引入GDPR的主要错误是仅依靠一个人的力量和资源。 一种常见的做法是期望律师对《规则》进行独立的工作。 在这种情况下,如果他在组织中没有足够的权重并且不能说服他的同事进行整体协调的工作,那么一切都会归结为准备无用的文档模板,这些模板不会保护公司。
GDPR并不孤单
更糟糕的是,甚至没有律师。 将GDPR问题提交给撰稿人或营销商后,您可以在网站上获得模板隐私权政策(隐私权政策)。 您还记得
为什么这样不好吗? 在这样的策略中,您的用户在注册电子邮件时事通讯时将看不到您为什么使用他们的电话号码。 然后,他们会惊讶地收到带有产品或服务报价的电话。 底线:对直接营销和隐私政策的双重投诉。
道德:遵守GDPR是团队合作。 合规部门,律师,信息安全或IT基础架构部门,市场和销售部门,人事部门(如果在欧盟有员工),生产和职能部门-实施法规时的理想团队。
全面探索需求
一个常见的错误是,仅将创新重点放在损害总体GDPR的位置上。 开始制定隐私政策或同意处理个人数据后,公司通常会忘记已经存在数十年的规则。 从旧的指令95/46 / EC迁移到GDPR的规则。 如果您仅阅读有关GDPR创新的简短概述出版物,那么您可能不知道这些规则。 同时,GDPR并未取消第94条和第171序言中明确规定的指令规则。 不遵守某些规则的罚款同样很高。
评估风险
并在任何地方做。 GDPR已将对个人数据的保护从清单的轨道转移到了风险评估。 基于风险分析,您需要独立开发文档并确定应采取的措施。 同时,该法规并未描述风险评估将导致您的结果。 一家公司的成功和有效措施可能与另一家公司无关。 仅基于风险级别和特定威胁的特征,才可以为公司选择度量。
因此,例如,受贿的员工将个人数据库转移给竞争对手的风险与您的公司无关。 此外,处理数据的订约公司很可能会犯下与对数据托管人有关的负面后果。 您的任务是跟踪您参与处理个人数据的承包商对GDPR的执行情况。 您可能没有从另一家公司的朋友那里听说过此事(嗯,您可以从我们这里听到什么)。