随着 GDPR 实施一年多,我们这些希望英国脱欧能够消除欧盟 GDPR 合规需求的人失望了。但是,一年过去了,企业对这一问题的重视程度如何呢?
与我们中的许多人一样,您可能仍会收到一些机构主动打来的电话,试图向您推销他们的最新产品,或希望您从当前的供应商处迁移合同。他们是否违反了 GDPR?
如果你像我一样,试图采取强硬立场,问:你是谁?你从哪里找到我的联系方式的?你知道自己违反了 GDPR 法规吗?小心你会听到一个似是而非的解释!
我最近接到一个通话时间提供商主动打来的电话,希望我转用他们最新的超高速 5G 产品--他们是如何获得我的详细信息的,他们是否违反了 GDPR 法规?
答案是否定的。原来,我在一个高速公路服务站注册了免费 Wi-Fi,并在接受其条款和条件的方框中打了勾,在数百页的条款和条件中,埋藏着一项同意 Wi-Fi 供应商将我的个人资料传递给 "相关第三方 "的许可。
我们还需要担心 GDPR 吗?
那么,有了这样的漏洞,自该法案生效以来,有多少机构因违反 GDPR 而被罚款,我们还需要担心 GDPR 吗?
毕竟,欧洲各地的企业管理团队,从最大的企业到最小的慈善机构,都花了数月时间为 GDPR 做准备并确保合规。答案是肯定的--从葡萄牙到德国,整个欧洲现在都在征收罚款。
让我们回顾一下立法的背景及其实际意义。该法案旨在整合整个欧洲的数据隐私法,保护欧盟公民的隐私,并对允许侵犯数据隐私的组织进行处罚。如果您打算持有个人数据,您需要获得个人的明确许可,或者您需要证明持有该个人数据的合法利益。如果发生数据泄露,可能会被处以巨额罚款。对于规模较小的公司,罚金可高达 1,000 万英镑或年收入的 2%,对于规模较大的公司,罚金可高达 2,000 万英镑或年收入的 4%。
那么,如何才能避免触犯 GDPR 法规呢?
预防处罚的步骤
答案显而易见,首先要确保员工意识到他们有责任保护客户数据。然后,你就要承担一项艰巨的任务,确保你的系统尽可能安全,防止黑客入侵,从而避免数据泄露。
说到减轻对违反 GDPR 行为的处罚,请确保员工已签署所有相关政策和程序,从 GDPR 政策到信息安全政策,以及两者之间的所有政策和程序。能够证明您已制定了相关政策,更重要的是,能够证明员工已签署了您的政策,这样就能确保在 ICO 找上门来时,您有尽可能好的辩护理由。
确保实现上述目标的方法之一是实施 政策管理软件解决方案 用于保存所有内部政策、程序、工作指南、培训材料等。确保对政策进行完整的版本控制,向员工发布政策,并提供已收到、阅读和理解政策的证明。这样做在合规性方面的好处是巨大的,有助于确保潜在的 GDPR 处罚不会成为事实!
