许多企业家问自己的问题是,在应用有关处理个人数据的立法时,强制性要求是什么。当谈到隐私时,一个组织遵守得如何?答案并不是唯一的,而是取决于几个因素,但无论公司规模或性质如何,都有一系列共同的因素。其他要素对于某些类型的企业来说是强制性的,而对于其他企业来说则是可选的(尽管通常是建议的)。以下是该立法的一些主要方面,但我们提醒您,可能还有许多其他同样重要的方面未在此处考虑。
让我们尝试澄清这些方面
没有立即的答案,因为这取决于公司组织和所进行的个人数据处理类型。
此事主要受欧洲法规 2016/679(即 Telegram 数字数据 著名的“ GDPR ”即通用数据保护条例
的缩写)以及其他国家法规的管辖,例如仍然适用的部分立法法令 196/2003,该法令更为人熟知的名称是“隐私法典”,随着 GDPR 的出台,该法令已被部分废除。
该问题的一个基本原则是问责制(GDPR 第 5 条第 2 款):义务主体必须遵守个人数据保护规则,并且能够主动证明这种遵守情况。
换句话说,问责要求控制者采取有效的技术和组织措施来确保数据安全,记录为保护个人数据而采取的选择和行动,并在控制的情况下证明数据的处理符合 GDPR。
证明组织合规性的一个有用要素是制定管理数据处理的政策。
但让我们退一步来看。
该法规适用于哪些人?答案很简单:针对所有处理个人数据的主体。让我们看看这个场景中的主要参与者是谁:
●数据控制者(GDPR 第 4 条第 7 点)是决定 但你的工作却没有 为何以及如何处理个人数据的实体,无论是公司还是自然人,甚至是公共机构。因此,谁对个人数据的处理都有决策权并承担法律责任。
具体来说,它涉及:
❖ 确定处理的目的,例如是否进行营销活动、人事管理等;
❖ 确定治疗手段,即使用哪些工具、方法和程序;
❖ 确保遵守现行法规,例如 GDPR;
❖ 起草和更新所需文件,包括治疗登记和隐私信息;
❖ 管理数据主体的权利,例如访问、更正、删除和数据可携性的权利;
❖ 采取足够的安全措施保护个人数据。
因此,当一家公司开展活动时(例如针对其员工或在其自己的网页上),它肯定拥有作为数据控制者的资料,因此它将有义务遵守这方面的义务。
●数据控制者是代表所有者进行处理的人,因此将接受所有者关于如何使用数据以及用于何种目的的指示。
需要确保采取足够的技术和组织安全措施,必须支持所有者确保遵守相关方的权利,并可能接受所有者的检查和验证。
例如,负责处理公司员工工资单的会计师事务所充当数据控制者,因此所有者必须任命他。
●负责或授权处理数据的人员是指在所有者或管理者的组织内,按照收到的指示处理个人数据的自然人。例如,数据控制者的员工被任命为数据处理者,因此会收到有关如何处理数据的指示。
●利害关系人是其个人数据被处理的主体。举一个实际的例子,它可以是网站的客户或用户。 GDPR 赋予您一系列权利,例如访问权、更正权、删除权(被遗忘权)、限制处理权和数据可移植性权。
● DPO——数据保护官的缩写——是一名专业人士,在组织内发挥着咨询、控制和支持的作用。它可以是公司的内部资源,也可以是外部资源。
依据艺术。 37 GDPR 在某些特定情况下必须指定它:当局或公共机构、预见大规模处理的组织、预见特定类别个人数据的组织。
然而,任命的情况并不局限于上述情况,因为即使上述情况不适用,公司也始终可以自愿任命自己的
DPO,这正是根据所处理事项而定的
立法方面的专业知识,并且是一个独立人物,因为他不能接受有关如何履行职责的指示,也不能
因履行职责而被免职或受到处罚。
他是确保组织依法管理个人数据的关键人物,是所有隐私相关问题的参考点。
●隐私局是意大利独立的行政机构,负责检查个人数 电话号码业务线索 据的处理是否符合法律规定,以及保护自然人在个人数据处理方面的基本权利和自由。
它验证义务实体是否遵守隐私法规,可以提供检查和检验,拥有实施制裁的权力(通常制裁非常严厉),并接收有关可能的非法活动的报告。
担保人的职能当然不仅限于此,例如,可以提供指导方针,开展提高公民认识的活动,提供意见并授权某些类型的治疗。
每家公司必须起草且强制性的主要文件包括:
和数据处理者共同承担;而且它适用于99%的公司,因为当数据处理不是偶尔发生时就必须制定它;
●隐私信息(GDPR 第 12、13 和 14 条):
我必须让我的对话者知道,无论他们的角色是什么,我为什么处理他们的个人数据以及我如何处理他们的数据。因此,我将为参加面试的
● 指定数据控制者(GDPR 第 28 条):当数据处理由外部方执行时,外部方扮演“供应商”的角色(例如处理工资单的会计师),所有者会提供委托给控制者的数据处理的指示。