2018年2月20日

对GDPR合规性的GDPR专家Thiébautdevergranne采访

阅读时间约6分钟

您如何确保GDPR对您的业务合规性?根据Thiébautdevergranne的说法,企业应该首先确保他们的第三方软件提供商和其他正在使用的解决方案符合新法律。

遇见受访者:
Thiébautdevergranne是法国法律专家,具有专门从事新兴技术的私法博士学位。

他是这本书的作者“La propriete informatique,并在网络安全部门工作了六年(DCSSI.)法国国防和保安的秘书处。

在他的网站上了解有关Thiébaut的更多信息:donneespersonelles.fr

SendInblue采访GDPR专家Thiébautdevergranne

改编自原文用法语

SendInblue正在积极准备GDPR的到达,在2018年5月进入效果。与现有法律相比,您在这项新立法中看到了哪些重大变化?

从本质上讲,GDPR是旧法律的更新,包括了真实的后果。

如果您正在处理计算机系统上的新法律(名称,名称,个人,社会安全号码等)定义的个人数据,则此新规则适用于您。

给人的印象是,法律定义了宽泛的原则,但对企业如何正确遵守却一无所知。爱游戏ayxdota2这条法律在实践中如何应用?

这很正常。事实上,这正是法律的目的。让我们举个例子:法律条文要求在处理个人资料时建立足够的安全措施。但是,法律并没有定义这些措施(杀毒软件,战略防御计划)实际上应该是什么,因为这不是法律的作用。

因此,法律的科目必须相应地适应他们的具体情况。这种适应通常落在受法律影响的公司的内部律师,通常是在工程师的帮助下。他们的工作是确保采取适当的措施,遵守其特定案件的法律。

具体而言,这项法律对中小型企业有什么影响?它不是主要为攻击大型科技公司提供法律依据吗?

在我个人看来,大型科技公司——比如谷歌、亚马逊、Facebook或苹果——可能最不关心GDPR的遵守情况。事实上,欧洲公司,尤其是法国公司,可能会受到这一立法的最沉重打击。

与最相信的是相反,这些大型科技公司有正确的文化,以处理这种规模的行使遵守。值得注意的是,美国拥有130万司法律师,而不是像法国这样的欧洲国家的50,000人 - 与欧洲不同,在美国比较常见的数百万美元的罚款。

因此,对于这些科技巨头来说,遵守GDPR是他们习惯管理的一个正常问题。

然而,在欧洲,文化是非常不同的——在法国更是如此。我们习惯于被无数的规则所约束,最终没有人遵守——至少在真正的后果开始出现之前是这样。

正因为如此,欧洲的许多组织正在花时间来遵守新的GDPR法规,以等待并观察惩罚将如何在实践中应用。这是一个严重的误判,源于对新法律的根本误解:GDPR赋予多个行动者采取法律行动的权力(解雇雇员、社会合作伙伴、消费者协会、隐私倡导团体等)。

肯定有一些有兴趣采取这些步骤的人,这就是为什么开始努力遵守GDPR的合规性。

对于中小型企业来说,最好的解决方案是只使用那些明确声明它们是“符合GDPR的”的第三方软件工具,这意味着它们已经采取了必要的步骤使它们的工具符合新的法律。这对电子邮件营销软件尤其重要。

要遵守GDPR,企业将被要求避免客户的同意证明,以便处理其数据。这项同意可能需要什么形式?例如,在收集电子邮件地址时,选择性表格的日志是否就是在GDPR方面就像同意证明?

要简单地回答您的问题,很重要的是要在法律上下文中,无法由一个元素引起证明,而是来自一组同核元素。

例如,您可以创建一个巴利者的报告在注册并提供联系信息时,指出用户在播放和提供联系信息时得到了广泛的信息。但是如果有人在创建报告后一天进入您的系统时,这真的是什么证明了?这表明在此用户的行动时确保了适当同意的技术机制吗?

它总是一个好主意,采取必要的预防措施(为什么不使用一个法警的报告,选择日志,同意的过程,等等),但是证据总是可以带到法官的角色是确定,根据事实提出和讨论,这样的争端的解决方案。

软件供应商可以在这个过程中扮演重要角色。例如,它们可以允许企业激活法律通知,同时保留谁看到了它们的记录。这将让企业向所有新用户表明,他们已经向他们展示了从特定日期开始的法律通知。这可以作为法律案件中证明的要素之一。

对于那些已经有一个可选择加入的联系人列表,但还没有保存这种同意记录的企业来说,发送一封电子邮件请求这些联系人重新同意是否就足够了?你怎么能出示确凿的同意证明?

这实际上非常复杂。

该规例(第6及7条)规定,控罪人须能证明正在处理其资料的个人已同意进行这项处理。因此,您还必须积累一些证据,证明接收者实际上同意了这个“同意更新”活动。

所以我必须把问题转回你:您可以使用哪些物质元素表明同意发生了?我们必须从那里开始 - 但不要争取不可取的证据,因为这不存在。相反,您必须尽可能多地收集一致的证据。

对于一般的企业主或电子商务商人,如果他们在遵守GDPR方面没有资源来获得帮助,你会向他们推荐什么?爱游戏PT电子

我建议向您的软件提供商联系,以确保他们正在为GDPR合规性采取必要的步骤,因为它们更能够吸收合规性的成本。Also, only use GDPR compliant solutions (editor’s note: like Sendinblue ) — that would be a good first step.

作为主题的专家,您是否有信心企业愿意并能够遵守此规定?

在法律进入效果的日子,我们会看到大量冲突的事实,我非常有信心,因为有大量的行动者对法律如何适应法律和其后果。

但是,许多公司现在仍然不了解即将监管的重力和影响。

寻找电子邮件营销解决方案,符合GDPR吗?今天免费尝试SendInblue!!

准备找到你的营销禅?

用适合您建造的解决方案将压力从您的工作日带出!

自由开始