“自欧盟《通用数据保护条例》(GDPR)生效以来，很多公司企业都忙于实行全新的数据保护标准。一个完善的数据保护管理系统比以往任何时候都要重要。我们可以参考一下其他公司在GDPR方面的一些初步经验。”

自2018年5月25日GDPR生效以来，它在某些情况下引发了许多略显荒谬的闹剧。我们听说过的故事包括：幼儿园班级照中小朋友的脸都被打了马赛克、房东取下了门铃上的住户铭牌，甚至在儿童绘画比赛中，由于组织者出于隐私保护的原因，只记录了参赛儿童的姓氏，因此无法确定最终的获奖选手。在媒体的炒作之下，许多公司继续全心致力于实施全面的GDPR要求。

从企业的角度来看，GDPR项目实施之目的是与监管当局、负责数据保护的法院建立稳固的直接联系。事实上，企业几乎不可能在短时间内实现GDPR的所有要求。

GDPR设置了众多新的义务。企业不仅必须遵守这些规定，而且在必要时还需要证明其合规。目前，许多企业仍在实施GDPR项目。在这个阶段，密切关注其他企业的经验和风险的变化，从而根据需要将项目予以重新调整，这才是我们工作的重中之重。

一、其他企业有哪些进展？

一些执行项目的现状

尽管许多德国公司在GDPR生效之前几乎没有利用两年的宽限期，但大多数公司已经完成或至少启动了落实GDPR规定的项目。然而，很少有公司能够完全实现每一项要求。事实上，大多数公司选择以管控风险的方式，实施了“可见”的措施，例如：任命一名数据保护官、颁布隐私声明（尤其是在网站上）以及完善数据处理协议。

下一阶段的工作

在实施了“可见”的措施之后，企业需要将注意力转向其他“必要”的措施。这些是GDPR的强制性规定，若数据保护机构在审计期间，发现没有这些措施，则极有可能遭致处罚。这就是为什么现在很多企业都在关注这些措施：

➤ 完善处理工作与执行支持程序的记录（例如：针对新的或经修改过的处理任务）

➤ 实施技术性和组织性的数据保护措施

➤ 实施数据保护影响评估程序

➤ 设计一个删除的概念，并在所有受影响的信息技术系统中实现

➤ 对来自数据主体的请求，实施一个高效的自动化处理流程

➤ 制定一个违反个人数据响应机制，并在公司内部宣传相应的程序

二、什么是真正的风险？

数据保护机构在做什么？

在对GDPR的实施感到极度恐慌，并预计罚款金额可达数百万甚至几十亿之后，数据保护机构在GDPR生效后的头几个月里异常地安静。2019年初，谷歌在法国被处以5,000万欧元的罚款。德国最高的GDPR相关罚款总额相对较低，为80,000欧元。据媒体报道，德国数据保护机构正在进行一系列的调查。但是，调查需要大量的时间，许多数据保护部门目前（仍然）亟需人手。

迄今引起人们关注的调查主要集中在以下方面：

➤ 侵犯数据隐私（例如：数据加密不足）

➤ 是否遵守GDPR的透明义务

➤ 使用非法的电子邮件广告

此外，一些数据保护机构正在对GDPR的实施、数据保护企业或Facebook页面的正确设计开展大规模的调查。

根据2018年安联公布的调查，全球网络事故造成的总损失达5,000亿欧元，使其成为企业面临的最大风险之一。

三、其他风险？

除了零星几个案例外，我们很少看到广泛宣传的正式警告。到目前为止，法院已经就GDPR正式警告的合法性做出了不同的裁决。即使将来仍有可能提出正式警告，但在短期内，这些警告的风险似乎相对较低。与隐私相关的损害索赔则不同，新的集体诉讼告申程序和欧盟层面讨论的全欧洲范围的集体诉讼，可能会使此类索赔对企业构成相当严重的威胁。违反数据保护规定可能导致声誉受损的风险仍然很高。

四、GDPR项目的调查结果

鉴于仍然较高的风险及许多企业目前的执行状况，许多公司仍将全面地执行GDPR的要求列入了近期的议事日程。根据我们的经验，可以从已经完成的GDPR项目中得出以下结论：

➤ GDPR实施项目只有在得到董事会和高管充分支持时才能有效地开展

➤ 实施GDPR项目需要时间和耐心，但公司可以很快地取得一定的成果并不断地推动其进一步的实施

➤ 数据安全不仅需要严格的技术保障，还需要改变流程和组织架构

➤ 永久性的解决方案要求所有的相关方都能改变意识和行为

➤ 以上这些都要求每天处理个人数据的员工尽早积极地参与

关于数据保护监管部门，请注意以下几点：

➤ 数据保护监管部门奖励合作——甚至可能降低罚款

➤ 目前，数据保护监管部门在超负荷地工作，但有计划地增加人员可以迅速缓解这种情况

五、成功实施GDPR项目的案例

“我们为符合GDPR的要求提供全面、可靠的解决方案。一起来看一下金融领域的一个案例。”

由多个公司实体组成的B2B金融服务提供商为自己设定的目标是，在GDPR生效时，满足其最核心的要求（尤其是那些具有外部影响的要求），并启动长效机制。

为了了解GDPR将对公司产生何种影响，股东们首先根据公司当前的情况对比GDPR的要求，进行了数据保护审计，分析了现有的组织和流程结构、治理架构（包括指南和合同）以及IT系统。此外，公司还考虑了企业文化和员工自身特有的一些因素（例如：员工如何看待“数据保护”的问题？他们目前对该问题的认知水平如何？）

审计结果使公司更全面地了解了所有的问题，并按优先等级制定了行动方案和建议的执行时间表。优先等级是在综合考量了外部可见性、必要性、以及对公司是否有意义等因素后才设定的。

六、设计和建立项目的实施

将选定的实施措施分成六个与内容相关的工作流程，由指定的员工负责。客户的项目经理和一名顾问共同负责项目的整体管理。指导委员会代表最高管理层来行使职能。

我们每周都会制定具体的实施计划。这种方法可以使大家随时洞悉实施过程中的任何变化。此外，实施计划中包括了近期的要求，确定好优先等级后能够快速实施。

七、全员参与的长效机制

改进的程序和行为必须是有效的。为了确保这一点，公司员工应当对处理数据有正确的认识，掌握新的操作方式，并接受新流程的培训。事实上，我们体会到下列策略是非常有效的：

1、数据保护并不复杂

在工作会上，我们与相关人员一起讨论和确定对现有的操作流程和熟悉的工作步骤进行必要的修改。最终产生的结果应当是精简且以客户和员工为导向的，适当地传达到相应的流程中，同时也能被受影响的人员所接受。

2、数据保护很容易融入日常的工作

我们与相关员工一起制定了操作指南和警示体系，并明确了如何轻松地将数据保护需求集成到日常工作流程中的策略。这样做的结果会是，员工信心提升，违反数据保护规定的可能性下降。

3、数据保护需要团队合作

有高级管理人员参与的高级别和跨部门之间的互动能够极大地推广这些举措。其中的一个例子就是，对于实施信息保护合规和保障有关方权益之间的冲突，各个部门在整个客户生命周期中都应保持充分有效的沟通。

我们看到，在GDPR生效时，主要的数据保护要求已如期实施，业务相关的员工可立即付诸应用。

总之，只有得到员工和商业伙伴的普遍理解和接受，我们才能持续地贯彻为符合GDPR数据合规而采取的那些措施。

供稿：
avocado rechtsanwälte
Jan Peter Voss 合伙人
Prof. Dr. Thomas Wilmer 律师
CPC Unternehmensmanagement AG
Clemens Heisinger 合伙人
Dirk Thater 顾问