进入 GDPR 执行阶段两周,现在怎么办?

已发表: 2018-06-08

终于发生了。 《通用数据保护条例》最终于 2018 年 5 月 25 日进入执行阶段,模因和所有内容。

关于 GDPR 准备阶段的漫画

尽管许多广告商担心,但在 GDPR 进入执行阶段后,世界并没有走到尽头。 但它确实改变了。 插图信用:教导隐私

行业准备好了吗? 这些最后一分钟的政策更新是否足够? 现在会发生什么? 在这篇博文中,我们将了解主要参与者如何为截止日期做好准备,GDPR 将带来什么,以及贵公司如何从现在开始努力实现合规性。

对最大牌玩家的第一次打击

没过多久,最大的公司就感受到了诉讼的痛苦。 GDPR生效几分钟后,隐私权活动家 Max Schrems 和他的组织 None of Your Business 以“强制同意”为由向 Google 和 Facebook 发起诉讼。 这些诉讼声称不遵守 GDPR 关于特定同意的规则,因为这些公司为用户提供了一个全有或全无的选择——同意这些条款以访问该服务——而不是允许他们同意某些条款而不是其他条款。

谷歌和 Facebook 的回应是坚称他们已经采取了足够的措施来遵守 GDPR。

随后,法国数字版权组织La Quadrature du Net 效仿,对谷歌、Facebook、苹果、亚马逊和 LinkedIn 提出了额外的投诉。 这些投诉与施雷姆斯提出的投诉类似,并指控通过使用强制同意进行的违规行为。 La Quadrature 还计划对 Android、WhatsApp、Instagram、Skype 和 Outlook 提出正式投诉,尽管截至本文撰写时尚未采取正式行动。

苹果、Facebook 和谷歌是如何准备的

虽然很难说这些投诉是否真的让这些公司感到惊讶,但他们中的许多人在执法前几天都表达了一种普遍的准备意识。

例如, Apple在 2018 年 5 月下旬推出了一个新网站,向客户展示其持有的个人数据。 欧盟的 Apple 客户现在可以请求查看这些数据,从登录历史记录到联系人、日历、笔记、照片和文档。 客户还可以更正数据、停用其帐户并删除所有信息。 (苹果目前仅在欧盟国家、冰岛、列支敦士登、挪威和瑞士提供这项服务,但表示计划在今年晚些时候扩展到其他国家。)

2018 年 4 月, Facebook更新了其网站,提供了更清晰的服务条款数据政策版本在最终确定并要求用户同意之前,给用户 7 天时间来提供有关新语言的反馈。 Facebook 还透露,它将彻底检查和简化应用程序的控件,以使设置更容易找到,并表示“现在可以从一个地方访问它们,而不是让设置分布在近 20 个不同的屏幕上。”

谷歌是最早的参与者之一,因为他们在 GDPR 截止日期前六个月进行了与GDPR 相关的更新并通知了用户。 最重要的更新是对 G Suite 和 Google Cloud 的数据处理修订和安全条款进行了更新,使其更易于理解,以符合关于如何使用数据的“清晰透明通知”的要求。 其他更新包括用于导出数据的新选项和功能。

未来是什么

GDPR 的全部影响尚未确定,部分取决于客户和激进组织行使新权利的程度。 在 2017 年 8 月Forrester对英国消费者的调查中,51% 的受访者表示他们至少在一定程度上可能会根据 GDPR 行使其新权利。 然而,最常见的例子是数据删除——这与成熟的诉讼相去甚远。

但这项新规定的最大收获并不是更多的消费者正在审查公司——而是更多的公司正在审查其他公司。 由于 GDPR 要求所有涉及个人数据的各方共同承担责任,因此公司正在更深入地审查其业务合作伙伴的流程和行动。 这就是GDPR 的真正天才之处,欧洲数据合规总监 Simon McGarr 在最近的 Quartz 文章中解释道

“欧洲有很多数据保护机构,但没有足够的力量去敲每一扇门。 所以他们在法律中建立了一个多层次的合规结构,最终让大公司对小公司执行合规,等等。”

5 月 25 日之后准备不足的公司可能已经感受到来自业务合作伙伴的压力,网络安全专家Elliot Rose 预测,在截止日期之后,仍有许多组织仍在跟上进度。 对于处于这种情况的人,首要任务是解决处理敏感信息的高风险领域。 公司应该专注于保护敏感数据,调查它的存储位置,以及谁可以访问它。 重要的是制定一个计划,并尽可能快(和准确)地进行。

做好准备

最终,在隐私和透明度方面,GDPR 将有助于公平竞争,并在之前关闭的地方打开沟通的大门。 作为一家公司,您可以采取以下几个步骤来保持对话:

评估数据是如何合法处理的

您是否征得最终用户的同意? 它是具体的、明确的和自由给予的吗? 您的最终用户体验是否清楚地表明了这一点? 您是否有收集、处理和存储数据的合法权益? 如果你不能用“是”来回答每个问题,那么是时候退后一步了。

更新所有必要的通知

您是否查看过您当前提供给最终用户的隐私政策、通知或其他信息? 这些重要通知是否在收集点? 可能需要审查所有隐私声明,以使您的数据收集、使用和存储对最终用户透明。

采用数据访问、更正权和被遗忘权协议

这些原则允许您的最终用户更正过时或不准确的个人数据,并完全从处理中删除。 应实施和维护内部政策和程序,以适当响应此类请求。

使用假名或匿名数据

考虑通过数据的匿名化或假名化来删除或限制唯一标识符。 一些技术包括散列、加盐、加密和令牌的使用。 这可能有助于最大限度地减少未来识别最终用户的可能性,也可能有助于最大限度地减少您的合规义务。

要了解有关 TUNE 和 GDPR 的更多信息,请在此处阅读我们的页面