{ Banner Image }

GDPR到来而我的公司却没有't Ready. Now What?

可以肯定地说,《通用数据保护条例》的5月25日实施日期标志着隐私法历史上最大的变化之一。

GDPR向公司提出了令人难以置信的广泛合规义务,并且可能对违规行为处以巨额罚款。大多数计划努力实现GDPR遵从性的公司预计会花费至少100,000美元进行准备,但从所有方面来看,大多数公司还没有准备好。尽管存在违规的代价高昂的风险,但许多公司直到最近才开始考虑遵守GDPR。本文旨在为最近才开始解决GDPR的公司提供最后指南。

确定GDPR是否适用

美国公司应首先考虑GDPR是否适用于它们。考虑到违规罚款可能达到公司全球年收入的4%,公司不应该仅仅因为这是欧盟法规,就不认为GDPR不适用于他们。总的来说,GDPR适用于明显的情况,例如在欧盟具有实际地理位置的公司,以及不太明显的情况,例如监视位于欧盟的个人或向他们提供商品或服务的公司。 “监视”不必是一个复杂的过程,就像收集有关访问您网站的人的信息一样简单。许多美国公司会惊讶地发现自己在GDPR范围内的技术。

目标:可防守的位置

公司经常说,他们不会在5月25日之前“准备好GDPR”,并且 执法部门甚至承认他们缺乏准备。 如果您的公司正在开始GDPR的准备工作,则其首要目标应该是采取基于风险的方法并找到可辩护的立场。数据保护机构表示,如果企业采取捷径或故意逃避GDPR义务,则可能会受到最高额的违规罚款。可辩护的立场不是完美的或最终的立场,但可能是对违规行为的最高罚款与较小的损害性罚款(或完全避免罚款)之间的差额。

制定计划

迈向防御性阵地的第一步是制定计划。创建合规性要求列表,将其转换为时间表,并创建路线图。公司应组成团队来应对GDPR。团队应包括:

  • 可以首先提供GDPR及其要求的摘要的法律和合规专家;
  • 能够了解GDPR要求并计划实施的关键员工;和
  • 可以实施所需流程的关键IT人员(或公司的IT供应商)。

请记住,GDPR遵从性不是一个干净的过程。这将需要整个团队的勤奋和持续投入。公司应谨慎尝试通过雇用一种适合所有人的技术解决方案或供应商来“外包合规性”。对于许多公司而言,最实用的方法是执行初始数据映射和库存(请参阅下文),然后开始量身定制的方法,在该方法中,GDPR合规性项目团队的成员与负责敏感数据的部门坐在一起。这些讨论将构成团队GDPR计划的基础。

优先考虑基础问题和执行计划

企业应将精力集中在(1)对GDPR至关重要的问题或(2)可能会受到数据保护机构严格审查的问题上。从根本上讲,如果公司尚未完成数据映射和清单工作以了解其拥有的数据,如何传输,谁可以访问以及谁需要访问,那么现在是时候了。致力于GDPR合规性的公司团队将在满足GDPR要求的同时经常参考数据图和清单。

数据保护机构可能执行的一些优先事项包括:

  • 个人要求访问,携带和删除的权利;
  • 公司在收集和处理数据之前是否已获得个人的适当同意;
  • 公司是否符合GDPR的严格违规通知标准,包括在违规72小时内通知数据保护机构;和
  • 根据GDPR要求任命数据保护官员的公司是否已这样做。

追踪发展

最后,我们建议着手执行GDPR遵从计划的公司紧跟执法新闻和执法当局的最新动态以预测风险的趋势。

GDPR的影响深远,即使您不在欧洲,您的公司也可能遇到问题。联系一个 福斯特·斯威夫特(Foster Swift)商业律师 帮助您制定策略以确保您的公司符合GDPR,或者对公司有任何疑问’GDPR合规举措。

分类: 云计算, 合规, 网络安全, 数字资产, 责任, 新闻, 隐私

作为福斯特·斯威夫特(Foster Swift)的业务和税务业务团队的成员,泰勒(Taylor)帮助企业和企业主解决和预防问题。他处理业务组建和交易,税务争议,员工福利以及与技术相关的问题。

查看作者的所有帖子›

Type the following characters: hotel, romeo, six, foxtrot, foxtrot, five

* 表示必填字段。