GDPR(通用数据保护条例)是一部新的数据保护法,将于 2018 年 5 月 25 日生效。它将适用于在欧盟境内运营的所有企业,包括总部位于欧盟境外但向欧盟境内个人提供产品或服务的企业。
1. 个人资料
个人数据的定义越来越广泛,例如, whatsapp 号码数据 它可能包括 IP 地址。审查并记录您持有的个人数据、您如何以及在何处收集这些数据、您使用这些数据的目的、您与谁共享这些数据等。
2. 处理的合法依据
在处理任何个人数据之前,您需要确定并记录这样做的合法依据。 何写信给有影响力的人以获得 这可能是同意,但同意并不是处理的唯一条件。例如,处理可能是履行合同所必需的。
3. 同意
同意的定义正在发生变化,获得同意的标准也会更高,如果您依赖同意(例如发送直接营销),请检查您的同意机制,以确保您从 2018 年 5 月 25 日起遵守规定。
4. 个人权利
GDPR 包含个人的新权利和增强的权利。例如, 西班牙号码 撤回同意的权利和被遗忘权。确保您了解这些权利,并制定如何让个人行使这些权利。
5.自动化决策
GDPR 将为企业进行自动决策(包括分析)时的个人提供保护。确定您的运营是否涉及决策,并(如果是)评估您如何遵守新要求。
6. 隐私政策
一个关键主题是透明度,企业将不得不向个人透露更多有关他们正在收集和处理的个人数据的信息。检查您的隐私政策并确定它们需要包含哪些其他信息。
7. 数据泄露
某些数据泄露事件需要在 72 小时内向 ICO 报告。受影响的个人可能也需要得到通知。未能通知 ICO 的后果将更加严重,ICO 可以处以更高的罚款。
8. 数据保护官
如果企业对个人进行大规模系统监控,或大规模处理特殊类别的数据,则需要任命一名数据保护官。评估您是否需要任命一名 DPO,以及(如果需要)谁应该担任该职务。
9. 记录保存
其他关键主题是治理和问责制,您可能需要保留处理活动的额外内部记录,并进行隐私影响评估。检查这些新要求在多大程度上可能适用于您。
10. 国际数据传输
将对将个人数据转移到欧盟以外的地方施加限制。审查您的操作,以确定您可能在哪些情况下将个人数据转移到欧盟以外,并确保此类转移符合 GDPR 中规定的条件。
11. 员工培训
提前在 2018 年 5 月 25 日开始提高员工对 GDPR 的认识。临近实施日期,还应为员工提供新法律培训。根据其角色,一些员工可能需要更深入的培训。
12. 罚款
不遵守数据保护法的后果将更加严重,严重违法行为的罚款最高可达2000万欧元或全球年营业额的4%(以较高者为准)。