去年5月标志着通用数据保护条例(GDPR)应用的开始。, 它协调和统一了欧盟的隐私管理规则. 在法规通过之前和之后, 数据保护一直是世界各国关注的焦点. 政府出台新法规, 而监管机构, 公民社会, 数据控制者和处理者公开讨论规则, GDPR规定的义务和制度, 此外,还开展了提高数据主体和公众隐私意识的活动.
尽管如此, 合规期限生效后六个月, 只有30%的欧盟公司符合GDPR规定, 最近的一次 研究 显示.
也许我们不应该对这一平淡无奇的统计数据感到完全惊讶. 遵从GDPR需要耗费大量时间和资源. 它需要一种战略方针和对与数据处理有关的所有活动的长期关注. 不幸的是, 这些特征可能会导致控制器和处理器方面的某些危险态度. 这些参与者中的许多人都知道GDPR引入的新规则, 然而,他们却选择无视相关义务, 希望能避免检查和进一步的后果. 其他人则不愿遵守规定,可能认为其他责任比隐私更重要, 例如, 将经济利益置于个人数据保护之上. 最后, 一个常见的误解是,如果控制者发布其隐私通知或政策, 其活动将符合GDPR规定的所有义务.
尽管如此, 资料当事人越来越注重私隐,并要求有效控制其个人资料. 除了对控制器和处理器活动的高度兴趣之外, GDPR中规定的监督和执行机制由欧盟各地的监管机构运作. 违规行为已被处以罚款, 进一步的结果是, 违法行为的曝光进一步损害了控制人的声誉. 因此, the previously mentioned attitudes are harmful to the rights and freedoms of individuals; they violate provisions protecting privacy of data subjects, 并可能导致显著 收入损失 在控制器和处理器的一侧.
而不是表现出前面提到的态度, 控制者和处理者应该意识到某些简单的步骤可以促进 GDPR准备. 首先,他们需要对与使用个人数据有关的活动有自我意识. 在这方面,更新处理活动的记录和指定一名数据保护干事可能会有很大帮助. 数据治理工具的应用程序还可以帮助设置相关的内部策略. 此外, 有必要记录这些活动的每一个方面, 从而表明遵守了问责原则. 最后, 控制者和处理者应使其操作对监管机构和数据主体以及公众透明, 通过数据保护通知和其他提供信息的方法.
这些当然不是符合GDPR的全部条件, 但它们有助于控制器和处理器实现这一目标, 并构成有价值的证据,证明组织愿意遵守监管规则并尊重数据主体的隐私.
