GDPR 合規期限:如何用簡單的英語合規

已發表: 2018-05-15
羅什尼謝赫
來賓貢獻者

想想是什麼讓谷歌、LinkedIn、Twitter 等公司一個接一個地改變他們的條款和隱私政策。 您現在一定已經註意到通知了。

是的,Facebook 已經成為用戶數據差異的焦點。 但是看看所有 cookie 策略發生了什麼。 公司正在迅速更新他們的條款。

是什麼引發了這種狂熱? 當然,發生這種情況是因為一項成功攪動商業世界的法律——GDPR

歐盟的 GDPR 法自 2018 年 5 月 25 日起生效。自 2016 年 4 月歐盟議會成立和通過以來,這一直是新聞。

該法將影響管理大量數據的企業。 這適用於所有歐盟公民的數據,無論其身在何處。

什麼是 GDPR,為什麼要推出?

簡單來說,作為居住在歐盟的人,我的數據受到 GDPR 的保護。

GDPR 代表通用數據保護條例。 它取代了舊的和過時的 1995 年數據保護指令。 GDPR 在今天更為重要,因為在過去的二十年中發生了很多變化。

快速的技術進步和企業的數據處理/使用導致人們意識到需要像 GDPR 這樣的法律。

這項新法規正在生效,以將個人數據控制權交還給歐盟公民。 它被付諸行動以控制企業利用公眾個人數據的能力。 GDPR 的推出是為了賦予公民數字權利。

該法不要求各國政府通過任何制裁立法。 這意味著它自然適用於處理歐盟公民數據的任何個人、組織或企業。

無論您的公司是在企業對企業層面還是企業對消費者層面運營,該法律都適用於您的企業。

GDPR 將如何影響您的業務?

關於 GDPR 浪潮的影響,既有好消息也有壞消息。 讓我們看看為什麼。

一些小企業主對突然的工作超負荷感到恐慌和抱怨。 一家產品支持公司的所有者 Russel Xiam 表示,要遷移到符合 GDPR 的軟件平台還有很多工作要做。

規劃 GDPR 相當於重新審視您的業務選擇。 ——羅素·夏姆

這意味著小企業受到的影響最大。

項目管理公司 Azybao 的老闆 John Higham 表示,人們拒絕與歐洲公司做生意,因為他們害怕自己會陷入困境。

來自德國的人力資源官 Isabelle Trijt 說——

我不得不修改/更改/取消新員工和員工入職政策,以便我們留在 GDPR 合規圈內。 我還必須負責刪除所有包含過去受訪者數據的舊記錄。

除此之外,布魯塞爾的一位企業主從 Convertkit 遷移到 MailChimp,因為 Convertkit 沒有提供讓用戶“選擇”數據的複選框選項。 這意味著企業主正在放棄不會給予用戶更多控制權的電子郵件服務提供商,儘管 Convertkit 已經更新了他們今天的功能。

這是有道理的,因為您作為一家企業,不應該因為您的電子郵件服務提供商沒有遵守的規則而處於危險之中。 畢竟,電子郵件回复者的政策可能不對您的業務造成的任何損失負責,對吧?

儘管這種情況很少發生,但您仍將因不遵守法律而承擔責任,因為這是您的電子郵件列表。

另一方面,來自法國的 Ivizone 首席技術官兼聯合創始人 Sidney Burks 說,

新政策並未對我們的業務產生巨大影響。 這在很大程度上可能是由於法國法律已經對數據保護和隱私提出了相當嚴格的要求。 GDPR 確實迫使我們將數據隱私納入我們產品的核心,並從頭開始考慮它,但是當我們為我們的產品開發新版本時,我們能夠以一種干淨有效的方式做到這一點。

Sidney 還補充說,GDPR 已經迫使企業整理好他們的數據中心。 他們現在添加了額外的策略來刪除過時和不必要的數據,並加強了他們圍繞數據存儲和訪問的內部安全策略。 這意味著他們為客戶提供更高級別的數據安全性。

因此,如果您的企業或組織處理和處理用戶數據,您應該關注您的用戶數據安全。 在這種情況下,您有義務遵守 GDPR。 如果您的企業不遵守 GDPR 法,您可能會面臨重罰。

最嚴重偏差的最高罰款將花費您全球營業額的 4% 或 2000 萬歐元,以較高者為準(稍後部分將詳細介紹處罰)。

GDPR 法適用於____?

關於法律適用於誰存在巨大的困惑。 很少有消息來源談論歐盟公民,還有其他人談論歐盟居民。

由於擁有 GDPR 權利的人被稱為“數據主體”,因此出現了混淆。 但這些數據主體是誰?

數據主體,他們是誰?

GDPR 是否適用於所有歐盟公民的數據?

還是僅適用於居住在歐盟的人?

數據主體定義為個人數據由控制者或處理者處理的自然人。 控制者或處理者可以是指定數據處理渠道的企業或企業使用的實體。

“數據主體”一詞沒有具體定義。 事實上,它是一種內涵。 GDPR 要求企業在歐盟成員國內發生的任何交易中保護歐盟公民的隱私和個人信息。 根據網絡顧問的說法,在特定時間出現在歐盟成員國的任何人都將成為數據主體。

需要審查的數據類型有哪些?

GDPR 將與自然人有關的任何和所有個人數據視為該人的財產。 數據類型可能包括:

  • 數字信息
  • 生物特徵數據
  • 遺傳數據
  • 加密數據
  • 個人資料

數據主體的權利:

1.根據歐盟 GDPR,您可以選擇是否成為數據主體。 這意味著您可以拒絕處理您的數據,並且這樣做,您將行使您不成為數據主體的權利。
2. 如果您選擇成為數據主體,您有權了解您的數據。 您有權尋求所有涉及您個人信息的信息處理。

3. 您還被授予在任何特定時間更改您的個人數據或撤回您的數據的全部權力和授權。 這就是為什麼企業應該提供複選框選項(在上一節中討論過)以給予用戶更多的自由和權力來獲得他們的同意的主要原因。

4. 如果數據主體認為正在處理的數據不准確或不正確,他/她也可以反對對其任何/或全部數據的處理。

5. 數據主體也可以反對或拒絕將他們的數據從一個服務提供商轉移到另一個服務提供商。 除此之外,作為數據主體,您還可以請求從記錄中刪除您的數據。 但是,如果正在處理的數據是出於法律目的、公共衛生目的、研究目的等,則數據主體可能無法獲得此權利。

簡而言之,它適用於所有歐盟居民,無論企業、組織或其公民身份位於何處。 而且,侵犯數據主體的權利會受到重罰。

決定處罰的因素有哪些?

1.過去的違規行為——如果您有違規歷史,無論是從 GDPR 的角度還是從之前有效的數據保護指令的角度來看,這將是決定罰款金額的一個因素。
2.原因– 違規行為可能是故意的並且是出於盈利目的。 或者這將是一個微不足道的步驟的結果。 無論哪種方式,決策機構都會根據原因設定罰款金額。
3.信息類型——取決於所用信息的分類。 例如,一家公司可能出於商業目的使用了一個人的基因或生物特徵數據。 這可能會比僱傭細節等信息受到更高的處罰。 同樣,處罰完全在歐盟法律的自由裁量權和範圍內。
4.解決方案和措施——如果您已採取措施減輕對受您的業務直接影響的個人或群體造成的損害,這也將成為決定性因素。
5.預防措施——歐盟在 2018 年 5 月生效和全面執行之前有 2 年的過渡期。如果貴公司已採取措施保持遵守 GDPR 法律,但發生了侵權行為,這將是點球前要強調的一點。
6. 意圖——如果數據損壞是故意的,這可能會觸發處罰。
7.合作與關係——如果企業一直有義務與監管機構合作以修復損害並可能扭轉違規行為,這將起到積極作用,可以減少處罰。
8.報告 – 如果違規行為是由違規機構自己主動報告的,或者是由第二來源引起的。

請注意,上述因素均不能保證特定的罰款,因為罰款的確定完全在歐盟法律的自由裁量範圍內。

如需更多信息,請參閱此處的 GDPR 執法核心原則。

任命數據保護官 (DPO)

您的業務中正在處理的數據可能必須經過監控。 如果您在組織業務以遵守 GDPR 方面需要幫助,歐盟機構建議尋求專家諮詢。

每個歐盟成員國都可以提名一個或多個獨立的公共機構來幫助監控數據法的合規性。

根據 GDPR,如果您的企業在以下級別運營,則應任命數據保護官:

1. 作為公共機構的組織

2. 處理大規模數據聚合和監控的公司

3. 大規模處理重要個人信息的公司

關於 GDPR 的 5 個誤區

1. 美國公司受到嚴重影響——所有擁有歐盟客戶的公司(不僅僅是美國公司)都應遵守法律。

2. 小企業主不必擔心 GDPR——無論企業大小:如果它處理用戶數據,它應該符合 GDPR。

3. 如果用戶在訂閱期間選擇輸入其個人信息,則不需要用戶同意——從 2018 年 5 月 25 日起,用戶必須以復選框的形式明確同意。

4. 如果您不在歐盟境內開展業務,則無需擔心——如果您是處理歐盟公民數據的企業,無論公民身在何處,GDPR 均適用。

5. 用戶數據只是用戶提供的數據——任何以cookies形式收集、生成、修改、變形或獲取的數據,用戶行為仍然是用戶數據。

結論

如果您是一家擁有收集數據主體個人信息的網站的企業,您現在有義務實施合法的方式來獲取用戶信息。 例如,如果您的網站上有彈出窗口或訂閱表單,那麼確保您獲得用戶同意的唯一方法是:

  • 實施雙重選擇加入方法,僅在同意的情況下匯集感興趣的成員。
  • 讓用戶可以選擇管理他/她的數據。
  • 為用戶提供取消訂閱的選項。
  • 確保您使用的所有第三方服務都符合 GDPR。
  • 檢查您的數據採集程序。
  • 以透明的方式傳達您的隱私政策。
  • 指定數據保護官或教育和培訓您的企業以避免數據洩露。
  • 確保定期數據審計和可訪問性。
  • 最小化您持有和處理的數據。

免責聲明:以上信息僅供參考和參考。 它不能作為法律建議。 請向法律顧問尋求任何進一步的建議。