（本文转载自微信公众号 金杜研究院，本网获授权转载）

欧洲《通用数据保护条例》（“GDPR”）自出台以来就引起了诸多恐慌，而现在已生效近两年时间，还应该为之担忧吗？事实上，虽然《通用数据保护条例》引入了一些新概念，但主要的数据保护原则并未发生改变。如果已经具备了适当的合规性，并且政策和培训均保持最新，那么就不必惊慌。

也就是说，看似并未遭受实际经济损失或精神损害的个人会让你承担巨额罚款，并可能对你提起集体诉讼，这意味着既不能忽视数据保护，也不宜固步自封。在这一领域积极采取行动将强有力地推进合规，而且与一旦出现问题所产生的经济损失和名誉损失相比，合规成本微不足道。本文总结了组织进行数据保护合规需要考虑的五个关键要素，而如果能成功落实这五个要素，将会大大降低不合规的风险，同时提高业务效率：

1)

数据保护政策和培训——是否制定了明确的数据保护政策，来说明为组织工作的每个人应如何按照符合适用的数据保护法律规定的方式处理个人数据？

政策的内容是否简明易懂？实质上，数据保护政策应当是一份具有指导作用的行为准则，涵盖一般性要点，比如保护个人数据安全的方式、共享个人数据的方法以及向客户营销时应考虑的问题等。

当然，政策文件还应辅以培训（现场培训或在线培训），提供关于如何处理数据保护权利请求等的实际案例。例如，在个人要求行使信息删除权或访问权的情况下，员工知道应当怎样处理吗？在近期的一个案例中，英国南威尔士警察使用的面部识别技术遭到了质疑，而适当的政策文件帮助他们脱离了困境。

2)

隐私声明——隐私声明告知人们按照《通用数据保护条例》透明度要求来收集和使用他们的个人信息的方式和原因。通常，需要有一份内部员工隐私声明。很显然，员工信息将被用于与雇佣相关的事宜，但有一些不太明显的情况，需要告知员工，如信息技术系统监控、电子安全通行证、车辆跟踪等。

此外，还需要考虑一般网站隐私声明，针对的对象为顾客/客户、网站访客以及在外部打交道的任何其他个人。当然，要起草这些非常重要的隐私声明，就需要了解数据在公司内传输的方式，以及外部共享这些数据的人员。这听起来是一项艰巨的任务，实则不然；如果说数据是新石油，那么考虑一下能够开采新石油可能会有哪些益处。

3)

数据泄露——对于因数据泄露而导致个人信息被窃取的情况，组织是否有备无患？是否制定了一份明确的指南，告知人们在发生数据泄露的情况下应当逐步采取什么措施、应当和谁联系？需要注意的是，《通用数据保护条例》规定如果存在因数据泄露对个人造成伤害的风险，需在发现泄露事件后72小时内通知相关监管机构。

各方（如内部信息技术、人力资源沟通团队等）以及外部各方（如保险公司和信用保护供应商）需要迅速有效地进行联络，以评估数据泄露并降低影响，包括决定是否通知监管机构和受影响个人。

请记住，可以通过采取良好的物理和电子安全措施将数据泄露的风险降到最低。既不要像英国航空那样因安全措施不充分而陷入困境（目前可能面临1.83亿英镑的罚款），也不要步英国电信运营商TalkTalk的后尘，在遭到数据泄露后像没头苍蝇一样乱撞。TalkTalk的首席执行官在公开宣布泄露事件前居然未能把事情搞清楚，因此受到批评

4)

合同条款——法律要求确保在与共享任何个人数据的第三方（如服务供应商和联合业务合作者）签订的合同中有充分的数据保护条款。关键在于明确由谁负责个人数据处理的哪些要素，这样才能够确定另一方是否：

1.仅代为采取行动（处理者）；

2.独立决定如何使用个人数据（独立控制者）；或

3.共同承担责任（联合控制者）。

5)

个人权利——你可能会认为这个话题无关紧要。偶尔有删除或访问个人数据的请求，除了造成一点不便之外，还能有什么害处呢？千万不要掉以轻心！个人越来越熟悉自己拥有的数据保护权利，并且各个组织都收到了大量个人请求，而这些请求通常来自心怀不满的个人，特别是那些要求组织提供所持有的其个人数据的副本的请求。

人们可以要求的内容似乎没有限制，英国国民威斯敏斯特银行2018年就发现这点对其不利。在个人向国民威斯敏斯特银行提出数据主体访问请求时，就连关于个人（权利请求人）的会议的举行时间和出席者等信息，都被认为是相关的个人数据。

现有的豁免情况非常少，并且解释也很狭隘，特别是英国数据保护监管机构的解释。组织处理这类请求通常要花费数千英镑，更别提耗费的时间和资源了，而且这些因素都不属于豁免的范围。

此外，相当不幸的是，权利请求通常伴有争议性索赔，在个人认为请求的结果不尽如人意的情况下甚至会发生诉讼。重要提示！不要在电子邮件、即时消息或数据库的自由文本字段中记录与业务无关的人员的信息，否则如果有关个人看到的话，可能会给组织带来声誉或诉讼风险。

本文作者

Sana Duncan 顾问 伦敦办公室

Lequn Su(Joe) 苏乐群 合伙人 伦敦办公室 joe.su@eu.kwm.com