如果你刚到荷兰和欧洲,你可能不知道欧盟新的《通用数据保护条例》(GDPR),在荷兰也被称为AVG。GDPR至少从2016年开始就一直是这里的热门话题,让公司争相满足严格的隐私措施,否则就会面临监管机构的巨额罚款、失去客户和合作伙伴或品牌损害的威胁。对于各种规模的组织来说,随着时间的推移,这只是一个不断发展的空间和正在进行的工作的早期阶段,以提高其消费者数据保护能力和合规性。尽管复杂性和挑战是意料之中的,但这对数字商务、社会和个人权利来说是积极的一步。
GDPR是对上世纪90年代制定的欧盟数据保护法95/46/EC的更新,当时互联网和数字商务刚刚兴起。新法律将于2018年5月25日生效,以适应不断变化的数字商务技术和趋势。新法律更具体地规定了公司必须如何以及何时向个人报告他们的个人数据是如何被使用的。这些信息必须易于查找、阅读和理解,并要求组织透明并报告数据泄露(丢失或被盗)。虽然其他国家都有自己的隐私法律和行业法规,但GDPR被认为是最全面、最健全的法律之一。
自从搬回阿姆斯特丹并在这里开设我们的办公室以来,我有许多小企业主、外籍人士和朋友问我GDPR涵盖了谁,他们应该知道什么,他们的工作可能会受到什么影响,以及从哪里获得更多信息。虽然大多数宣传都是在帮助公司准备GDPR,培训律师和数据专业人员,或者只是吓唬人们,但我看到过对数据受保护的个人(“数据主体”)没有那么简单的建议。这一责任留给了各国政府及其隐私主管部门(“PA”),负责在区域内实施GDPR。我听说在新闻和广播上有营销活动,但我们将拭目以待。虽然互联网上有很多信息,有些是好的,有些不是,但你的欧盟成员国的PA是问题和投诉的明确来源。你也可以和你公司的隐私和合规官或律师谈谈。我参加了许多会议、研讨会、网络研讨会,与律师和数据隐私官员交谈,并做了自己的研究,想分享一些技巧。
GDPR下欧盟个人权利概述
- 知情权
组织必须告知他们的客户他们使用的个人数据以及他们如何使用这些数据。它必须易于查找和理解,通常以数据隐私政策的形式出现。如果您是新客户,应在使用您的个人信息之前提供给您。该组织必须向你提供它的地址和联系方式。它必须让您知道您的信息何时与其他方共享或处理。组织必须在发现数据泄露事件后72小时内通知监管机构。如果个人数据和权利受到威胁,组织应正式通知个人违规行为及其行动计划。
- 检查、更正、删除的权利
个人有权查看组织拥有的关于他们的个人信息及其使用方式;他们的要求不需要理由。他们有权要求改正他们的个人资料。他们可能要求修改、补充或屏蔽敏感数据。人们有权要求删除(删除),也被称为“被遗忘的权利”,这也是一首经典的另类乡村歌曲的好名字。
- 限制加工的权利
个人有权要求组织或合作伙伴不再使用其个人数据。一个主要的用例是直接营销和主动广告。可以根据个人情况提出异议。
- 数据携带权
个人有权以安全可靠的方式,在不同的资讯科技服务中取得和重复使用其个人资料,以作自己的用途。例如,将收集到的数据用于比较服务或购物。
- 自动化决策和分析的权利
一般而言,个人有权不受仅基于自动化处理的决定的影响,包括未经其同意对其产生法律影响或由个人和(或)组织所在成员国政府授权的分析;他们可能会要求人工审查。
谁受欧盟GDPR隐私法保护?
除了公民,还有谁被覆盖?居民、签证持有者、客人、工人?答案是,GDPR适用于欧盟境内的每个人,无论其国籍如何。隐私和数据保护被认为是基本人权,因此适用于每个人。据说,当提供商品或服务(“数据控制者”)的组织的主要办事处(“机构”)或其客户(“数据主体”)位于欧盟区域时,GDPR法律就会触发。
如何投诉
如果你有问题或投诉,一定要先与组织或服务提供商联系。一个好的开始是在线查看它的隐私政策,然后联系客户服务。如果公司没有做出适当的回应,或者你觉得自己受到了不公平的对待,你还可以采取其他途径。你可以聘请一位熟悉隐私法的律师,把一个组织告上法庭,你可以联系你居住国家的管理隐私机构(PA),对该组织提出投诉或“举报”。消费者应与其所在国的PA沟通,无论该组织的总部所在地和国家。PA可与位于同一国家的组织展开正式调查,或将投诉转交给该组织在另一个欧盟成员国的DPO或PA。如果存在针对同一组织的多起投诉,可能会采取进一步行动。有关政府法律和程序的投诉,可向您居住国的国家司法特派员提出。
GDPR如何影响我和我的工作?
你作为个人的权利也适用于求职者、现任雇员、前雇员和承包商。组织、公司、招聘人员和人力资源部门必须像保护消费者一样保护你的个人信息。作为一名工人(雇员或承包商),阅读和理解贵公司的数据隐私政策将是非常有用的。您应该知道如何联系您的数据隐私官(DPO)、合规官(CO)或负责数据隐私合规的个人。这有时是法律部门的成员。
如果您正在与欧盟公司、合作伙伴或欧盟客户合作,您应该了解您公司的GDPR和隐私计划。您应该接受有关GDPR和基本数据隐私原则的培训,如数据分类、您的角色的数据处理以及如何识别和报告数据泄露。GDPR要求员工培训。您应长期与管理层合作,确定在4P(计划、产品、流程和合作伙伴)中如何以及在何处与个人或敏感消费者数据交互。了解如何成为一名更好的数据隐私管理人员,并实现“通过设计保护隐私”的最佳实践。这些技能将有助于职业发展,并为你的LinkedIn个人资料和简历加分。
经常检查你的资料来源
这是一个很好的做法,尤其是在现在,检查你的信息来源,获得多种意见。在LinkedIn或其他网站上寻找博客的作者,检查他们的背景和博客回复。他们是否有经验,是否可信?有些公司会雇佣没有法律、隐私或IT背景的自由职业者和文案。你想把你的工作或跨国战略建立在这个建议上吗?视情况而定。我不认为我遇到的任何人都声称了解GDPR的一切,因为这是一项宏大的努力,细节仍在展开。也就是说,有一些很好的资源可以利用,所以去寻找它们。
如果您有任何问题,请随时与我们联系。保持冷静,启动GDPR
一些好的资源:
https://autoriteitpersoonsgegevens.nl/nl
https://hulpbijprivacy.nl/#onderwijs
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/
https://www.dlapiperdataprotection.com
http://globalitc.bakermckenzie.com/eu_gdpr/
在Potentia Concepts,我们为全球组织提供数字隐私工具和安全意识教育服务,以帮助他们满足法规遵从性,降低风险,保护他们的品牌和利益相关者免受数字威胁。
Adam Hoey是总部位于阿姆斯特丹和华盛顿特区的Potentia Concepts的首席执行官和创始人。可以在……找到他adam@potentiaconcepts.com或https://www.linkedin.com/in/adamhoey/