一、什么是GDPR
“通用数据保护条例”(General Data Protection Regulation ,简称GDPR)是欧盟 (EU) 制定的一项新法规,它涉及个人数据的保护和自由传输以及个体(包括儿童)的权利。这是一组规则,它将取代现有的“数据保护条令”(Directive 95/46/EC),并且将在整个欧盟内实施。GDPR 使欧盟居民有能力按其意愿直接控制其数据的处理方式,并保护其数据隐私。
二、中国企业在什么情况下需要遵循GDPR
GDPR涉及范围
因此,对于任何在欧盟境内开展业务且涉及个人隐私信息的收集、存储、传输或分析等处理过程的企业(包括中国企业),都需要遵守GDPR。
罚款程度
轻者处以1000万欧元(约合人民币0.75亿元)或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元(约合人民币1.5亿元)或者企业上一年度全球营收的4%(两者取其高)的罚款。
三、GDPR法律法规具体要求内容(概要)
1.GDPR强调数据所有者的知情权
规定数据使用必须事先征得数据主体的同意,而且“同意”必须是具体的、清晰的,是用户在充分知情的前提下自由做出的。如果数据使用范围扩大,无论是将数据提供给第三方或作为企业对外服务的一部分,都必须重新获取数据主体的授权和同意,数据主体还可以随时撤回同意权利。
2.收集数据表明其特定的使用目的
不得收集提供服务必需之外的数据,收集之后不得滥用用户数据,同时还必须履行保护用户数据的义务。处理数据时,要求数据控制者说明如何收集、处理个人数据,包括数据接受者类型、个人数据保留周期及采取该周期的理由等。
3.GDPR强调数据主体的“被遗忘权”和“数据可携权”
前者是指用户提出数据删除要求时,企业需要在数据库内找到数据并删除,如果数据已传播或提供给第三方使用,企业还有责任通知使用者予以删除。
4.如涉及自动化数据处理 (如数据画像等),数据控制者还需要提供基本的算法逻辑及针对个人的运算结果
5.在数据泄露事件发生时,根据GDPR的数据泄露通知要求,企业必须在发现数据泄露的72小时内通知相关部门。
四、处理个人数据的基本原则
处理个人数据的基本原则是,必须以透明、合法方式处理该数据。GDPR 定义了六种处理数据的法律基础,这六种法律基础之间不分优劣,了解这一点至关重要。请根据您处理数据的目的以及业务需求来选择最合适的法律基础。
| 原则名称 | 说明 | 示例 |
| 同意 | 先征求数据主体同意,再处理其个人数据。数据主体一方必须执行明确的操作来予以确认或同意。 | 收集并处理个人数据以用于行销,或用于发送时事通讯。 |
| 合同 | 您与个人签订合同,以提供他们所申请的商品或服务。在此情况下,您处理数据以履行合同。 | 在履行合同期间,客户通过电子邮件请求索取更多信息,组织处理其个人数据以回应该请求。 |
| 法律义务 | 根据法律的要求,您必须处理该数据。 | 政府机构需要职员的薪酬详细信息,或某项调查要求处理个人数据。 |
| 切身利益 | 您需要处理数据,以保护某人的生命安全或处理紧急情况。 | 收集人员的个人详细信息,以便在突发事件或火灾中确保其人身安全。 |
| 公众任务 | 您为满足公众利益而需要执行任务(通常以政府机构或政党等身份执行)。 | 政府当局处理数据,以进行科学研究、调查或公众健康研究。 |
| 合法利益 | 组织有真实而合法的原因来处理数据,其目的不侵犯数据主体的权利。 | 客户未支付其发票款项,因此公司需要处理该客户的数据以收集支付信息。或者,为进行管理,组织处理职员的个人数据以确定薪酬。 |
五、数据处理的三方
数据控制方:指负责个人数据处理目的和方式的人员或组织。通常,数据控制方可能通过外部服务提供商或其他组织来处理个人数据,但对收集到的个人数据仍保有控制权,不会转移给其他方。
数据处理方:代表数据控制方处理个人数据的组织。数据处理方无权控制对数据的操作,并且不能改变数据收集的目的。他们仅根据数据控制方提供的指示进行有限的数据处理操作。
数据主体:指个人数据的所有者,即您收集其个人信息的人员。在企业中,数据主体可以是您的客户或员工。用户收集他们的信息(例如姓名、地址、电话号码和电子邮件地址),以便进行处理并与他们进行业务联系。
这三个概念在数据保护和隐私法规中非常重要。数据控制方负责确保对个人数据的合法处理,并保护数据主体的隐私权和个人数据安全。数据处理方则根据数据控制方的要求进行数据处理,同时也有责任保护个人数据的安全和保密性。数据主体则有权了解和控制其个人数据的使用方式,并行使相关的数据保护权利。
注:纷享销客作为数据处理方必须要有安全的系统、工具和方法来收集并存储个人数据。纷享销客CRM系统通过提供选项帮助客户保护数据主体的数据来满足 GDPR 中制定的安全和隐私标准。