什么是欧盟通用数据保护条例 (GDPR) 以及它将如何影响您的在线业务？

您的收件箱是否充斥着更新隐私政策的电子邮件？ 这是有原因的——这个原因是通用数据保护条例，或 GDPR。

这些天似乎每个人都在谈论 GDPR。 但为什么是现在？

嗯，问题是，GDPR 在过去七年中一直在制定中。 但最近，就这项数据保护改革真正需要的内容达成了一致。

基本上，GDPR 是一套旨在为欧洲公民提供对个人数据的更多控制的法规。 除此之外，这项改革还将规范网络世界的一般同意和隐私法，为整体数据处理和存储创造新的标准。

至少 50% 的组织表示，除非他们显着改变其运营方式，否则他们将难以遵守 GDPR。 这可能是一项欧洲法规，但它不仅仅影响欧洲。

建议世界各地的在线企业遵守新的 GDPR 法规——GDPR 适用于欧盟内部的每家公司，以及欧盟以外的任何向欧盟内的客户或企业提供产品或服务的组织。 很有可能，大多数全球公司都必须符合 GDPR 的要求……包括您，如果您的公司受英国数据保护法的约束。

可以这样想——Facebook 的主要总部在美国，但生活在欧洲和世界各地的人们都可以注册 Facebook。 因此，由于 Facebook 向欧洲人提供服务并收集他们的数据，因此 Facebook 必须符合 GDPR，即使它主要位于美国。

不过，不要害怕成为 GDPR 合规者。 即使您在技术上不必如此。

GDPR 合规性只会对您有好处。 您将使用一个系统来处理有关您的客户（或电子邮件订阅者）的个人敏感信息，同时保证所有这些数据的安全。 实际上，每个人都可以从 GDPR 中受益。

GDPR 的好处在于它带有关于数据收集的严格规则和指导方针。 这意味着不再有模糊的界限和更多的监管。 但这也意味着那些必须遵守 GDPR 的人如果不遵守新规定将面临处罚。

有两种不同类型的数据处理——负责处理数据的人员（或机构、当局等）和负责控制的人员。 通过这种设置，如果发生误用，双方都负有全部责任，但如果每个人都遵守有关数据保护的规则，那么违规的可能性就会降低。 在 GDPR 之前，如果数据发生问题，没有真正的解决方案。

您的企业如何符合 GDPR

符合 GDPR 要求的第一步是仔细查看您收集的数据。 那个数据是个人的吗？ 如果是，那么您应该应用 GDPR 规则和法规。

如果任何数据（其中的一部分或整个组）可以识别此人，那么它就是个人数据。 在这种情况下，您必须征得这些人的同意，告知他们将如何使用他们的数据以及使用多长时间。 此外，您必须让他们深入了解您拥有的数据，并允许他们根据需要将其删除。

个人数据的一些典型示例包括姓名、地址、照片，甚至 IP 地址也被视为个人数据。

此外，如果他们不想删除数据，您必须执行特定活动以保护该数据。 其中一种方法是假名化。

什么是假名化？

虽然名字很复杂，但想法很简单。 假名化是一种数据管理技术，其主要目标是去个性化数据，使其无法追溯到个人，除非您使用其他数据——这就像一把钥匙。 没有该密钥，您将无法发现使其加密的原始数据。

GDPR 还列出了有关存储所有这些加密密钥的规则列表，以便去个性化过程和信息保持安全。

个人数据和加密数据都代表不同的拼图，如果你从等式中去掉一个，你就看不到全貌。

假名化和加密的区别

虽然有相似之处，但主要区别很明显。 加密不是一成不变的，有多种方法可以实现。 最终结果是一样的——数据受到保护和加密。

加密和假名化之间的区别在于，您无法处理加密数据，除非您将它们恢复到原始未加密状态。 使用假名化，您只是暂时匿名化个人数据，以便在数据处理过程中，没有人可以将它们与真实的人联系起来。

基本上，虽然加密更安全、更完整，但在技术上实现起来也非常复杂，而假名化可以让您只加密数据的敏感部分。 它可以粗略地转换为现实生活中的情况，即您正在进行公开问卷调查，答案是匿名的，但最终结果是相同的——您得到了您想要的数据。

GDPR 和有效的数据保护

为了处理数据，公司如果想要符合 GDPR 标准，就需要使用假名。 他们可以选择不这样做，但他们将面临多项可能高达数百万美元的罚款。

通过假名，数据可以用于分析、探索和统计研究，但也可以在数据所有者同意的情况下使用。 公司还必须随时获得该同意。

除了假名化之外，公司还可以实施多种技术解决方案来确保这些数据受到保护。 如果可能，最好实现完全加密，但除此之外，公司可以确保其当前系统能够承受政策变化。

另一种保护数据的方法是加强现有系统。 在系统中建立必要的保护措施，但也要确保它们从开发的早期阶段就内置到产品和服务中。

GDPR 规则将于 2018 年 5 月 25 日开始适用。从这一天起，所有欧盟组织和公司都必须遵守 GDPR。

GDPR 的好处是什么？

• 更少的数据泄露、黑客攻击和滥用。
• 数据保护将从一开始就内置到每个产品或服务中。
• 如果企业使用假名等数据保护机制，他们仍然可以访问必要的数据。
• 将创造新的就业机会。
• 人们将完全控制他们的数据。
• 如果他们的数据被黑客入​​侵，企业将不得不通知消费者，以限制掩盖。

您是否担心立法会如何影响您的业务？ 通过注册DesignRush Daily Dose 来了解最新情况！

GDPR 处罚和罚款

虽然许多企业认为 GDPR 只是一种滋扰，但由于罚款数额巨大，因此他们被鼓励遵守新的 GDPR 规则。 罚款金额从 1000 万欧元（超过 1150 万美元）到 2000 万欧元（2300 万美元）不等，或者是一家公司全球年营业额的 2% 到 4%，对某些公司来说可能价值数十亿美元。

如果企业在未经授权的情况下传输数据，无视人们对数据洞察和数据删除的要求，则可能会被罚款。 罚款还会影响在发生违规行为后的前 72 小时内未通知用户和当局的公司。 另一个可能招致罚款的例子是不任命负责 GDPR 规则和合规的人——负责组织内数据保护的人。

任命数据控制者

每个处理敏感数据（包括处理、监控和行为跟踪）的组织都必须任命一名数据保护官。 这意味着使用数字营销策略的公司可能必须符合 GDPR。

成为 DPO 不需要证书，并且只有一套指导方针，而不是实际立法，关于谁应该成为数据保护官。 主要是，该人应具有数据保护法律的经验和理解，并应开展活动以确保公司合规。 如果公司不合规，该人也应承担责任。

此外，根据公司规模，可能只有一个 DPO 或整个部门致力于将风险降至最低并最大限度地保护数据。

使 GDPR 成为核心价值

公司可以通过多种方式确保公司认真对待并执行 GDPR。

• 员工培训
• 政策审查
• 人力资源法规
• 内部审计
• 记录涉及数据使用的所有流程和活动
• 最大限度地减少数据使用
• 使用化名等策略

公司如何准备 GDPR 立法

公司内部的营销部门通常会使用用户的敏感数据，但谁处理公司内部的数据并不重要。 整个公司都需要合规，这里有一份清单可以帮助简化流程。

第 1 步 – 任命一名数据保护官

您需要有人来监督和修改所有内部流程，并确保您的公司遵守指导方针。 如果您认为您的公司中没有任何人可以担任这样的角色，那么您应该考虑雇用可以担任此职务的人。 此外，现在有 GDPR 培训，您当前的员工可以通过这些培训来了解有关 GDPR 的更多信息。

第 2 步 - 查看您的邮件列表

对整个邮件列表进行全面修订。 发送有关新隐私政策更新的必要电子邮件，并询问人们是否仍想与您共享他们的数据。 如果他们不同意您，请将其从列表中删除。 如果您使用电子邮件营销自动化，只需使用一个新列表，您将在其中对欧洲用户进行细分，以便获得他们的同意。

第 3 步 - 通过数据保护官批准营销活动

在您的营销人员掌握诀窍之前，DPO 应该监督您的营销活动并在发布前批准它们。 通过这种方式，您可以确保一切正常，并且您仍然符合 GDPR。

步骤 4 – 记录数据流和流程

您的电子邮件列表可能会被剔除，但正如您现在所知，这是必要的。 但是，您仍然必须确保所有未来的数据收集也符合 GDPR。 您的数据入口点也必须保持安全。 其中包括通讯注册、所有帐户注册、各种活动、购买清单、保护传输给合作伙伴的数据以及任何类型的数据使用和收集。 用户应同意您进行所有数据操作，并且您应明确指出您将对其数据执行的所有活动。

第 5 步 – 更新您的隐私政策

确保您的网站有一个易于访问的隐私政策页面，您可以在其中公开概述您收集和处理数据的方式，以及您采取哪些措施来保护数据。

第 6 步 – 实施 GDPR 的员工和管理培训

向所有决策者和营销人员讲授数据保护和协议。 您甚至可以扩展此功能，以对所有员工进行有关新规则和流程的教育。 这可以通过研讨会、培训、分发小册子或在线手册来完成——任何对您的业务有用的东西。

步骤 7 – 删除公司不使用的数据

符合 GDPR 要求的步骤之一是尽可能减少您在日常流程中使用的数据，并在您不再需要时删除这些数据。

第 8 步 - 重新验证

向所有欧洲居民发送电子邮件，如果他们想加入您的名单，请要求他们续签同意书。 这可以通过电子邮件、移动应用程序甚至直接邮件来完成。 GDPR 政策严格禁止向之前从您的列表中取消订阅的个人发送新电子邮件。

默认隐私和设计隐私 - 有什么区别

在这个新的 GDPR 时代，有两个新术语应该被认可和遵守。 基本上，我们已经说过，新产品和服务必须带有符合 GDPR 规则的内置机制。 隐私设计意味着公司应该提前考虑并计划如何包含数据保护政策，即使是在项目的早期阶段，以及项目生命周期的其余部分。

默认情况下，数据处理者必须保护数据隐私，这意味着除了数据所有者之外，任何人都无法获得个人数据。 此外，处理者应仅为处理目的收集最低限度的必要个人数据，完成后不存储这些数据。

你可以做什么来自动化这个过程

尝试确保能够为您解决许多这些问题的技术解决方案。 例如，这可能是一个会自动删除某些个人数据的软件。

重新评估和测试

为了阻止可能的违规行为并遵守 GDPR，公司最好进行各种测试、案例研究和重新评估流程。

为每个新系统、媒体活动、项目规划行动或任何类似行为制定 GDPR 合规性清单。 这样，您的员工可以快速评估流程，并在项目不遵守规定或以任何方式滥用数据时通知负责人。 当然，公司或员工可能会认为这些额外的步骤是一种负担，但安全总比后悔好。

只要记住那些数百万美元的罚款。

新的数据收集政策

除了保护以前收集的数据外，您还必须确保未来的数据收集从一开始就是安全的。 在征求同意时，您可以使用简单、自然的语言。

用复杂的术语来掩盖它可能会产生误导。 人们提供的同意应清晰明确。 确保您清楚地概述了您将如何使用新收集的信息。

也是时候在您的网站上获得另一份 cookie 政策同意书了。 你必须确保订阅的人达到法定年龄，因为根据新的 GDPR 规则，只有 16 岁及以上的人才能提供他们的个人数据。 16 岁以下的儿童必须获得父母的同意。

公司必须明白，他们不能在没有正当理由的情况下索取个人信息。 即使该信息的存储符合 GDPR 规则，也不会。 公司应寻求法律援助，为每项数据收集和处理活动准备法律依据。

新表格可能包括用户的年龄甚至居住国，以确定 GDPR 规则是否适用。 此外，您的客户有权知道他们的数据是否会跨境传输。 在任何时候，您都必须确保有一种机制允许用户撤回他们的同意，甚至提出投诉。

如果人们要求对其信息进行洞察，公司必须遵守并提供不会无故延迟的回复，最迟应在收到请求后的一个月内发送。

新的电子隐私法

欧洲委员会发布了有关电子隐私法规的新法律提案。 它旨在作为现有“Cookie 法”的更新，也将符合已使用的 GDPR 法。

GDPR 与电子隐私法的区别

虽然 GDPR 关注个人数据的数据保护，但电子隐私法希望规范用户个人生活的隐私。 这样，在线交流就可以保护用户。 有许多部门和行业受到这些法律的影响。 欧洲委员会认为，应该有两套基于不同人权的不同规则。

这项新的电子隐私法会对营销行业产生相当大的影响。 超过 92% 的人担心他们的在线隐私以及他们的数据如何用于营销目的。 他们非常担心公司对其生活的洞察力，尤其是在监控他们的在线活动、电子邮件内容和消息时。 这就是为什么这个概念从 GDPR 和个人数据保护演变为电子隐私法以及其他数据的原因。

基本上，关于获得所有营销目的的同意，将会有更多规范的规则和政策。 这也包括行为营销策略。 根据新的电子隐私法，未经用户同意，公司将无法使用来自电子通信的任何数据、消费者使用的设备中存储的信息或任何其他信息，除非需要立即处理数据。

智者的话——提防诈骗

由于公司一直在发送电子邮件，让人们从他们的邮件列表中选择退出，因此诈骗者已经想出了一种方法来利用整个 GDPR 合规性进行网络钓鱼诈骗。 具有讽刺意味的是，黑客故意针对那些试图通过新的 GDPR 规则保护数据安全的人。

以下是识别 GDPR 网络钓鱼诈骗的方法：

如果公司询问您是否希望保留在他们的数据库中，那可能不是网络钓鱼诈骗。 但是，如果您在任何时候收到一条消息，要求您再次发送任何个人数据或信息（例如姓名、地址、用户名、密码甚至付款信息），请避开。 真正的公司永远不会通过电子邮件做到这一点。

数据保护的未来以及您的企业如何使用这些信息

同样，与 GDPR 一样，隐私控制的权力正在回归数据所有者。 有了这项新法律，用户将能够直接在他们的互联网浏览器中同意使用 cookie 或撤回它。

通过这样做，人们认为不必为每个网站制定 cookie 政策，而更像是一个处理它的软件分类账。 这也意味着，如果网站只使用匿名数据收集，网站就不必使用无聊的弹出窗口来征求同意。

这些新的隐私法将适用于所有消息服务，包括 Facebook 的 Messenger 应用、Viber、WhatsApp 和 Gmail。

其中许多措施将直接影响数字营销的未来，但现在说甚至预测这将如何发展还为时过早。 我们只需要拭目以待，同时密切关注我们的数据。

您的企业是否需要一些帮助来跟上所有这些新的数据法规？ 查看 DesignRush 的最佳网络安全和风险管理公司名单，这些公司可以在 GDPR 法规生效时帮助简化流程。

想要更多商业洞察？ 注册我们的通讯！