在最近的BravoSolution在加的夫举行的公用事业客户活动(看这里),马克斯•加斯(Max Garth)DocuSign谈到了GDPR(通用数据保护立法)。这是一个占用采购人员越来越多时间的问题——如果你的组织和采购团队没有讨论这个问题,那么它可能应该被讨论。
加斯是一名受过培训的律师,他解释说,GDPR实际上是建立在现有数据保护法规的基础上的——从真正意义上讲,它并不是“新”的。他认为这是一个与客户建立信任和更好关系的机会。当然会有处罚,但你可以也应该把它看作是积极的。
在欧洲或世界范围内,任何向欧盟个人提供商品或服务,或监控个人行为的企业都将受到这些规定的约束。有严格的义务获得“数据主体”的同意(即如果你持有任何人的信息),而处理数据的“数据处理者”现在要为他们作为处理者的行为承担法律责任。加强了安全义务,违规通知现在是必需的,而不仅仅是可取的。
人们更加注重记录的保存,以确保记录的适当性,每个组织都应该定期问自己一个问题——“我需要保留这些信息吗?”如果没有,就把它处理掉(当然是安全的)。根据GDPR,持有数据的同意必须是自由的、具体的、知情的和明确的。
对于采购来说,有趣的问题是,我们现在应该与供应商采取什么行动,并在持续的基础上采取什么行动。例如,如果一家供应商持有与我们的客户(或员工)有关的数据,而该供应商违反了规则,那么监管机构可以追究供应商而不是你。这是好消息。然而,“如果你能证明你已经做了所有合理期望你做的事情”,这真的很有帮助,Garth解释道。在这种情况下,供应商可能会承担责任。但如果你不能证明这一点,监管机构可能会追究你的责任。
这意味着组织可能需要采取一种更结构化的方法来招募新的供应商,以及将传统(现有)供应商转移到新的合规数据保护合同条款。这并不意味着你应该解雇任何不同意你的条款的供应商,但你需要表明你已经采取了合理的步骤来确定供应商是否遵守了你的条款。
Garth提到的用例包括营销——例如电子营销的个人信息。在人力资源部门,会有与工作申请和员工福利相关的数据。医疗领域也将保存个人数据,在网上,使用cookie和其他跟踪类型的技术需要获得同意。
Garth做了一个非常好的清晰的陈述,当然他在那里代表DocuSign因此,他还向我们介绍了一些与GDPR相关的公司产品。他们围绕合同的数字工具在记录同意和保持关键文件的良好审计跟踪方面非常有用——如果在法规下确实有任何挑战,这些工具都很有用。毫无疑问,如果有用的话,他和公司将很乐意进一步交谈这是他的领英主页!
与此相关的是,大约一周后,我们还听到了另一位律师(实际上是Dean Armstrong QC)关于同一主题的精彩演讲,当时他在CIPS研究员晚宴上发言。我们希望在圣诞节后能从他那里得到更多关于GDPR的信息,因为我们不可避免地要在2018年5月推出这些规定。
你好。只是澄清一下-你并不总是需要事先同意才能使用个人数据。这取决于它被处理的目的——有几个适用的法律依据。即使涉及到营销——事先同意只是一种选择——这往往是电子通信——主要是电子邮件。这是PECR规定的。然而,如果你事先没有得到同意,你如何证明使用这些个人数据有重大变化。而且,重要的是,您必须告知数据主体您使用这些数据的目的,以及您决定基于何种法律依据进行处理。
而且,你必须告知数据主体他们的权利——这些权利已经得到了加强。
有些人急于得出结论而不是同意,因此了解新法规如何适用于您的业务非常重要。
我发现有些人也混淆了同意和告知的需要——透明度。它们不是同一个问题。