gdpr 和你--简介--第一部分
在我们对 gdpr 的第一部分介绍中, 我们从基础上审视了欧盟的新规定, 并试图解释法律的背景, 它适用于法律, 以及你依法有义务执行的一些事情。由于承诺将处以昂贵的罚款和严格的起诉, 这将对欧盟内外的企业产生重大影响。让我们来看看 gdpr 的背景, 更深入地了解它对你的影响。
什么是 gdpr?
gdpr 是《一般数据保护条例》的首字母缩写。这是欧盟的一项规定, 将在欧盟数据保护方面产生自1995年以来最大的变化。gdpr 的创建是为了尽可能多地实现数据保护的一致性。这与目前的情况相比是一个很大的变化。现有的欧盟1995年指令已落实到国家数据保护法中。然而, 各州之间仍可能存在重大差异。既然它是一项规定, 就将直接适用。这也意味着, 如果有人想在爱尔兰做生意, 比如, 他们现在可以肯定, 其他成员国也会存在类似的法律制度。这一新规定更适合我们当前数字世界带来的挑战。
gdpr 什么时候会生效?
gdpr 将于2018年5月25日生效, 但最终文本已经提供一年多。在所有成员国, 都有一个公共当局负责从行政角度处理 gdpr 问题, 并因不遵守行为而处以任何罚款。尽管该规定在整个欧盟地区或多或少是标准化的, 但在一些地区, 成员国仍有能力对规则进行修正。例如, gdpr 有一项规则规定, 16岁以下的儿童必须获得父母或监护人的同意, 但这可以修改为13岁。正如 gdpr 所指出的, "在儿童至少16岁的情况下, 处理儿童的个人数据是合法的。如果儿童不满 16岁, 只有在父母对儿童负责的持有人同意或授权的情况下, 这种处理才是合法的。会员国可通过法律规定为这些目的降低年龄, 但较低年龄不得低于 13岁 "。
gdpr 将如何实施, 企业如何证明自己是合规的?
根据问责制原则, 公司有责任证明自己是合规的。这意味着, 他们必须能够在任何时候证明自己符合 gdpr。但由于有几个机制还没有准备好, gdpr 希望不同部门制定行为守则, 规定如果该部门内的公司实施这些准则, 这些行为守则应该足以证明 gdpr 是否符合 gdpr。而当这些行为守则获得批准后, 企业可以实施, 并表示符合 g d p r。gdpr 指出, "成员国、监督机构、理事会和委员会应鼓励起草旨在促进适当适用本条例的行为守则, 同时考虑到各组织的具体特点。加工部门和微型、小型和中型企业的具体需要。
gdpr 适用于谁, 谁是豁免?
根据 gdpr 的说法, 欧盟的一项条例 "适用于在欧盟设立控制器或处理器的活动中处理个人数据, 无论处理是否在欧盟进行"。(控制器是决定处理个人数据的目的和方式的人。这证实, 该机构是一个 "广泛" 和 "灵活" 的短语, 并不取决于任何法律形式。一个组织的成立, 无论其在欧盟的业务规模大小。
它还适用于该地区以外监测欧盟内部人员行为的公司, 以及在欧盟内部提供商品或服务的非欧盟公司。因此, 拥有能够区分欧盟内外访客的 cms 是非常有益的, 这意味着, 基于地理位置的情况下, 他们不会在未经其同意的情况下对这些基于欧盟的访客进行分析, 并表示他们同意该网站进行跟踪他们的网络行为。
需要注意的一点是, gdpr 指出的一点是, 如果用户不同意处理对企业本身不必要的数据, 例如, 如果有人访问电子商务网站购买, 则不能拒绝向用户提供对您的服务的访问权限网站上说, 如果他们不让他们跟踪自己的网络行为, 他们就无法完成销售过程。当页面收集的唯一信息是完成购买所需的信息, 如姓名、身份证号码等时, 不需要同意, 因为这是销售或服务合同所必需的。但他们不能告诉客户, 如果不为脸谱再营销等提供个人数据, 就不允许购买任何东西。gdpr 指出, "在评估是否自由给予同意时, 除其他外, 应最大限度地考虑合同的履行, 包括提供服务, 是否以同意处理不同意的个人数据为条件。履行该合同所必需的。
企业参与了多少重组?
这取决于公司所做的数据处理类型、个人数据使用对其核心业务的重要性以及敏感或标准数据的类型, 因为对敏感数据的要求要高得多。这就是为什么任何基于 gdpr 的重组都应该从 gdpr 合规性审计和用数据映射流程的深入审查开始。然后, 审查或审核应详细说明您需要执行哪些操作来实施任何过程或控制机制, 例如对某些数据的访问权限。
谁来领导 gdpr 的实施?
许多大公司已经开始了这些流程, 并有内部合规官员或此服务的外部提供商。在中小型企业中, 这应该从最高管理层开始, 然后他们需要下放责任。
如果你是一个数字机构, 你应该为你的客户做什么, 他们自己的责任是什么?
在大多数情况下, 数字机构是数据处理机构, 这意味着它们需要处理与客户的现有合同, 因为它们包括了该机构能够和不能对数据做的所有指示。所以, 他们需要对这些进行审查。作为数据处理者, 他们还有义务报告任何违反 gdpr 合规的行为。正如 gdpr 所指出的, 这意味着该机构 "仅根据控制人的书面指示处理个人数据, 包括向第三国或国际组织传输个人数据的指示, 除非联盟或处理者所适用的成员国法律;在这种情况下, 处理人应在处理前将该法律要求通知控制人, 除非该法律以重大公共利益为由禁止这类信息. "。
例如, 如果他们了解到数据控制器正在执行的操作不符合 100% gdpr, 则应将其通知数据控制器。而在这样做的时候, 他们真的可以帮助他们的客户, 例如当他们知道客户打算做某种类型的电子邮件营销, 但他们获得了以低于100% 合法的方式联系人。通过通知他们这违反了 gdpr, 他们可能会节省客户端的罚款。此外, 他们还必须将任何个人数据泄露的情况通知客户。正如 gdpr 所述, "处理器应在发现个人数据泄露后通知控制器, 不得无故拖延。
最后, 数字机构必须实施 "适当的技术和组织措施", 以保护其数据, 防止任何类型的数据泄露。这些义务落在所有数据处理器上。正如 gdpr 还指出的那样, "如果要代表控制器进行处理, 控制器应只使用提供充分保障的处理器来执行适当的技术和组织措施, 使处理将符合本条例的要求, 并确保保护数据主体的权利。
随着 gdpr 即将推出, 您在公司内实施 gdpr 合规性的程度如何?你是数字代理机构吗?您是如何向您的客户传达 gdpr 需求的?让我们知道你的意见以及你在这个问题上可能有的任何其他意见, 我们很想听听你的意见。
kento的 duncan hendy-https://www.kentico.com/blog/gdpr-and-you-an-introduction-part-one
Posted: 星期四 13 七月 2017