格雷贝尔
符合GDPR
3:1

符合GDPR

克里斯·宾丁

作者:Sue Diltz,首席信息官/首席安全和隐私官

欧盟 (EU) 通用数据保护条例 (GDPR) 于 25 年 2018 月 XNUMX 日生效,加强了欧盟国家以及挪威、冰岛和列支敦士登的公民和居民的个人信息安全。 统一标准还将涵盖英国公民和居民Brexit. 很难想象一家在欧洲提供商品或服务的公司或行业不会受到这些详细的个人数据保护要求的影响。

代表 Graebel,我欢迎新规定。 它们严谨而合理,符合我们过去处理个人信息的安全和透明精神,不仅在欧洲,而且在全球范围内。

 

要求

一般而言,GDPR 建立在欧盟先前的隐私标准 - 1995 年数据保护指令的基础上。 它在以下领域扩展并阐明了这些要求:

  • 领土范围 – 它将适用于所有可以访问这些国家/地区居民个人信息的组织,无论公司位于何处
  • 处罚 – 新的罚款结构有等级和上限。 最高罚款额比过去更大。
  • 同意 – 同意书必须清晰简洁,“法律术语”最少
  • 个人权利:
    • 违反通知 – 必须在发现信息泄露后 72 小时内通知他们
    • 访问权 – 他们可能会要求提供有关组织维护的个人数据的信息
    • “被遗忘的权利” – 他们可以要求组织删除他们的个人信息
    • 数据可移植性 – 他们可以检索他们的信息并与另一个实体共享
  • 设计隐私 – 个人信息安全必须是使用或持有此类数据的任何系统初始设计的一个组成部分。
  • 数据保护官 – 如果组织的个人信息处理活动超过特定阈值,则必须任命一名数据保护官。

有关这些问题的更多信息,您可以直接访问来源并查看欧盟的材料,包括有用的 摘要 的要求。

 

GDPR 和移动性

作为搬迁管理公司 (RMC),我们每天都被委托获得受让人和受让人的基本个人身份信息。 在移民和其他职能的情况下,我们可能需要并存储更敏感的个人信息 - 例如与公民身份、性别、婚姻状况甚至出生地有关的信息。 保护这些信息至关重要。

我们的 GDPR 义务延伸至我们在代表我们的客户工作时与其共享此信息的每个合作伙伴公司和服务提供商。 这就是我们仔细筛选我们的原因之一 全球服务合作伙伴 – 处理从家庭用品管理到移民和税务支持的特定搬迁服务的公司。 我们不仅必须确保他们为我们的客户提供出色的照顾,还必须验证他们是否有适当的系统来保护机密的个人信息。

欧洲搬迁协会 (EuRA) 发布了一份关于 关键条款 从移动行业的角度来看 GDPR。

 

格雷贝尔准备好了

在 2016 年 25 月通过 GDPR 之后,Graebel 创建了一个跨职能评估团队,并开始更新我们的政策和程序以整合新要求。 从那时起,我们采取了以下步骤,这些步骤将于 XNUMX 月 XNUMX 日完成:

  • 保留了第三方(TrustArc) 执行优先差距评估,以确定我们需要采取的步骤
  • 进行数据清单和业务流程图以解决 GDPR 第 30 条
  • 识别所有收集数据的面向外部的应用程序,然后创建相关的隐私声明
  • 记录我们作为数据控制者和数据处理者的流程以解决 GDPR 第 30.1 条
  • 为我们的 cookie 通知/同意流程开发自定义代码
  • 验证了我们的记录保留政策以符合 GDPR 第 5/25 条
  • 更新了我们的事件响应计划,以确保根据 GDPR 第 32/33 条为个人和当局制定通知流程
  • 制定了数据隐私影响评估的流程和计划,以解决 GDPR 第 6.4 条
  • 更新了我们的客户和供应商合同以解决 GDPR 第 30 条
  • 开发员工培训,为团队准备与 GDPR 要求相关的特定职责
  • 创建内部流程以支持与第 15/17/20 条相关的 GDPR 的个人权利要素
  • 为我们的 GDPR 合规计划制定了年度测试计划,包括违规通知

我们再次祝贺欧盟国家精心起草这些新法规。 是的,为此我们和其他 RMC 做了很多准备工作。 但是我们的流程更适合它,因为这些要求基于保护个人隐私的非常合理的方法。

这里是面向未来的世界!

克里斯·宾丁