通用数据保护条例GDPR (General Data Protection Regulation)是一项新的欧盟条例,该条例将于5月25日正式生效。条例的主要内容可概括为增强数据监管力度,提高对欧盟公民的隐私保护,最大限度的降低企业滥用数据的问题。
GDPR 是以人为单位,保护所有欧盟公民的权益,与企业所属国无关。只要企业的客群涉及到欧盟公民,则均须遵守GDPR,对于违规企业将进行高额罚款。
如果你的企业客户为欧盟公民,你就需要对数据收集的流程做相应修改。在收集或使用任何个人数据之前,均必须征得用户同意,在用户授权后,才可以进行使用,否则将视为违法行为。
企业在收集用户提交的注册、报名、下载、参与活动等个人信息时,必须确保用户已经同意企业行为。GDPR在要求获得同意时,提高了公式的标准,遵循用户“自由地给予、明确、知情”,企业需要使用“清晰易懂”的法律语言来进行用户权益阐述,不可以通过其他国家语言或其他方式来模糊权益说明。同时企业还必须能够提供证明,用户的同意行为是自愿的,而非强制同意,同时也必须通知他们有权撤回该同意。
对于处理个人数据,有若干新的原则,包括在开发系统时在数据隐私的设计构建要求,企业有义务在使用“新技术”或以风控方式处理数据隐私影响评估。数据隐私影响评估是一个系统地考虑项目可能对个人隐私造成潜在影响的过程,从而最大限度减少触碰数据隐私红线的风险。
在安全方面,GDPR将要求许多企业拥有数据隐私官(DPO)来监督他们的遵守情况。需要DPO的组织包括公共机构,其活动涉及大规模的数据主体的定期和系统监控,或组织大规模处理当前已知的敏感个人数据。
GDPR要求在多个欧盟国家设有办事处的组织将有一个“核心的监督机构”作为执行的中心点,以一个点作为最高的监督执行机构,确保不会因地域不同引起纷争。同时GDPR还包含了一个新的要求,即在正式生效后,企业必须在得知个人数据泄露的72小时内通知其国家的监管当局,除非数据是匿名的或加密的。可能对个人造成伤害的违规行为,如身份盗窃或违反保密性,也必须向有关人员报告。
GDPR将要求企业在运营过程中,进行数据的授权记录、授权实施过程等,能够在地方监督当局证明他们符合GDP要求。同时应培训员工,并采取适当的技术和组织措施确保和证明符合性。
GDPR的重要性可以从惩罚措施中得以重。根据违反的类型,企业错误处理个人数据或侵犯数据主体的权利可能会导致其全球年收入4%或高达2000万的罚款。
以上为Focussend总结GDPR部分观点内容,详细全文请 点击查看原始文件
• 企业内部的“服务协议”和“隐私条款”需要针对 GDPR 做相应调整,制定适合企业自身情况的规则说明文档。
• 清晰明确表明企业将收集的数据、使用及用户享有的许可或撤销许可权益。
• 保证多语言版本,不可利用语言不同等,模糊规定而获取用户的许可。
• 在订阅、注册等全部数据采集入口设置明显告知用户窗口。
• 位置醒目、内容明确清晰
• 不可存在自动勾选强制同意行为,获得用户主观许可后才可使用。
• 针对全部已有会员用户发送申请许可邮件,未授权用户三天后继续发送,尽快获取授权。(邮件模板可直接选用后台模板)
• 用户点击邮件内的 "DO IT NOW" 按钮,跳转到我们在 "GDPR" 功能模块中生成的授权链接。
• 授权页面默认不勾选用户授权的内容,需要用户自己进行勾选然后点击“授权”
• GDPR 正式生效后,可在邮件发送界面的“排除组”那里进行勾选,对未获得授权的用户不再进行发送。
• 针对一直未对是否授权做明确回应用户,以及已许可用户,在后期每封邮件推送中,均需设置明显的撤销许可标识。
• 允许用户随时取消授权行为。
• 允许用户随时修改个人信息内容。