改变您的运营:欧盟现在要求您将数据隐私紧密整合到您的运营中
Posted: Mon Jan 27, 2025 5:09 am
每家处理个人数据的公司都必须实施正确的操作。数据隐私管理不能是一次性的或偶尔才实施的。它必须融入到您的日常运营中。
这就是“设计隐私”概念的 出现之处。它将成为在任何时间、任何级别防止数据滥用的必备条件。这将适用于整个数据生命周期。简而言之,设计隐私是流程定义之前而不是之后的默认操作基础。设计隐私是 Ann Cavoukian 于 90 年代在安大略省创建的,现在又重新焕发了活力。
另一个有趣的因素是,负责数据处理的公司(例如营销机构)和使用这些数据的公司(例如这些机构的客户)将共同承担责任。每家公司都有义务确保其合作公司符合 GDPR 规定。这意味着公司之间必须签署特定的 GDPR 合规合同,更重要的是,数据处理链必须对所有人公开。例如,品牌必须确保他们不仅与代理机构签署了 GDPR 合同,还需要知道这些代理机构雇用了哪些供应商,并确保这些供应商也符合规定。承包商公司在雇用新供应商时有义务通知其客户。认证将会出现,并将使这方面变得更容易,基于电子商务市场中已经存在的认证,例如 Truste或 Europrise )
最后,许多欧盟国家都不再需要文书工作或额外的法律发展。例如,在西班牙,有义务(直到 2018 年 GDPR 适用)在 西班牙数据保护局的中央数据库中注册数据库。这将不再是必要的。
4.- 变得透明
这里的一个关键建议是明确您的目标以及使用个 巴西电话数据 人数据的原因。同意必须以非常明确的方式(默认同意将消失)并基于每个目标给出。例如,如果您收集个人数据以进行基本的客户操作(例如保修、售后支持),您将需要一份同意书来解释收集数据的原因(在这种情况下,以便能够稍后联系消费者)。如果您收集个人数据以告知您的产品或服务,您必须获得另一份同意书,但这不是强制性的(您不能拥有一份表格,如果没有勾选,您将无法完成相关流程)
5.- 谨慎招募或提名你的 DPO
您的数据隐私官 (DPO) 是您组织中隐私方面的关键角色。该专业人员必须向最高级别汇报,并且必须拥有适当的资源。无论这是内部还是外部角色,组织必须非常重视这一角色。严肃性的证据应包括独立性(DPO 的职业利益不应与公民利益相抵触 - 例如,提名营销人员不是一个好主意)、内部能力(DPO 应在预设的框架内运作,以促进该专业人员真正被倾听)和准备(DPO 应该是资深人士 - 提名处于职业生涯早期的专业人员也是一个糟糕的做法)。
6.- 定义你的隐私策略
一些战略问题已经提到过。例如,您的 DPO 将是其中的关键部分,或者您必须制定正确的流程。
然而,制定一个坚如磐石的战略必须远远超出这几个要素。从战略目标开始似乎是个好主意。首要目标应该是保护欧盟公民。然后,一些建议可能包括提高您的品牌形象,使其因隐私尊重而闻名,或者保护您的组织免受隐私不良做法以及最终的精细风险的影响。我们建议您在流程中实施证据保存、定期隐私影响评估(PIA,包括风险分析)和最新报告。
最后,很明显,GDPR 代表了公司行为方面的一次巨大飞跃。它显然在 法律确定性 和公司保护方面提出了问题。事实上,我们需要等待一些法庭判决来创造先例。我们现在知道并且应该强烈意识到的是,欧盟委员会鼓励公司了解数据保护的重要性,并要求它们提高标准。
这就是“设计隐私”概念的 出现之处。它将成为在任何时间、任何级别防止数据滥用的必备条件。这将适用于整个数据生命周期。简而言之,设计隐私是流程定义之前而不是之后的默认操作基础。设计隐私是 Ann Cavoukian 于 90 年代在安大略省创建的,现在又重新焕发了活力。
另一个有趣的因素是,负责数据处理的公司(例如营销机构)和使用这些数据的公司(例如这些机构的客户)将共同承担责任。每家公司都有义务确保其合作公司符合 GDPR 规定。这意味着公司之间必须签署特定的 GDPR 合规合同,更重要的是,数据处理链必须对所有人公开。例如,品牌必须确保他们不仅与代理机构签署了 GDPR 合同,还需要知道这些代理机构雇用了哪些供应商,并确保这些供应商也符合规定。承包商公司在雇用新供应商时有义务通知其客户。认证将会出现,并将使这方面变得更容易,基于电子商务市场中已经存在的认证,例如 Truste或 Europrise )
最后,许多欧盟国家都不再需要文书工作或额外的法律发展。例如,在西班牙,有义务(直到 2018 年 GDPR 适用)在 西班牙数据保护局的中央数据库中注册数据库。这将不再是必要的。
4.- 变得透明
这里的一个关键建议是明确您的目标以及使用个 巴西电话数据 人数据的原因。同意必须以非常明确的方式(默认同意将消失)并基于每个目标给出。例如,如果您收集个人数据以进行基本的客户操作(例如保修、售后支持),您将需要一份同意书来解释收集数据的原因(在这种情况下,以便能够稍后联系消费者)。如果您收集个人数据以告知您的产品或服务,您必须获得另一份同意书,但这不是强制性的(您不能拥有一份表格,如果没有勾选,您将无法完成相关流程)
5.- 谨慎招募或提名你的 DPO
您的数据隐私官 (DPO) 是您组织中隐私方面的关键角色。该专业人员必须向最高级别汇报,并且必须拥有适当的资源。无论这是内部还是外部角色,组织必须非常重视这一角色。严肃性的证据应包括独立性(DPO 的职业利益不应与公民利益相抵触 - 例如,提名营销人员不是一个好主意)、内部能力(DPO 应在预设的框架内运作,以促进该专业人员真正被倾听)和准备(DPO 应该是资深人士 - 提名处于职业生涯早期的专业人员也是一个糟糕的做法)。
6.- 定义你的隐私策略
一些战略问题已经提到过。例如,您的 DPO 将是其中的关键部分,或者您必须制定正确的流程。
然而,制定一个坚如磐石的战略必须远远超出这几个要素。从战略目标开始似乎是个好主意。首要目标应该是保护欧盟公民。然后,一些建议可能包括提高您的品牌形象,使其因隐私尊重而闻名,或者保护您的组织免受隐私不良做法以及最终的精细风险的影响。我们建议您在流程中实施证据保存、定期隐私影响评估(PIA,包括风险分析)和最新报告。
最后,很明显,GDPR 代表了公司行为方面的一次巨大飞跃。它显然在 法律确定性 和公司保护方面提出了问题。事实上,我们需要等待一些法庭判决来创造先例。我们现在知道并且应该强烈意识到的是,欧盟委员会鼓励公司了解数据保护的重要性,并要求它们提高标准。