GDPR 即将到来:如何准备

已发表: 2017-11-15

注意:这仅用于一般信息目的,并不构成法律分析或法律建议。 您应该联系律师以了解更多关于您在 GDPR 下的特定义务的信息。

如果您是与欧盟公民开展业务的组织的一员,那么您可能听说过即将发生的涉及通用数据保护条例 (GDPR) 的变化。 GDPR 是一项欧盟法律,旨在加强和统一数据保护规则和权利,以造福欧盟公民。 GDPR 适用于向欧盟提供商品和服务或利用跟踪技术(如 cookie 或跟踪像素)监控欧盟用户行为的欧盟组织和非欧盟组织(任何规模)。

GDPR 将于 2018 年 5 月 25 日开始执行。

届时,任何不合规的组织都可能受到罚款和其他监管制裁。 对于 GDPR 的概述,本文是一个很好的起点。

GDPR 的主要原则

在您和您的团队为即将到来的 GDPR 做准备时,请牢记以下原则:

  • 收集的个人数据需要以公平、合法和透明的方式进行处理。 不应以任何人不会合理预期的方式使用它。
  • 收集个人数据只能用于实现特定目的,不得以与这些目的不相容的方式进一步使用。 组织必须在收集个人数据时说明他们为什么需要这些个人数据。
  • 持有的个人数据需要保持最新和准确。 它的持有时间不应超过实现其目的所必需的时间。
  • 欧盟公民有权访问自己的个人数据。 他们还可以请求其数据的副本,并且他们的数据可以不受阻碍地更新、删除、限制或移动到另一个组织。
  • 所有个人数据都需要保持安全,从事某些类型活动的公司现在需要任命一名数据保护官。

什么是个人数据?

GDPR 对个人数据的定义包括我们通常认为的个人身份信息 (PII) — 姓名、护照号码、出生日期等 — 但它也包括我们可能认为是非 PII 的数据,例如 IP 地址或设备身份证。

个人数据甚至可以包括经过散列或加密的个人数据。

有关 GDPR 对个人数据的考虑的完整列表,请阅读 GDPR 第 4(1) 条。

此外,个人数据的定义中还包括被称为“特殊类别的个人数据”的数据子集。 特殊类别的个人数据是 GDPR 中明确规定的特定数据列表,包括种族、宗教、政治观点、健康数据等。

为 GDPR 做准备的步骤

数据映射——确定(并记录)以下内容:

  • 您拥有或收集哪些个人数据?
  • 个人资料的用途是什么?
  • 这些数据来自哪里,与哪些方共享?
  • 这些数据目前在哪里?
  • 数据存储多长时间?
  • 如果数据主体提交请求,这些数据将如何被删除或修改?

权利——检查您当前的程序,以确保您可以遵守数据主体的权利。 欧盟公民有权访问自己的个人数据。 他们还可以请求其数据的副本,并且在某些情况下,他们的数据可以不受阻碍地更新、删除、限制或转移到另一个组织。

同意 –当依赖同意作为处理个人数据的依据时,请说明您如何寻求、获得和记录同意。 对于某些(但不是全部)类型的活动,通常应征得个人同意才能使用他们的数据——例如,在处理特殊类别的个人数据时。 GDPR 规定,应通过明确的肯定行为给予同意——沉默、预先勾选的框或不活动通常不构成同意。 还应告知同意。

组织必须提供有关他们收集个人数据的原因及其用途的信息。

您还需要保留所有获得同意的记录,包括谁同意、何时以及他们同意哪些具体声明。 欧盟个人将有权随时撤回同意。

隐私政策 –查看您当前的隐私政策并确定是否需要任何更新。

产品设计——您应该通过设计将隐私构建到项目中,并考虑如何最大限度地减少产品对隐私的影响。 尝试在适当或必要的情况下使用假名化、匿名化和加密。 有关设计隐私的更多详细信息,请参阅 GDPR 第 25 条。

数据泄露程序——确保您有适当的程序来检测、报告和调查任何数据泄露。 GDPR 要求组织通常在发现违规行为后 72 小时内向数据保护机构报告,除非违规行为不太可能对个人隐私权造成风险。

数据保护官 -确定您是否应任命数据保护官 (DPO)。 GDPR 规定,当组织的核心活动涉及“对数据主体进行定期和系统的大规模监控”或组织对“特殊类别的个人数据”进行大规模处理时,必须任命 DPO。 DPO 负责监督对 GDPR 要求的遵守情况,并充当组织与监管机构之间的联络点。

第三方提供商 -列出您当前使用的所有第三方解决方案(包括网站跟踪 cookie),这些解决方案可以访问或处理数据主体的个人数据。 您应该查看与第三方提供商的所有合同。 在您的合同中包含保密和数据隐私条款,这些条款在必要时符合 GDPR。 询问您已确定在范围内的第三方提供商是否符合 GDPR 法规。

意识——让您的员工了解 GDPR 及其对收集和处理客户个人数据的影响。

隐私盾呢?

GDPR 对欧盟以外的个人数据传输有具体要求。

例如,数据传输只能发生在已确定有足够的数据保护法律或您已建立适当的数据导出机制的国家。

欧盟不认为美国有足够的数据保护法律——但是,隐私护盾是一项自愿的自我认证计划,美国组织可以参与以表明他们有足够的数据保护实践来满足 GDPR 的这一要求.

SendGrid 已通过 Privacy Shield 认证,并且还向客户提供标准合同条款作为替代数据导出机制。

这对电子邮件有何影响?

GDPR 将对营销实践产生影响。 所有与 GDPR 相关的电子邮件营销人员都需要说明他们如何在需要的地方寻求、获得和记录同意。 营销人员还希望确保他们可以根据要求更新、删除、限制或移动个人数据。 通过遵守 GDPR 并从您的列表中删除不需要的主题的电子邮件地址,您可以提高您的送达率!

接下来是什么?

如果您认为您的组织将受到 GDPR 的影响,请联系律师以详细了解您在 GDPR 下的特定义务。 这篇文章的目的是强调由于 GDPR 可能对组织发生的一些变化。 GDPR 的完整文本可在此处获得。 您还可以在此处找到有关 cookie 使用、电子隐私条例及其与 GDPR 的关系的更多信息。