GDPR已经对如何保护数据进行了大规模的改变
欧盟通用数据保护条例(GDPR)于2018年5月25 日生效。从那时起,公司花费了数十亿美元来确保遵守新法律。仅仅排名前500的美国公司花费了大约78亿美元来遵守GDPR的严格要求。尽管媒体广泛报道了GDPR,但许多神话仍然围绕着这一相当新的欧盟法律。在本文中,我们将讨论其中的五个。
误区1:GDPR是欧盟法律,不适用于非欧盟公司。
领土原则通常适用于法律领域。这意味着一个国家采用的法律文书仅在该国有效。例如,美国专利仅在美国提供专利保护。然而,GDPR的作者决定采取不同的方法,以确保欧盟居民的个人数据不会被不道德的外国公司使用。GDPR适用于非欧盟公司:
向欧盟居民提供商品/服务,
监督欧盟居民的行为,或
在欧盟设有分支机构(如果分支机构的活动包括数据处理)。
神话2:GDPR只是吓唬人,但没有实施罚款。
在万维网由超过1.5十亿网站。其中许多网站向欧盟居民出售商品和/或服务,属于GDPR的范围。期望所有这些都符合GDPR的要求是不现实的,包括但不限于识别数据流,完成数据处理协议以及制定全面的隐私政策。
当然,并非所有电子商务企业都有财力和人力资源来满足新欧盟隐私法规定的高标准。但是,欧盟数据保护机构遵循罗马时代的法律原则“ Ignorantia juris non excusat or ignorantia legis neminem excusat ”。在英语中,它可以被翻译为“无知法律不是借口。”尽管GDPR最近已经生效,但越来越多的数据保护机构对隐私侵犯者施加了巨额罚款。例如,在2019年1月,法国数据保护机构罚款5000万欧元谷歌违反GDPR。该机构推断其决定对谷歌进行如下罚款:“罚款的数量和宣传首先是由于确定的关于GDPR基本原则的缺陷的严重性:透明度,信息和同意。”德国,邻居法国批准了一家社交媒体公司以更低的罚款(20,000欧元)侵犯了GDPR 。然而,即使这个数量也会对创业公司和小公司造成严重后果。
误区3:遵守GDPR所需要做的就是在我的网站上发布隐私政策。
人们可以找到许多提供“GDPR兼容”隐私政策模板的网站。其中一些甚至允许用户根据他们的需求定制他们的隐私政策。但是,起草隐私政策只是确保遵守GDPR的一小步。其他步骤可能包括:
安装cookie弹出横幅
进行数据映射
任命一名数据保护官员
在数据泄露的情况下实施通知相关数据保护机构的流程
与数据处理器签订数据处理协议
确保非欧盟国家的数据处理器具有足够的数据保护水平
此外,为了遵守GDPR,组织需要实际执行其精心编写的隐私政策并定期更新,以反映组织数据保护实践的最新变化。
误区4:如果我因违反GDPR而被罚款,我将需要支付几百欧元。
不应将对GDPR罪行的制裁与停车违法行为进行比较,因为前者对社会的影响要比后者严重得多。例如,将其客户的个人数据出售给数据经纪人的公司可能会使数百万人的私生活处于危险之中。此类数据经纪人可能会将个人数据出售给垃圾邮件发送者,垃圾邮件发送者将使用未经请求的邮件轰炸数据主体的电子邮件平台,从而迫使他们浪费宝贵的时间阅读和删除垃圾邮件。GDPR侵权也可能导致未经授权发布个人信息。如今,任何有关个人的公开个人信息都可能对该个人的职业生涯产生负面影响。这是因为雇主经常“谷歌”他们的潜在雇员的姓名和个人信息,如在学生聚会上拍摄的照片,可能会给雇主留下错误的印象。
因此,欧盟数据保护机构可能会对GDPR的侵权者处以严重罚款。上述5000万欧元和20,000欧元的罚款清楚地表明,对违规实体的罚款将在数千至数百万欧元之间。
误解5:如果我遵守GDPR,我将自动遵守所有欧盟隐私法。
GDPR的目标之一是建立一个统一的欧盟法律框架,直接适用于所有欧盟国家。尽管这一目标在某种程度上已实现,但欧盟各国仍然对法律的某些方面拥有自由裁量权。因此,每个欧盟国家都有权就GDPR制定单独的补充规则。目前,至少有70条这样的规则存在。其中许多涉及员工数据的处理。因此,愿意遵守GDPR的公司不仅需要遵守它,还需要遵守欧盟各国采用的补充规则。
自助书籍可能对各种领域非常有帮助,例如心理学,个人财务管理和创业。但是,需要注意任何提供简单方法来遵守GDPR的出版物。这些出版物经常传播神话,使读者面临获得可靠罚款的风险。在没有使用证券专家服务的情况下,很少有人会尝试遵守美国证券法和美国金融业监管局的综合规则。然而,许多人仍然天真地认为他们可以通过购买20美元的模板并将其发布在他们的网站上来遵守GDPR(一项并不比美国证券法复杂的法律)。