损失。
数据泄露是最重要的法规之一,也是对公司行为影响最大的法规之一,因为它涉及对其内部系统的一些额外操作。敏感数据(或至少是处理过的数据)必须受到密码或其他合适的工具(磁盘分区)的保护,以防止其以未经授权的方式泄露。例如,如果使用公司PC或使用管理系统,则必须设置双重密码,或者如果是本地数据,则硬盘分区可以降低这种风险。
当发生违规行为时,会触发非常具体的义务:所有者有义务在意识到违规行为后 72 小时内将违规行为传达给隐私担保人,随后必须在 24 小时内向担保人提供必要的信息,以便他可以携带对违规程度进行评估,然后在另外 3 天内必须完成包含所有信息的文件。因此,这是一项相当严格的义务,并由此产生最严重的财务制裁:如果一家公司(这也适用于公共管理部门)不遵守这些义务,将受到最高 1000 万欧元或最高 1000 万欧元的制裁。全球年营业额的 4% 。或者在沟通失败或不完整、或未能与用户沟通(必须将违规行为告知用户)或未能编制包含所有违规行为的登记册的情况下进行其他具体制裁。
2018 年 GDPR 数据泄露
数据可移植性是什么意思?
这是一项新的权利,就像被遗忘的权利一样,与赋予相关方以“结构化、通用且可由自动设备读取”的格式从所有者接收数据的权利相一致,该格式必须是由数据控制器无障碍传输。它有点遵循电话号码的想法:如果您想更换运营商,则必须将其传达给电话公司以执行操作或接收您的数据。它始终基于这样的理念:用户越来越了解并意识到保护其数据的重要性,同时又不忘记询问管理人员。法律没有这样规定,但以某种方式索取数据会涉及或刺激所有者删除数据。
这是一种追溯措施吗?公司/机构已经持有的数据会怎样,是否需要再次收集?
有人问自己一个问题:以前已经征得同意的,还需要征得同意吗?答案是,有点所罗门式的,如果它们是按照以前的立法收集的,那么它们也可以被认为符合这一立法。
拟实施的行动
那么,综上所述,企业应该怎样做才能合规呢?
当然,有必要对所有用于收集数据和风险评估的方法进行广泛的调查。然后,在实践中,您将必须继续:
起草相关信息并根据请求修改网站每个页面的处理同意书;
根据每个处理(营销目的、会计办公室等)为有权访问数据的员工起草具体的任务书;
为管理数据的顾问(从律师到就业顾问,再到 IT 专家) 起草责任书(以某种方式对数据负责的外部人员);
编制处理活动登记册(不是强制性的,但总是有用的)、处理活动登记册(不是强制性的,但总是有用的)以及违规行为(如果有)。
任何其他可能涉及离线设备的文档,例如视频监控等。
显然,每种情况都有其特殊性,但适应的需要关系到每个人。唯一的区别是与风险有关:非常大的医疗中心拥有一系列敏感数据,甚至与人的性取向相关,会有一定的治疗需求;虽然律师可能拥有敏感文件,但是,鉴于已经有保密义务,我的目的与医疗中心不同,等等。
您对 2018 年 GDPR 的整体评价如何?
我注意到一种特殊的二分法:一方面,数据所有者可以根据自己的能力、处理的数据以及他认为存在的风险,自由地管理他认为合适的处理。另一方面,它引入了一系列要求,在决定是否实际采用该系统之前,人们至少必须了解这些要求。所以这是一种新方法。
如果您有兴趣详细了解如何使您的在线工具和渠道适应 2018 年 GDPR,请写信至[email protected]以接收信息并请求个性化建议。
