“自歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)生效以來(lái)，很多公司企業(yè)都忙于實(shí)行全新的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。一個(gè)完善的數(shù)據(jù)保護(hù)管理系統(tǒng)比以往任何時(shí)候都要重要。我們可以參考一下其他公司在GDPR方面的一些初步經(jīng)驗(yàn)。”

自2018年5月25日GDPR生效以來(lái)，它在某些情況下引發(fā)了許多略顯荒謬的鬧劇。我們聽(tīng)說(shuō)過(guò)的故事包括：幼兒園班級(jí)照中小朋友的臉都被打了馬賽克、房東取下了門鈴上的住戶銘牌，甚至在兒童繪畫比賽中，由于組織者出于隱私保護(hù)的原因，只記錄了參賽兒童的姓氏，因此無(wú)法確定最終的獲獎(jiǎng)選手。在媒體的炒作之下，許多公司繼續(xù)全心致力于實(shí)施全面的GDPR要求。

從企業(yè)的角度來(lái)看，GDPR項(xiàng)目實(shí)施之目的是與監(jiān)管當(dāng)局、負(fù)責(zé)數(shù)據(jù)保護(hù)的法院建立穩(wěn)固的直接聯(lián)系。事實(shí)上，企業(yè)幾乎不可能在短時(shí)間內(nèi)實(shí)現(xiàn)GDPR的所有要求。

GDPR設(shè)置了眾多新的義務(wù)。企業(yè)不僅必須遵守這些規(guī)定，而且在必要時(shí)還需要證明其合規(guī)。目前，許多企業(yè)仍在實(shí)施GDPR項(xiàng)目。在這個(gè)階段，密切關(guān)注其他企業(yè)的經(jīng)驗(yàn)和風(fēng)險(xiǎn)的變化，從而根據(jù)需要將項(xiàng)目予以重新調(diào)整，這才是我們工作的重中之重。

一、其他企業(yè)有哪些進(jìn)展？

一些執(zhí)行項(xiàng)目的現(xiàn)狀

盡管許多德國(guó)公司在GDPR生效之前幾乎沒(méi)有利用兩年的寬限期，但大多數(shù)公司已經(jīng)完成或至少啟動(dòng)了落實(shí)GDPR規(guī)定的項(xiàng)目。然而，很少有公司能夠完全實(shí)現(xiàn)每一項(xiàng)要求。事實(shí)上，大多數(shù)公司選擇以管控風(fēng)險(xiǎn)的方式，實(shí)施了“可見(jiàn)”的措施，例如：任命一名數(shù)據(jù)保護(hù)官、頒布隱私聲明（尤其是在網(wǎng)站上）以及完善數(shù)據(jù)處理協(xié)議。

下一階段的工作

在實(shí)施了“可見(jiàn)”的措施之后，企業(yè)需要將注意力轉(zhuǎn)向其他“必要”的措施。這些是GDPR的強(qiáng)制性規(guī)定，若數(shù)據(jù)保護(hù)機(jī)構(gòu)在審計(jì)期間，發(fā)現(xiàn)沒(méi)有這些措施，則極有可能遭致處罰。這就是為什么現(xiàn)在很多企業(yè)都在關(guān)注這些措施：

? 完善處理工作與執(zhí)行支持程序的記錄（例如：針對(duì)新的或經(jīng)修改過(guò)的處理任務(wù)）

? 實(shí)施技術(shù)性和組織性的數(shù)據(jù)保護(hù)措施

? 實(shí)施數(shù)據(jù)保護(hù)影響評(píng)估程序

? 設(shè)計(jì)一個(gè)刪除的概念，并在所有受影響的信息技術(shù)系統(tǒng)中實(shí)現(xiàn)

? 對(duì)來(lái)自數(shù)據(jù)主體的請(qǐng)求，實(shí)施一個(gè)高效的自動(dòng)化處理流程

? 制定一個(gè)違反個(gè)人數(shù)據(jù)響應(yīng)機(jī)制，并在公司內(nèi)部宣傳相應(yīng)的程序

二、什么是真正的風(fēng)險(xiǎn)？

數(shù)據(jù)保護(hù)機(jī)構(gòu)在做什么？

在對(duì)GDPR的實(shí)施感到極度恐慌，并預(yù)計(jì)罰款金額可達(dá)數(shù)百萬(wàn)甚至幾十億之后，數(shù)據(jù)保護(hù)機(jī)構(gòu)在GDPR生效后的頭幾個(gè)月里異常地安靜。2019年初，谷歌在法國(guó)被處以5,000萬(wàn)歐元的罰款。德國(guó)最高的GDPR相關(guān)罰款總額相對(duì)較低，為80,000歐元。據(jù)媒體報(bào)道，德國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)正在進(jìn)行一系列的調(diào)查。但是，調(diào)查需要大量的時(shí)間，許多數(shù)據(jù)保護(hù)部門目前（仍然）亟需人手。

迄今引起人們關(guān)注的調(diào)查主要集中在以下方面：

? 侵犯數(shù)據(jù)隱私（例如：數(shù)據(jù)加密不足）

? 是否遵守GDPR的透明義務(wù)

? 使用非法的電子郵件廣告

此外，一些數(shù)據(jù)保護(hù)機(jī)構(gòu)正在對(duì)GDPR的實(shí)施、數(shù)據(jù)保護(hù)企業(yè)或Facebook頁(yè)面的正確設(shè)計(jì)開(kāi)展大規(guī)模的調(diào)查。

根據(jù)2018年安聯(lián)公布的調(diào)查，全球網(wǎng)絡(luò)事故造成的總損失達(dá)5,000億歐元，使其成為企業(yè)面臨的最大風(fēng)險(xiǎn)之一。

三、其他風(fēng)險(xiǎn)？

除了零星幾個(gè)案例外，我們很少看到廣泛宣傳的正式警告。到目前為止，法院已經(jīng)就GDPR正式警告的合法性做出了不同的裁決。即使將來(lái)仍有可能提出正式警告，但在短期內(nèi)，這些警告的風(fēng)險(xiǎn)似乎相對(duì)較低。與隱私相關(guān)的損害索賠則不同，新的集體訴訟告申程序和歐盟層面討論的全歐洲范圍的集體訴訟，可能會(huì)使此類索賠對(duì)企業(yè)構(gòu)成相當(dāng)嚴(yán)重的威脅。違反數(shù)據(jù)保護(hù)規(guī)定可能導(dǎo)致聲譽(yù)受損的風(fēng)險(xiǎn)仍然很高。

四、GDPR項(xiàng)目的調(diào)查結(jié)果

鑒于仍然較高的風(fēng)險(xiǎn)及許多企業(yè)目前的執(zhí)行狀況，許多公司仍將全面地執(zhí)行GDPR的要求列入了近期的議事日程。根據(jù)我們的經(jīng)驗(yàn)，可以從已經(jīng)完成的GDPR項(xiàng)目中得出以下結(jié)論：

? GDPR實(shí)施項(xiàng)目只有在得到董事會(huì)和高管充分支持時(shí)才能有效地開(kāi)展

? 實(shí)施GDPR項(xiàng)目需要時(shí)間和耐心，但公司可以很快地取得一定的成果并不斷地推動(dòng)其進(jìn)一步的實(shí)施

? 數(shù)據(jù)安全不僅需要嚴(yán)格的技術(shù)保障，還需要改變流程和組織架構(gòu)

? 永久性的解決方案要求所有的相關(guān)方都能改變意識(shí)和行為

? 以上這些都要求每天處理個(gè)人數(shù)據(jù)的員工盡早積極地參與

關(guān)于數(shù)據(jù)保護(hù)監(jiān)管部門，請(qǐng)注意以下幾點(diǎn)：

? 數(shù)據(jù)保護(hù)監(jiān)管部門獎(jiǎng)勵(lì)合作——甚至可能降低罰款

? 目前，數(shù)據(jù)保護(hù)監(jiān)管部門在超負(fù)荷地工作，但有計(jì)劃地增加人員可以迅速緩解這種情況

五、成功實(shí)施GDPR項(xiàng)目的案例

“我們?yōu)榉螱DPR的要求提供全面、可靠的解決方案。一起來(lái)看一下金融領(lǐng)域的一個(gè)案例。”

由多個(gè)公司實(shí)體組成的B2B金融服務(wù)提供商為自己設(shè)定的目標(biāo)是，在GDPR生效時(shí)，滿足其最核心的要求（尤其是那些具有外部影響的要求），并啟動(dòng)長(zhǎng)效機(jī)制。

為了了解GDPR將對(duì)公司產(chǎn)生何種影響，股東們首先根據(jù)公司當(dāng)前的情況對(duì)比GDPR的要求，進(jìn)行了數(shù)據(jù)保護(hù)審計(jì)，分析了現(xiàn)有的組織和流程結(jié)構(gòu)、治理架構(gòu)（包括指南和合同）以及IT系統(tǒng)。此外，公司還考慮了企業(yè)文化和員工自身特有的一些因素（例如：員工如何看待“數(shù)據(jù)保護(hù)”的問(wèn)題？他們目前對(duì)該問(wèn)題的認(rèn)知水平如何？）

審計(jì)結(jié)果使公司更全面地了解了所有的問(wèn)題，并按優(yōu)先等級(jí)制定了行動(dòng)方案和建議的執(zhí)行時(shí)間表。優(yōu)先等級(jí)是在綜合考量了外部可見(jiàn)性、必要性、以及對(duì)公司是否有意義等因素后才設(shè)定的。

六、設(shè)計(jì)和建立項(xiàng)目的實(shí)施

將選定的實(shí)施措施分成六個(gè)與內(nèi)容相關(guān)的工作流程，由指定的員工負(fù)責(zé)。客戶的項(xiàng)目經(jīng)理和一名顧問(wèn)共同負(fù)責(zé)項(xiàng)目的整體管理。指導(dǎo)委員會(huì)代表最高管理層來(lái)行使職能。

我們每周都會(huì)制定具體的實(shí)施計(jì)劃。這種方法可以使大家隨時(shí)洞悉實(shí)施過(guò)程中的任何變化。此外，實(shí)施計(jì)劃中包括了近期的要求，確定好優(yōu)先等級(jí)后能夠快速實(shí)施。

七、全員參與的長(zhǎng)效機(jī)制

改進(jìn)的程序和行為必須是有效的。為了確保這一點(diǎn)，公司員工應(yīng)當(dāng)對(duì)處理數(shù)據(jù)有正確的認(rèn)識(shí)，掌握新的操作方式，并接受新流程的培訓(xùn)。事實(shí)上，我們體會(huì)到下列策略是非常有效的：

1、數(shù)據(jù)保護(hù)并不復(fù)雜

在工作會(huì)上，我們與相關(guān)人員一起討論和確定對(duì)現(xiàn)有的操作流程和熟悉的工作步驟進(jìn)行必要的修改。最終產(chǎn)生的結(jié)果應(yīng)當(dāng)是精簡(jiǎn)且以客戶和員工為導(dǎo)向的，適當(dāng)?shù)貍鬟_(dá)到相應(yīng)的流程中，同時(shí)也能被受影響的人員所接受。

2、數(shù)據(jù)保護(hù)很容易融入日常的工作

我們與相關(guān)員工一起制定了操作指南和警示體系，并明確了如何輕松地將數(shù)據(jù)保護(hù)需求集成到日常工作流程中的策略。這樣做的結(jié)果會(huì)是，員工信心提升，違反數(shù)據(jù)保護(hù)規(guī)定的可能性下降。

3、數(shù)據(jù)保護(hù)需要團(tuán)隊(duì)合作

有高級(jí)管理人員參與的高級(jí)別和跨部門之間的互動(dòng)能夠極大地推廣這些舉措。其中的一個(gè)例子就是，對(duì)于實(shí)施信息保護(hù)合規(guī)和保障有關(guān)方權(quán)益之間的沖突，各個(gè)部門在整個(gè)客戶生命周期中都應(yīng)保持充分有效的溝通。

我們看到，在GDPR生效時(shí)，主要的數(shù)據(jù)保護(hù)要求已如期實(shí)施，業(yè)務(wù)相關(guān)的員工可立即付諸應(yīng)用。

總之，只有得到員工和商業(yè)伙伴的普遍理解和接受，我們才能持續(xù)地貫徹為符合GDPR數(shù)據(jù)合規(guī)而采取的那些措施。

供稿：
avocado rechtsanw?lte
Jan Peter Voss 合伙人
Prof. Dr. Thomas Wilmer 律師
CPC Unternehmensmanagement AG
Clemens Heisinger 合伙人
Dirk Thater 顧問(wèn)

總結(jié)

以上是生活随笔為你收集整理的通用数据保护条例_欧盟《通用数据保护条例》——2019年的形势的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。