通用数据保护条例 (GDPR) 是一项泛欧法规,用于控制公司和其他组织处理个人数据的方式。这是 20 年来最重要的数据保护举措,对世界上为欧盟人民提供服务的每个组织都具有重大意义。
为了让人们控制其数据的使用方式并保护“个人的基本权利和自由”,立法对数据处理、透明度、文档和用户同意制定了严格的要求。
每个组织都必须保留记录并监控个人数据的处理
作为数据控制者,每个组织都必须保留记录并监控个人数据处理活动。这包括由组织管理的个人数据,也包括由第三方(即所谓的数据处理者)管理的个人数据。
数据处理器可以是任何东西,从作为服务的软件提供商到嵌入式第三方服务、跟踪和访问组织网站的流量。
数据控制者和处理者都必须能够对正在处理的数据类型、处理目的以及数据传输到哪些国家和第三方负责。
如果个人数据被发送到 GDPR 范围之外或 GDPR 认为“不充分”的组织或司法管辖区,您必须明确告知用户它和所涉及的风险。
所有同意都必须记录为已给予同意的证据
2020 年 5 月 4 日,欧洲数据保护委员会 (EDPB) 通过了 GDPR 下的有效同意指南。
有效同意必须是用户意愿的自由、具体、最新和明确的指示,即用户的明确和肯定的行动。
EDPB 指南明确指出, 滚动或继续浏览网站不是有效的同意 然后 cookie 横幅不允许有默认复选框 .
Cookie 墙(强制同意)也被视为不合规。
EDPB 是负责在整个欧盟实施 GDPR 的最高监管机构,由欧盟各成员国数据保护机构的代表组成,他们的指导方针和决定是在国家层面执行 GDPR 的基础。
个人现在拥有“传输数据的权利”、“访问数据的权利”以及“被遗忘的权利”,并且可以随时撤销他们的同意。在这种情况下,如果出于收集目的不再需要个人数据,则数据控制者必须删除个人数据。
如果发生数据泄露,公司必须能够在 72 小时内通知数据保护机构和受影响的个人。
此外,GDPR 还要求公共当局、拥有超过 250 名员工的组织以及大规模处理敏感个人数据的公司雇用或培训数据保护官 (DPO)。 DPO 必须采取措施确保整个组织的 GDPR 合规。
关于英国退欧,英国政府计划实施基本遵循 GDPR 的同等立法。
GDPR 对我的网站意味着什么?
如果您的网站为来自欧盟的人提供服务,并且您(或 Google 和 Facebook 等嵌入式第三方服务)处理任何类型的个人数据,则您必须事先征得访问者的同意。
为了获得有效的同意,您必须在处理任何个人数据之前,以通俗易懂的语言向访问者描述您的数据处理的范围和目的。
该信息必须始终可供访问者使用,例如作为您隐私政策的一部分。您还必须为访问者提供一种简单的方法来更改或撤销他们的同意。
所有同意都必须记录为证据,并且必须记录任何对个人数据的监控以及集成的第三方服务,并根据传输的国家/地区数据进行记录。
请参阅有关数据保护法改革的欧盟信息页面。
个人数据的定义是什么?
GDPR 将个人数据定义为“与可识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的自然人是指可以直接或间接通过姓名、识别号等标识符进行识别的信息、位置数据、互联网标识符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份相关的一个或多个因素。 ”
互联网 ID(例如 IP 地址)现在被视为个人数据,除非它们是匿名的。
如果逆向工程可以识别它们所属的数据,则昵称也受 GDPR 的约束。
GDPR 实施日期:2018 年 5 月 25 日
欧盟数据保护改革于 2016 年 4 月 27 日获得欧洲议会和欧洲理事会的批准。欧洲数据保护条例自 2018 年 5 月 25 日起生效并取代数据保护指令。
GDPR 罚款和处罚
机构在不合规风险的情况下被罚款高达 2000 万欧元或机构全球年营业额的 4%,以较高者为准。
GDPR 清单:我需要做的 6 件事
1. 准备好你的身体:
向整个组织的利益相关者介绍 GDPR 要求。对网络安全人员、基于设计的隐私和基于隐私的原则进行培训。如果需要,即如果员工超过 250 人,则指定一名数据保护官 (DPO)。
2. 检查您的数据:
确保您知道所有数据所在的位置、谁有权访问以及哪些设备。确定在何处处理个人数据,包括来自第三方处理者的数据。记录法律处理的原因并更新当前的隐私政策。
3. 审计伙伴:
确保服务合作伙伴,即您网站上的第三方嵌入式服务或作为服务的软件提供商也遵守 GDPR 或受到官方数据处罚。检查并映射他们的国际数据流。
4. 获得您的同意:
应用寻求、获得和记录同意的方法以确保合规 清楚地记录每个数据主体同意的内容,并提供数据主体撤销或更改同意的选项。
5. 对数据权利的回应:
实施允许您的组织响应数据主体权利的程序,例如数据访问、更正和删除。记录客户和员工将如何实践它们。
6. 为数据泄露做好准备:
确保程序到位,以在通知 GDPR 的 72 小时时限内检测、调查和报告个人数据泄露。
GDPR 合规性和要求
课程、培训和 GDPR 认证:
您可以在各种课程中获得欧盟 GDPR 基金会 (EU GDPR F) 和欧盟 GDPR 从业者 (EU GDPR P)(均通过 ISO 17024 认证)的资格,例如: IT 治理。国际隐私专业人员协会 (IAPP) 还提供在线培训。
GDPR合规软件:
有一些数字工具包、框架和软件解决方案可以帮助您完成 GDPR 合规流程,即 DPOrganizer,它可以帮助您实现自己的数据处理个性化。
Cookiebot 可以帮助您在您的网站上自动获得用户同意,并记录 cookie 和其他使用的爬虫。
