GDPR 即將到來:如何準備

已發表: 2017-11-15

注意:這僅用於一般信息目的,並不構成法律分析或法律建議。 您應該聯繫律師以了解更多關於您在 GDPR 下的特定義務的信息。

如果您是與歐盟公民開展業務的組織的一員,那麼您可能聽說過即將發生的涉及通用數據保護條例 (GDPR) 的變化。 GDPR 是一項歐盟法律,旨在加強和統一數據保護規則和權利,以造福歐盟公民。 GDPR 適用於向歐盟提供商品和服務或利用跟踪技術(如 cookie 或跟踪像素)監控歐盟用戶行為的歐盟組織和非歐盟組織(任何規模)。

GDPR 將於 2018 年 5 月 25 日開始執行。

屆時,任何不合規的組織都可能受到罰款和其他監管制裁。 對於 GDPR 的概述,本文是一個很好的起點。

GDPR 的主要原則

在您和您的團隊為即將到來的 GDPR 做準備時,請牢記以下原則:

  • 收集的個人數據需要以公平、合法和透明的方式進行處理。 不應以任何人不會合理預期的方式使用它。
  • 收集個人數據只能用於實現特定目的,不得以與這些目的不相容的方式進一步使用。 組織必須在收集個人數據時說明他們為什麼需要這些個人數據。
  • 持有的個人數據需要保持最新和準確。 它的持有時間不應超過實現其目的所必需的時間。
  • 歐盟公民有權訪問自己的個人數據。 他們還可以請求其數據的副本,並且他們的數據可以不受阻礙地更新、刪除、限製或移動到另一個組織。
  • 所有個人數據都需要保持安全,從事某些類型活動的公司現在需要任命一名數據保護官。

什麼是個人數據?

GDPR 對個人數據的定義包括我們通常認為的個人身份信息 (PII) — 姓名、護照號碼、出生日期等 — 但它也包括我們可能認為是非 PII 的數據,例如 IP 地址或設備身份證。

個人數據甚至可以包括經過散列或加密的個人數據。

有關 GDPR 對個人數據的考慮的完整列表,請閱讀 GDPR 第 4(1) 條。

此外,個人數據的定義中還包括被稱為“特殊類別的個人數據”的數據子集。 特殊類別的個人數據是 GDPR 中明確規定的特定數據列表,包括種族、宗教、政治觀點、健康數據等。

為 GDPR 做準備的步驟

數據映射——確定(並記錄)以下內容:

  • 您擁有或收集哪些個人數據?
  • 個人資料的用途是什麼?
  • 這些數據來自哪裡,與哪些方共享?
  • 這些數據目前在哪裡?
  • 數據存儲多長時間?
  • 如果數據主體提交請求,這些數據將如何被刪除或修改?

權利——檢查您當前的程序,以確保您可以遵守數據主體的權利。 歐盟公民有權訪問自己的個人數據。 他們還可以請求其數據的副本,並且在某些情況下,他們的數據可以不受阻礙地更新、刪除、限製或轉移到另一個組織。

同意 –當依賴同意作為處理個人數據的依據時,請說明您如何尋求、獲得和記錄同意。 對於某些(但不是全部)類型的活動,通常應徵得個人同意才能使用他們的數據——例如,在處理特殊類別的個人數據時。 GDPR 規定,應通過明確的肯定行為給予同意——沉默、預先勾選的框或不活動通常不構成同意。 還應告知同意。

組織必須提供有關他們收集個人數據的原因及其用途的信息。

您還需要保留所有獲得同意的記錄,包括誰同意、何時以及他們同意哪些具體聲明。 歐盟個人將有權隨時撤回同意。

隱私政策 –查看您當前的隱私政策並確定是否需要任何更新。

產品設計——您應該通過設計將隱私構建到項目中,並考慮如何最大限度地減少產品對隱私的影響。 嘗試在適當或必要的情況下使用假名化、匿名化和加密。 有關設計隱私的更多詳細信息,請參閱 GDPR 第 25 條。

數據洩露程序——確保您有適當的程序來檢測、報告和調查任何數據洩露。 GDPR 要求組織通常在發現違規行為後 72 小時內向數據保護機構報告,除非違規行為不太可能對個人隱私權造成風險。

數據保護官 -確定您是否應任命數據保護官 (DPO)。 GDPR 規定,當組織的核心活動涉及“對數據主體進行定期和系統的大規模監控”或組織對“特殊類別的個人數據”進行大規模處理時,必須任命 DPO。 DPO 負責監督對 GDPR 要求的遵守情況,並充當組織與監管機構之間的聯絡點。

第三方提供商 -列出您當前使用的所有第三方解決方案(包括網站跟踪 cookie),這些解決方案可以訪問或處理數據主體的個人數據。 您應該查看與第三方提供商的所有合同。 在您的合同中包含保密和數據隱私條款,這些條款在必要時符合 GDPR。 詢問您已確定在範圍內的第三方提供商是否符合 GDPR 法規。

意識——讓您的員工了解 GDPR 及其對收集和處理客戶個人數據的影響。

隱私盾呢?

GDPR 對歐盟以外的個人數據傳輸有具體要求。

例如,數據傳輸只能發生在已確定有足夠的數據保護法律或您已建立適當的數據導出機制的國家。

歐盟不認為美國有足夠的數據保護法律——但是,隱私護盾是一項自願的自我認證計劃,美國組織可以​​參與以表明他們有足夠的數據保護實踐來滿足 GDPR 的這一要求.

SendGrid 已通過 Privacy Shield 認證,並且還向客戶提供標準合同條款作為替代數據導出機制。

這對電子郵件有何影響?

GDPR 將對營銷實踐產生影響。 所有與 GDPR 相關的電子郵件營銷人員都需要說明他們如何在需要的地方尋求、獲得和記錄同意。 營銷人員還希望確保他們可以根據要求更新、刪除、限製或移動個人數據。 通過遵守 GDPR 並從您的列表中刪除不需要的主題的電子郵件地址,您可以提高您的送達率!

接下來是什麼?

如果您認為您的組織將受到 GDPR 的影響,請聯繫律師以詳細了解您在 GDPR 下的特定義務。 這篇文章的目的是強調由於 GDPR 可能對組織發生的一些變化。 GDPR 的完整文本可在此處獲得。 您還可以在此處找到有關 cookie 使用、電子隱私條例及其與 GDPR 的關係的更多信息。