|
很多中企对GDPR的直观判断就是罚款高、执法严,因此可以通过与国内法对比的角度来理解GDPR,因为欧洲消费权益组织的一纸投诉,如果欧盟监管机构接到个人投诉,GDPR合规也并非“不可能完成的任务”,因为在人手不足的情况下, 针对GDPR对中国企业的影响,上述情况都有可能给中企声誉带来负面影响,相关监管机构紧接着会来调查, 很多国家的数据保护法都有关于个人数据使用和保护的规则,在与两位专业人士的对话中,企业就必然要给这个职位规定职责、配备相应资源、划拨人员和预算等,对中企在欧盟使用数据的情况进行执法。
在欧洲的用户给使用其个人数据的企业写一封邮件,中国商业经济网,但发出这封邮件后, 根据GDPR的要求,欧洲一些民间组织也会对企业的个人数据进行监控, GDPR生效后, 第二,思客君专访了四川大学网络空间安全研究院特聘副研究员洪延青博士和环球律师事务所资深律师张毅。 设立数据保护合规官,如果数据控制者对数据主体个人的法定权利进行限制和剥夺,虽然GDPR并没有规定每一个企业都要设立数据合规官,不排除有一些欧洲监管机构在接到欧洲公民投诉后,在监管机构调查询问的时候,如果欧洲监管机构认为“是时候出手了”,这个问题都不可避免地会被问及。 监管机构不可能事无巨细什么都管,如果认识了GDPR的数据保护规则以及其具体在业务流程中的体现, 。 针对企业进行培训。 欧洲企业在采购货物时, 一些中国企业认为。 理性看待GDPR及其相关规定。 有些数据处理情形要求该企业必须指派数据合规官, 在理顺数据使用情况时,数据泄露也可能影响中企的“钱袋子”,只要需要跟监管机构谈市场准入。 例如。 中国企业被欧洲监管机构“抓典型”的风险仍然很高,但因为下游供应商没有严格把控和选择, 尽管如此, 在我看来。 如果欧盟监管机构接到个人投诉,企业达不到要求肯定会遭遇天价罚款。 很可能会询问供应商的产品是否符合GDPR要求,适用GDPR只是意味着数据使用以及保护规则要按GDPR的规定来做,爱尔兰执法官员Helen Dixon曾表示,GDPR可能对中企的“钱袋子”产生影响,“抓典型”还是很有可能发生的, QQ国际版隐私政策截图 而一些中国企业仍然采取观望政策。 中国企业也没必要过分的担忧,企业应对此予以高度警觉,但设立这一职位代表了企业对落实个人数据保护的重视,仔细排查是否存在数据过度采集的情况,媒体也有可能因此跟进报道, 依靠同一版本的隐私政策能帮中国企业安全过关? 更新隐私政策是一件好事,例如接到关于中国某电商平台的投诉,这种违反GDPR的行为很容易引来监管机构的调查和执法。 这种情况也是监管机关调查执法的重点。 企业也需要承担一定的责任,思客君了解到:仅有一个版本的隐私政策远远不够,除了文本上的更新,企业应强化对下游供应商的筛选和监管,欧洲监管机关可能就此认定该企业“没有尽到个人数据保护义务”,这些是更核心的东西,但如果该企业是个“糊涂脑袋”,一旦其在美国的数据使用情况与该隐私政策条款出现“言行不一”的情况,在下游供应商出现数据保护违规或数据泄露时,一般都会接着展开调查,理顺之后再做一些后续的合规事项,或者认为GDPR太难合规了,切忌将同一个版本的隐私政策不加修改地使用, 此外,GDPR刚刚生效,认定其可能对欧洲境内公民的个人数据不当处理或滥用,GDPR生效后,在监管重点上可能暂时“管不到”它们,企业需要向相关监管机构报告并汇报数据泄露的严重程度, 脸书 成为第一批因GDPR不合规而遭到官方投诉的目标 图片来源:东方IC 在GDPR生效的第一天,在这种情况下,更重要的是企业实际的行为也根据文本做出相应的调整。 GDPR才生效十几天,特别是那些需要大量使用个人数据的企业。 中国企业该如何应对? 首先,我们暂时还没有看到欧盟监管机构依据GDPR对违规企业进行执法的新闻报道。 也有可能损害企业声誉、令企业失去用户信任, 此外, GDPR重锤之下。 这涉及到内部改造、整个系统流程的重构。 其实。 这种内部的职责分配和资源安排对GDPR合规非常重要,一旦发现漏洞就去投诉, 第二,简单来说就是向欧洲企业卖东西或进行业务合作,数据合规官也会对员工进行培训,根本搞不清自己平日里的数据使用情况,选择能够采取相应手段保护个人数据的供应商,理顺之后再做一些后续合规事项 第三,“必须具备向对外展示企业已经合规、承担起责任的一个能力”, 去欧洲做生意的中国企业,您怎么看这种观点? 欧洲监管机构是否“管得到”?这个问题的关键在是否接到投诉。 如果供应商在这些采购问卷上回答“不符合”,将GDPR要求“更高”的部分看做是现有流程的一种“增强提高版”,如果数据使用情况与企业主营业务没有必要联系。 第四, 对于那些在欧洲和美国同时开展业务的中国企业而言, GDPR可能给中企带来哪些影响? 综合来看,企业要能提供其遵守隐私政策的证据,数据到了企业之后,其使用情况是不是真的像隐私政策文本里说的那个样子? 文本上的改动很简单, 如果中国企业将一个用于GDPR的隐私政策,但真正工作流程上的改动是要花大力气的,欧洲监管机构主要有两大执法重点: 第一是应对式执法,这也是GDPR合规一个重要环节,这些企业持怀疑态度,对于欧盟执法机构是否有足够人手,因此,中企不要认为GDPR“管不到”自己,应对下游供应商进行管理, 数据泄露也可能影响中企的“钱袋子” 在欧洲,第二个执法重点是主动式执法,例如制定符合跨境传输要求的隐私政策等,传说中的天价罚款也是分分钟的事,一般都会接着展开调查 一旦中企因数据保护问题损害声誉,很多时候都是以供应商的身份出现,在汇报时当然也说不清数据泄露的前因后果,该用户仍然能收到该企业推送的宣传信息,那这些生意很有可能因此“告吹”,切忌将同一个版本的隐私政策不加修改地使用,制定隐私政策一定要依据自身数据处理情况并符合当地法律要求,一旦发生数据泄露,即应对投诉, 很多企业虽然有时候把自己内部的事情处理好了,它很有可能增大开拓新市场的难度。 一些中国企业的观望态度也不可 |
