如何使您的网站符合 GDPR

已发表: 2018-07-12

我们的许多用户一直在向我们询问 GDPR:它是什么意思? 它适用于谁和什么? 作为一个企业,它对我有什么影响? 我们知道,虽然网络上流传着大量信息,但其中部分信息可能不完整、不正确或具有误导性。

这就是为什么我们联系了英国领先的律师事务所之一 Fladgate,这是一家专门从事知识产权的公司。 他们非常友好地提供了有关该主题的完整而专业的答案,包括在这篇文章中。

您将在下方找到可读且易于理解的 GDPR 指南,因为它涉及与 Elementor 网站创建者相关的主题。 它以法律形式起草,因此与我们通常的博客术语略有不同,但我们相信这是清楚理解 GDPR 规则的最佳(也是唯一)方式。 我们要感谢 Fladgate 的 Eddie Powell,他为我们的社区编写和阐明了这些详尽而全面的指南。

网站法律要求:入门指南
法律合规

这篇文章中回答的问题包括:

什么是 GDPR,为什么它很重要?

GDPR 的基本规则是什么?

我可以使用哪些个人数据以及如何使用这些数据?

我可以将个人数据传输给第三方吗?

个人对企业有什么权利?

作为企业主,我应该如何保护我网站上的个人数据?

什么是 GDPR,为什么它很重要?

GDPR 代表通用数据保护条例。 这是新的欧盟制定的一套规则,用于管理企业如何持有和使用个人数据。

大多数人都听说过可以对违反规定的企业处以罚款。 这些可能高达 2000 万欧元,或者对于特别大的公司集团而言,占集团全球营业额的 4%,这可能是一笔巨款。

然而,更重要的是,与不遵守数据保护规则相关的宣传会严重损害企业的声誉,并导致客户和供应商不信任它。 此外,如果客户不信任企业的信息,新业务将受到影响,并且它将保持高标准的隐私。 客户希望能够掌控自己的个人信息。

基本规则

这些规则适用于“个人数据”。 个人数据包括明显的内容,例如人名、地址和联系方式等。它还包括电子邮件地址列表,您可以在其中通过他们的地址识别个人(例如[电子邮件保护] – 您可以看出 Bob Smith 在 Universal 工作小部件)和 IP 地址。 如果您将其匿名化,信息将不再是个人数据,这样您就永远无法从信息集中确定个人是谁。

GDPR 规定,您不能仅仅因为这些个人数据存储在您的企业系统中而收集、存储、使用和传输这些个人数据(所有这些都称为“处理”)。 你必须考虑你想要做什么并应用规则。

您需要拥有 GDPR 指定的 6 个理由之一。 我们的目的的关键是:

  • 与个人签订合同或使用该信息签订合同;
  • 遵守业务所受的法律义务(而不是与另一家公司的合同)——例如遵守反洗钱规则或预防犯罪;
  • 个人已同意(必须是具体的、知情的和明确的)您想用他们的信息做什么; 和
  • 您想要进行的处理对于企业的合法利益而言是必要的,但要与相关个人的权利和利益相平衡,后者会对他们的隐私感兴趣。

在与孩子打交道时有一些特殊规则,您必须与他们的父母核实他们的同意。 对于处理有关人们刑事定罪的信息以及法律称为“特殊类别”的信息,也有特殊规则,其中包括以下信息:

  • 健康
  • 种族
  • 性取向
  • 政治信仰
  • 宗教
  • 工会会员
  • 遗传和生物特征数据。

还值得记住的是,电子邮件和短信营销有一些特殊规则(不属于 GDPR 的一部分)——不要假设因为你有某人的电子邮件地址或联系方式,你就可以通过这些渠道向他们发送营销信息。 当您收集信息时,您必须让他们能够选择退出这些通信,并且始终包括他们希望取消订阅未来营销通信的能力。

计划和通知

如果您想将个人数据用于某些事情,例如新的软件实施、新的数据库项目或为客户提供更个性化的服务,那么重要的是不要仅仅假设可以使用现有的个人数据在业务系统上并使用它。 您需要考虑上面已经讨论过的基础,尤其要考虑是否可能包含任何特殊类别数据,因为有关这些的规则要严格得多。

如果您出于既定目的收集更多信息,请确保仅收集您实际需要的信息。 不要要求个人提供超出您达到他们所告知目的所需的数量。

需要以非常清楚的方式告知个人有关其个人信息发生的情况。 这包括:

  • 您的公司详细信息和联系方式;
  • 处理数据的目的是什么;
  • 您要将数据发送给谁;
  • 您是否打算将数据导出到另一个国家;
  • 您将数据保留多长时间; 和
  • 有关撤销同意的权利和 GDPR 下产生的其他权利的信息。

该信息必须在收集信息时或(如果信息是间接接收的)在收到后一个月内根据 GDPR 提供。 您的企业应该有标准表格,允许您提供这些信息——在收集新的个人数据时应该始终使用它们。

一旦您遵守上述规定,然后执行您计划的项目,但要坚持执行并确保删除任何不需要或无法合法保留的个人数据。 请记住,如果您更改计划或决定对个人数据执行其他操作,则需要再次返回这些步骤并重做练习。

转移

使用为您的企业收集的个人数据时要特别小心,您现在想将其传递给第三方。

您需要考虑上述基本合规步骤,并确保您已满足处理的法律依据,并且已向个人提供有关处理的所有必要信息。

如果接收方根据您的指示为您执行工作(例如薪资服务提供商),那么他们将成为您的“处理者”,您必须与他们签订书面合同,其中包括有关安全性和合规性的某些保证。

您不太可能能够接收或传输“特殊类别”的数据,如果有必要,您应该确保与您企业的合规团队进行核实。

如果您想将信息转移到欧盟以外的国家/地区,也有特殊规则,那里的个人数据保护法律可能没有那么严格。 您可能需要与将接收个人数据的企业或组织签订标准形式的合同,或做出其他安排以确保个人权利得到尊重。

个人权利

GDPR 赋予个人多项针对持有其个人数据的企业的权利。 这些包括

  • 整改——必须纠正任何错误或不准确之处;
  • 访问- 必须提供数据的副本及其用途的详细信息;
  • 停止处理- 停止使用某人的个人数据
  • 擦除(被遗忘的权利) ——删除有关个人的所有记录
  • 可移植性——以机器可读格式保存的个人数据传输给个人或其他提供者。

安全

GDPR 没有规定安全级别; 它只是说企业必须具有足够水平的技术和组织安全,因此您的公司将制定安全程序,旨在帮助您遵守此要求。 永远服从他们。

请记住,不仅仅是大规模的网络攻击可能会破坏个人数据安全。 导致最大问题的往往是一些小事,例如存储在移动设备中的个人数据丢失,或者未加密的笔记本电脑留在公共区域。 个人数据丢失的最大原因之一是电子邮件由于自动完成输入错误的电子邮件地址而误入歧途。

GDPR 规定企​​业有义务将任何安全漏洞通知当局,您的公司将有义务保留任何违规记录,无论多么轻微,以便管理层就需要通知的内容做出决定. 确保根据贵公司的政策报告涉及个人数据的任何损失,即使它很快得到纠正或不太可能造成任何损害。

Eddie Powell 是伦敦 Fladgate LLP 律师事务所商业体育和知识产权团队的合伙人。 有关更多信息,请参阅 https://www.fladgate.com/lawyer/eddie-powell/

您采取了哪些措施使您的网站符合 GDPR 要求? 请在下面的评论中告诉我们。