想要(在)与欧盟企业做生意,了解GDPR很有必要
1237
2018-01-23 13:37
文章摘要:外国企业想要在中国站稳脚跟,不懂法规寸步难行,同样,中国企业想要在或与欧盟做生意,不了解GDPR也不行了。

曾经,关于AWS中国将以约3亿美元出售给光环新网的消息,外媒评价是因为云计算供应商想要站稳中国市场,不懂法规寸步难行。而今,对于在欧盟或与欧盟做生意的企业或个人来说,了解GDPR(一般数据保护条例)也是很必要的。

该条例将于今年5月25日生效,届时数以万计的企业必须遵守GDPR规定的一套全新数据管理规则。

这一规定适用于不在欧盟的公司:事实上,无论公司总部在哪儿,无论数据存储和处理地点在哪儿,只要与身处欧盟的企业做生意,或者监视欧盟公民的行为,就必须遵从GDPR,也就是说GDPR全球适用。

个人数据不仅包括“个人可识别的信息(PII)”:GDPR扩大了受管制数据的范围,包括与“可识别的自然人”相关的信息,即使这些数据不能用于识别那个人。信息,如浏览器cookie和历史,下载的内容,和人口数据都覆盖在GDPR下。

当不清楚这些数据是否属于“个人”时,市场营销人员必须建立特定于市场的指导方针,以确定他们将如何对待这些数据。

营销团队可能被定义为“控制器”:控制器是负责决定如何处理收集到的数据的公司和个人。营销专业人士是最有可能的员工之一,他们决定如何处理公司收集的个人数据,无论是来自客户还是第三方的。

企业IT部门、软件供应商和其他营销子公司都是“处理器”:由GDPR定义的处理器是处理和使用数据的实体。除非明确地指示进行自主决策,否则处理器只能按照控制器的指示使用个人数据。

一个实体可同时兼顾控制器和处理器的角色:如果一个实体对数据的使用做出决策,然后处理数据,那么它就属于这两类。

个人数据的处理是指对数据进行的任何操作:获取、组织、变更、匿名化、转移、分析,甚至破坏数据都处在“处理”的保护伞下。

“分析”活动带有额外的规定:大多数营销人员将参与到此活动中,定义为“任何形式的个人数据自动处理过程,包括使用个人资料来评估有关自然人的某些方面,特别是关于自然人在工作、经济状况、健康、个人喜好、兴趣、可靠性、行为、位置或运动等分析或预测方面。”

任何被归类为分析的活动都赋予了数据主体获取信息,反对某些信息,并拒绝接受其使用的权利。

几乎所有的个人数据都可以被处理,但仍需要许多步骤来确保其遵从性:处理任何个人数据时,控制器必须确定和归档原因及法律理由,确定个人数据处理和使用的原因,确保只有处理器和处理系统可以访问数据,并保证数据不被需要后从系统中删除。

对数据处理的许可必须是免费的、肯定的和具体的:服务的使用必须不依赖于许可(除非特殊情况)。GDPR还明确表示,所有相关方的处理活动和身份都以简单的语言表现出来。在随后的数据处理过程中,应给予同意。

企业可能需要指定一个数据保护官员(DPO):虽然不是每个组织都需要指定一个,但是大多数组织应该雇佣一个DPO,以确保隐私策略是秘密的,并且数据处理是正确的。在“大规模的对个人行为进行定期和系统监控”的地方,GDPR要求必须包含一个DPO。



版权声明:

凡本网内容请注明来源:T媒体(http://www.cniteyes.com)”的所有原创作品,版权均属于易信视界(北京)管理咨询有限公司所有,未经本网书面授权,不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的,应在授权范围内使用,并按双方协议注明作品来源。违反上述声明者,易信视界(北京)管理咨询有限公司将追究其相关法律责任。

评论