英国通用数据保护条例(英国GDPR) 2021年1月1日生效,并设置关键原则,权利和义务在英国处理数据。它几乎完全是基于欧盟GDPR(应用在英国在2021年1月),坐落在数据保护法案2018 (DPA)。
大量的缩写,一些小型企业不堪重负,这是可以理解的。万博网址登录不了一些积极地忽略他们认为行政负担,当别人在不知情的情况下变成违反数据保护法规。英国GDPR不管你的观点,但有一点是明确的,俯瞰可能代价高昂的影响通过巨额罚款和声誉损害你的业务。
身体负责实施数据保护违反英国信息专员办公室(ICO)。大部分的执法行动的图标与积极的直接营销技术,比如讨厌的电话和电子邮件。例如,ColourCoat有限公司房屋改造业务总部设在黑斯廷斯,被罚款ICO£130000的2021年6月后大量的直接营销电话。
企业还应该注意隐私和电子通讯法规(PECR)。同时英国GDPR覆盖处理个人数据,PECR旨在保护隐私和安全的个人数据在使用电子通讯。PECR覆盖方面的业务,如电子营销和饼干在你的网站上的使用。因此,重要的是,企业在这方面也意识到自己的责任,但需要注意的是,这些法规目前正在审查。
然而,ICO的执法行动并不仅限于故意无视法规。美人鱼,慈善机构支持变性青年,被罚款2021年7月8日未能保持其用户的个人资料安全。在其报告中,ICO发现有“过失的方法”对数据保护,数据保护政策不足和缺乏面对面的数据保护培训。尽管美人鱼是一个慈善机构只有18个员工,ICO承认它立即采取行动,以减轻损失数据对象一旦他们意识到违反,美人鱼递给£25000的罚款。
这个很好展示了的严重后果,可能等待小企业违反英国GDPR和中小企业都应该意识到责任的程度时将评估计算罚款。万博网址登录不了好消息是,因为英国欧盟GDPR GDPR很大程度上复制,如果你的生意是符合欧盟GDPR你应该找到你已经很大程度上符合英国GDPR。然而,在光线的变化,数据审计或审查建议,以确保持续合规。考虑到这一点,让我们考虑如何确保您的业务实现其数据的义务。
>请参见:9步骤GDPR合规为您的第一个商业网站
6步骤,以确保你英国GDPR兼容
更新政策和程序
个人数据业务使用必须通过隐私通知告知你的个人数据类型有关;他们的个人数据是如何被使用;和用途(s)。
一个面向内部的数据保护政策应该实现(一个隐私标准)。应该制定原则和法定条件时必须满足获取,处理,加工,运输或储存个人资料,为客户提供客户、供应商和雇员数据。一个更新的政策将展示您的组织如何处理个人数据和使员工意识到自己的义务。
企业需要与第三方审查合同涉及个人数据的处理,并确保他们更新每个当事人的义务,是否作为一个控制器或数据处理器。
培养你的组织
所有员工需要意识到他们的数据监管义务。在你的新政策让他们训练,通知和程序将确保他们一致遵守,并迅速。在美人鱼的情况下,面对面的培训员工也好的做法,以确保你的员工理解他们的义务。在一些组织中,强制性的数据保护官员(数必须任命为制定和实施策略对数据处理和保持组织的教育。这是明智的指定一个人负责数据保护在你的组织(如数据管理器),即使不需要强制DPO约会。然而,中小企业可能没有能力做这个任命,由于缺乏资源。如果是这样,值得外包法律数据保护专家,以确保每个人都知道自己的职责。
重新评估同意
英国同意GDPR设置一个高的标准。必须明确,自由和明确的。回顾你的组织的同意机制。特别是,确保审批需要一个肯定的“自由选择”行动。这个禁令事先做好标记的盒子作为合法的形式给予同意,因为没有可以提供积极的迹象。建议继续同意独立于其他条例,它不应该是一个先决条件的注册服务。你必须同意撤回通知个人的权利,为他们提供简单的方法在任何时候。
如果你现有的同意机制符合英国GDPR,你不一定需要新鲜的同意,但审查和考虑是否同意是合适的,特别是如果有明显的时间流逝或有可能同意的目的或处理的范围得到了以任何方式改变了。
>请参见:GDPR:公司活动,“品牌”
被遗忘的权利
一个规则在英国GDPR是正确的个人数据擦除(“被遗忘的权利”)。虽然只在某些情况下,您的组织必须有能力和程序符合这样的要求。你会有一个月的实质性响应。
主题访问请求
每个人都有权访问他们的数据,你需要适当的程序来处理主题访问请求。在就业环境下,访问请求的上下文中往往使持续的争端或法庭索赔。请求越来越多地由个人客户不满意的客户服务。个体可能真正希望看到个人数据被处理,如果是准确的。别人发出请求的时间、精力和费用他们可以引起,并达成和解。不管动机,是有益的,实质上响应在一个月内(而不是在旧的立法下30天),并提供数据以机器可读的格式。在英国GDPR你不允许收取费用,在有限的情况下保存。
应对数据泄露
至关重要的员工训练有素,装备去理解和认识到什么是数据泄露。数据管理器或数据保护官员需要专业培训应对数据泄露。
员工错误很可能导致中小企业安全威胁和需要采用内部程序和要求相同的从第三方处理器处理数据泄露。包括如何识别数据泄露,如何调查和如何执行评估的影响。记住某些违反必须通知信息专员的72小时内被发现,和受影响的数据对象必须告知哪里有很大伤害的风险。
万博网址登录不了中小企业应该采取行动,以确保他们的数据安全管理和那些符合英国GDPR不仅会避免潜在的罚款和声誉损失,但会发现他们的数据处理,合规流程和合同关系是健壮的,可靠的,在未来几年将保持他们的业务安全。
都是小心的准备我们的文章。然而,没有任何责任可以接受人的行为信息包含在他们的基础上。你建议在尊重个人的情况下获得具体的建议。
都是小心的准备我们的文章。然而,没有任何责任可以接受人的行为信息包含在他们的基础上。你建议在尊重个人的情况下获得具体的建议。
克里斯·库克是一个合伙人及就业和数据保护SA法