通用數據保護條例 (GDPR) 是一項泛歐法規,用於控制公司和其他組織處理個人數據的方式。這是 20 年來最重要的數據保護舉措,對世界上為歐盟人民提供服務的每個組織都具有重大意義。
為了讓人們控制其數據的使用方式並保護“個人的基本權利和自由”,立法對數據處理、透明度、文檔和用戶同意制定了嚴格的要求。
每個組織都必須保留記錄並監控個人數據的處理
作為數據控制者,每個組織都必須保留記錄並監控個人數據處理活動。這包括由組織管理的個人數據,也包括由第三方(即所謂的數據處理者)管理的個人數據。
數據處理器可以是任何東西,從作為服務的軟件提供商到嵌入式第三方服務、跟踪和訪問組織網站的流量。
數據控制者和處理者都必須能夠對正在處理的數據類型、處理目的以及數據傳輸到哪些國家和第三方負責。
如果個人數據被發送到 GDPR 範圍之外或 GDPR 認為“不充分”的組織或司法管轄區,您必須明確告知用戶它和所涉及的風險。
所有同意都必須記錄為已給予同意的證據
2020 年 5 月 4 日,歐洲數據保護委員會 (EDPB) 通過了 GDPR 下的有效同意指南。
有效同意必須是用戶意願的自由、具體、最新和明確的指示,即用戶的明確和肯定的行動。
EDPB 指南明確指出, 滾動或繼續瀏覽網站不是有效的同意 然後 cookie 橫幅不允許有默認複選框 .
Cookie 牆(強制同意)也被視為不合規。
EDPB 是負責在整個歐盟實施 GDPR 的最高監管機構,由歐盟各成員國數據保護機構的代表組成,他們的指導方針和決定是在國家層面執行 GDPR 的基礎。
個人現在擁有“傳輸數據的權利”、“訪問數據的權利”以及“被遺忘的權利”,並且可以隨時撤銷他們的同意。在這種情況下,如果出於收集目的不再需要個人數據,則數據控制者必須刪除個人數據。
如果發生數據洩露,公司必須能夠在 72 小時內通知數據保護機構和受影響的個人。
此外,GDPR 還要求公共當局、擁有超過 250 名員工的組織以及大規模處理敏感個人數據的公司僱用或培訓數據保護官 (DPO)。 DPO 必須採取措施確保整個組織的 GDPR 合規。
關於英國退歐,英國政府計劃實施基本遵循 GDPR 的同等立法。
GDPR 對我的網站意味著什麼?
如果您的網站為來自歐盟的人提供服務,並且您(或 Google 和 Facebook 等嵌入式第三方服務)處理任何類型的個人數據,則您必須事先徵得訪問者的同意。
為了獲得有效的同意,您必須在處理任何個人數據之前,以通俗易懂的語言向訪問者描述您的數據處理的範圍和目的。
該信息必須始終可供訪問者使用,例如作為您隱私政策的一部分。您還必須為訪問者提供一種簡單的方法來更改或撤銷他們的同意。
所有同意都必須記錄為證據,並且必須記錄任何對個人數據的監控以及集成的第三方服務,並根據傳輸的國家/地區數據進行記錄。
請參閱有關數據保護法改革的歐盟信息頁面。
個人數據的定義是什麼?
GDPR 將個人數據定義為“與可識別或可識別的自然人(“數據主體”)有關的任何信息;可識別的自然人是指可以直接或間接通過姓名、識別號等標識符進行識別的信息、位置數據、互聯網標識符或與該自然人的身體、生理、遺傳、精神、經濟、文化或社會身份相關的一個或多個因素。 ”
互聯網 ID(例如 IP 地址)現在被視為個人數據,除非它們是匿名的。
如果逆向工程可以識別它們所屬的數據,則暱稱也受 GDPR 的約束。
GDPR 實施日期:2018 年 5 月 25 日
歐盟數據保護改革於 2016 年 4 月 27 日獲得歐洲議會和歐洲理事會的批准。歐洲數據保護條例自 2018 年 5 月 25 日起生效並取代數據保護指令。
GDPR 罰款和處罰
機構在不合規風險的情況下被罰款高達 2000 萬歐元或機構全球年營業額的 4%,以較高者為準。
GDPR 清單:我需要做的 6 件事
1. 準備好你的身體:
向整個組織的利益相關者介紹 GDPR 要求。對網絡安全人員、基於設計的隱私和基於隱私的原則進行培訓。如果需要,即如果員工超過 250 人,則指定一名數據保護官 (DPO)。
2. 檢查您的數據:
確保您知道所有數據所在的位置、誰有權訪問以及哪些設備。確定在何處處理個人數據,包括來自第三方處理者的數據。記錄法律處理的原因並更新當前的隱私政策。
3. 審計夥伴:
確保服務合作夥伴,即您網站上的第三方嵌入式服務或作為服務的軟件提供商也遵守 GDPR 或受到官方數據處罰。檢查並映射他們的國際數據流。
4. 獲得您的同意:
應用尋求、獲得和記錄同意的方法以確保合規 清楚地記錄每個數據主體同意的內容,並提供數據主體撤銷或更改同意的選項。
5. 對數據權利的回應:
實施允許您的組織響應數據主體權利的程序,例如數據訪問、更正和刪除。記錄客戶和員工將如何實踐它們。
6. 為數據洩露做好準備:
確保程序到位,以在通知 GDPR 的 72 小時時限內檢測、調查和報告個人數據洩露。
GDPR 合規性和要求
課程、培訓和 GDPR 認證:
您可以在各種課程中獲得歐盟 GDPR 基金會 (EU GDPR F) 和歐盟 GDPR 從業者 (EU GDPR P)(均通過 ISO 17024 認證)的資格,例如: IT 治理。國際隱私專業人員協會 (IAPP) 還提供在線培訓。
GDPR合規軟件:
有一些數字工具包、框架和軟件解決方案可以幫助您完成 GDPR 合規流程,即 DPOrganizer,它可以幫助您實現自己的數據處理個性化。
Cookiebot 可以幫助您自動獲得用戶對您網站的同意,並記錄 cookie 和其他使用的爬蟲。
