“欧盟数据保护条例”(以下简称GDPR)将于2018年5月25日生效,并将从根本上改变企业访问、存储以及使用个人数据的方式。 虽然这是欧盟的法案,但其一定会对全球包括新西兰在内的国家产生影响。

欧盟(EU)的隐私法案长期以来一直被认为是世界上最棘手的法规之一,这些法规现在变得越来越严格,甚至影响到欧盟以外的组织(如新西兰企业)。

欧盟于2016年4月通过的GDPR要求所有持有、传输或处理欧盟居民数据的组织都遵守 - 无论他们是否实际在欧盟经营。 该法案提供了四种不同的机制,概述了全球执法框架。

企业或组织不遵守法案规定可能会导致非常重的罚金,罚金可高达企业或组织在其全球总收入的4%或2000万欧元之中较高者。

新西兰企业的个人数据主要包括税号,信用卡号码或银行信息等。然而,GDPR本质上是为了保护所有的可识别的个人信息,例如电子邮件地址,电话号码,指纹,定位和其浏览的数据。

有些人也可能天真地以为这只是一个技术性的问题。必须承认技术确实可以帮助实现GDPR的合规,但大量的合规风险源于潜在的业务问题,例如识别出你的企业是否正在收集或处理与欧盟居民有关的数据。因此,切实的保护措施可能需要更加明确的识别过程,更好的监管,更有针对性的培训以及更完善的违规应对计划。

该法案自2016年起在欧盟立法并生效,将于2018年5月25日开始正式实施。

那么关于GDPR,作为新西兰组织需要考虑什么呢?以下是五个关键考虑因素。

1.即使您在欧盟没有运营,GDPR也可能适用

GDPR投了一个大网。任何与欧盟居民产生互动的公司,政府机构和非营利组织都受到这项新法律的约束。许多组织低估了它们持有的欧盟居民的数据量,因此可能不了解该法案的潜在影响。例如,持有欧盟居民数据的银行、医院、酒店和其他组织都受GDPR影响。数字通信领域的最新发展意味着消费者数据可以通过各种方式从世界各地收集并在几秒钟内存储,包括网站、电子邮件、协作平台、移动平台和商业应用程序。值得注意的是,GDPR中所指的“个人数据”的定义非常广,比如个人的地理位置,浏览器中存储在用户本地终端的数据(cookies),指纹或任何可用于识别个体的数据等都属于其定义下的“个人数据“。要确定GDPR是否会影响您的组织,您需要弄清楚以下问题:

您是否向欧盟居民提供货物和服务?

您是否依赖第三方存储或传输欧盟数据?

您是否收集、传输或处理有关欧盟居民的数据?

请记住,提供的服务是否免费的并不重要,贵公司是否在欧盟经营也不是关键。

2.合规行动宜早不宜晚

尽管2018年5月之前不会正式开始实施,但GDPR已经是28个欧盟国家已经生效的法案。执法机构已经开始访问欧盟公司并评估它们的合规情况,预计他们在其他国家也会这样做,例如美国将从2018年年中开始。所以这并没有给组织留出太多时间来确定他们是不是持有欧盟居民的数据以及如何保护它们。

3.您的客户就可以触发执法行动

GDPR规定,客户可以要求组织提供其所维护的所有有关该个人数据信息,以及这些个人信息是如何受到保护的。这也包括每个客户的对组织授权同意如何得到保证和持续有效,持有这些个人信息的具体目的,以及对这些个人信息的保护的方式和程度,包括可能涉及的任何第三方。客户还可以要求组织以电子格式提供所有的信息,以便其转移到其他可能是该组织竞争对手的其他组织中,或者要求将其所有个人信息从该组织系统中完全删除,包括任何可能共享信息的第三方。如果不能及时和全面地回应客户的要求,公司就会被客户正式投诉给相关的GDPR监管机构。从而导致前文所述的重大罚款。

4.现在就开始绘制和分析客户数据

新西兰的组织应该开始识别或“映射”欧盟客户数据。欧盟居民的数据可能存在于不同的部门,分部或子公司,这并不罕见。这些数据需要被保护,甚至与其他客户数据隔离开来,这与一些组织已经开始按照支付卡行业数据安全标准(Payment Card Industry Data Security Standard)中的网络分割标准(network segmentation standards)来保护和隔离信用卡数据是相同的道理。企业中为此设置新岗位是有必要的,比如较大的组织可能需要根据GDPR指定一名个人数据管理专员。

5.利用GDPR合规性作为差异化优势

GDPR符合了全球化日益紧密的环境趋势,表明任何组织或企业都应该在全球范围内为隐私合规做好准备。企业可以将GDPR视为一个机会而不仅仅是一项需要遵守的法规,企业可以通过评估和调整其隐私制度和程序而从这项新法规中获益良多。通过这样做,组织或企业不仅能够遵守现在欧盟的GDPR的要求,也会为其他地区和国家可能将要出现的新隐私法做好准备。与其将隐私合规视为另一项业务成本,组织或企业更应将其视为领先一步的机会,可帮助他们将自己与竞争对手区分开来。

GDPR小结

人们很容易看到外国的法律和法规就认为“这不适用于我”,但是 “欧盟数据保护条例”(GDPR)正在设法解决一个在这个日趋全球化的世界中非常重要的问题。因此,该法规造成的影响必将是全球性的。

我们现在一直在使用手机和电脑处理数据信息,而几乎从不思考这些数据信息被存在哪里。我们在日常通信和交易中获取越来越多的数据信息。正是由于这些我们日常使用的获取数据信息的技术太过于便利,我们对于信息数据泄露的风险变得越来越不敏感了。但其实收集的数据越多,潜在的风险就越大,从而可能导致重大数据泄露。

就像反洗钱和反恐怖主义融资法一样,这些法律在世界范围内逐步普及,并改变了我们做事情的一些方式(近期有人开通了新的银行账户就可以证明这一点),我们也期望能够希望看到更多和GDPR类似的法律法规出台,以便保证信息数据的安全。