GDPR 合规期限:如何用简单的英语合规

已发表: 2018-05-15
罗什尼谢赫
来宾贡献者

想想是什么让谷歌、LinkedIn、Twitter 等公司一个接一个地改变他们的条款和隐私政策。 您现在一定已经注意到通知了。

是的,Facebook 已经成为用户数据差异的焦点。 但是看看所有 cookie 策略发生了什么。 公司正在迅速更新他们的条款。

是什么引发了这种狂热? 当然,发生这种情况是因为一项成功搅动商业世界的法律——GDPR

欧盟的 GDPR 法自 2018 年 5 月 25 日起生效。自 2016 年 4 月欧盟议会成立和通过以来,这一直是新闻。

该法将影响管理大量数据的企业。 这适用于所有欧盟公民的数据,无论其身在何处。

什么是 GDPR,为什么要推出?

简单来说,作为居住在欧盟的人,我的数据受到 GDPR 的保护。

GDPR 代表通用数据保护条例。 它取代了旧的和过时的 1995 年数据保护指令。 GDPR 在今天更为重要,因为在过去的二十年中发生了很多变化。

快速的技术进步和企业的数据处理/使用导致人们意识到需要像 GDPR 这样的法律。

这项新法规正在生效,以将个人数据控制权交还给欧盟公民。 它被付诸行动以控制企业利用公众个人数据的能力。 GDPR 的推出是为了赋予公民数字权利。

该法不要求各国政府通过任何制裁立法。 这意味着它自然适用于处理欧盟公民数据的任何个人、组织或企业。

无论您的公司是在企业对企业层面还是企业对消费者层面运营,该法律都适用于您的企业。

GDPR 将如何影响您的业务?

关于 GDPR 浪潮的影响,既有好消息也有坏消息。 让我们看看为什么。

一些小企业主对突然的工作超负荷感到恐慌和抱怨。 一家产品支持公司的所有者 Russel Xiam 表示,要迁移到符合 GDPR 的软件平台还有很多工作要做。

规划 GDPR 相当于重新审视您的业务选择。 ——罗素·夏姆

这意味着小企业受到的影响最大。

项目管理公司 Azybao 的老板 John Higham 表示,人们拒绝与欧洲公司做生意,因为他们害怕自己会陷入困境。

来自德国的人力资源官 Isabelle Trijt 说——

我不得不修改/更改/取消新员工和员工入职政策,以便我们留在 GDPR 合规圈内。 我还必须负责删除所有包含过去受访者数据的旧记录。

除此之外,布鲁塞尔的一位企业主从 Convertkit 迁移到 MailChimp,因为 Convertkit 没有提供让用户“选择”数据的复选框选项。 这意味着企业主正在放弃不会给予用户更多控制权的电子邮件服务提供商,尽管 Convertkit 已经更新了他们今天的功能。

这是有道理的,因为您作为一家企业,不应该因为您的电子邮件服务提供商没有遵守的规则而处于危险之中。 毕竟,电子邮件回复者的政策可能不对您的业务造成的任何损失负责,对吧?

尽管这种情况很少发生,但您仍将因不遵守法律而承担责任,因为这是您的电子邮件列表。

另一方面,来自法国的 Ivizone 首席技术官兼联合创始人 Sidney Burks 说,

新政策并未对我们的业务产生巨大影响。 这主要是因为法国法律已经对数据保护和隐私提出了相当严格的要求。 GDPR 确实迫使我们将数据隐私纳入我们产品的核心,并从头开始考虑它,但是当我们为我们的产品开发新版本时,我们能够以一种干净有效的方式做到这一点。

Sidney 还补充说,GDPR 已经迫使企业整理好他们的数据中心。 他们现在添加了额外的策略来删除过时和不必要的数据,并加强了他们围绕数据存储和访问的内部安全策略。 这意味着他们为客户提供更高级别的数据安全性。

因此,如果您的企业或组织处理和处理用户数据,您应该关注您的用户数据安全。 在这种情况下,您有义务遵守 GDPR。 如果您的企业不遵守 GDPR 法,您可能会面临重罚。

最严重偏差的最高罚款将花费您全球营业额的 4% 或 2000 万欧元,以较高者为准(稍后部分将详细介绍处罚)。

GDPR 法适用于____?

关于法律适用于谁存在巨大的困惑。 很少有消息来源谈论欧盟公民,还有其他人谈论欧盟居民。

由于拥有 GDPR 权利的人被称为“数据主体”,因此出现了混淆。 但这些数据主体是谁?

数据主体,他们是谁?

GDPR 是否适用于所有欧盟公民的数据?

还是仅适用于居住在欧盟的人?

数据主体定义为个人数据由控制者或处理者处理的自然人。 控制者或处理者可以是指定数据处理渠道的企业或企业所雇用的实体。

“数据主体”一词没有具体定义。 事实上,它是一种内涵。 GDPR 要求企业在欧盟成员国内发生的任何交易中保护欧盟公民的隐私和个人信息。 根据网络顾问的说法,在特定时间出现在欧盟成员国的任何人都将成为数据主体。

需要审查的数据类型有哪些?

GDPR 将与自然人有关的任何和所有个人数据视为该人的财产。 数据类型可能包括:

  • 数字信息
  • 生物特征数据
  • 遗传数据
  • 加密数据
  • 个人资料

数据主体的权利:

1.根据欧盟 GDPR,您可以选择是否成为数据主体。 这意味着您可以拒绝处理您的数据,并且这样做,您将行使您不成为数据主体的权利。
2. 如果您选择成为数据主体,您有权了解您的数据。 您有权寻求所有涉及您个人信息的信息处理。

3. 您还被授予在任何特定时间更改您的个人数据或撤回您的数据的全部权力和授权。 这就是为什么企业应该提供复选框选项(在上一节中讨论过)以给予用户更多的自由和权力来获得他们的同意的主要原因。

4. 如果数据主体认为正在处理的数据不准确或不正确,他/她也可以反对对其任何/或全部数据的处理。

5. 数据主体也可以反对或拒绝将他们的数据从一个服务提供商转移到另一个服务提供商。 除此之外,作为数据主体,您还可以请求从记录中删除您的数据。 但是,如果正在处理的数据是出于法律目的、公共卫生目的、研究目的等,则数据主体可能无法获得此权利。

简而言之,它适用于所有欧盟居民,无论企业、组织或其公民身份位于何处。 而且,侵犯数据主体的权利会受到重罚。

决定处罚的因素有哪些?

1.过去的违规行为——如果您有违规历史,无论是从 GDPR 的角度还是从之前有效的数据保护指令的角度来看,这将是决定罚款金额的一个因素。
2.原因- 违规行为可能是故意的并且是出于盈利目的。 或者这将是一个微不足道的步骤的结果。 无论哪种方式,决策机构都会根据原因设定罚款金额。
3.信息类型——取决于所用信息的分类。 例如,一家公司可能出于商业目的使用了一个人的基因或生物特征数据。 这可能会比雇佣细节等信息受到更高的处罚。 同样,处罚完全在欧盟法律的自由裁量权和范围内。
4.解决方案和措施——如果您已采取措施减轻对受您的业务直接影响的个人或群体造成的损害,这也将成为决定性因素。
5.预防措施——欧盟在 2018 年 5 月生效和全面执行之前有 2 年的过渡期。如果贵公司已采取措施保持遵守 GDPR 法律,但发生侵权行为,这将是点球前要强调的一点。
6. 意图——如果数据损坏是故意的,这可能会触发处罚。
7.合作与关系——如果企业一直有义务与监管机构合作以修复损害并可能扭转违规行为,这将起到积极作用,可以减少处罚。
8.报告 – 如果违规行为是由违规机构自己主动报告的,或者是由第二来源引起的。

请注意,上述因素均不能保证特定的罚款,因为罚款的确定完全在欧盟法律的自由裁量范围内。

如需更多信息,请参阅此处的 GDPR 执法核心原则。

任命数据保护官 (DPO)

您的业​​务中正在处理的数据可能必须经过监控。 如果您在组织业务以遵守 GDPR 方面需要帮助,欧盟机构建议寻求专家咨询。

每个欧盟成员国都可以提名一个或多个独立的公共机构来帮助监控数据法的合规性。

根据 GDPR,如果您的企业在以下级别运营,则应任命数据保护官:

1. 作为公共机构的组织

2. 处理大规模数据聚合和监控的公司

3. 大规模处理重要个人信息的公司

关于 GDPR 的 5 个误区

1. 美国公司受到严重影响——所有拥有欧盟客户的公司(不仅仅是美国公司)都应遵守法律。

2. 小企业主不必担心 GDPR——无论企业大小:如果它处理用户数据,它应该符合 GDPR。

3. 如果用户在订阅期间选择输入其个人信息,则不需要用户同意——从 2018 年 5 月 25 日起,用户必须以复选框的形式明确同意。

4. 如果您不在欧盟境内开展业务,则无需担心——如果您是处理欧盟公民数据的企业,无论公民身在何处,GDPR 均适用。

5. 用户数据只是用户提供的数据——任何以cookies形式收集、生成、修改、变形或获取的数据,用户行为仍然是用户数据。

结论

如果您是一家拥有收集数据主体个人信息的网站的企业,您现在有义务实施合法的方式来获取用户信息。 例如,如果您的网站上有弹出窗口或订阅表单,那么确保您获得用户同意的唯一方法是:

  • 实施双重选择加入方法,仅在同意的情况下汇集感兴趣的成员。
  • 让用户可以选择管理他/她的数据。
  • 为用户提供取消订阅的选项。
  • 确保您使用的所有第三方服务都符合 GDPR。
  • 检查您的数据采集程序。
  • 以透明的方式传达您的隐私政策。
  • 指定数据保护官或教育和培训您的企业以避免数据泄露。
  • 确保定期数据审计和可访问性。
  • 最小化您持有和处理的数据。

免责声明:以上信息仅供参考和参考。 它不能作为法律建议。 请向法律顾问寻求任何进一步的建议。