当您在实施与法规有关的特定问题时遇到问题时,Server Fault可能会为您提供帮助,但是有关GDPR遵守的一般性问题过于笼统,我们不是律师可以解释法律问题,并且Q / A样式不允许需要深入讨论才能了解组织中的所有细节,以确保您确实遵守。
我对通用数据保护法规(GDPR),欧盟法规2016/679有疑问。
- 如何遵守GDPR?
- 我的组织是否已准备好接受GDPR?
- 我应该做X来遵守GDPR吗?
- GDPR禁止我做Y吗?
- GDPR是否仍允许Z?
当您在实施与法规有关的特定问题时遇到问题时,Server Fault可能会为您提供帮助,但是有关GDPR遵守的一般性问题过于笼统,我们不是律师可以解释法律问题,并且Q / A样式不允许需要深入讨论才能了解组织中的所有细节,以确保您确实遵守。
我对通用数据保护法规(GDPR),欧盟法规2016/679有疑问。
Answers:
与大多数法规一样,GDPR并未明确规定应做什么和不该做什么。因此,有关此问题的问题通常过于广泛,无法在Q / A网站上处理。法规周围有许多神话和错误的简化,整个行业都基于对法规施加的制裁的恐惧。
该答案试图给出该主题的实用概述。我不是律师,但是自从引入该主题以来,我一直在研究该主题,首先是通过信息收集的“ 观望”方法,目前是另一种实用的优先级排序和迭代方法。
我们(尚)不知道法院将如何解释该规定,许多公司仍在等待观察其他人正在采取的行动。由于Server Fault是面向IT专业人员的,因此我们不是律师可以解释该法规及其与其他法律的关系。即使可以,Q / A风格的问题也要花很长时间才能获得所需的所有详细信息:GDPR的合规性不是个人行动的问题,而是公司内部的整体策略。如果您需要提出这样的问题,则可能需要聘请顾问甚至律师。但是,许多人将一无所有。
您必须创建自己的策略(可能会提供一些法律建议),并在此基础上决定您为遵守GDPR所采取的行动。当您尝试在实际的信息系统中实现这些更改时,您可能会遇到有关应如何实现某些目标的技术问题。 到那时,问题就被缩小到“服务器故障”的范围了!
首先,您应该了解法规的用途。从根本上讲,这是一个法律框架,可确保在从收集到删除的整个生命周期中认真处理个人数据。GDPR 第5条简要描述了处理个人数据的原则:
GDPR为数据主体(即公民控制其个人数据)提供了工具,并提供了确保遵守这些原则的工具。这些权利包括访问自己的数据,更正和移动它以及删除它的权利,即被遗忘的权利(如果没有其他法律要求保留它的权利)。它还提供了制裁的可能性,您的公司可能需要指定一名数据保护官。
大多数原则已经在国家法律中实施(由于数据保护指令 95/46 / EC),这使得该变更对于欧盟内部的公司非常有限。欧盟以外的公司如果处理欧盟公民的个人数据,可能还有更多工作要做。
改变的一件事主要是问责制,这在实践中最好通过完整地记录您的程序来实现:
我认为,如果您一直在认真考虑这些事情,解决问题并减轻发现的风险,然后将所有这些记录在案,那么您应该远离制裁-即使您确实遭到入侵。在您所处的情况与这种行为之间可能存在疏忽大意,这将使您承担2,000万欧元/营业额罚款的4%的责任。