定制化网站建设,电商网站销售数据分析,河北提供网站制作公司电话,免费推广手段有哪些“自欧盟《通用数据保护条例》(GDPR)生效以来#xff0c;很多公司企业都忙于实行全新的数据保护标准。一个完善的数据保护管理系统比以往任何时候都要重要。我们可以参考一下其他公司在GDPR方面的一些初步经验。”自2018年5月25日GDPR生效以来#xff0c;它在某些情况下引发了…“自欧盟《通用数据保护条例》(GDPR)生效以来很多公司企业都忙于实行全新的数据保护标准。一个完善的数据保护管理系统比以往任何时候都要重要。我们可以参考一下其他公司在GDPR方面的一些初步经验。”自2018年5月25日GDPR生效以来它在某些情况下引发了许多略显荒谬的闹剧。我们听说过的故事包括幼儿园班级照中小朋友的脸都被打了马赛克、房东取下了门铃上的住户铭牌甚至在儿童绘画比赛中由于组织者出于隐私保护的原因只记录了参赛儿童的姓氏因此无法确定最终的获奖选手。在媒体的炒作之下许多公司继续全心致力于实施全面的GDPR要求。从企业的角度来看GDPR项目实施之目的是与监管当局、负责数据保护的法院建立稳固的直接联系。事实上企业几乎不可能在短时间内实现GDPR的所有要求。GDPR设置了众多新的义务。企业不仅必须遵守这些规定而且在必要时还需要证明其合规。目前许多企业仍在实施GDPR项目。在这个阶段密切关注其他企业的经验和风险的变化从而根据需要将项目予以重新调整这才是我们工作的重中之重。一、其他企业有哪些进展一些执行项目的现状尽管许多德国公司在GDPR生效之前几乎没有利用两年的宽限期但大多数公司已经完成或至少启动了落实GDPR规定的项目。然而很少有公司能够完全实现每一项要求。事实上大多数公司选择以管控风险的方式实施了“可见”的措施例如任命一名数据保护官、颁布隐私声明尤其是在网站上以及完善数据处理协议。下一阶段的工作在实施了“可见”的措施之后企业需要将注意力转向其他“必要”的措施。这些是GDPR的强制性规定若数据保护机构在审计期间发现没有这些措施则极有可能遭致处罚。这就是为什么现在很多企业都在关注这些措施➤ 完善处理工作与执行支持程序的记录例如针对新的或经修改过的处理任务➤ 实施技术性和组织性的数据保护措施➤ 实施数据保护影响评估程序➤ 设计一个删除的概念并在所有受影响的信息技术系统中实现➤ 对来自数据主体的请求实施一个高效的自动化处理流程➤ 制定一个违反个人数据响应机制并在公司内部宣传相应的程序二、什么是真正的风险数据保护机构在做什么在对GDPR的实施感到极度恐慌并预计罚款金额可达数百万甚至几十亿之后数据保护机构在GDPR生效后的头几个月里异常地安静。2019年初谷歌在法国被处以5,000万欧元的罚款。德国最高的GDPR相关罚款总额相对较低为80,000欧元。据媒体报道德国数据保护机构正在进行一系列的调查。但是调查需要大量的时间许多数据保护部门目前仍然亟需人手。迄今引起人们关注的调查主要集中在以下方面➤ 侵犯数据隐私例如数据加密不足➤ 是否遵守GDPR的透明义务➤ 使用非法的电子邮件广告此外一些数据保护机构正在对GDPR的实施、数据保护企业或Facebook页面的正确设计开展大规模的调查。根据2018年安联公布的调查全球网络事故造成的总损失达5,000亿欧元使其成为企业面临的最大风险之一。三、其他风险除了零星几个案例外我们很少看到广泛宣传的正式警告。到目前为止法院已经就GDPR正式警告的合法性做出了不同的裁决。即使将来仍有可能提出正式警告但在短期内这些警告的风险似乎相对较低。与隐私相关的损害索赔则不同新的集体诉讼告申程序和欧盟层面讨论的全欧洲范围的集体诉讼可能会使此类索赔对企业构成相当严重的威胁。违反数据保护规定可能导致声誉受损的风险仍然很高。四、GDPR项目的调查结果鉴于仍然较高的风险及许多企业目前的执行状况许多公司仍将全面地执行GDPR的要求列入了近期的议事日程。根据我们的经验可以从已经完成的GDPR项目中得出以下结论➤ GDPR实施项目只有在得到董事会和高管充分支持时才能有效地开展➤ 实施GDPR项目需要时间和耐心但公司可以很快地取得一定的成果并不断地推动其进一步的实施➤ 数据安全不仅需要严格的技术保障还需要改变流程和组织架构➤ 永久性的解决方案要求所有的相关方都能改变意识和行为➤ 以上这些都要求每天处理个人数据的员工尽早积极地参与关于数据保护监管部门请注意以下几点➤ 数据保护监管部门奖励合作——甚至可能降低罚款➤ 目前数据保护监管部门在超负荷地工作但有计划地增加人员可以迅速缓解这种情况五、成功实施GDPR项目的案例“我们为符合GDPR的要求提供全面、可靠的解决方案。一起来看一下金融领域的一个案例。”由多个公司实体组成的B2B金融服务提供商为自己设定的目标是在GDPR生效时满足其最核心的要求尤其是那些具有外部影响的要求并启动长效机制。为了了解GDPR将对公司产生何种影响股东们首先根据公司当前的情况对比GDPR的要求进行了数据保护审计分析了现有的组织和流程结构、治理架构包括指南和合同以及IT系统。此外公司还考虑了企业文化和员工自身特有的一些因素例如员工如何看待“数据保护”的问题他们目前对该问题的认知水平如何审计结果使公司更全面地了解了所有的问题并按优先等级制定了行动方案和建议的执行时间表。优先等级是在综合考量了外部可见性、必要性、以及对公司是否有意义等因素后才设定的。六、设计和建立项目的实施将选定的实施措施分成六个与内容相关的工作流程由指定的员工负责。客户的项目经理和一名顾问共同负责项目的整体管理。指导委员会代表最高管理层来行使职能。我们每周都会制定具体的实施计划。这种方法可以使大家随时洞悉实施过程中的任何变化。此外实施计划中包括了近期的要求确定好优先等级后能够快速实施。七、全员参与的长效机制改进的程序和行为必须是有效的。为了确保这一点公司员工应当对处理数据有正确的认识掌握新的操作方式并接受新流程的培训。事实上我们体会到下列策略是非常有效的1、数据保护并不复杂在工作会上我们与相关人员一起讨论和确定对现有的操作流程和熟悉的工作步骤进行必要的修改。最终产生的结果应当是精简且以客户和员工为导向的适当地传达到相应的流程中同时也能被受影响的人员所接受。2、数据保护很容易融入日常的工作我们与相关员工一起制定了操作指南和警示体系并明确了如何轻松地将数据保护需求集成到日常工作流程中的策略。这样做的结果会是员工信心提升违反数据保护规定的可能性下降。3、数据保护需要团队合作有高级管理人员参与的高级别和跨部门之间的互动能够极大地推广这些举措。其中的一个例子就是对于实施信息保护合规和保障有关方权益之间的冲突各个部门在整个客户生命周期中都应保持充分有效的沟通。我们看到在GDPR生效时主要的数据保护要求已如期实施业务相关的员工可立即付诸应用。总之只有得到员工和商业伙伴的普遍理解和接受我们才能持续地贯彻为符合GDPR数据合规而采取的那些措施。供稿avocado rechtsanwälteJan Peter Voss 合伙人Prof. Dr. Thomas Wilmer 律师CPC Unternehmensmanagement AGClemens Heisinger 合伙人Dirk Thater 顾问
