答案1
与大多数法规一样,GDPR 并不是一份关于什么该做、什么不该做的明确规则清单。因此,有关它的问题通常过于宽泛,无法在问答网站上处理。围绕该法规存在许多误解和不正确的简化,整个行业都建立在对该法规所施加的制裁的恐惧之上。
这个答案试图对这个主题进行实际概述。我不是律师,但自从这个主题被提出以来,我一直在研究它,首先是信息收集等着瞧方法,目前采用另一种实用的、优先排序和迭代的方法。
我们(目前)还不知道法院将如何解读该法规,许多公司仍在等待观察其他公司采取什么行动。由于 Server Fault 面向 IT 专业人士,我们不是能够解读该法规及其与其他法律关系的律师。即使我们可以,问答式的问题也会很长,无法提供回答所需的所有详细信息:GDPR 合规性不是个人行为的问题,而是公司内部的整个策略。如果您需要问这样的问题,您可能需要聘请顾问甚至律师。然而,许多公司没有律师也能生存下去。
您必须制定自己的策略(可能需要一些法律建议),并在此基础上决定要采取哪些行动来遵守 GDPR。当您尝试在实际信息系统中实施这些更改时,您可能会遇到有关如何实现某些目标的技术问题。 那时问题就缩小到服务器故障的范围了!
首先,你应该知道这个法规的目的是什么。它基本上是一个法律框架,用于确保个人数据在其整个生命周期(从收集到删除)中得到谨慎处理。GDPR第五条描述了处理个人数据的原则,简而言之:
- 合法性、公平性和透明度
- 目的限制
- 数据最小化
- 准确性
- 存储限制
- 完整性和保密性。
GDPR 赋予资料主体即公民对其个人数据的控制,以及确保这些原则得到尊重的工具。这些包括访问自己的数据、更正和移动数据以及删除数据的权利,即被遗忘权(如果没有其他法律要求保留)。它还提供了制裁的可能性,您的公司可能需要指定一名数据保护官。
大多数原则已在国家法律中实施(由于数据保护指令95/46/EC),这使得欧盟内部公司的变更非常有限。如果欧盟以外的公司处理欧盟公民的个人数据,他们可能需要做更多的事情。
一个主要的变化是问责制,在实践中最好的实现方法是彻底记录您的程序:
- 如何和为什么收集个人数据
- 什么使得处理合法(同意只是其中一个条件第六条)
- 数据如何存储和处理
- 谁有权访问数据以及如何控制和审核这些数据
- 当存储原因到期时,它是否会被删除(自动/标准做法)
- 如何处理所涉及的风险,即风险分析。
我认为,如果你仔细考虑过这些事情,解决了问题,减轻了发现的风险,然后记录了所有这些,你应该远离制裁——即使你确实遭受了入侵。在你的处境和导致一个人承担责任的行为之间,可能存在大量疏忽行为2000 万欧元/营业额的 4%罚款。