菜单

打电话给我们 03450 21 21 51

GDP.和加强个人数据保护权
SRM.博客

GDP.和加强个人数据保护权

SRM.

写道 SRM.

2015年12月10日

分享这篇文章

由Chris Ince,信息安全顾问

“个人数据的处理应设计为人类服务。” (欧洲联盟委员会,2015)

On 8TH. 12月欧洲议会,理事会和委员会(Trilogue)同意新的一般数据保护条例的案文–GDPR。虽然仍有一些额外的机构必须提供批准,但2018年全部28个成员国全面实施的途径已经开始。

对于您在雷达下允许这一点滑动的那些,常规数据保护规则(GDPR)将取代当前的欧盟数据保护指令。随着它实施为规定而不是指令,它也将替换所有28个成员国的任何当地法律,而无需通过任何当地的立法程序。

GDP.被收取为加强个人的数据保护权,向欧洲人提供更大的发言权,以如何使用它们的数据 - 以及寻求简化业务合规要素的元素。

在GDP中,现有权利不会大大延长,但澄清:

  • 这 提供公平加工信息的权利 将扩大。在基本级别,数据控制器需要提供更详细的信息,例如数据的来源和保留期间(为什么您不这样做?)。此外,GDPR还需要以可理解的形式提供此信息,使用适用于个人的清晰和简单的语言(再次为什么要这样做?)。如果您遵守平等法律,则此要求将呈现出挑战。需要轻微的调整,以根据他们是否针对儿童或成人使用的语言进行轻微的拐点。
  • 关于这一点 访问权, 在GDPR建议下,将需要数据控制器向个人提供其他信息(例如,数据存储期)。新的要求对于企业来说将有点繁重 - 特别是企业需要设置特定过程以处理访问请求。除非请求是“明显过度“,数据控制器原则上将有义务免费提供信息(将再见到10英镑的费用)。
  • 这 纠正权 大多数是一样的,更改将具有非常有限的实际影响。
  • 更重要的是 对象的权利 现在是更广泛的,当加工基于控制器的合法利益或进行直接营销目的,个人可以反对,而无需提供特定的理由。
  • 被遗忘的权利 倘此类数据的保留不符合本规定或与控制员所在的联盟或成员国法律。这可能会涵盖实例的同意处理数据作为一个孩子,但个人没有完全了解此类处理的影响。如果他们持有未注册信息资产,则删除此类数据可能对大多数组织证明困难。当然,对于在线处理器来说,期望您采取合理的措施从其他处理器中删除数据。您的责任不会以您的数据副本结束。
  • 数据携带权 创建以提高数据处理的互操作性。然而,它将在数据控制器上造成沉重的负担,因为它对常用格式提供给数据主体的个人数据。在处理个人数据的处理器上,不得执行符合法律要求的处理者,或以公共利益处理,或在归属于控制员的官方权力方面进行处理。

简单来说:

  • 所有企业将不得不更新和改造隐私政策和数据保护通知,以确保正确解决了扩展权。企业应检查他们向个人提供的数据保护通知包含所有必需的信息,它可访问,并针对数据主体的需求量身定制。
  • 企业需要评估他们是否应该建立新的或更新的流程和程序,以处理扩大权利的实际影响,例如,用于处理访问请求的特定数据过程。
  • 要遗忘的权利和可移植性的权利几乎肯定需要更改组织的运营流程和IT系统。简化术语,您实际上必须掌握您所拥有的个人数据,如果您将其提供给任何辅助处理器。如何确保您可以将其提供给数据主体或确保您将其完全从系统中删除,其他处理器将其从中删除?