《个人数据保护法》(Wbp) 正在进行彻底修改。欧盟委员会于 2012 年 1 月宣布了《通用数据保护条例》 (GDPR)。在荷兰,我们称之为通用数据保护条例 (GDPR)。随着这项规定的出台,(欧洲)监管机构将采取严厉措施,罚款金额从书面警告到最高 2000 万欧元不等。本文提供了一个清单,您可以使用它来防止这种情况发生——尽快实施,不是作为一个项目,而是作为一种工作方式。
是的,您没看错:罚款金额可以是六个零,或者是全球年营业额的 4%。考虑到欧洲因涉嫌不正确纳税而对星巴克处以罚款(2500 万欧元)。
两项研究
令人惊讶的是,在我采访过的大大小小的公司(广告商、电子商务和出版商)的管理层中,只有少数人已经认真对待这一巨大的变化。我并不是声称要进行代表性研究。但我担心绝大多数公司并没有充分意识到该法律是在近一年前(2016 年 4 月)宣布的,并将于 2018 年 5 月生效。这比大多数人意识到的更接近。其后果比仅仅一个“治理项目”更深远,你可以投资一个人的公司,然后完成它。
更引人注目的是第二项研究,即贸易 组织DDMA.nl举办的专家会议。这也说明不具有代表性。以下是 45 名受访者的结果(感谢Tim Vermeulen 提供数据。他在向本次 DDMA 会议的观众演讲时提出了这些问题)。
66% 的与会者尚未制定该法规。请注意:这些都是专家!一些细微差别:9% 的人还没有开始做这件事,57% 的人知道他们必须做什么,但还没有开始。
32% 的公司并未在组织内部明确分配隐私责任。
2017 年是公司使其业务符合《通用数据保护条例》的一年。
让我印象深刻的是,在这种情况下,人们 丹麦 WhatsApp 总是谈论威胁或挑战。但它也提供了通过适当组织创造竞争优势的机会。
我们生活在一个数据驱动经济的时代,在荷兰,我们在这一领域发挥着先锋作用。因此,该法规的正确实施符合每个人的利益。这不是创新与隐私的问题,而是在创新与隐私之间找到适当的平衡点!我们在荷兰处于有利地位,可以继续发挥先锋作用。我们最大的竞争对手是英格兰,但随着英国脱欧,他们在这方面面临额外的挑战。
负责欧盟数字单一市场政策的爱沙尼亚欧盟专员安德鲁斯·安西普 (Andrus Ansip) 的一句话很能说明问题:
根据欧盟内部各个国家对数据的处理方式,我们作为欧盟的限制。如果我们取消目前的限制,国民生产总值每年将增长 80 亿欧元。但如果当前个别国家做法的趋势不停止,欧盟经济的成本将会更高。
因此,荷兰 Wbp 将为欧洲隐私法规“通用数据保护法规”(GDPR) 让路。该法规将确保整个欧洲关于隐私的规则相同,并将给企业带来许多变化。
GDPR 简要确保:
透明度、加强和扩大隐私权
组织中的更多责任
所有欧洲隐私监管机构都拥有同样严格正式的权力
如果数据主体(个人)和/或数据控制者或处理者(组织)居住/设立在欧洲,则适用本法律。如果发生在欧盟境外,这也适用于欧盟公民个人数据的存储和处理。
因此,从 2018 年 5 月起,将制定一项欧洲法律,组织只需隶属于一个数据保护机构 (DPA)。然后,国家 DPA(例如荷兰数据保护局 (CBP))由欧洲数据保护委员会 (EDPB) 进行协调。关于员工数据的国家立法可能是一个例外。
以下是 GDPR 可以为活跃在在线和/或数据领域的所有公司带来什么的非详尽清单。我在这里将特别关注出版商、广告商和电子商务公司的观点。
1、加工协议
缔结处理协议本身并不是什么新鲜事,因为根据 Wbp,它已经是强制性的。不幸的是,在日常实践中,当我在项目中询问这个问题时,我会看到一种质疑的表情。根据 GDPR,这现在被称为处理协议,适用于个人数据负责人和为其处理个人数据的一方(目前称为处理者,后来称为处理者)之间。
从现在起,未经控制者事先书面许可,处理者将不再被允许聘请外部方处理个人数据。
2. 数据主体的权利(访问权和被遗忘权)
透明度至关重要:必须告知消费者他们的个人数据会发生什么情况。如上所述,一切都必须用简单明了的语言来传达。除了众所周知的反对权、访问权和纠正权外,数据主体还拥有 GDPR 中的被遗忘权。
数据主体有权随时反对出于直接营销目的处理其数据。如果数据主体提出此类异议,他的数据可能不再出于营销目的而被处理。