GDPR下的集体诉讼

（将迫使企业关注安全）

即使在欧洲实施GDPR政策多年后，集体诉讼对个人数据的影响尚未显现明显证据。虽然目前集体诉讼的数量可能较低，但预计案件数量将会增加。2018年，法国数据保护机构记录的投诉增加了32%。[国家信息与自由委员会，2018年活动报告，第2页]。GDPR授权欧盟成员国批准集体诉讼以索赔金钱损失。现在，这些国家的公众已从理解新规定的阶段转向主张其隐私权利。

个人数据集体诉讼对大规模诉讼具有重大影响，而数据安全漏洞是集体诉讼发生的主要驱动力之一。拥有数据保护实践和隐私政策对企业具有战略利益，现在加强安全比以往任何时候都更加重要。

因此，当隐私风险问题出现时，企业需要确保拥有坚实的安全系统和保护措施，以保护客户数据安全。

确保坚实安全隐私系统的要点

对供应商和合作伙伴使用客户数据保持警惕和意识

企业倾向于与任何第三方供应商合作以简化流程。尽管在采购期间审查数据处理协议的意识是常识，但企业往往会跳过这一关键步骤。根据GDPR，如果第三方未能保护客户数据安全，任何企业都可能承担财务责任。审查供应商的DPA以确保隐私合规是关键重点。必须确保其数据政策与公司规定的协议保持一致，以防止出现矛盾情况。检查有关分包商的条款也很重要——如果供应商承包给其他处理者，则应在公司的知情范围内。这增加了额外的安全层，以防因供应商将数据职责外包给不合规的第三方而导致法律妥协。

在处理数据时执行影响评估以监控风险

在几乎所有与GDPR相关的案件中，数据处理的影响评估是强制性的。但即使是对数据活动进行最基本的风险评估，实施过程也很繁琐。它迫使企业思考关于数据存储、分包等问题的决策，以最无忧且具成本效益的方式保护业务。在遭受网络攻击后面临公众诉讼指控后，拥有积极主动的专用行动计划来克服困难，与监管机构相处得非常好。

信息专员办公室提供免费的数据保护影响评估模板，以便可以跟踪业务中隐私风险的准确评估。

努力使公司隐私政策清晰明了

当利益相关者在年度会议期间审查项目政策时，企业必须确保政策中的承诺对所有客户都是可访问的。具有复杂法律术语的隐私政策可能看起来有益（具有可供解释的开放条款），但重点是通过易于理解的政策在公众中建立信任。隐私政策必须彻底且切中要害，而不是为精通法律术语的客户量身定制。

指定数据保护官（DPO）

无论企业规模大小，拥有一个集中的数据决策责任人是必要的，而不是将责任分散在各个部门。DPO作为组织中任何隐私问题的关键点。此外，在隐私执法存在疑问的情况下，他们负责充当与监管机构的联络人。这确保了企业以更简单、更具成本效益的方式获得专用保护。

管理数字化转型是一项风险任务，但它是不可避免的，因此，尽快适应至关重要。通过遵守监管规则并一举让客户满意，避免不必要的风险对任何企业来说都是明智的选择。

避免成为隐私和数据泄露集体诉讼目标的提示 –

业务与合规标准之间缺乏协调

组织的运营往往会发展，产品和服务也会频繁更新。因此，隐私声明和披露可能无法保持一致。新更新或重新引入的产品功能超越现有政策和实践的情况总是可能发生。因此，每个组织都应保持警惕，使披露和声明与机构更新后的实践保持有意义和有效。当业务流程和合规性一致时，发生消费者违规的可能性较小。组织应以适用于任何未来前景或公司预期更新的方式制定政策。

在隐私声明中添加随意乐观和令人印象深刻的语言

公司往往会变得随意，并在隐私声明中添加有希望的结论性陈述。具有开放含义的陈述可能很诱人，因为利用漏洞的机会在潜在诉讼中可能有用。这种可疑的陈述可能会在精通技术和具有隐私意识的客户中产生不信任。这种看似安全的做法可能会适得其反，因为基于该陈述的诉讼和上诉可能对公司不利。因此，最好从隐私政策中删除此类模糊的言论，并保持简洁。

披露半真半假并隐藏真实行为

通常，企业倾向于准确告知其数据收集和共享实践的范围，避免此类索赔的方法是详细说明。包括使用所有收集技术cookie、像素和软件开发工具包（SDK）来正确起草披露并实施“即时”通知，有助于抵御此类基于隐私的索赔。

未能测试事件响应计划

最重要的部分是让任何企业在遭受违规冲击时拥有适当的备份和事件响应计划。因延迟通知数据泄露而面临集体诉讼是常见事件。如今，由于这些事件发生在每个人身上，公司的声誉确实会受到潜在网络攻击的影响。客户关心的是企业如何快速克服这种情况，他们采取什么措施以及响应计划是否有效运作。

如果企业能够妥善处理事件响应功能，从而避免法定损害赔偿，则有可能从违规中恢复。

安全是客户日益关注的问题，公司的表现很大程度上取决于公众对其政策的信任。随着GDPR新增集体诉讼，增加了额外的诉讼赔偿，数据泄露造成的损失也随之增加。因此，在公司内部实施严格的安全措施比以往任何时候都更加重要。

[下载我们的CISO即服务白皮书下载]