当您在实施与法规相关的某些事情时遇到特定问题时,服务器故障可能会为您提供帮助,但有关 GDPR 合规性的一般问题太广泛了,我们不是可以解释法律问题的律师,而且 Q/A 风格不允许需要深入讨论以了解您组织中的所有细节,以确保您确实遵守。
我有一个关于通用数据保护条例(GDPR)、欧盟条例 2016/679 的问题。
Esa*_*nen 16
与大多数法规一样,GDPR 并不是一份关于该做什么和不该做什么的明确规则清单。因此,有关它的问题通常过于宽泛,无法在问答网站上处理。围绕该法规存在许多误解和不正确的简化,整个行业都基于对法规施加的制裁的恐惧。
该答案试图对该主题进行实用概述。我不是律师,但几乎从它被引入以来我就一直在研究这个主题,首先是信息收集等待观望的方法,现在是另一种实用的、优先排序和迭代的方法。
我们(尚)不知道法院将如何解释该法规,许多公司仍在等待其他公司采取何种行动。由于服务器故障是针对 IT 专业人员的,我们不是可以解释法规及其与其他法律关系的律师。即使我们可以,Q/A 风格的问题也需要很长时间才能获得回答所需的所有详细信息:GDPR 合规性不是个人行为的问题,而是公司内部的整体战略。如果您需要提出此类问题,您可能需要聘请顾问甚至律师。然而,许多人将在没有人的情况下生存。
您必须制定(可能有一些法律建议)您自己的策略,并在此基础上决定您正在执行哪些操作以遵守 GDPR。当您尝试在实际信息系统中实施这些更改时,您可能会遇到有关如何实现某些事情的技术问题。 那时问题已缩小到服务器故障的范围!
要开始,您应该知道该法规的用途。它基本上是一个法律框架,用于确保在从收集到删除的整个生命周期中谨慎处理个人数据。GDPR第 5 条描述了处理个人数据的原则,简而言之:
GDPR 赋予数据主体,即公民对其个人数据的控制权,以及确保这些原则得到尊重的工具。这些包括访问自己的数据、更正和移动数据以及删除数据的权利,即被遗忘的权利(如果没有其他法律要求保存数据)。它还提供了制裁的可能性,您的公司可能需要指定一名数据保护官。
大多数原则已经在国家法律中实施(由于数据保护指令95/46/EC),这使得欧盟内部公司的变化非常有限。如果欧盟以外的公司处理欧盟公民的个人数据,它们可能还有更多工作要做。
改变的一个主要事情是问责制,在实践中最好通过彻底记录您的程序来实现:
在我看来,如果您仔细考虑过这些事情,解决了问题并降低了您发现的风险,然后记录了所有这些,那么您应该远离制裁——即使您确实遭受了入侵。在您的情况和导致一个人承担2000 万欧元/4% 营业额罚款的行为之间,将存在大量可能的疏忽行为。