**此博客於 2017 年 11 月首次發佈,並已於 2018 年 8 月更新。
經常被問及與國內生產總值有關的問題
2018年5月25日,過去20年來最全面的數據安全和隱私改革生效:《一般數據保護條例》(GDPR)。GDPR 旨在協調整個歐盟的數據安全和隱私法律,將改變我們所知道的數據獲取、處理和管理。
然而,儘管GDPR已經生效,許多企業仍然開始著手實施這項規定。美國研究和技術諮詢公司Gartner預測,到2018年底, 超過50%受GDPR影響的公司將不能完全滿足其要求。
許多機構機構、專家和諮詢公司的建議是立即採取行動。但是,儘管關於GDPR的資訊很多,但對於它對企業營銷活動意味著什麼,以及 如何最好地做好準備,人們卻很少說。
因此,我們編製了一份有關國內生產總值(GDPR)最常見問題的清單,並提供了一系列答案。
問題一
"GDPR 顯然涵蓋電子郵件和電子郵件通信 - 是否還包括電話通信?
如果我購買電話號碼清單並給每個人打電話怎麼辦?
在您開始聯繫從第三方購買的清單中的人之前,請問自己:
數據供應商是否自願獲得該資訊,並且該清單中的個人是否同意數據提供者本身以外的各方進行聯繫?"
如果這兩個問題的答案——或者其中任何一個問題——都是"不",那麼你將違反GDPR下的法律。每個單獨行動都必須獲得同意:數據提供者必須自願獲得該資訊,數據主體必須同意數據供應商以外的各方使用其數據。
此外,如果您記錄呼叫,則該呼叫屬於 1998 年《數據保護法》(DPA),並被列為數據處理的一種形式。DPA 規定,必須告知個人 如何 以及 為什麼 處理其數據,在這種情況下,這意味著告訴個人該呼叫的用途或用途。例如,當您致電沃達豐並聽到"此呼叫被記錄用於培訓目的?" -這就是DPA的工作了。GDPR 擴展了這些要求,要求企業證明呼叫記錄的目的符合以下六個條件中的任何一個:
- 參與通話的人已同意錄音
- 記錄是履行合同所必需的
- 錄音是滿足法律要求所必需的
- 錄製是保護一個或多個參與者利益的必要
- 錄音符合公共利益或行使官方權力的必要
- 錄音符合錄音機的合法利益——除非這些利益被通話參與者的利益所覆蓋
為了記錄呼叫,企業需要根據上述六個類別之一的呼叫記錄進行證明。
問題二
"這些規則或準則是什麼?有什麼區別?
說白了,GDPR是法律,而不是諮詢。
處理歐盟(EU)公民個人數據的企業,無論在歐盟內還是在歐盟境外運營,都必須遵守 GDPR。如果未能遵守 GDPR,可能導致高達 2000 萬歐元的罰款,或集團全球營業額的 4%(以較大者為準)。
較不嚴重的違規行為,如記錄不當或未將違規通知相關部門,可能導致集團全球年營業額的 2% 的罰款,即 1000 萬歐元。
問題三
"誰將實際發出罰款?你會聯繫誰抱怨公司?如果有違規行為(即它是歐洲機構),誰會與您聯繫?"
如果數據洩露,每個歐盟國家的監管機構將處以罰款。此外,有關企業的投訴亦應向有關監察機關提出。
在英國,這是資訊專員辦公室,總部設在柴郡威爾姆斯洛,在蘇格蘭、威爾士和北愛爾蘭也有辦事處。
問題四
"我在英國, 英國脫歐即將到來 — — 我為什麼要為此煩惱或擔心呢?
英國政府已確認,英國退出歐盟的決定不會影響國內生產總值的啟動。
根據 gov.uk 網站:「從2018年5月25日起,GDPR將對英國法律產生直接影響。GDPR 中有貶損(靈活性),英國可以自行決定某些條款的適用方式。然而,一旦英國退出歐盟,立法機構將能夠根據其認為合適的情況對GDPR框架做出改變。
這意味著——儘管英國脫歐——GDPR將適用。無論英國脫歐,如果您的商業市場對歐洲公民或在歐盟境內運營,GDPR 將適用!在最初的退出期之後,英國將制定進一步的立法,主要遵循GDPR,因為它為英國企業繼續向歐盟公民和歐盟公民市場提供了明確的基線。
問題五
"该法規談論的是'數據控制器'和'處理器',它們是什麼?
在最簡單的形式中,數據控制器是決定數據使用和處理方式的控制器。數據處理器代表控制器處理數據。
以下是數據控制器的一些示例:政府機構、志願組織、醫院,甚至您的互聯網服務提供者 (ISP)。
以下是數據處理器的一些示例:會計師、市場研究公司、測量師 -代表他人(個人或公司)處理數據的任何人。
例如,我們作為行銷顧問,將成為數據控制器和數據處理器。我們收集來自網站訪問者和網站訪問者 的個人資訊 ,這些訪問者填寫表格並 控制 這些數據,因為我們決定在數位行銷中保留和使用什麼。
我們也 處理 這些數據。拿著它,組織它,分析它,適應它,檢索它,擦除,結合等等。它可能很簡單,通過您的網站獲得新的線索,並將該線索的資訊添加到您的 CRM 或編輯聯繫記錄中。
問題六
"誰負責行銷機構內部的數據?"
簡單地說,大家!
明確瞭解整個部門的業務數據是確保 您 滿足 GDPR 要求的關鍵。良好的數據治理需要從上到下(我看著你,C-Suite),在此基礎上,從業務的資深成員開始推動它向前發展。
也就是說,GDPR 確實要求某些企業、組織和機構指定一名 DPO(數據保護官員)來監督企業的數據管理。
根據 GDPR,如果您:
是公共當局(法院以司法身份行事除外);
- 對個人進行大規模系統監測(例如,線上行為追蹤):或
- 對與刑事定罪和辦公室有關的特殊類別數據或數據進行大規模處理
您可以指定一名數據保護官員代表一組公司或公共當局行事。任何組織都可以指定 DPO,無論 GDPR 是否要求您這樣做。
問題七
"如果我丟失了一台筆記型電腦/公司手機/USB,而該筆記型電腦/USB上有敏感數據,我會向誰報告?"
首先,你只需要通知有關監督機構,如果這種侵犯行為可能危及個人的權利和自由,例如他們的人權和言論自由。監督機構因國家而異,但在英國,ICO(資訊專員辦公室)設在柴郡威爾姆斯洛,但在蘇格蘭、威爾士和北愛爾蘭設有辦事處。
例如,如果違反行為會對個人產生有害影響,導致(和 ICO 聲明)歧視、名譽損害、財務損失、保密損失或任何其他重大經濟或社會劣勢。
例如,如果違反客戶詳細資訊使客戶容易受到身份盜竊,則必須報告。
如果發生高風險違規行為,必須立即通知個人,並通知相關監管機構。對於那些在英國,這意味著告訴個人,並通知ICO。
問題八
"數據提供者現在會倒閉嗎?當然,他們可以出售符合GDPR標準的數據清單嗎?
也許吧,但更有可能的是,他們將不得不更加努力地工作,因此成本將會增加。數據提供者需要重新評估其構建清單的方式。他們需要獲得名單上每個人的同意,這樣他們才能彙編這些資訊——他們還需要獲得他們的單獨同意,這樣他們才能將這份名單出售給第三方。這是很多工作,但它是可以做到的。
問題九
"雙重選擇是指導還是法律?GDPR 是否包括「雙重選擇加入」?即一位網站訪問者被動地說「OK」,但我需要確認他們的同意嗎?當然,單一的同意是不夠的嗎?
雙重選擇是一種指導,而不是一種法律。
為了遵守 GDPR 法規,您必須能夠證明您聯繫的個人已提供肯定的同意才能這樣做。
為了證明肯定的同意,你必須能夠證明他們已經完成了一個行動,說:『是的,我對此很滿意』。您不能再有預先勾選的框或基於個人的不活動而表示同意。此外,您 必須 為個人提供機會,讓他們選擇退出任何溝通,如果他們願意。
然而,雙重選擇是要求個人提供兩次同意,從而改善您的同意記錄,但這不是法律要求。雙重選擇只是最佳做法,因為它沒有提供任何出錯的餘地,當涉及到能夠證明同意進一步下線。
如果您只獲得了一個階段的肯定同意,請確保您還在每個接觸點提供機會,讓聯繫人選擇退出通信。
問題十
"我的聯繫数据庫呢?我仍然可以通過電子郵件發送這些人嗎?
GDPR 規定,您無需自動「重新紙上紙」或刷新所有現有的 DPA 同意,以準備 GDPR。但是,如果您依靠個人同意來處理其數據,請確保數據符合 GDPR 標準,即具體、細粒度、清晰、突出、選擇加入、正確記錄且易於撤回。所以,如果需要,請確保更新您的同意機制!
我們希望您發現此 GDPR 常見問題檔是有用的,如果您通過社交媒體與他人分享,我們將非常高興。當然,這是一份活生生的檔,它將定期更新,直到國內生產總值開始,以確保絕對準確。
問題十一
"處理的法律/合法基礎是什麼?"
根據《國內生產總值法》,有六個合法的處理基礎/理由。在處理個人數據時,其中至少有一項必須適用(要瞭解有關個人數據的更多資訊,請參閱"什麼是個人數據/資訊")。
沒有一個法律基礎比另一個更好,但你選擇的法律基礎將取決於您的業務和您的要求。
這六個法律依據如下:
同意: 個人-數據主體-已同意處理其數據
合同: 對於數據主體是當事方的合同的履行,或在簽訂合同之前應數據主體的要求採取措施,需要處理
法律義務: 對於遵守控制人所承擔的法律義務,必須進行處理。
重大利益: 為了保護數據主體或其他自然人的切身利益,必須進行處理。
公共利益: 處理是執行為公共利益或行使賦予控制人的官方權力而執行的任務所必需的。
合法利益: 對於控制人或第三方追求的合法利益,必須進行處理,除非這些利益被需要保護個人數據的數據主體的利益或基本權利和自由所壓倒,特別是在數據主體是兒童的情況下
問題十二
"什麼是個人數據/個人資訊?"
個人數據是指與可識別人相關的任何資訊,這些資訊可以通過參考標識符直接或間接識別。
標識符可以是一個人的姓名、識別號碼、位置數據或在線標識符 -ICO 勾勒出可用於區分 此處個人的不同標識碼。
問題十三
"什麼是被遺忘的權利?
被遺忘的權利(也稱為擦除權)是個人有權完全刪除其個人數據的地方。個人可以口頭或書面請求擦除。
問題十四
"什麼是敏感的個人數據?"
敏感的個人資料是sp 特殊類別資料,由有關個人的資訊組成:
- 種族;
- 種族
- 政治;
- 宗教;
- 工會會員;
- 遺傳學;
- 生物識別技術;
- 健康;
- 性生活;或
- 性取向
根據 ICO 的說法,此類數據可能會對一個人的"基本權利和自由"造成更大的風險。
問題十五
個人在GDPR下擁有哪些權利?"
根據國內生產總值,個人享有以下權利:
-
- 知情權
- 訪問權
- 整改權
- 擦除權
- 限制處理的權利
- 數據可移植性權
- 反對權
- 自動決策和分析的權利