这篇文章是由 辛西娅·奥’Donoghue.

英国数据保护监督机构,信息专员’的办公室(ICO)已发布了一份 数据保护法规行动政策,列出ICO在决定是否启动执法行动以及采取何种形式时应考虑的因素。该政策应帮助组织了解执法过程以及违反《 1998年英国数据保护法》的风险。

ICO的监管行动涵盖了各种执法权力,包括刑事起诉,金钱处罚,承诺,执法命令,以及对于公共部门的强制性审计。 ICO将继续公布所采取的监管措施的非机密细节。

ICO在决定是否执行任何执法时将考虑许多因素,包括以下关键问题:

  • 蓄意或持续违规
  • 违规影响的严重性
  • 受不利影响的人数
  • 需要执行以澄清法律或原则的重要内容
  • 必须采取执法行动来树立榜样,因为(i)违规涉及特定部门或活动的代表;或(ii)违规行为具有新颖性,先例性或特别具有侵扰性
  • 有关组织是否采取了故意,故意或轻率的做法

该政策加强了ICO当前采取执法行动的方式,因为在ICO最终确定是否需要采取监管行动之前,组织将继续有机会进行陈述。

在确定行使哪种执法权时,ICO将考虑因不遵守规定而造成的实际或潜在损害。为了对此进行评估,ICO将专注于:

  • 公众关注的问题(包括媒体提出的问题)
  • 由于特定活动的新颖性或侵入性而引起的担忧
  • 关于ICO的投诉
  • 通过ICO显而易见的担忧’s other activities

该政策一个有趣的方面是ICO将考虑市场因素的程度。例如,在自律市场上发生不合规的情况下,采取强有力的监管行动的可能性较小。实际上,这意味着ICO可能会较少关注那些遵守数据保护法律可以提供重要竞争优势并且竞争更加激烈的行业。相反,监管行动更有可能继续在公共部门中进行,而公共部门无法通过市场因素对其进行适当的监管。

最后,该政策做出了一些努力,以鼓励更多的企业同意进行自愿审核。 ICO明确表示将审核视为“具有建设性的过程,对数据控制者具有真正的好处。” Businesses agreeing 审计将受益于训练有素的合格ICO审核员的帮助,以及ICO不会对过程中发现的违规行为处以任何罚款。