GDPR尚未感受到的效果,说是律师事务所的霍根洛夫斯
根据Hogan Lovells的隐私和网络安全实践的共同主任,遵守欧盟的一般数据保护条例(GDPR)是一项持续的努力,是一个持续的努力。
“一个人不能把它视为完成的工作。采纳了GDPR合规计划,组织需要保持活力,而不会失去最重要的事情以及法律如何发展,“他说。
尽管已经施加了多万欧元罚款,但许多组织采用了“像往常一样”的GDPR遵守方法,因此,随着数字经济持续增长,这可能会发生变化。
“完全确定可能是一个无法认真的目标,但是对实际优先事项的警觉并继续工作将走很长的路,”他说。
在GDPR的第二年,Ustaran表示,组织应确保他们将基础知识作为最优先事项。
“作为法律一些重要方面的监管指导 - 从其对加工的合法理由的超领域适用性 - 继续倾注,确定使用个人数据的适当法律依据已成为绝对优先级,”他说。
“监管机构期望通过全面透明的方法通过明确和全面的隐私声明匹配的坚实基础。”
除了确保他们得到基础知识的权利,Ustaran表示,组织应该确保他们应该坚持以下五个分:
1.满足史的需求:在GDPR初期的数据受试者的初始涌入后,Ustaran表示,请求的步伐似乎已降至'业务 - 常见的水平。
“然而,由于欧盟数据保护法仍然主要关于将人们控制他们的数据,因此处理任何人们在法律下寻求行使其权利的任何请求应始终是一个首要任务,”他补充道。
2.采用可靠的数据保护影响评估(DPIA)战略:除了GDPR的所有新问责制要求之外,除了数据保护官员的作用,Ustaran表示,执行DPIAS可能是确保遵守法律的“单一最重要的因素”。
“因为这个原因,监管机构经常寻求了解组织如何部署DPIAS,”他说。
3.与监管机构聘用:Ustaran表示,从实际合规性角度来看,GDPR的最重要特征之一是其执法安排。
“核心为此是监督的一站式商店系统,它为单一监管机构提供全部权限,以监督组织的泛欧数据处理活动。这种方法仍然与数据保护权限兼容。因此,对许多组织来说,监管婚姻的思考策略将是必不可少的。“
4.准备数据安全事件:Ustaran表示,72小时决定是否报告数据安全事件是一个非常短的时间范围,并且该体验表明,处理不可避免的事件的最明智的方式是准备好。
“特别是,组织应确保他们知道如何评估杀戮的可能风险,以确定是否报告并,如果是,如何,”他说。
5.合法化全球数据流量:Brexit的一个意外后果之一,Ustaran表示,再次强调合法化国际数据转移的重要性。
“这不是一个新问题,但采用可行和未来的策略来启用全局数据流量是必须的。对于许多组织来说,这可能会从集体内部的协议开始并向BCR演变[绑定公司规则]。无论使用什么机制,它应该保留在审查中,“他说。