進入 GDPR 執行階段兩週,現在怎麼辦?

已發表: 2018-06-08

終於發生了。 《通用數據保護條例》最終於 2018 年 5 月 25 日進入執行階段,模因和所有內容。

關於 GDPR 準備階段的漫畫

儘管許多廣告商擔心,但在 GDPR 進入執行階段後,世界並沒有走到盡頭。 但它確實改變了。 插圖信用:教導隱私

行業準​​備好了嗎? 這些最後一分鐘的政策更新是否足夠? 現在會發生什麼? 在這篇博文中,我們將了解主要參與者如何為截止日期做好準備,GDPR 將帶來什麼,以及貴公司如何從現在開始努力實現合規性。

對最大牌玩家的第一次打擊

沒過多久,最大的公司就感受到了訴訟的痛苦。 GDPR生效幾分鐘後,隱私權活動家 Max Schrems 和他的組織 None of Your Business 以“強制同意”為由向 Google 和 Facebook 發起訴訟。 這些訴訟聲稱不遵守 GDPR 關於特定同意的規則,因為這些公司為用戶提供了一個全有或全無的選擇——同意這些條款以訪問該服務——而不是允許他們同意某些條款而不是其他條款。

谷歌和 Facebook 的回應是堅稱他們已經採取了足夠的措施來遵守 GDPR。

隨後,法國數字版權組織La Quadrature du Net 效仿,對谷歌、Facebook、蘋果、亞馬遜和 LinkedIn 提出了額外的投訴。 這些投訴與施雷姆斯提出的投訴類似,並指控通過使用強制同意進行的違規行為。 La Quadrature 還計劃對 Android、WhatsApp、Instagram、Skype 和 Outlook 提出正式投訴,儘管截至本文撰寫時尚未採取正式行動。

蘋果、Facebook 和谷歌是如何準備的

雖然很難說這些投訴是否真的讓這些公司感到驚訝,但他們中的許多人在執法前幾天都表達了一種普遍的準備意識。

例如, Apple在 2018 年 5 月下旬推出了一個新網站,向客戶展示其持有的個人數據。 歐盟的 Apple 客戶現在可以請求查看這些數據,從登錄歷史記錄到聯繫人、日曆、筆記、照片和文檔。 客戶還可以更正數據、停用其帳戶並刪除所有信息。 (蘋果目前僅在歐盟國家、冰島、列支敦士登、挪威和瑞士提供這項服務,但表示計劃在今年晚些時候擴展到其他國家。)

2018 年 4 月, Facebook更新了其網站,提供了更清晰的服務條款數據政策版本在最終確定並要求用戶同意之前,給用戶 7 天時間來提供有關新語言的反饋。 Facebook 還透露,它將徹底檢查和簡化應用程序的控件,以使設置更容易找到,並表示“現在可以從一個地方訪問它們,而不是讓設置分佈在近 20 個不同的屏幕上。”

谷歌是最早的參與者之一,因為他們在 GDPR 截止日期前六個月進行了與GDPR 相關的更新並通知了用戶。 最重要的更新是對 G Suite 和 Google Cloud 的數據處理修訂和安全條款進行了更新,使其更易於理解,以符合關於如何使用數據的“清晰透明通知”的要求。 其他更新包括用於導出數據的新選項和功能。

未來是什麼

GDPR 的全部影響尚未確定,部分取決於客戶和激進組織行使新權利的程度。 在 2017 年 8 月Forrester對英國消費者的調查中,51% 的受訪者表示他們至少在一定程度上可能會根據 GDPR 行使其新權利。 然而,最常見的例子是數據刪除——這與成熟的訴訟相去甚遠。

但這項新規定的最大收穫並不是更多的消費者正在審查公司——而是更多的公司正在審查其他公司。 由於 GDPR 要求所有涉及個人數據的各方共同承擔責任,因此公司正在更深入地審查其業務合作夥伴的流程和行動。 這就是GDPR 的真正天才之處,歐洲數據合規總監 Simon McGarr 在最近的 Quartz 文章中解釋道

“歐洲有很多數據保護機構,但沒有足夠的力量去敲每一扇門。 所以他們在法律中建立了一個多層次的合規結構,最終讓大公司對小公司執行合規,等等。”

5 月 25 日之後準備不足的公司可能已經感受到來自業務合作夥伴的壓力,網絡安全專家Elliot Rose 預測,在截止日期之後,仍有許多組織仍在跟上進度。 對於處於這種情況的人,首要任務是解決處理敏感信息的高風險領域。 公司應該專注於保護敏感數據,調查它的存儲位置,以及誰可以訪問它。 重要的是製定一個計劃,並儘可能快(和準確)地進行。

做好準備

最終,在隱私和透明度方面,GDPR 將有助於公平競爭,並在之前關閉的地方打開溝通的大門。 作為一家公司,您可以採取以下幾個步驟來保持對話:

評估數據是如何合法處理的

您是否徵得最終用戶的同意? 它是具體的、明確的和自由給予的嗎? 您的最終用戶體驗是否清楚地表明了這一點? 您是否有收集、處理和存儲數據的合法權益? 如果你不能用“是”來回答每個問題,那麼是時候退後一步了。

更新所有必要的通知

您是否查看過您當前提供給最終用戶的隱私政策、通知或其他信息? 這些重要通知是否在收集點? 可能需要審查所有隱私聲明,以使您的數據收集、使用和存儲對最終用戶透明。

採用數據訪問、更正權和被遺忘權協議

這些原則允許您的最終用戶更正過時或不准確的個人數據,並完全從處理中刪除。 應實施和維護內部政策和程序,以適當響應此類請求。

使用假名或匿名數據

考慮通過數據的匿名化或假名化來刪除或限制唯一標識符。 一些技術包括散列、加鹽、加密和令牌的使用。 這可能有助於最大限度地減少未來識別最終用戶的可能性,也可能有助於最大限度地減少您的合規義務。

要了解有關 TUNE 和 GDPR 的更多信息,請在此處閱讀我們的頁面