“自歐盟《通用數據保護條例》(GDPR)生效以來，很多公司企業都忙于實行全新的數據保護標準。一個完善的數據保護管理系統比以往任何時候都要重要。我們可以參考一下其他公司在GDPR方面的一些初步經驗。”

自2018年5月25日GDPR生效以來，它在某些情況下引發了許多略顯荒謬的鬧劇。我們聽說過的故事包括：幼兒園班級照中小朋友的臉都被打了馬賽克、房東取下了門鈴上的住戶銘牌，甚至在兒童繪畫比賽中，由于組織者出于隱私保護的原因，只記錄了參賽兒童的姓氏，因此無法確定最終的獲獎選手。在媒體的炒作之下，許多公司繼續全心致力于實施全面的GDPR要求。

從企業的角度來看，GDPR項目實施之目的是與監管當局、負責數據保護的法院建立穩固的直接聯系。事實上，企業幾乎不可能在短時間內實現GDPR的所有要求。

GDPR設置了眾多新的義務。企業不僅必須遵守這些規定，而且在必要時還需要證明其合規。目前，許多企業仍在實施GDPR項目。在這個階段，密切關注其他企業的經驗和風險的變化，從而根據需要將項目予以重新調整，這才是我們工作的重中之重。

一、其他企業有哪些進展？

一些執行項目的現狀

盡管許多德國公司在GDPR生效之前幾乎沒有利用兩年的寬限期，但大多數公司已經完成或至少啟動了落實GDPR規定的項目。然而，很少有公司能夠完全實現每一項要求。事實上，大多數公司選擇以管控風險的方式，實施了“可見”的措施，例如：任命一名數據保護官、頒布隱私聲明（尤其是在網站上）以及完善數據處理協議。

下一階段的工作

在實施了“可見”的措施之后，企業需要將注意力轉向其他“必要”的措施。這些是GDPR的強制性規定，若數據保護機構在審計期間，發現沒有這些措施，則極有可能遭致處罰。這就是為什么現在很多企業都在關注這些措施：

? 完善處理工作與執行支持程序的記錄（例如：針對新的或經修改過的處理任務）

? 實施技術性和組織性的數據保護措施

? 實施數據保護影響評估程序

? 設計一個刪除的概念，并在所有受影響的信息技術系統中實現

? 對來自數據主體的請求，實施一個高效的自動化處理流程

? 制定一個違反個人數據響應機制，并在公司內部宣傳相應的程序

二、什么是真正的風險？

數據保護機構在做什么？

在對GDPR的實施感到極度恐慌，并預計罰款金額可達數百萬甚至幾十億之后，數據保護機構在GDPR生效后的頭幾個月里異常地安靜。2019年初，谷歌在法國被處以5,000萬歐元的罰款。德國最高的GDPR相關罰款總額相對較低，為80,000歐元。據媒體報道，德國數據保護機構正在進行一系列的調查。但是，調查需要大量的時間，許多數據保護部門目前（仍然）亟需人手。

迄今引起人們關注的調查主要集中在以下方面：

? 侵犯數據隱私（例如：數據加密不足）

? 是否遵守GDPR的透明義務

? 使用非法的電子郵件廣告

此外，一些數據保護機構正在對GDPR的實施、數據保護企業或Facebook頁面的正確設計開展大規模的調查。

根據2018年安聯公布的調查，全球網絡事故造成的總損失達5,000億歐元，使其成為企業面臨的最大風險之一。

三、其他風險？

除了零星幾個案例外，我們很少看到廣泛宣傳的正式警告。到目前為止，法院已經就GDPR正式警告的合法性做出了不同的裁決。即使將來仍有可能提出正式警告，但在短期內，這些警告的風險似乎相對較低。與隱私相關的損害索賠則不同，新的集體訴訟告申程序和歐盟層面討論的全歐洲范圍的集體訴訟，可能會使此類索賠對企業構成相當嚴重的威脅。違反數據保護規定可能導致聲譽受損的風險仍然很高。

四、GDPR項目的調查結果

鑒于仍然較高的風險及許多企業目前的執行狀況，許多公司仍將全面地執行GDPR的要求列入了近期的議事日程。根據我們的經驗，可以從已經完成的GDPR項目中得出以下結論：

? GDPR實施項目只有在得到董事會和高管充分支持時才能有效地開展

? 實施GDPR項目需要時間和耐心，但公司可以很快地取得一定的成果并不斷地推動其進一步的實施

? 數據安全不僅需要嚴格的技術保障，還需要改變流程和組織架構

? 永久性的解決方案要求所有的相關方都能改變意識和行為

? 以上這些都要求每天處理個人數據的員工盡早積極地參與

關于數據保護監管部門，請注意以下幾點：

? 數據保護監管部門獎勵合作——甚至可能降低罰款

? 目前，數據保護監管部門在超負荷地工作，但有計劃地增加人員可以迅速緩解這種情況

五、成功實施GDPR項目的案例

“我們為符合GDPR的要求提供全面、可靠的解決方案。一起來看一下金融領域的一個案例。”

由多個公司實體組成的B2B金融服務提供商為自己設定的目標是，在GDPR生效時，滿足其最核心的要求（尤其是那些具有外部影響的要求），并啟動長效機制。

為了了解GDPR將對公司產生何種影響，股東們首先根據公司當前的情況對比GDPR的要求，進行了數據保護審計，分析了現有的組織和流程結構、治理架構（包括指南和合同）以及IT系統。此外，公司還考慮了企業文化和員工自身特有的一些因素（例如：員工如何看待“數據保護”的問題？他們目前對該問題的認知水平如何？）

審計結果使公司更全面地了解了所有的問題，并按優先等級制定了行動方案和建議的執行時間表。優先等級是在綜合考量了外部可見性、必要性、以及對公司是否有意義等因素后才設定的。

六、設計和建立項目的實施

將選定的實施措施分成六個與內容相關的工作流程，由指定的員工負責。客戶的項目經理和一名顧問共同負責項目的整體管理。指導委員會代表最高管理層來行使職能。

我們每周都會制定具體的實施計劃。這種方法可以使大家隨時洞悉實施過程中的任何變化。此外，實施計劃中包括了近期的要求，確定好優先等級后能夠快速實施。

七、全員參與的長效機制

改進的程序和行為必須是有效的。為了確保這一點，公司員工應當對處理數據有正確的認識，掌握新的操作方式，并接受新流程的培訓。事實上，我們體會到下列策略是非常有效的：

1、數據保護并不復雜

在工作會上，我們與相關人員一起討論和確定對現有的操作流程和熟悉的工作步驟進行必要的修改。最終產生的結果應當是精簡且以客戶和員工為導向的，適當地傳達到相應的流程中，同時也能被受影響的人員所接受。

2、數據保護很容易融入日常的工作

我們與相關員工一起制定了操作指南和警示體系，并明確了如何輕松地將數據保護需求集成到日常工作流程中的策略。這樣做的結果會是，員工信心提升，違反數據保護規定的可能性下降。

3、數據保護需要團隊合作

有高級管理人員參與的高級別和跨部門之間的互動能夠極大地推廣這些舉措。其中的一個例子就是，對于實施信息保護合規和保障有關方權益之間的沖突，各個部門在整個客戶生命周期中都應保持充分有效的溝通。

我們看到，在GDPR生效時，主要的數據保護要求已如期實施，業務相關的員工可立即付諸應用。

總之，只有得到員工和商業伙伴的普遍理解和接受，我們才能持續地貫徹為符合GDPR數據合規而采取的那些措施。

供稿：
avocado rechtsanw?lte
Jan Peter Voss 合伙人
Prof. Dr. Thomas Wilmer 律師
CPC Unternehmensmanagement AG
Clemens Heisinger 合伙人
Dirk Thater 顧問

總結

以上是生活随笔為你收集整理的通用数据保护条例_欧盟《通用数据保护条例》——2019年的形势的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。