Q&答:如何为《全球数据保护条例》(GDPR)做准备

社区策略,沟通策略 //如何为《全球数据保护条例》(GDPR)做准备,包括法律的运作方式,合规性,数据收集和网络研讨会。

凯特琳·斯特鲁斯(Caitlin Struhs)
跟着我们

您的组织是否准备好遵守《全球数据保护条例》(GDPR)?这个新的欧盟立法于2018年5月25日生效。 网络研讨会 详细说明您需要了解的内容以及如何准备*。请查看以下最常见的问题,以获取有关您和您的组织如何学习并为更改做好准备的入门指南。

*免责声明:此信息不是您所在组织的GDPR合规性的法律建议。相反,它是可帮助您更好地了解GDPR法规的背景信息。此法律信息与许可律师的法律建议不同。我们建议您咨询律师,以获取与公司的GDPR遵守情况和以下信息的应用有关的官方法律建议。

GDPR如何运作

问题:什么是GDPR?

回答 全球数据保护条例 该法规取代了欧盟先前关于一般隐私准则的指令。这项新法规旨在整合许多不同的欧洲指令,并增加电子邮件和电子邮件订阅法规的一致性。

问:什么时候生效?

答:正式合规日期是2018年5月25日。

问:它对谁有影响?

答:GDPR会影响任何使用来自欧盟公民的个人数据的公司,无论该公司位于何处。据一些消息来源称,这总计约有7.5亿人,是加拿大反垃圾邮件立法CASL的十倍。

问:``个人''和``敏感''数据有什么区别?

答:个人数据是“与已识别或可识别自然人(“数据主体””有关的任何信息;可识别的自然人是指可以直接或间接识别的人,特别是可以参考诸如姓名,识别号,位置数据,在线标识符之类的标识符,或者可以参考特定于身体,生理,该自然人的遗传,心理,经济,文化或社会身份。

敏感的个人数据是显示种族或族裔血统,政治见解,宗教或哲学信仰,工会会员资格的数据;有关健康或性生活和性取向的数据;遗传数据或生物特征数据。

这两个标签在GDPR合规性方面不是分开的-两个标签可互换使用,并且描述揭示种族或族裔血统,政治见解,宗教或哲学信仰,工会会员资格的同一类型的个人数据;有关健康或性生活和性取向的数据;遗传数据或生物特征数据。

问:英国退欧是否意味着GDPR不适用于英国?

答:GDPR适用于英国正式退出欧盟之前。正式退出后,英国将必须执行自己的法律,英国政府已表示将实施与GDPR相当的标准。

遵守

问:我们如何遵守新规定?

答:您只能将电子邮件发送给积极主动地选择接收邮件的那些欧盟公民。这意味着它追溯适用于您最初没有获得许可或没有足够许可证明的任何订户。您必须收集“自由给予,明确,知情且明确”的肯定同意。

GDPR还要求提供有关如何使用每个收件人的数据(即记录)的足够信息。如果收件人/订户向您的公司/组织请求其数据,则必须提供该信息。任何人都有权确认或访问公司在其上拥有的数据。

问:我的组织应准备哪些文件并使其符合GDPR?

答:请考虑以下几点:

  • 汇编隐私声明和同意书,数据清单和数据处理活动的登记册,书面政策和程序,培训材料,公司内部数据传输协议和供应商合同的副本
  • 如果需要,请任命一名数据保护官并确定适当的欧盟监管机构
  • 进行定期风险评估

问:对于资源有限的组织,完全合规似乎很麻烦。我的公司很小。 GDPR在美国和小型组织中将如何积极执行?

A:  GDPR根据公司规模排除了某些记录保存活动的豁免,但是在处理欧盟数据时,公司仍然需要遵守许多/所有法规。控制器和处理器各自具有各自的文档义务:

  • 如果您有250名或更多员工,则必须记录所有处理活动。
  • 中小型组织有有限的豁免。如果您的员工人数少于250名,则只需要记录偶尔的处理活动,可能会危害个人权利和自由或涉及处理特殊类型的数据或刑事定罪和犯罪数据的处理活动。

问:违规的处罚是什么?

答:不遵守GDPR可能会导致最高2,000万欧元的罚款,或品牌全球年度总营业额的4%(以较高者为准)。

数据处理器和数据控制器

问:您可以定义数据处理器和数据控制器吗?

答:GDPR法规第4条将数据控制器和数据处理器定义为:

  • (7)“控制人”是指自然人或法人,公共当局,代理机构或其他机构,这些机构单独或与他人共同确定处理个人数据的目的和方式;如果此类处理的目的和方式是由联盟或成员国法律确定的,则其控制人或提名的具体标准可以由联盟或成员国法律规定;
  • (8)“处理者”是指代表控制者处理个人数据的自然人或法人,公共机构,代理机构或其他机构

问:您如何知道您的组织是处理者还是控制者?请举例子。

答:欧盟的GDPR网络资源提供了一个示例:“ ...如果Acme Co.向消费者出售小部件并使用Email Automation Co.代表他们向消费者发送电子邮件并跟踪他们的参与活动,那么关于此类电子邮件活动数据,Acme Co. 。是数据控制器,而Email Automation Co.是数据处理器。这种区别对于合规性很重要。

一般而言,GDPR将数据控制者视为负责收集同意书,管理同意撤回书,启用访问权等责任的主要方。因此,希望撤销其个人数据同意书的数据主体将与数据控制器启动请求,即使此类数据驻留在属于数据处理器的服务器上也是如此。数据控制器在收到此请求后,将继续请求数据处理器从其服务器中删除已撤销的数据。”

数据采集

问:如果我们的成员或组织不在欧盟,我们是否要遵守GDPR?

答:如果您收集个人和/或敏感信息并将通讯发送给欧盟公民,则您将受GDPR的约束。

问:我们仅收集有关欧盟公民的某些类型的信息(姓名,电子邮件,电话号码)。 GDPR是否仍然适用于我们?

答:是的,GDPR适用于任何收集有关欧盟公民的个人和/或敏感信息的公司/组织。这包括名称,电子邮件和电话号码等信息。

问:“选择加入”是什么构成的,我们当前的数据库可以不受新法律的约束吗?

答:您只能将电子邮件发送给积极主动地选择接收邮件的那些欧盟公民。这意味着它追溯适用于您最初没有获得许可或没有足够许可证明的任何订户。您必须收集“自由给予,明确,知情且明确”的肯定同意。如果您之前已收集了足够的许可证明,则无需再次获得订阅者的许可。

问:如果我们的组织仅收集电子邮件地址并明确提供了“退出”按钮,我们是否遵守?

答:“退出”按钮不足以表示许可,也不符合要求。

问:我们有多年有关订阅列表的历史数据。是否需要我们寻求新的积极同意?我们可以接受长期会员和订户的同意吗?

答:除非您先前已获得许可并有足够的许可证明,否则您无法接受许可。

问:您是否可以要求删除数据,而不是选择退出?

答:是的,个人可以要求退出并删除其信息。

GDPR和更高逻辑

问:高级逻辑为GDPR的准备工作是什么?

A:  作为供应商,Higher Logic被视为数据处理器。这意味着我们将根据该客户的指示处理客户数据。这些产品不符合GDPR标准,而是客户如何使用这些产品以符合标准。高等逻辑提供的功能可确保您可以实施产品并实现合规性。

我们在安全基础架构上投入了大量资金。我们会定期进行外部安全渗透测试,并与顾问和专家合作以确保我们拥有正确的操作规范。 我们记录数据以进行分析,验证和跟踪,以帮助确保应用程序按预期运行。最后,作为处理者,如果有问题或不满意,我们将通知您并提供您可能需要与最终用户进行交流的信息。

高等逻辑最近实现了 TrustArc认证 确认了全球公认的隐私要求,包括公平信息实践原则,经合组织隐私准则,APEC隐私框架和欧盟-美国。和瑞士美国隐私保护原则。

问:如果使用高级逻辑产品,是否需要遵守GDPR?

答:GDPR适用于任何收集有关欧盟公民的个人和/或敏感数据的公司/组织,无论该数据存储在何处。

凯特琳·斯特鲁斯(Caitlin Struhs)

纸浆+电汇客户经理

Caitlin是Pulp + Wire的客户经理。她在B2B和B2C市场上建立,管理和领导营销和传播团队。

跟着我们