GDPR:歐盟居民個人數據處理新規則

已發表: 2018-05-25

該法規直接影響所有 28 個歐盟國家,將取代 1995 年 10 月 24 日關於保護個人數據的框架指令 95/46 / EC。個人數據的處理,因此如果服務專注於歐洲或國際市場,公司應密切關注這些數據。

新法規為歐盟居民提供了全面控制其個人數據的工具。 自 2018 年 5 月以來,違反個人數據處理規則的責任變得更加嚴厲:根據 GDPR,罰款金額高達 2000 萬歐元或公司全球年收入的 4%。 在本文中,我們分析了歐盟處理個人數據的新規則,並為公司製定瞭如何應對 GDPR 的建議。

GDPR 行動區

GDPR 具有域外效力,適用於所有處理居民和歐盟公民個人數據的公司,無論此類公司位於何處。

當然,組織在歐盟境內的分支機構和代表處必須滿足新的要求。

在以下示例中將考慮其他(不明顯)類別的主題:

該組織位於歐盟境外。 它向包括歐盟用戶在內的用戶銷售在線產品和服務。 在歐盟國家的國家頂級域名(例如 .de、.nl 或 .co.uk)上,以當地語言以當地貨幣向用戶提供服務。 同時,該組織不直接在歐盟境內開展任何業務或分包商。

這樣的組織是否應該遵守 GDPR?

確實是的。 畢竟,服務和商品顯然是提供給歐盟居民的,因為:

  • 服務/商品適應歐盟居民的當地語言;
  • 服務/商品以歐盟當地貨幣支付;
  • 服務/商品在歐盟國家的國家頂級域名上提供。

這意味著在實施在線銷售的不同國家/地區處理歐洲人個人數據的組織(例如,鐵路、航空公司、酒店、旅館等)受 GDPR 約束,並且必須遵守新的歐洲個人數據處理法規。

需要注意的是,除了GDPR中對個人數據的處理之外,還使用了監控數據主體行為的概念,這驅動了GDPR下的另一類主體。 GDPR 適用於在歐盟以外設立的組織(作為控制者或處理者)控制歐盟居民的行為(在此類行為發生在歐盟的範圍內)。 監測可以包括:

  • 在互聯網上跟踪歐盟居民;
  • 使用數據處理方法來分析個人、他們的行為或他們與某事的關係(例如,分析或預測個人偏好)。

歐洲立法者還共享數據控制者和數據處理者的概念。 控制者作為船長,比處理者在船上擔任海員承擔更大的法律責任。 事實上,控制者決定個人數據的處理方式並負責處理,而處理者是某種“執行者”。

例如,您的員工用來執行任務和項目的雲系統(也存儲客戶的個人數據)將是數據處理器,而您相應地是控制器。

GDPR 中的個人數據是什麼意思?

個人數據是與已識別或可識別的個人(數據主體)相關的任何信息,通過這些信息可以直接或間接確定。 除其他外,此類信息包括姓名、位置、在線標識符或一個或多個與該個人的身體、生理、遺傳、智力、經濟、文化或社會身份不同的因素(第 1 節,第 4 項)。 該定義非常廣泛且相當明確,即使 IP 地址也可以是個人數據。

需要注意的是,某些類型的個人數據屬於特殊或機密個人數據類別。 該信息披露了種族或民族血統、政治觀點、宗教或哲學信仰以及工會成員身份。 此外,該組包括用於識別個人的遺傳、生物特徵數據、健康狀況數據、與性生活或性取向有關的信息(第 9 條)。

GDPR 數據處理的 6 條原則

歐洲人處理個人數據的一般方法以六項基本原則的形式製定:

  1. 合法、公正、透明。 必須合法、公平和透明地處理個人數據。 有關個人數據處理的目的、方法和數量的任何信息都應盡可能簡單易懂地說明。
  2. 目的限制。 應僅出於公司規定的目的(在線服務)收集和使用數據。
  3. 數據最小化。 您收集的個人數據量不能超過處理目的所需的量。
  4. 準確性。 必須刪除或更正不准確的個人數據(應用戶要求)。
  5. 存儲限制。 個人數據必須以允許識別數據主體的形式存儲,時間不超過處理目的所需的時間。
  6. 誠信和保密。 在處理用戶數據時,公司必須確保保護個人數據免受未經授權或非法的處理、破壞和損壞。

關鍵要求

違反 GDPR 的通知

公司必須在發現此類違規行為後 72 小時內將任何與個人數據相關的違規行為通知監管機構(在某些情況下是數據主體)。

例如,最近有關 Uber 遭到黑客攻擊的消息就是違反這一規則的生動例子。 優步告訴媒體,一年後黑客可以訪問 5700 萬用戶和司機的個人數據。 如果 GDPR 現在生效,將無法避免高達年營業額 4% 的罰款。

此處列出了所有歐盟國家個人數據領域的國家當局名單。 還有一個泛歐監管機構——第 29 工作組或第 29 條工作組。然而,在 GDPR 生效後,第 29 條工作組將取代新機構——歐洲數據保護委員會 (EDPB )。

數據主體(個人)的權利

GDPR 顯著擴大了公民和歐盟居民控制其個人數據的權利。 歐洲用戶有權要求確認其數據的處理、處理的地點和目的、正在處理的個人數據的類別、向哪些第三方披露個人數據、處理數據的時間段以及還要澄清組織收到個人數據的來源並要求更正。 此外,用戶有權要求終止對其數據的處理。

GDPR 還規定了擦除權和被遺忘權,這使歐洲人能夠根據要求刪除其個人數據,以避免將其分發或轉移給第三方。

這不是一項新權利; 它也在當前的指令中。 歐盟法院 (CJEU) 在 2014 年對 Google 西班牙案的裁決中解釋說,如果數據主體不代表公共利益,則有權從搜索結果中刪除有關他們的信息。 然而,被遺忘權不僅延伸到搜索引擎。 任何處理數據的公司如果不違背公眾利益或歐洲人的其他基本權利,則必鬚根據要求刪除某人的個人數據。

例如,如果您是新聞服務機構,在您刪除數據之前,請檢查並確保此類刪除不會影響言論自由和《歐盟人權憲章》第 11 條保障歐洲人獲取信息的權利。

數據可移植性的權利

數據可移植性權利是 GDPR 引入的歐盟數據處理規則的一項創新。 該權利要求公司根據個人數據主體的要求向另一家公司提供免費的個人數據電子副本。

例如,一家名為“Sunny”的初創公司想通過一個社交媒體交流網站進入市場,但市場上已經有自己的巨頭佔據了很大的市場份額。 數據可移植性的權利將使潛在客戶更容易將他們的數據從一項在線服務傳輸到另一項在線服務(無需在不同站點上重新輸入相同的數據)。

另一個例子。 數據主體使用電子書閱讀器服務“E-book”。 在某一時刻,用戶決定切換到“在線閱讀”服務。 在這種情況下,數據可移植性的權利允許您從“電子書”中獲取個人數據(例如,文獻中的偏好等)並將其轉移到其他服務。

同意處理

GDPR 對獲得數據處理同意的形式提出了很高的要求。 一個人對其個人數據處理的同意必須以聲明的形式或以明確和積極的用戶行為的形式表達。 如果用戶別無選擇或無法在不損害自己的情況下撤回其同意,則處理個人數據的同意將無效。 如果用戶同意處理他/她的個人數據,控制者必須能夠證明這一點。

不建議使用已勾選的默認同意字段或其他默認獲取同意的方法。 同意也不能以用戶沉默或不作為的形式表達。 有關撤銷同意處理個人數據的程序的信息必須以用戶可以輕鬆找到的方式放置。

對兒童的特殊保護

兒童的個人數據應得到特別保護,因為他們對處理個人數據的風險、後果、保障和他們的權利知之甚少。 處理兒童數據的同意必須得到父母(或兒童的法定代表)的授權。 父母授權的年齡門檻由歐盟成員國(13 至 16 歲)單獨設定。

任命負責保護個人數據的人員

此要求適用於進行定期和系統的大規模觀察、監測個人(上文已提及)的公司; 或對特殊個人數據進行大規模處理,例如醫療記錄或刑事定罪信息。

在任何情況下,任何組織都可以自願任命一名數據保護官來管理用戶數據的處理並監控對 GDPR 要求的遵守情況。 在這種情況下,公司應發布有關此類員工的信息,並將其發送給國家監管機構,以保護相關歐盟國家的個人數據。

該怎麼辦?

如果您進入新的歐洲數據保護法規的覆蓋範圍或計劃向歐盟國家擴展和提供服務和商品,建議您對公司使用的處理個人數據的方法和手段進行全面評估,並使它們符合新的 GDPR 規則。 還需要修改針對歐洲消費者和用戶的網站和在線服務的使用條款中關於處理個人數據的隱私政策和規定。 為遵守 GDPR 的要求,有必要製定內部數據保護政策、培訓人員、進行數據處理檢查、維護處理過程的文檔、實施內置保密系統的措施,並指定負責處理個人數據的人員數據(考慮到處理的個人數據的性質和數量)。

儘管對個人數據處理的新要求很嚴格,但它們對非歐洲參與者也有積極的一面:遵守單一的數據保護和處理規則比考慮國家細節更容易在 GDPR 之前如何處理每個歐盟國家的個人數據。 此外,改革旨在通過降低在歐盟經營的公司的成本和官僚主義來刺激經濟增長。 遵守一項規則而不是 28 個(歐盟成員國的數量)將有助於小型和發展中公司進入新市場。 根據法律,在許多情況下,義務因業務規模、正在處理的數據的性質和其他因素而異。

此外,在 GDPR 框架內可能對歐洲監管機構和個人數據主體(用戶)的詢問作出回應的機制(例如,關於數據澄清、刪除、終止處理或有權轉移到另一家公司)數據可移植性)也應提前考慮。

GDPR 是重要的立法文件,它顯著提高了歐盟及其他地區的個人數據保護水平。 它需要非常仔細的研究和觀察。 改革提供了應在數據保護領域應用的規則的明確性和一致性。 它還恢復了用戶消費者的信心,使企業能夠充分利用單一歐洲數字市場的機會。 個人數據無疑是現代經濟的“貨幣”。 全球範圍內個人數據的收集、分析和移動具有巨大的經濟意義。

如何使您的應用程序符合 GDPR?

1. 想想你是否真的需要收集到的所有數據

第一步是檢查您收集的數據。 你真的需要它們嗎? 未來有意義地使用數據的最佳方式是管理最小的必要集合。

2. 加密所有個人數據

加密通常被稱為 GDPR 合規性的一個關鍵因素,但事實上,這並不是必需的。 雖然你不應該忽視這種可能性。

數據洩漏是不可避免的,但據專家稱,減少數據盜竊造成的損害的最佳方法是端到端加密。 在這種方法中,只能在客戶端設備上使用只有他或她有權訪問的密鑰才能解密數據。 如果由於成本或性能而無法使用加密,則可以使用替代方法,例如假名化。

3. 使 HTTPs 成為您應用程序的重要組成部分

反饋表通常包含個人信息,例如電子郵件地址、電話甚至家庭住址。 當您以純文本形式存儲和發送此信息時,您就為黑客打開了大門。 使用加密並告訴客戶您將如何以及何時存儲他們的數據。

下一步是實施 HTTPS,一種在客戶端和服務器之間加密數據的協議。 在這種情況下,客戶端會收到帶有安全連接密鑰的 SSL 證書。 因此,從可靠的提供商處獲取證書並正確安裝非常重要。 此外,請確保您的證書不易受到協議漏洞的影響。

4. 訂購您的同意書

自 2018 年 5 月起,您將不得不忘記預先勾選的複選標記。 新法律要求“自由、具體、知情和明確的用戶同意”。 這意味著您的同意書必須為空或默認設置為“否”。

5. 逐條徵求同意

如果您想出於營銷目的聯繫客戶,則需要分別徵求同意處理每種類型的數據。 例如,如果您想通過電子郵件、電話和郵寄的方式發送宣傳材料,則需要以同意的形式分別製作三項。

如果您只需要電子郵件,則只能獲得營銷許可。 但是,如果您使用個性化、細分或定位,您將需要獲得營銷郵件的同意以及收集其他人口統計或行為數據的同意。

6. 明確第三方

如果您將客戶的個人數據傳輸給第三方,您需要在同意書中註明所有參與者。

同時,許多用戶不希望將其數據的訪問權限授予第三方。 處理此問題的最佳方法是使用您的網絡分析平台。 Google Analytics 不會與 GDPR 發生衝突,因為它無法跟踪特定用戶。

7. 將使用條款的同意與其他形式的同意分開

使用條款將不再與其他形式的同意一起使用。 您需要請求用戶的許可才能處理任何類型的數據。

8. 使使用條款引人注目

GDPR 要求您不要隱藏帶有使用條款的部分,也不要以小字體發布它們。 這樣的計劃將不再符合法律:

9.允許用戶輕鬆撤回同意

用戶應該能夠隨時取消訂閱和撤回他們的同意。 例如,在您的時事通訊中,必須有一個“取消訂閱”功能。

但即使是“取消訂閱”鏈接也可以為您工作,如下例所示:

10. 更改您的 cookie 政策

自 2018 年 5 月起,您應該停止將 cookie 用於廣告、分析或項目運營,或者您應該找到使用它們的法律依據。 這些可以是法律義務、不侵犯個人權利的合法利益、合同執行要求或用戶同意。

根據 GDPR,第一次訪問您的網站的行為並不意味著獲得處理個人數據的同意。 即使您顯示“如果您訪問過本網站,您已接受 cookie 的使用條款”之類的通知。 請記住,您不能阻止已撤回同意的用戶訪問該網站。 在他們退出帳戶後,您將不得不刪除有關他們的所有信息。

11.避免包含個人信息的安全問題

在使用 Web 應用程序註冊時,您經常會看到這樣的問題:

這是新法律禁止的。 自 2018 年 5 月以來,安全問題不再涉及客戶的家庭、偏好、家等。 最好使用雙因素身份驗證或允許用戶創建自己的問題進行驗證,但警告他們披露個人信息的危險。

12. 用他們的 IP 地址通知用戶記錄

檢查您的系統是否在身份驗證過程中使用 IP 地址或位置信息。 如果您的記錄包含此類數據,您必須警告用戶存儲此數據的方式和時間。 加密您的條目,不要在其中存儲敏感數據,例如密碼。

13.確保付款後刪除所有個人數據

如果您使用支付方式,您可能會收集用戶的個人信息。 在許多情況下,這些數據保留在您的系統中,根據 GDPR,這是非法的。 您應該重做您的流程,以便在一定時間內刪除這些數據。

14.允許用戶拒絕業務分析系統的跟踪

商業網站經常跟踪用戶行為以改進推薦。 現在,此類活動將需要完美而明確的協議。 如果用戶拒絕跟踪,您必須尊重這一選擇。

15.退訂時刪除用戶數據

用戶應該能夠刪除他們的帳戶和個人數據。 您的任務是向他們清楚地表明所有數據都將被刪除。

WordPress 解決方案

通用數據保護條例 (GDPR) 規範了所有 28 個歐盟國家的數據保護法,並對控制和處理個人身份信息 (PII) 實施了新的嚴格規定。 從 2018 年 5 月 25 日起,每個收集歐盟公民數據的網站都必須符合 GDPR 要求。 並且很容易遵守通用 GDPR 法規和行業最佳實踐,激活您可以選擇的插件:

1. GDPR 合規性和 COOKIE 同意 WORDPRESS 插件是您網站的一體化解決方案。

  1. 滿足所有 GDPR 要求,例如:
    • 數據訪問——用戶訪問當前存儲的個人數據的專用表格,
    • 被遺忘權——用戶請求刪除存儲數據的專用表格,
    • 瀏覽用戶對數據訪問/刪除的請求並設置自定義電子郵件通知
    • 隱私政策 - 為您的條款和條件以及隱私政策頁面設置重定向,直到獲得同意
    • Cookie 同意 – 為 Cookie 同意創建一個專用框並阻止所有 cookie,直到獲得 cookie 同意
    • 自動為您的網站上的各種表格添加同意框
    • 數據洩露 – 發送有關數據洩露的全球電子郵件通知
    • 假名化——對存儲在數據庫中的一些用戶數據進行假名化。
  2. 最流行的 WordPress 插件的預定義集成,例如 WooCommerce、Contact Form 7、Gravity Forms、Mailchimp、Events Manager、BuddyPress、Formidable Forms 等等!
    • 檢查當前激活的插件是否符合 GDPR
    • 輕鬆集成自定義插件
    • 通過您的 WordPress 管理面板輕鬆管理所有內容
    • 5* 客戶支持
    • 在線文檔

2. WP GDPR Compliance目前支持 Contact Form 7 (>= 4.6)、Gravity Forms (>= 1.9)、WooCommerce (>= 2.5.0) 和 WordPress Comments。 使添加同意複選框和保存同意日誌變得容易。 其他插件支持將很快推出。

WP GDPR 合規性可幫助您作為網站所有者處理:

  • 為受支持的插件保留同意日誌。
  • 將復選框添加到支持的插件以獲得明確的訪問者同意。
  • 通過加密的審計日誌獲得“訪問權”。
  • 通過匿名用戶數據“被遺忘的權利”。

3. GDPR 合規性和 Cookie 同意 WordPress 插件

特徵:

– 數據訪問 – 請求存儲在網站上的個人數據的專用表格;

– 被遺忘權 – 要求刪除所有存儲的數據(通過電子郵件鏈接確認);

– 管理和自動化用戶對數據訪問/刪除的請求,並設置自定義電子郵件通知;

– 可定制的選擇加入 – 隱私政策、服務條款、Cookie 同意和電子郵件營銷選擇加入表格;

– GDPR 同意複選框 – 輕鬆為您網站上的各種表格添加同意框,例如 WordPress 評論和自定義聯繫表格;

並與最流行的 WordPress 插件完美集成:

– 郵件猩猩;

– WooCommerce 訂單和結帳字段;

– 聯繫表格 7 GDPR 同意複選框;

– 重力表 GDPR 同意複選框和條目字段;

– BuddyPress GDPR 同意複選框;

24/7 實時支持

任何插件都只會幫助您從技術上了解 GDPR 規範,但如果您對遵守 GDPR 有絲毫顧慮(大多數人可能會),我們始終建議您聯繫律師,即使只是暫時的. 這是我們強烈敦促您不要嘗試自行解決的領域之一。 律師可以為您提供專門針對您的情況的法律建議。 如果你弄錯了,可能會導致巨額罰款。

Stylemix主題體驗

StylemixThemes 必須遵循 GDPR 的規則,因為:

  • 為來自歐盟國家的客戶提供服務;
  • 以英語為歐盟公民提供服務。

我們公司與歐洲客戶合作,收集和處理來自歐盟的用戶的個人數據,並根據 GDPR 的規範調整其處理信息的方法。 我們注意隱私政策和使用資源的規定條件。 此外,根據上述權利,提供處理可能的用戶請求的機制。

要使用我們的主題和插件並獲得支持,您必須在我們的網站上註冊一個或多個 Envato 購買代碼。 這些購買代碼將與支持到期日期和您的用戶數據一起存儲。 這是我們為您提供下載、產品支持和其他客戶服務所必需的。 我們根據 Envato 政策和規則以及 GDPR 要求管理所有這些數據。

StylemixThemes 是如何為新規的製定做準備的?

與大多數網站一樣,我們會自動收集某些信息並將其存儲在日誌文件中。 這正是在向 StylemixThemes 註冊期間,根據網絡資源使用條款的個人同意收集數據的原因。 在對條款和條件進行更改時,公司會通知用戶相關信息,並使用上次更新日期更新網站上的信息。 此外,當您使用我們的服務時,我們可能會自動從您​​的設備收集某些信息。 此信息可能包括互聯網協議 (IP) 地址、瀏覽器類型、互聯網服務提供商 (ISP)、引用/退出頁面、操作系統、日期/時間戳、點擊流數據、登錄頁面和引用 URL。 為了收集這些信息,當您訪問我們的服務時,可能會在您的計算機或設備上設置一個 cookie。 Cookie 包含少量信息,可讓我們的網絡服務器識別您。 畢竟,公司收集個人數據的目的僅僅是為了確保服務的不間斷運行、與客戶的溝通以及提供所聲明的服務。 StylemixThemes 不收集作品中未使用的數據。

我們存儲通過 cookie、日誌文件和/或透明 gif 收集的信息以記錄您的偏好。 我們還可能會自動收集有關您使用我們服務的功能、我們的服務功能、訪問頻率以及與您與服務交互相關的其他信息的信息。 我們可能會跟踪您在不同網站和服務中的使用情況。 在歐洲經濟區(“EEA”),本段上述信息可能被視為適用數據保護法下的個人信息。

如果您在我們的網站上註冊,我們會將您選擇的用戶名和電子郵件地址以及您添加到您的用戶資料中的任何其他個人信息存儲起來。 您可以隨時查看、編輯或刪除您的個人信息(更改用戶名除外)。 網站管理員還可以查看和編輯此信息。

我們可能會將您的信息和數據用於:

  • 增強或改善用戶體驗、我們的網站或我們的服務。
  • 發送有關我們網站的電子郵件或回複查詢。
  • 發送有關 StylemixThemes 的電子郵件和更新,包括我們的電子郵件營銷通訊(如果我們明確同意)。 您可以隨時選擇退出這些電子郵件。
  • 執行我們真誠認為對保護我們的網站或服務的安全或正常運行所必需的任何其他功能。

客戶的支付數據由具有 PCI DSS 安全證書的支付服務加密。

因此,StylemixThemes 遵守 GDPR 的透明度、準確性、保密性和其他規範的原則,並分別支持新法規,這些法規為用戶和公司在提供個人數據領域的互動制定了明確的規則。 這是保護互聯網上個人信息的重要一步,也是打擊操縱和濫用個人信息的重要工具。

您可能已經意識到,GDPR 非常重要! 這將影響互聯網上幾乎所有的 WordPress 網站。 隨著截止日期的臨近,我們敦促所有人花時間進行研究並確保您的網站滿足所有要求。 如果你不這樣做,你可能會看到一些非常驚人的罰款!