gdpr 和你--簡介--第一部分
在我們對 gdpr 的第一部分介紹中, 我們從基礎上審視了歐盟的新規定, 並試圖解釋法律的背景, 它適用于法律, 以及你依法有義務執行的一些事情。由於承諾將處以昂貴的罰款和嚴格的起訴, 這將對歐盟內外的企業產生重大影響。讓我們來看看 gdpr 的背景, 更深入地瞭解它對你的影響。
什麼是 gdpr?
gdpr 是《一般資料保護條例》的首字母縮寫。這是歐盟的一項規定, 將在歐盟資料保護方面產生自1995年以來最大的變化。gdpr 的創建是為了盡可能多地實現資料保護的一致性。這與目前的情況相比是一個很大的變化。現有的歐盟1995年指令已落實到國家資料保護法中。然而, 各州之間仍可能存在重大差異。既然它是一項規定, 就將直接適用。這也意味著, 如果有人想在愛爾蘭做生意, 比如, 他們現在可以肯定, 其他成員國也會存在類似的法律制度。這一新規定更適合我們當前數位世界帶來的挑戰。
gdpr 什麼時候會生效?
gdpr 將于2018年5月25日生效, 但最終文本已經提供一年多。在所有成員國, 都有一個公共當局負責從行政角度處理 gdpr 問題, 並因不遵守行為而處以任何罰款。儘管該規定在整個歐盟地區或多或少是標準化的, 但在一些地區, 成員國仍有能力對規則進行修正。例如, gdpr 有一項規則規定, 16歲以下的兒童必須獲得父母或監護人的同意, 但這可以修改為13歲。正如 gdpr 所指出的, "在兒童至少16歲的情況下, 處理兒童的個人資料是合法的。如果兒童不滿 16歲, 只有在父母對兒童負責的持有人同意或授權的情況下, 這種處理才是合法的。會員國可通過法律規定為這些目的降低年齡, 但較低年齡不得低於 13歲 "。
gdpr 將如何實施, 企業如何證明自己是合規的?
根據問責制原則, 公司有責任證明自己是合規的。這意味著, 他們必須能夠在任何時候證明自己符合 gdpr。但由於有幾個機制還沒有準備好, gdpr 希望不同部門制定行為守則, 規定如果該部門內的公司實施這些準則, 這些行為守則應該足以證明 gdpr 是否符合 gdpr。而當這些行為守則獲得批准後, 企業可以實施, 並表示符合 g d p r。gdpr 指出, "成員國、監督機構、理事會和委員會應鼓勵起草旨在促進適當適用本條例的行為守則, 同時考慮到各組織的具體特點。加工部門和微型、小型和中型企業的具體需要。
gdpr 適用于誰, 誰是豁免?
根據 gdpr 的說法, 歐盟的一項條例 "適用于在歐盟設立控制器或處理器的活動中處理個人資料, 無論處理是否在歐盟進行"。(控制器是決定處理個人資料的目的和方式的人。這證實, 該機構是一個 "廣泛" 和 "靈活" 的短語, 並不取決於任何法律形式。一個組織的成立, 無論其在歐盟的業務規模大小。
它還適用于該地區以外監測歐盟內部人員行為的公司, 以及在歐盟內部供應商品或服務的非歐盟公司。因此, 擁有能夠區分歐盟內外訪客的 cms 是非常有益的, 這意味著, 基於地理位置的情況下, 他們不會在未經其同意的情況下對這些基於歐盟的訪客進行分析, 並表示他們同意該網站進行跟蹤他們的網路行為。
需要注意的一點是, gdpr 指出的一點是, 如果使用者不同意處理對企業本身不必要的資料, 例如, 如果有人訪問電子商務網站購買, 則不能拒絕向使用者提供對您的服務的存取權限網站上說, 如果他們不讓他們跟蹤自己的網路行為, 他們就無法完成銷售過程。當頁面收集的唯一資訊是完成購買所需的資訊, 如姓名、身份證號碼等時, 不需要同意, 因為這是銷售或服務合同所必需的。但他們不能告訴客戶, 如果不為臉譜再行銷等提供個人資料, 就不允許購買任何東西。gdpr 指出, "在評估是否自由給予同意時, 除其他外, 應最大限度地考慮合同的履行, 包括提供服務, 是否以同意處理不同意的個人資料為條件。履行該合同所必需的。
企業參與了多少重組?
這取決於公司所做的資料處理類型、個人資料使用對其核心業務的重要性以及敏感或標準資料的類型, 因為對敏感性資料的要求要高得多。這就是為什麼任何基於 gdpr 的重組都應該從 gdpr 合規性審計和用資料對應流程的深入審查開始。然後, 審查或審核應詳細說明您需要執行哪些操作來實施任何過程或控制機制, 例如對某些資料的存取權限。
誰來領導 gdpr 的實施?
許多大公司已經開始了這些流程, 並有內部合規官員或此服務的外部供應商。在中小型企業中, 這應該從最高管理層開始, 然後他們需要下放責任。
如果你是一個數位機構, 你應該為你的客戶做什麼, 他們自己的責任是什麼?
在大多數情況下, 數位機構是資料處理機構, 這意味著它們需要處理與客戶的現有合同, 因為它們包括了該機構能夠和不能對資料做的所有指示。所以, 他們需要對這些進行審查。作為資料處理者, 他們還有義務報告任何違反 gdpr 合規的行為。正如 gdpr 所指出的, 這意味著該機構 "僅根據控制人的書面指示處理個人資料, 包括向第三國或國際組織傳輸個人資料的指示, 除非聯盟或處理者所適用的成員國法律;在這種情況下, 處理人應在處理前將該法律要求通知控制人, 除非該法律以重大公共利益為由禁止這類資訊. "。
例如, 如果他們瞭解到資料控制器正在執行的操作不符合 100% gdpr, 則應將其通知資料控制器。而在這樣做的時候, 他們真的可以説明他們的客戶, 例如當他們知道客戶打算做某種類型的電子郵件行銷, 但他們獲得了以低於100% 合法的方式連絡人。通過通知他們這違反了 gdpr, 他們可能會節省用戶端的罰款。此外, 他們還必須將任何個人資料洩露的情況通知客戶。正如 gdpr 所述, "處理器應在發現個人資料洩露後通知控制器, 不得無故拖延。
最後, 數位機構必須實施 "適當的技術和組織措施", 以保護其資料, 防止任何類型的資料洩露。這些義務落在所有資料處理器上。正如 gdpr 還指出的那樣, "如果要代表控制器進行處理, 控制器應只使用提供充分保障的處理器來執行適當的技術和組織措施, 使處理將符合本條例的要求, 並確保保護資料主體的權利。
隨著 gdpr 即將推出, 您在公司內實施 gdpr 合規性的程度如何?你是數位代理機構嗎?您是如何向您的客戶傳達 gdpr 需求的?讓我們知道你的意見以及你在這個問題上可能有的任何其他意見, 我們很想聽聽你的意見。
kento的 duncan hendy-HTTPs://www.kentico.com/blog/gdpr-and-you-an-introduction-part-one
Posted: 星期四 13 七月 2017