你能帮我解决我的 GDPR 问题吗？

与大多数法规一样，GDPR 并没有明确列出该做什么和不做什么的规则。因此，有关它的问题通常过于广泛，无法在 Q/A 网站上处理。围绕法规存在许多神话和不正确的简化，整个行业都基于对法规实施制裁的恐惧。

该答案试图对该主题进行实际概述。我不是律师，但自从它被引入以来，我一直在围绕这个主题开展工作，首先是采用信息收集观望方法，目前采用另一种实用的、优先排序和迭代的方法。

我们（尚）不知道法院将如何解释该法规，许多公司仍在观望其他公司采取什么行动。由于 Server Fault 适用于 IT 专业人士，我们不是可以解释法规及其与其他法律关系的律师。即使我们可以，Q/A 风格的问题也会很长，以获取所有需要回答的详细信息：GDPR 合规性不是个人行为的问题，而是公司内部的整个战略。如果您需要提出此类问题，您可能需要聘请顾问甚至律师。然而，许多人会在没有人的情况下生存。

您必须制定（可能有一些法律建议）您自己的策略，并在此基础上决定您为遵守 GDPR 而采取的行动。当您尝试在实际信息系统中实施这些更改时，您可能会遇到有关如何实现某些内容的技术问题。 那时问题已缩小到服务器故障的范围！

要开始，您应该知道该法规的用途。它基本上是一个法律框架，用于确保个人数据在其从收集到删除的整个生命周期内得到仔细处理。GDPR第 5 条描述了处理个人数据的原则，简而言之：

• 合法、公平和透明
• 目的限制
• 数据最小化
• 准确性
• 存储限制
• 完整性和保密性。

GDPR 为数据主体（即公民）提供了对其个人数据的控制权，以及确保这些原则得到尊重的工具。其中包括访问自己的数据、更正和移动数据以及删除数据的权利，即被遗忘的权利（如果没有其他法律要求保存数据）。它还提供了制裁的可能性，您的公司可能需要指定一名数据保护官。

大多数原则已经在国家法律中实施（由于数据保护指令95/46/EC），这使得欧盟内部公司的变化非常有限。如果欧盟以外的公司处理欧盟公民的个人数据，他们可能需要做更多的事情。

改变的一件主要事情是问责制，这在实践中最好通过彻底记录您的程序来实现：

• 收集个人数据的方式和原因
• 是什么使处理合法（同意只是第 6条中的一个条件）
• 如何存储和处理数据
• 谁有权访问数据以及您如何控制和审核这些数据
• 存储原因到期时是否删除（自动/标准做法）
• 您如何处理所涉及的风险，即风险分析。

在我看来，如果你一直在仔细考虑这些事情，解决问题并降低你发现的风险，然后记录这一切，你应该远离制裁——即使你确实受到了入侵。在您的情况和导致您承担2000 万欧元 / 4% 营业额罚款的行为之间，可能存在大量疏忽行为。