你每天为互联网贡献了多少数据?从银行信息、联系人、地址、社交痕迹、甚至你的每一个访问的网址、点击,都会产生数据信息被记录下来。
服务商们会说用户数据可以用来提升个性化体验,但是他们真的用这些数据干了什么?谁也不知道。
只有当5000万用户信息泄漏被曝光后,Facebook才开始亡羊补……我们才开始重视信息泄漏已经不再是「图便利、省事」就能随便对待的事情。
这是GDPR(《通用数据保护条例》)被欧盟提出并反复讨论敲定的背景,该条例也将在本月25日,也就是今天起正式施行。
什么是GDPR?
GDRP作为一项新的个人信息保护法案,把直接或间接识别到的某一个个体的任何信息都视为个人信息,包括了从姓名、照片、身份证号、邮箱地址、银行账户、健康记录到网络用户名、位置定位、社交媒体发布的信息、计算机IP地址等各个方面,堪称目前世界范围内最宽泛的个人信息定义。
在GDPR的保护下,个人将有八项数据权利:
访问权,这意味着个人有权要求访问他们的个人数据,并询问公司收集后如何使用他们的数据。公司必须免费提供个人资料的副本,并在需要时以电子格式提供。
删除权,如果客户不再企业的客户,或者客户撤回公司使用个人数据的权利,那么他们有权删除自己的数据。
数据转移权 - 个人有权将数据从一个服务提供商转移到另一个服务提供商。因此数据必须常见的和机器可读的格式保存。
知情权,公司在收集任何数据信息之前必须通知个人,并必须获得消费者的允许,且告知消费者必须是明确的而不是暗示。
更正信息权,确保个人可以在数据过期、不完整或不正确的情况下更新数据。
限制处理权,个人可以要求他们的数据不被公司进行处理。他们的记录可以保留,但不能使用。
反对权,个人有权停止处理有关的数据。这条规则没有豁免,任何处理都必须在收到请求后立即停止。此外,这一权利必须在收集数据开始时向个人明确。
被通知权,如果数据泄露损害了个人的个人数据,则个人有权在首次意识到违规行为后的72小时内获得通知。
GDPR对商业机构有什么影响?
GDPR适用于在欧盟成立的所有企业和组织,无论企业是否在欧盟境内,只要与欧盟企业发生业务往来,或涉及存储、处理、交换任何欧盟公民的数据,都必须严格遵守该条例。
违规的企业将面临全球年营业额的4%或2000万欧元(两者取其高)的行政处罚。
很多人可能会认为GDPR只是一个IT问题,但实际上远不止如此,它对公司处理营销、销售等活动的方式有着广泛的影响。
因为信息获取和推广将变得繁琐而困难。
比如公司的营销活动,仅仅提供免责声明和退出选项是远远不够的,公司必须审查业务流程、应用程序和表单,在用户注册前就提供各种文件,明确提醒用户有自主选择对将来产生数据的使用权,用户只有同意各种选项之后才能进一步注册。
任何数据都必须带有时间戳的审计线索,并有详细的使用信息,以及产生数据的消费者是如何选择的。如果你想直接购买数据,供应商得到了用户的允许还不算,你还得再次征求他们的同意。
在B2B领域,商务人员在各种会上搜集到的潜在客户信息,包括直接交换的名片,回到公司再录入公司的系统,已经是不可能的了,公司将不得不寻找新的客户信息收集方式。
甚至直接推送给用户广告,也将需要得到用户的允许……
新法规下,企业该怎么办?
在GDPR法规正式实施之后,肯定会对中国很多全球性企业、以及出海企业有影响,那么,具体有哪些需要注意的地方呢?
GDPR最关键的组成部分是“隐私设计”。
这要求公司所有部门都要密切注意数据的收集和处理过程,为了符合GDPR的标准,公司需要做很多事,以下有5点建议可以参考。
1. 重新梳理公司的数据
重新审视公司所有跟个人信息相关的业务,把对这些信息的处理方式记录下来。确定数据储存在哪儿,谁有访问权限,数据是否存在风险。这不仅对符合GDPR标准有关,也会有助于改善客户关系管理。
2. 确定哪些是需要保留的数据
如果你还收集了很多并没有太多实际作用的数据,你很难过GDPR这一关,最简单的方式是删掉他们。但你也可以在清理的过程中反问自己,为什么要归档、保存这些数据?想要通过这些个人信息来实现什么?删除这些数据的经济收益是否大于加密。
3. 采取安全措施
在整个基础架构中制定和实施保护措施,来遏制任何数据泄露。这意味着要采取安全措施的同时,要与数据相关当事人迅速采取行动,通知个人和其他相关方。
此外,一定要和你的供应商核实下,外包不会免除你可能承担的责任,你需要确保他们也要有适当的安全措施。
4. 复查文档
在GDPR下,简单的预选框和隐晦的同意栏将不再受用,你需要查看所有隐私声明和信息协议,并在需要时进行调整。
5. 建立处理个人信息的程序
针对上文提到的个人在GDPR下的八项权利,你需要制定相关的规则和程序,来确定将如何处理每一种情况。
比如如果个人希望删除他的数据,应该是一个怎样的过程?如何确保数据在所有平台上都完成并真的被删除了?如果一个人希望他的数据被转移,你该怎么做?如何确认要求传输数据的人是个人数据的拥有者?数据泄露时的沟通计划是什么?
原文编译自:Supperoffice
原文链接为:https://www.superoffice.com/blog/gdpr/
点赞(5)
你可能喜欢
说点什么
全部评论