您能帮我解决GDPR问题吗？

这是一个典型的问题有关解释GDPR的讨论上元。

当您在实施与法规有关的特定问题时遇到问题时，Server Fault可能会为您提供帮助，但是有关GDPR遵守的一般性问题过于笼统，我们不是律师可以解释法律问题，并且Q / A样式不允许需要深入讨论才能了解组织中的所有细节，以确保您确实遵守。

我对通用数据保护法规（GDPR），欧盟法规2016/679有疑问。

• 如何遵守GDPR？
• 我的组织是否已准备好接受GDPR？
• 我应该做X来遵守GDPR吗？
• GDPR禁止我做Y吗？
• GDPR是否仍允许Z？

与大多数法规一样，GDPR并未明确规定应做什么和不该做什么。因此，有关此问题的问题通常过于广泛，无法在Q / A网站上处理。法规周围有许多神话和错误的简化，整个行业都基于对法规施加的制裁的恐惧。

该答案试图给出该主题的实用概述。我不是律师，但是自从引入该主题以来，我一直在研究该主题，首先是通过信息收集的“ 观望”方法，目前是另一种实用的优先级排序和迭代方法。

我们（尚）不知道法院将如何解释该规定，许多公司仍在等待观察其他人正在采取的行动。由于Server Fault是面向IT专业人员的，因此我们不是律师可以解释该法规及其与其他法律的关系。即使可以，Q / A风格的问题也要花很长时间才能获得所需的所有详细信息：GDPR的合规性不是个人行动的问题，而是公司内部的整体策略。如果您需要提出这样的问题，则可能需要聘请顾问甚至律师。但是，许多人将一无所有。

您必须创建自己的策略（可能会提供一些法律建议），并在此基础上决定您为遵守GDPR所采取的行动。当您尝试在实际的信息系统中实现这些更改时，您可能会遇到有关应如何实现某些目标的技术问题。 到那时，问题就被缩小到“服务器故障”的范围了！

首先，您应该了解法规的用途。从根本上讲，这是一个法律框架，可确保在从收集到删除的整个生命周期中认真处理个人数据。GDPR 第5条简要描述了处理个人数据的原则：

• 合法，公正和透明
• 目的限制
• 数据最小化
• 准确性
• 储存限制
• 完整性和保密性。

GDPR为数据主体（即公民控制其个人数据）提供了工具，并提供了确保遵守这些原则的工具。这些权利包括访问自己的数据，更正和移动它以及删除它的权利，即被遗忘的权利（如果没有其他法律要求保留它的权利）。它还提供了制裁的可能性，您的公司可能需要指定一名数据保护官。

大多数原则已经在国家法律中实施（由于数据保护指令 95/46 / EC），这使得该变更对于欧盟内部的公司非常有限。欧盟以外的公司如果处理欧盟公民的个人数据，可能还有更多工作要做。

改变的一件事主要是问责制，这在实践中最好通过完整地记录您的程序来实现：

• 如何以及为何收集个人数据
• 是什么使得处理合法（同意只是第6条的一项条件）
• 数据如何存储和处理
• 谁有权访问数据以及您如何控制和审核此数据
• 存储时间到期后是否将其删除（自动/标准做法）
• 您如何处理涉及的风险，即风险分析。

我认为，如果您一直在认真考虑这些事情，解决问题并减轻发现的风险，然后将所有这些记录在案，那么您应该远离制裁-即使您确实遭到入侵。在您所处的情况与这种行为之间可能存在疏忽大意，这将使您承担2,000万欧元/营业额罚款的4％的责任。