经过: Michael Doane,CadmiumCD 营销经理
GDPR最简单的解释是,它是一套保护个人隐私的规则。 立法 规范欧盟居民和公民个人数据的处理,包括个人数据的收集、使用、传输、监控、跟踪甚至查看。该法案于 2018 年 5 月 25 日生效。
数据主体(即 GDPR 中所谓的个人)拥有更多控制其数据的权利。这给处理欧洲公民数据的美国公司带来了巨大的合规挑战。
GDPR 适用于您吗?
GDPR 适用于处理欧盟居民或公民数据的任何组织。您的公司 不一定需要位于欧盟。例如,如果您在堪萨斯州举办医学会议,并且有一位德国公民出席,那么您在美国收集的数据将不受 GDPR 的约束。但是,当该德国公民仍在欧盟时,您收集的任何数据都将受到约束。
如果您符合以下情况,GDPR 适用于您:
- 在欧盟提供商品/服务
- 监控欧盟数据主体的行为
- 收集欧盟居民的个人数据
- 仅作为营销调查的一部分收集个人数据
- 有欧盟客户
- 目标数据主体位于欧盟国家(一般营销,即不专门针对欧盟居民的营销)
基本定义
个人资料 – 与可识别主体或数据主体有关的任何信息。这些数据不必是敏感或秘密的。姓名、电子邮件、身份证号码、照片、位置和 IP 地址都属于个人数据的范畴。
控制器 – 单独或与他人联合决定处理目的和方法的组织。
处理器 – 任何代表控制者处理个人数据的组织。如果您正在收集和处理数据并确定其用途,那么您可以同时成为控制者和处理者。
控制者-处理者关系
控制者:
- 确定处理的目的和方法
- 只能使用符合 GDPR 的处理器
- 对合规性负有主要责任
处理器:
- 根据控制者的指示处理数据
- 承担子处理器的责任
- 根据请求删除/返回数据
- 配合合规审计
- 采取合理措施保护数据
- 通知控制者数据泄露
- 如果处理指令侵犯了数据主体的权利,则通知控制者
此时您应该做什么?
首先,您需要评估 GDPR 是否适用于您。根据 GDPR,您必须披露您收集的数据、您如何存储这些数据以及您将其用于什么目的,以获得数据主体的同意。
然后,您应该确定需要什么级别的合规性。对您现在正在做的事情和 GDPR 要求您做的事情进行差距分析。
了解合规程度后,制定合规计划。您应该决定如何提供知情通知并获得知情同意。
最后,你应该实施该计划,包括:
- 咨询外部法律顾问,了解法律义务,以确保您的计划完全合规
- 更新您的网站使用条款和隐私政策。必须正确呈现,符合 GDPR 规定,以便可执行。
- 确保您的供应商协议涵盖数据处理
- 更新内部流程文档
- 审查你的网络保险政策
Michael Doane 是 CadmiumCD 的营销经理,该公司是 myCadmium 软件平台的制造商,该平台是一款屡获殊荣的会议和贸易展管理产品套件。 访问 CadmiumCD 博客 更多类似文章请关注。
