企业家如何能符合欧盟新型数据保护条例

EU und Datenschutz: Die neue DSGVO tritt am 25. Mai in Kraft. 欧盟和数据保护:新的通用数据保护条例于5月25日生效。Bildquelle: Adobe Stock; © Stockwer Fotodesign

通用数据保护条例(Datenschutzgrundverordnung,简称DSGVO)重新制订了个人数据管理的规定,并为在德国从事业务的企业家带来了重要的改变。违反规定者将会面临高达2000万欧元或全球年营业额的4%的罚款。但是该条例也带来了一个问题:要做一家不违反数据保护条例的企业,并没有那么容易。通用数据保护条例是普遍适用的。其中有些内容只会适用于某些企业,其他企业就可以忽略。但无论如何,企业家都一定要注意以下十件事:

1. 拥有责任感

通用数据保护条例的适用领域非常宽泛。个人数据涉及包括客户地址,通讯记录或健康记录在内的等多种数据。 因此,即便是幼儿园和协会也会受到通用数据保护条例的影响。

2. 请问自己三个问题

根据相关专家的建议,企业家可以向自身提出如下三个问题:我的公司收集哪些个人数据?这些个人数据会在哪里处理?这些数据是怎样被处理的?因此,企业家应特别注意人力资源,信息技术,市场营销和财务部门的数据保护。

3. 记录您对数据的处理

一份数据处理目录(Verzeichnis von Verarbeitungstaetigkeiten, 简称VvV)可以帮您记录,在您的企业里是如何处理数据的。即使公司只是偶尔处理个人数据,不管公司的规模如何都需要建立数据处理目录。

4. 任命一位数据保护员

当您的企业有十名以上员工的工作涉及“个人数据处理”时,任命一位数据保护员就会成为强制性要求。数据保护员的职位相对容易招聘。数据保护员不但不必对违反数据保护条例承担任何责任,而且还会受到特别的解约保护。

5. 您的企业需要一个好的数据保护声明

如果任何互联网用户都可以任意查看公司网站上的数据保护声明,那么有些律师事务所(特指发警告信,处理罚款和赔偿的律所)就会很容易对这样不合格的数据保护声明不满。什么样的数据保护声明是不错的呢?如果需要的人能很迅速找到它,而且表达完整易懂就是一份不错的声明。

6. 请您考虑退出选项

什么样的内容未来在互联网上是允许的,这很大程度上取决于网站的构建方式。这其中的灰色地带非常之大。即使用户没有主动点击,一些社交媒体插件还是会自动收集数据并将其转发到Facebook,Twitter等等社交软件上。关于Google Analytics等分析工具也有很多争议。为避免在上网时遭到不希望出现的追踪控制,需要在接收信息时设置退出选项。

7. 将服务提供商和供应商也考虑在内

任何将个人数据传输给服务提供商的人应该规定服务提供商该如何处理数据。例如,如果货运代理商交付货物,就可能会需要订单数据处理合同(Auftragdatenverarbeitungsvertrag,简称AVV)。因此,他们也必须要知道客户的地址。对于外部服务器上的公司网站来说,订单数据处理合同也是值得推荐的。

8. 您需要一份应急计划

根据通用数据保护条例,企业有义务进行后果评估:如果我因为疏忽发布了敏感数据,风险将会有多大呢?无论如何,有一份应急计划对公司而言并没有什么坏处。因为如果出现数据崩溃,您只有72小时的时间向监管局报告。如果制订了应急计划,相对轻微的故障和漏洞就可以找到原因后搁置一边,而且不用向监管局报告。

9. 定期清理数据库

数据库里有一些数据会有更改,例如地址。还有一些数据则是多余的,就像那些多年来没有购买过公司任何商品的客户信息一样。这就是企业家有责任定期更新数据库的原因。根据一条经验规律,五年以上未使用过的数据就要被删除。当然,这并不适用于因为法律要求必须保存更长时间的数据,比如说税务数据。

10. 让数据保护成为您的竞争优势

信息自主权是一项基本权利。监管机构会根据法律法规打击信息侵权行为,为社会树立榜样。 但是,通用数据保护条例对许多细节问题尚未作出规定。未来几年内,在公众评论和法庭判决的压力下,企业家可能会被迫改变其数据保护政策。因此,数据保护可能会成为一家公司的竞争优势:如果您的公司始终以数据保护方面最新的规定为准绳,那么您的公司就会在竞争中处于领先地位。

网页链接(德语内容)

数据处理目录(VvV)模板
关于数据保护员的重要信息
数据保护声明模板

Dieser Post ist auch verfügbar auf: 德语