什么是 GDPR 合规性?
嗯,GDPR 合规性只是遵守法规的所有要求。
然而,正如您可以从上述 GDPR 的复杂性想象的那样,遵守它绝非易事。
那么,谁的职责是确保一切顺利进行并保证业务满足所有要求?
根据法规本身,在个人数据处理方面有三个不同 加拿大 WhatsApp 号码数据 的角色——其中最常见的两个角色是数据控制者和数据处理者。
↳ 数据控制者
这是主要负责保护网站用户个人信息的人员。
对于哪些个人数据需要处理、如何处理以及为什么处理,该个人拥有最终的决定权。
↳ 数据处理器
在某些情况下,数据控制者会亲自处理个人信息,但并非总是如此。
许多网站选择将数据处理外包给第三方供应商。该外部服务提供商随后成为数据处理器。
值得注意的是,数据处理者在数据方面从来没有完全的自主权,并且只能遵循数据控制者的具体指示。
虽然数据处理者代表数据控制者行事,但数据处理者仍需遵守 GDPR 准则。
这意味着任何雇用外部数据处理器的在线业务都必须确保供应商符合 GDPR。
当数据处理者在非欧盟国家工作且可能不知道该网站正在与欧洲人做生意时,确保第三方合规性尤为重要。
请记住,除非公司能够实质上证明其对不合规行为不负有任何责任,否则数据控制者以及公司将对任何违反法规的行为承担全部责任。
↳ 数据保护官 (DPO)
这是并非每家公司都需要创造的第三个角色。
DPO 是一个自主职位,负责领导公司处理与 GDPR 相关的所有事务。
任务包括对员工进行 GDPR 教育、通过执行数据影响评估来监控合规性以及处理网站用户的任何问题和疑虑。
必须创建 DPO 角色的在线网站只有以下几家:
除法院以外,任何可以行使司法职能的公共机关;
主要职责是定期监控大量个人的实体;
主要职责是处理特殊类别的数据或与刑事司法有关的数据的实体。
那些没有明确要求设立 DPO 的公司可能仍会发现设立该职位是有益的。
如果不遵守 GDPR 会发生什么?
不遵守 GDPR 的处罚非常严厉,并且适用于所有企业,无论其收入多少。
然而,根据违法行为的严重程度,惩罚性罚款分为两级。
▷ 第一级是针对不直接影响个人隐私的违法行为。
例如,这一级别包括有关公司数行为或与文书工作错误有关的违规行为。
对这些较低级别违规行为的罚款仍然很严厉,最高可达 1000 万欧元,或该企业上一财年全球收入的 2%(以较高者为准)。
▷第二级罚款适用于任何直接影响个人隐私的违法行为、违反特定国家隐私法或拒绝遵守监管机构的任何命令的行为。
罚款将增加一倍,最高可达 2000 万欧元,或该公司上一财年全球收入的 4%,以较高者为准。
除了这些监管罚款之外,隐私权受到侵犯的个人还有权起诉要求赔偿物质或非物质的财务损失。
事实上,与 GDPR 违规行为相关的绝大多数罚款都远低于法律允许的最高罚款金额。
虽然谷歌因不合规而被罚款 5000 万欧元,但许多公司支付的罚款还不到几千欧元。