在美国数据隐私和保护法案之下,批准合规计划的成功之路
标签:
浏览量:0
2022-12-05
美国众议院能源和商业委员会(U.S.House Committee on Energy and Commerce)*近修订并公布的《美国数据隐私和保护法案》(H.R.8152)代表了美国在通过隐私法方面取得的重要进展。 对于较小的公司来说,ADPPA关于批准合规计划的规定是一个好消息。第304节规定,收入、数据收集、数据处理和传输活动未达到某些阈值(如第209节所述)的企业可以参加美国联邦贸易委员会批准的针对小型企业的计划。 适当设计和管理、经批准的合规计划可以为小公司提供重要资源,这些公司需要履行法律义务,但缺乏大公司的内部隐私专业知识和深层资源。这些计划可以为企业提供一个有效、可行的解决方案,以适合其情况、商业模式和数据持有情况,并收取适合其预算的费用。这些程序可以识别并解决可能使用特定处理方法(如人工智能)或特定类型敏感数据(如健康信息)进行创新的小公司面临的独特挑战。通过为小公司提供合规途径,这些计划将加强整个数字市场的隐私保护。
经批准的合规计划可以为小企业提供的好处之一是,他们可以访问和咨询隐私专业知识和资源,否则他们可能无法获得这些知识和资源。知识丰富的技术计划人员可以详细了解公司的商业模式或其必须履行的部门监管义务所带来的独特挑战。 这些计划可以与可能已经采取初步措施更好地了解其数据持有、处理方法和数据流的小公司合作;确定数据治理中的风险和差距;并了解其隐私声明和第三方协议的优点和缺点。有了这些知识,他们就可以向企业建议他们必须采取的其他措施来弥补缺陷。他们还可以就如何实施必要的流程提供指导,以促进数据的正确处理,有效管理数据泄露,并在将数据传输给第三方服务提供商进行处理时进行必要的尽职调查。 对于刚刚起步的企业来说,努力满足计划要求不仅可以从合规性的角度提高员工对隐私的重要性的认识,而且可以作为数据创新和商业机会的推动者。一个计划可以帮助他们在产品和服务开发之初就将隐私和数据保护责任考虑在内,从而*大限度地减少将数据保护改造到现有系统中的需要。也许*重要的是,他们可以帮助确定一条即使在公司发展的早期阶段也能有效运作的合规路径。 理想情况下,批准的合规计划将建立一个迭代的协商过程。在项目的指导和对需求的理解下,公司可以采取初始步骤来实施解决方案。然后,他们可以向项目工作人员寻求进一步的审查和建议,直到他们被认为符合要求。
两种监督对批准的合规计划的可信度至关重要。首先,联邦贸易委员会对项目本身的监督至关重要。该法案第304节适当地规定,为了获得联邦贸易委员会的批准,一个项目需要建立“符合或超过”法律要求的标准。同样重要的是,项目能够证明,这些标准在为目标行业或从事特定活动的小公司设计时,将有效地促使参与者遵守。 项目对参与公司的严格监督也很重要。需要进行定期审查,以核实它们是否继续执行合规措施;确定该实施是否产生有效保护;评估是否需要根据新产品或数据处理方法进行变更;并确保企业在未满足或更新要求的情况下不表示参与计划。
同样重要的是,建立这样的规则将得到有力执行的期望。然而,应鼓励项目与可能无意中或在个别事件中不遵守规定的参与者合作,以帮助他们履行义务。对于无视补救指示、在未能获得资格或续约后继续表示符合计划要求,或故意或过失多次违反计划规则的参与者,应保留纪律处分。法案规定,联邦贸易委员会、州总检察长和法院在执行程序中应考虑公司遵守批准计划的历史。 为了提高透明度并保证他们正在进行必要的监督,项目应报告参与者的合规情况。通过向联邦贸易委员会通报他们正在解决的问题的种类,以及纪律协议的方式,以及纪律行动的性质和频率的指标,经批准的合规计划可以证明他们有效地帮助公司履行其义务并遵守法律要求。
IAPP 试听课程 U.S. Legal Framework
主讲老师:Michelle 试听
IAPP 试听课程 Information Provision Obligations
主讲老师:Jennifer 试听
IAPP 试听课程 Data Protection Concepts
主讲老师:Jennifer 试听
报考资料免费领取
在线客服
APP
威普网校APP
学习由你“掌”握
iPhone/IPAD 客户端下载
威普网校APP
学习由你“掌”握
Android手机 客户端下载
公众号
投诉建议