Q&答:如何为全球数据保护规定做准备(GDPR)

社区战略,通信战略 //如何准备全球数据保护规范(GDPR),包括法例工作方式,合规性,数据收集和网络研讨会。

Caitlin Struhs.
跟着我们

您的组织是否为全球数据保护条例(GDPR)准备?这个新的E.U.立法于2018年5月25日生效。我们举办了一个 网络研讨会 详细了解您需要知道的以及您如何准备*。查看下面最常见的问题,了解您和您的组织如何学习和准备更改的最常见问题。

*免责声明:此信息不是您组织的GDPR合规性的法律建议。相反,它是背景信息,以帮助您更好地了解GDPR立法。该法律信息与许可律师的法律建议不同。我们建议您向官方法律建议咨询律师,因为它与您公司的GDPR合规性和应用下列信息相关。

GDPR如何工作

问题:什么是gdpr?

回答 全球数据保护规范 是立法,取代欧洲联盟以前的普通隐私指南的指令。这项新立法旨在巩固许多不同的欧洲指令,并为电子邮件和电子邮件认购法规添加一致性。

问:它什么时候生效?

答:官方合规日期是2018年5月25日。

问:它是谁的效果?

答:无论该公司都在何处,GDPR都会影响来自欧盟公民的个人数据的公司。根据一些来源,这增加了大约7.5亿人,比加拿大反垃圾邮件立法,赌场多10倍。

问:“个人”和“敏感”数据之间有什么区别?

答:个人数据是“与已识别或可识别的自然人有关的任何信息(”数据主题“);可识别的自然人是可以直接或间接地识别的人,特别是通过引用诸如名称,标识号,位置数据,在线标识符或特定于物理,生理学的一个或多个因素的标识符来识别的人自然人的遗传,精神,经济,文化或社会形式。

敏感的个人数据是揭示种族或族裔的数据,政治观点,宗教或哲学信仰,工会会员资格;关于健康或性生活和性取向的数据;遗传数据或生物识别数据。

这两个标签在GDPR合规性中并不分开 - 两个标签都可以互换使用,并描述相同类型的个人数据,揭示种族或族裔,政治意见,宗教或哲学信仰,工会会员资格;关于健康或性生活和性取向的数据;遗传数据或生物识别数据。

问:Brexit是否意味着GDPR不适用于英国?

答:GDPR在英国从欧盟的正式退出之前申请。正式出口后,英国将不得不实施自己的法律,英国政府已表示它将实施同类的GDPR等效。

遵守

问:我们如何遵守新规定?

答:您只能向那些积极和专门选择接收消息的欧盟公民发送电子邮件。这意味着它追溯地适用于您未获得许可或有足够的许可证明的任何用户。您必须收集“自由,具体,知情和明确”的肯定同意。

GDPR还需要有关将如何使用每个收件人数据的充分信息(即记录)。如果收件人/订阅者从公司/组织请求其数据,则必须提供该信息。任何人都有权确认或访问公司对其的数据。

问:我的组织应该为GDPR合规准备和提供哪些文件?

答:考虑以下内容:

  • 汇编隐私声明和同意表的副本,数据清单和数据处理活动,书面政策和程序,培训材料,公司内部数据转移协议以及供应商合同的数据库存和注册
  • 如果需要,任命数据保护官员并确定适当的欧盟监管机构
  • 进行定期风险评估

问:资源有限的组织似乎完全合规性似乎繁重。我公司很小。 GDPR如何在美国和较小的组织中强制执行GDPR?

A:  GDPR根据公司规模忽略了某些记录保存活动的豁免,但在处理欧盟数据时,公司仍然需要遵守许多/所有法规。控制器和处理器每个都有自己的文档义务:

  • 如果员工有250个或更多员工,则必须记录所有处理活动。
  • 中小型组织豁免有限。如果您有少于250名员工,您只需要记录不偶尔的处理活动,可能导致个人的权利和自由,或涉及处理特殊类别的数据或犯罪定罪和犯罪数据。

问:不合规有何处罚?

答:不遵守GDPR可以导致高达2000万欧元的罚款,或者品牌全球全球营业额的4%(以较高者为准)。

数据处理器和数据控制器

问:您可以定义数据处理器和数据控制器吗?

答:GPR立法中的第4条定义了数据控制器和数据处理器,如下所示:

  • (7)“控制器”是指自然或法人,公共机构,机构或其他身体,单独或与他人联合,决定了个人数据处理的目的和手段;在这种处理的目的和手段由联合或成员国法律决定,可以通过联盟或成员国法律提供其提名的控制人或提名标准;
  • (8)“处理器”是指代表委员会处理个人数据的自然或法人,公共机构,机构或其他机构

问:您如何知道您的组织是否是处理器或控制器?请举例说明。

答:欧盟的GDPR Web资源提供了一个例子:“...如果Acme Co.将小部件销售给消费者并使用电子邮件自动化公司,以代表他们的电子邮件向消费者发送电子邮件,然后跟踪这些电子邮件活动数据,ACME CO 。是数据控制器,电子邮件自动化公司是数据处理器。这种区别对于遵守是重要的。

一般来说,GDPR将数据控制人视为职责的主要方,例如收集同意,管理同意撤销,使访问权限等。希望撤销他或她的个人数据同意的数据主体将联系数据控制器启动请求,即使这样的数据在属于数据处理器的服务器上生存。然后,数据控制器在接收到此请求时,然后继续请求数据处理器从其服务器中删除撤销的数据。“

数据采集

问:如果我们的成员或组织不在欧盟,我们是否受到GDPR的影响?

答:如果您收集个人和/或敏感信息并向欧盟公民发送通信,您将受到GDPR的影响。

问:我们只收集关于欧盟公民(姓名,电子邮件,电话号码)的某些类型的信息。 GDPR仍然适用于我们吗?

答:是的,GDPR适用于收集欧盟公民的个人和/或敏感信息的任何公司/组织。这包括诸如姓名,电子邮件和电话号码之类的信息。

问:什么构成“选择”,我们目前的数据库可以免于新法律吗?

答:您只能向那些积极和专门选择接收消息的欧盟公民发送电子邮件。这意味着它追溯地适用于您未获得许可或有足够的许可证明的任何用户。您必须收集“自由,具体,知情和明确”的肯定同意。如果您之前收集了足够的足够证明,则无需再次获得订阅者的许可。

问:如果我们的组织只收集电子邮件地址并清楚地提供一个选择退出按钮,我们是否符合呢?

答:一个选择退出按钮并不是许可证明,并且不合格为合规性。

问:我们有多年的关于订阅列表的历史数据。我们是否需要伸出新的积极同意?我们可以承担长期成员和订阅者的同意吗?

答:除非您以前获得了许可的许可,否则您无法承担同意的同意。

问:您是否可以删除数据,而不是简单地选择退出?

答:是的,个人可以请求选择退出并将其信息删除。

gdpr和更高的逻辑

问:准备GDPR的更高逻辑是什么?

A:  作为供应商,更高的逻辑被视为数据处理器。这意味着我们根据该客户的指示处理客户端数据。产品不是符合GDPR的,而是客户如何使用符合产品的产品。更高的逻辑提供功能,以确保您可以实现产品并满足合规性。

我们在安全基础设施中投入了很多。我们定期进行外部安全渗透测试,我们与顾问和专家合作,以确保我们有权运行实践。 我们记录用于分析,验证和跟踪目的的数据,以帮助确保应用程序按预期执行。最后,作为一个处理器,如果有一些问题或不对劲,我们会通知您并提供您可能需要与最终用户进行通信的信息。

最近的逻辑最近实现了 Trustrc认证 确认全球公认的隐私要求,包括公平信息实践原则,经合组织隐私指南,APEC隐私框架和欧盟 - 美国。和瑞士美国。隐私盾构原则。

问:如果我们使用更高的逻辑产品,我们需要遵守GDPR吗?

答:GDPR适用于收集在欧盟公民上的任何公司/或敏感数据的公司/或敏感数据,无论存储数据。

Caitlin Struhs.

客户经理,纸浆+电线

凯特琳是纸浆+电线的客户经理。她在B2B和B2C市场上建立,管理和领导营销和通信团队。

跟着我们