GDPR不是“狗都怕熱”的縮寫,而是5月25日即將面世的General Data Protection Regulations(一般數據保護條例)的縮寫。HubSpot One之前也非常簡單地介紹過GDPR。如果你在其他一些地方見到過這個熱門詞但是還不清楚WTF is GDPR,那麼這篇文章就是為你準備的。要知道臉書因為劍橋分析差點被罰破產,上月又鬧出騰訊關閉歐洲地區的QQ國際版🐧,這都和GDPR有關。一不留神就能罰到你內褲都沒了的GDPR就是這樣的存在⚠。只要你有機會收集到歐洲消費者、用戶的數據你就必須遵循這一條例。 TL;DR我們用最簡單的清單的方式為您提供了自檢手段。
在進入列表之前,我們先確認一下您的角色。 GDPR中有兩個角色——數據的控制方🈯和數據的處理方🈺 。如果您的組織能夠決定存儲或處理個人訊息的目的,則被視為數據的控制方。如果您的組織代表另一個組織存儲或處理個人數據,則您則將被視為數據的處理方。您的組織可能同時具有兩種角色。
數據方面
- 貴公司能提供所擁有的所有個人訊息的類型列表📑 、列表中每種訊息類型的全部來源、您與誰分享這些訊息、您對數據的使用情況、您將保留數據的時間。 🈯🈺
訊息類型列表可能包括姓名、社保號碼、地址等。您要提供訊息提供給誰和您將保留多長時間⏳。
- 貴公司有一個保存個人訊息的位置📍清單,以及數據在它們之間流動的方式。 🈯🈺
這裡的位置可能是一個數據庫,或者紙質檔案。
- 貴公司擁有可公開訪問的隱私政策🔏 ,概述與個人數據相關的所有流程。 🈯🈺
您應該包含有關處理個人訊息的所有過程的訊息。該文件應包括(或有鏈接)公司所持有的個人訊息的類型以及它們在哪裡持有。
- 貴公司的隱私政策應包括解釋公司為何需要處理個人訊息的合法依據。 🈯
它應該包含數據處理的原因,例如履行合同。
問責制與管理
- 貴公司已任命數據保護官員(DPO) 🈯🈺
此人應該掌握GDPR指導方針的知識以及涉及個人訊息的內部流程的知識。
- 提高決策者對GDPR準則的認識。 🈯🈺
確保關鍵人員和決策者掌握關於數據保護立法的最新知識。
- 確保您的技術安全性是最新的。 🈯🈺
這對每個CTO和網絡安全部門都是考驗。
- 培訓員工了解數據保護。 🈺
所謂人是最大的安全漏洞。許多數據洩露是因為那些有高權限但麻痺大意的人造成。確保你的員工知道這些風險。
- 貴公司有一個供應商列表,你的隱私政策必須提到你會使用供應商。 🈺
您應該通知您的客戶您將使用某一供應商。他們必須同意並接受您的隱私政策。舉個例子,比如淘寶的數據交由優酷來處理。
- 如果貴公司在歐盟以外運營,您必須在歐盟🇪🇺境內任命一位代表🕵️♂️ 。 🈯🈺
如果您在歐盟以外的地區開展業務,並且您收集了歐盟公民的數據,則應該在其中一個成員國為您的企業派駐代表。這個人必須負責數據處理相關的所有問題。特別是地方當局應該能夠聯繫到這個人。
- 您必須向涉及到的地方當局和客戶(數據主體)報告所涉及的個人數據洩露。 🈯🈺
個人數據洩露應在72小時內向當地主管部門報告。您應該報告丟失了什麼數據,後果是什麼以及您採取了什麼對策。除非洩露的數據是加密的🔐,否則您還應該向您丟失數據的客戶(數據主體)報告違規情況。
- 貴公司必須與您共享數據的任何數據的處理方都簽署合同。 🈯
合同中應包含數據的處理方存儲或處理數據的明確說明。例如,這可能包括與您的網站託管服務提供商簽訂的合同。
新的權力
- 您的客戶可以輕鬆請求訪問🉑他們的個人訊息。 🈯🈺
也就是說您保存和產生的任何關於該客戶的訊息都可以讓該客戶輕鬆獲得。輕鬆是指不受刁難和障礙。
- 您的客戶可以輕鬆更新🉑自己的個人訊息以保持其準確性。 🈯🈺
也就是說您的客戶對其個人訊息不但有讀的權利,還有新建和修改的權利。
- 您必須自動刪除🉑您的業務不再使用的數據。 🈯🈺
您應該自動刪除不再需要的數據。例如,您應該自動刪除合同未續訂客戶的數據。
- 您的客戶可以輕鬆請求刪除🉑其個人數據。 🈯🈺
可讀可寫,必須可刪。 Right To Be Forgotten。
- 您的客戶可以輕鬆請求您停止處理🉑其數據。 🈯🈺
也就是說這數據您也只能保存看看,不能用來廣告定位和建模。
- 您的客戶可以輕鬆要求將他們的數據交付🉑給他們自己或第三方。 🈯🈺
如果客戶要個copy,您必須要給;客戶要您分享給第三方,您也要給。
- 您的客戶有權要求您停止🉑那些對其有潛在影響的個人數據進行分析並利用其個人數據進行自動化決策。 🈯
如果因為客戶用水果手機貴公司就提價,那麼客戶有權讓您停止這種機制。 ㊙
許可
- 當您開始收集、處理個人訊息時需徵得當事人同意。 🈯
如果您的網站以某種方式收集個人訊息,您應該有一個容易看到的隱私政策鏈接,並確認用戶接受您的條款和條件。以往那種一個CheckBox一行小字的“最佳實踐”不再適用。蒙混過關的想法會招致許可的無效。客戶必須非常明確地同意你的隱私條款和使用條件。
- 您的隱私政策應以清晰易懂的條款書寫。 🈯
它應該以清晰和簡單的語言寫成,而不是以任何方式隱瞞它的意圖。否則完全可能使協議失效。在向兒童提供服務時,隱私政策應該足夠簡單,以便他們了解。
- 對於您的客戶來說,撤銷同意❎就像期初同意✅時一樣簡單。 🈯
比如您的隱私條款頁面應該提供讓客戶撤銷同意的按鈕。
- 如果您收集或處理兒童的個人資料,請驗證他們的年齡並徵得其法定監護人🚸的同意。 🈯
對於16歲以下的兒童,您需要確保法定監護人同意進行數據收集和處理。如果該許可通過您的網站獲得,您應該嘗試確保由法定監護人(而不是由孩子)實際批准。
- 當您更新隱私政策時,💁♀️您需要通知現有客戶。 🈯
例如,通過電子郵件發送即將對您的隱私政策進行的更改。你的溝通應該以簡單的方式解釋發生了什麼變化。
維護和跟進
- 您需要定期審查政策,了解變更,有效性,處理數據的變化以及數據流向其他國家/地區事態的變化。 🈯
您應該遵循最佳實踐和對當地環境中的政策進行更改。
特殊情況
- 您的企業了解何時必須執行DPIA以對敏感數據進行高風險處理。 🈯
這只適用於進行大規模數據處理,畫像分析和其他對人權和自由風險較高的活動的企業。在這些情況下應該進行特別的評估。
- 將數據傳輸至歐盟以外的國家時,該國家必須提供適當級別的保護。 🈯🈺
您同時還應該在隱私政策中披露這些跨境數據流。
總結
對企業總的來說GDPR並不可怕,只是麻煩。如果您的企業本身就懷著一顆尊重客戶的心,努力建立數據保護機制,那麼GDPR只是讓您再度審視自己做得夠不夠好而已。 GDPR的推出也誕生了一個個幫助企業部署GDPR的諮詢公司,這會是一個新產業。像谷歌這樣的廣告公司也趁著GDPR鞏固自己的廣告生態圈。
對網民來說,GDPR並不能讓廣告變少,只是或許更加不相關了。可能不會有太多隱私被窺視的感覺了。各種不便,多少會換來一些內心的踏實。
反過來,正如李彥宏所說😂“我想台灣人可以更加開放,對隱私問題沒有那麼敏感,如果他們願意用隱私交換便捷性,很多情況下他們是願意的,那我們就可以用數據做一些事情。但我們要遵循一定的原則,如果數據會使用者收益,他也願意,我們就會去做,這是我們的基本原則,這就是什麼該做的,什麼不該做。”
還不過癮?這裡有一份DMA版的Checklist下載,請戳。