企业GDPR合规性:终极分步指南

首页 / 业界 / 政策 /  正文
作者: Petar Todorovski
来源:编译
发布于:2021-11-08
编者按:2021年11月1日,《个人信息保护法》已正式施行,个人隐私数据的保护终于告别蛮荒,进入有法可依的时代。谈及《个人信息保护法》,就不得不考虑欧盟于2018年通过的General Data Protection Regulation(以下简称“GDPR”)。GDPR分为11个章节共计99条,其大体框架可以概括为个人信息保护的基本原则、个人信息所有者的权利、数据处理者和数据控制者的权利义务、数据的跨境转移、第三方数据监管机构、机构间合作与协调、赔偿与处罚。GDPR作为相对成熟的欧盟立法,其在适用过程中产生了不少著名的案例,也为研究、学习《个人信息保护法》提供了丰富的域外经验。在此,安全419编译相关数据隐私专家分步骤落地GDPR的详细指南,为广大数据处理者进行数据合规提供有益参考。
 
原文作者:
Petar Todorovski——数据隐私专家,马其顿信息社会和管理部信息技术监管法律顾问

译文正文:
 
许多中小企业认为,遵守GDPR是一条漫长的道路,并尽可能拖延。然而,它并不像看上去那么漫长和昂贵。本指南将解释每一个在线业务都要做什么,以及一些企业可能也需要做些什么。
 
尽管这项规定提高了公司的门槛,但如果你是认真对待自己的业务,保护用户的个人数据不应成为问题。而且这并不难遵守。在这里,我们将试着解释作为一个在线企业主,你应该做的最低限度的合规,以使你摆脱可能涉及大量工作的疑虑。


一、每一个在线业务都需要做什么来实现GDPR的合规性
 
1.确定为什么需要用户的个人数据
2.确定所需数据的类别
3.确定如何获取这些数据
4.确定数据的保存时间
5.查看你的网站已经使用的Cookies
6.制定隐私政策
7.获得收集和/或处理数据的明确同意
8.保存同意书和数据处理记录
9.响应数据主体请求
10.做好数据泄露通知的准备
11.确保数据传输的合法性

1.确定您需要个人数据的原因
你必须有理由处理用户的数据。对于大多数企业来说,原因包括:
市场营销目的——如果你想跟踪用户的行为,以便收集数据,你可以使用这些数据对他们进行细分,并用定制的消息来解决他们的问题改善您网站上的用户体验。
分析目的-收集网站访问者如何使用网站的数据。确定数据处理背后的原因是继续处理所需数据类别的第一步。
 
2.确定您需要的数据
现在,当您知道为什么需要处理个人数据时,您必须确定哪些类型的数据可以帮助您实现这些目标。
数据类别是个人数据的类型,如姓名、电子邮件地址、家庭地址、SSN、政治观点、生物特征数据等。
因此,如果您需要处理用户的数据以进行营销,您可能需要电子邮件地址来发送时事通讯,或者需要允许您获取在线位置信息。
出于分析目的,你可以安装Google Analytics并获得他们的IP地址。
在线商城发货,你需要他们的全名、地址和邮政编码。
为了提供客户支持,您可能需要他们的电话号码。
请记住,您需要为每个目的处理最少数量的数据。数据最小化是GDPR的基本原则之一,它不允许处理超出您的目的所需的数据。

3.确定如何获取这些数据
在这里,您将确定用于收集和处理个人数据的工具。一般来说,收集个人数据有两种方法:
1)用户自愿提供的数据;
2)通过cookies和其他跟踪技术收集的数据;
用户将为执行合同而向您提供数据,例如交货或获得免费赠品。
对于不需要交换内容的数据,您需要使用跟踪机制。这些方法包括cookie、pixels、fingerprinting和其他方法。确保你在这一点上都确定了。

4.确定你会长期保存这些数据
你应该在需要的时候保存数据,但不能超过这个时间。
这不仅是因为它迫使你删除你不需要的个人资料,还因为它给你带来了风险而没有好处。你为什么要保留别人的个人资料,而这些资料是你不需要的,而且会被人盗用?这是不明智的,也是违法的。
因此,为收集和处理的每一类个人数据确定一个保留期。它应该与处理的目的一致。所以,如果你不需要再处理这些数据,就把它处理掉。
 
5.看看你的网站使用的cookies
您的网站可能正在等待在未经用户同意和您不知情的情况下向用户设备注入cookies。社交插件、widgets和其他工具经常使用cookies,但您并不知情。
如果您对此不确定,请使用cookie扫描仪扫描您的网站。

6.制定隐私政策
隐私政策是一个文件,用于通知用户您的隐私做法。
如果您已经回答了上述问题,并且已经确定了要做什么、为什么以及如何做,那么起草隐私政策将是一件轻而易举的事。
符合GDPR的隐私政策是指具有法规规定的基本要素的隐私政策。这些元素并没有明确规定,但在GDPR的整个文本中都有体现,并且无论如何都是一个要求。

在任何情况下,您都需要包含以下元素的隐私策略:
1)你的身份。你是数据控制者,用户(也就是数据主体)有权知道谁控制了他们的数据。请提供您的公司名称和至少一个电子邮件地址以便联系。为了提高透明度,请提供电话号码和实际地址。
2)数据收集和/或处理的目的。告诉用户为什么需要他们的数据。
3)如何收集和/或处理个人数据。您必须告知用户您用于收集其数据的方法。一般来说,数据收集有三种方法:
用户自己给你他们的数据(例如提供一个电子邮件地址来接收营销促销、折扣、免费电子书等)
你可以通过cookies和跟踪技术收集他们的数据
您从其他方收集数据,例如您的子公司等。
4)收集的数据类别。在这里,你应该说出你收集的每一类数据,例如姓名、电子邮件地址、家庭地址、电话号码、IP地址、社会保险号码或任何其他个人信息。
5)与你分享这些数据的人,这些是用于数据处理的第三方工具。你和他们分享用户的数据,这样他们就可以根据这些数据向你提供见解。例如,你与谷歌分享数据,以便从Google Analytics中获得见解。
6)数据主体权利。GDPR授予用户以下权限:
了解数据处理
获取他们的数据
限制和/或反对对其数据的处理
删除他们的数据
纠正不准确的数据
将数据传输到另一个数据控制器
知道他们的数据是否是自动数据处理(包括分析)的一部分,并保留拒绝的权利
7)用户如何行使权利。用户拥有权利,但您需要让他们知道如何行使这些权利。至少,确保你有一个联系你的电子邮件地址。如果您有一个专门的联系表单来提交数据主题请求,那就更好了。市场上有一些SAAS解决方案,可以让您收集这些请求,对它们进行分类,并快速响应。
8)数据保留期。告诉你的用户你将保留他们的数据多长时间。
9)儿童的数据。如果你在知情的情况下收集儿童的资料,你应该通知用户并获得他们父母的同意。如果你没有这样做,这部分是你的机会,放一个免责声明,你没有这样做,让自己免于责任。
10)数据保护专员(DPO)或法律顾问。一些组织必须有一个DPO,而那些在欧盟以外注册的组织应该有一个法律顾问。如果您有任何这些,请在隐私政策中包括他们的姓名和联系信息。
11)隐私政策的更新和生效日期。最后,告知用户当前版本的隐私策略生效的日期,以及通知用户任何更新的方法。

7.获得数据收集和处理的明确同意
许多在线企业主认为,在他们的网站上发布隐私政策就足以满足数据保护法的要求,但这与事实不符。
当用户向您提供他们自己的数据时,法律依据通常是您的企业和用户之间的合同的执行。但是,当你使用第三方工具收集他们的数据时,你必须先问他们是否同意。GDPR不允许在未经用户明确同意的情况下收集数据,因此您需要在使用跟踪技术之前获得用户的明确同意。
获得用户同意的最实际的方法是向他们展示cookie横幅。但是,不是任何横幅,只有符合GDPR要求的才是合法的。
只要用户同意,cookie横幅是合法的:
自由选择。这意味着您必须让用户在接受和拒绝cookies之间做出选择。此外,接受cookies不能成为访问网站内容的条件。
知情。在请求用户同意时,必须将您的数据保护活动告知用户。这就是为什么cookie横幅上经常有隐私政策的链接。隐私政策告知用户公司的隐私做法,如果用户对此没有异议,他们可以同意收集和处理数据。
具体。您的隐私策略包含数据处理的目的。你必须为每一个特定的目的获得单独的同意。这意味着,如果您出于分析目的收集了同意书,则不允许为营销目的而处理相同的数据。你需要额外的同意才能进行这项活动。
明确。只有当用户已采取肯定的行动给予同意时,才能合法地获得同意,例如单击“接受”按钮。假设他们仅仅通过停留在网站上就同意使用cookies,或者假设他们通过接受您的服务条款而接受cookies,则违反了GDPR。而且,你必须不预先选中复选框或切换。用户必须采取明确的行动来确认是否同意使用cookies。
轻松撤回。你必须给用户提供一个机会,让他们能够很容易地撤销同意。如果用户只需单击“接受”按钮就表示同意,则不得要求填写一份长时间的撤销表格并通过电子邮件发送给您。你必须让用户觉得简单。
这意味着你不被允许以我们之前介绍过的方式偷偷发送cookie到你的用户设备:
没有预先选中的复选框
No cookie walls
不得将cookie同意与服务条款捆绑在一起
没有假设用户通过浏览网站接受cookies

8.保存已获得的同意书和处理活动的记录
GDPR要求企业保留自己处理活动的记录,并应要求向当局提供这些记录。记录应至少包含:
1)你的联系方式
2)数据处理的目的
3)数据主体描述
4)处理的数据类别
5)个人资料的接收者
6)数据传输的详细信息(如有)
7)数据保留期(如有)
8)数据安全措施的一般说明(如适用)
除了处理活动记录外,保存获得的用户每个同意的记录是非常重要的。
您迟早会收到某人的数据主体请求,他想知道您是如何处理他们的数据的。当那个时候,你还需要证明你已经获得他们的同意来处理这些数据。如果你不证明它,你会惹上法律的麻烦。
许多在线企业选择廉价的同意书管理解决方案,不保存获得的同意书的记录。这些解决方案,主要是WordPress插件,他们为用户提供一个cookie横幅和一个隐私政策的链接,但仅此而已。如果用户接受你的cookies,他们不会做出反应。他们什么都不记录,所以他们不会让你遵守GDPR。
市场上有很多很好的付费工具,你可以用来进行同意管理。其中包括OneTrust、Secure Privacy、Cookiebot和Iubenda。

9.响应数据主体请求
数据主体是GDPR词汇表中的网站访问者。
1)数据主体的权利
GDPR授予数据主体一套权利。这些权利包括:
了解处理
在你的控制下访问他们的数据
拒绝数据处理
限制处理
更正数据
将他们的数据传输到另一个控制器
删除他们的数据
知道他们的数据已经接受了自动决策,包括分析。
2)提交请求
数据主体,即您的用户,可以通过向您提交数据主体请求来行使这些权利。请求没有规定的格式。它可以是任何信息,从简单的信息,如:“告诉我你从我那里收集了什么数据”或“请删除我所有的数据”,再到正式的请求。
您可以指定提交数据主体请求的方法,例如电子邮件地址或网站上的表单。但是,数据主体没有义务以这种特定的方式发送请求。他们可以用任何方式做这件事,你必须做出回应。
使用某种请求管理解决方案来轻松处理这些请求是一个很好的实践。许多同意书管理提供者还提供数据主体请求管理解决方案,因此它们是一个很好的起点。它们通常带有一个包含所有请求、响应提醒和其他功能的仪表板。
3)响应请求
您必须在收到请求后30天内回复数据主体请求。如果有一个复杂的要求,你方需要大量的工作,你方可以推迟30天交付。让用户知道就行了。
4)确保你对正确的人做出回应
有时您可能需要验证提交请求的人的身份。你不能将包含个人信息的文件发送给任何在互联网上请求它的人,因为它可能会被一些请求他人数据的人滥用。
如果您怀疑这种情况,那么您需要验证提交请求的人的身份。因此,如果电子邮件订阅者希望访问他们的数据,您可能希望通过电子邮件发送代码来验证他们拥有电子邮件地址。或者在处理网站用户的数据时,你可以通过二因素识别或类似的方法来验证他们的身份。
5)未能回应
你可能无法正确地回应,或者根本没有回应。在这两种情况下,数据主体都不会高兴,可能会提交额外的请求,或者直接到数据保护机构启动针对您的程序。
你想要避免法律上的麻烦,所以要确保你以一种让用户满意的方式及时响应用户。

10.数据泄露通知计划
数据泄露并不是每天都会发生的事情,但世界上没有一个在线业务可以避免黑客攻击。微软、Facebook、Twitter,只是少数几个被黑客入侵并有数据泄露的个例。
您可能会遭受两种数据泄露:
你的网站被入侵了
你的任何一个数据处理商被入侵了
不要忘记,您要对您控制的数据负责,即使它是由第三方处理的。你对你的用户负责,你的数据处理商对你负责,但你对用户负责。
在这两种情况下,您都对数据主体负有责任。GDPR要求您:
在得知违规行为后72小时内通知相关数据保护机构(如果您延迟了,您需要对此做出充分解释,并有可能受到处罚)。
如果违反行为对数据主体的权利构成威胁,也应通知他们。一种威胁是泄露个人信息,如社会保险号码、健康数据、性取向和其他数据。在目前的情况下,这些数据可能会造成任何形式的风险。
你可以用你认为合适的任何方式通知数据保护机构和用户,只要它是一段专门用于泄漏的通信。例如,你不能在一份充斥着优惠券和其他营销材料的定期新闻稿中告诉用户这个漏洞。
所以,你可以打个电话给当局,告诉他们发生了什么事。然后他们会引导你完成接下来的过程。有些机构的网站上有数据泄露表格,所以你也可以使用这些表格。
有一点非常重要,在出现泄漏的情况下,最糟糕的事情就是试图隐瞒。记住,并非所有的泄漏都是由于网站所有者的错误造成的,所以最终你可以避免处罚。但如果你对泄漏行为保持沉默,你将无法逃避惩罚。事实上,罚款可能因此而更高。。
为了轻松合规,请确保您已经采取了预防措施,以避免数据泄露,并有一个适当的程序,以应对发生的情况。

11.确保数据传输的合法性
欧盟和GDPR希望所有数据都在欧盟或第三个安全国家内处理。这就是为什么向国外传输数据会变得如此棘手。
您可以根据GDPR第五章中的法律规定向欧盟以外地区传输数据,这意味着基于:
充分性决策。根据GDPR,欧盟委员会有一份被认为能够提供足够级别数据保护水平的国家名单。对于这些国家,欧盟都有一个适当的决定。根据这个决定,你可以自由地将数据传输到这些国家,而不需要询问任何人,就像你在欧盟内部传输数据一样。
标准合同条款(SCCs)。SCC是数据处理协议的一部分的条款。通过它们,数据控制者和数据处理者就保护数据的安全措施达成一致。这是在没有充分性决定的情况下进行数据传输的最常见的法律依据。
具有约束力的公司规则(BCR)。与SCCs相似,但在实践中很少使用。这些规则适用于公司集团——在数据传输方面的联合控制人。
数据主体同意。不言自明。如果数据主体明确同意数据传输,那么你就可以。如果您是非欧盟公司,您可以将其纳入隐私政策,并在获得数据处理许可的同时获得该许可。
合同的履行。如果数据传输是您提供的服务和产品所必需的,您可以传输数据。然而,这是一个不好把握不太可靠的原则,所以最好选择另一个原则。把这个作为最后的手段。
公共利益、数据主体利益、或者数据传输是建立、行使或辩护法律主张所必需的。
话虽如此,大多数国际数据传输将涉及向美国公司传输数据。毕竟,世界上最好的科技公司都是在美国运营的。然而,由于美国的监视法,向美国传输数据还需要额外的安全措施。

二、你可能需要的其他东西
根据业务的具体情况,您可能需要做更多的工作来完全遵守GDPR。以下是您可能还需要的:
 
1.数据处理协议(DPA)
数据控制者可以使用第三方数据处理者的服务来处理他们控制的数据,但只能基于书面指令。这些书面指示通常以数据处理协议的形式出现,或作为服务条款或主协议的数据处理附录。
本协议的内容由GDPR规定。它必须至少包含:
要处理的数据类别
加工的目的
处理的持续时间
数据主体的类别
控制人的权利和义务
数据处理器只会根据书面指令(即DPA)处理数据
处理数据的保密规定
处理数据的安全措施
关于子处理者的规定(如有)
如果需要,处理者将帮助控制者遵守法律
根据控制者的选择,处理者将返回或删除控制器的所有数据
处理者将向控制者提供合规所需的所有信息,包括审计和检查。
当您与第三方数据处理者(如Facebook、Quora、Google、Convertkit等)接洽时,请确保他们根据您的书面指示处理数据。否则,数据处理是非法的,您可能会被罚款。
我们刚才提到的公司都是大型和严肃的数据处理者,它们都有自己的DPA。在大多数情况下,代表其他公司处理数据的SAAS公司会准备好这些协议,要么作为单独的文件,要么作为服务条款或主协议的附录。
然而,一些不太在意数据保护合规性的小公司可能没有这样的协议。那样的话,他们可能会让你陷入法律纠纷。所以,每当您打算使用新的数据处理器者时,一定要先阅读它们的DPA。
如果他们没有,那就由你作为一个数据控制者来制定。毕竟,你有责任向他们提供书面的处理指示。事实上,一些公司有DPA是一个很好的做法,以简化他们的业务,但没有任何法律义务要求这样做。

2.任命DPO或法定代表人
并非所有企业都需要在欧盟拥有数据保护官(DPO)或法律代表。但是,如果你被要求而又不指定,你就有被罚款的风险。
以下业务需要DPO:
处理大量敏感的个人数据
处理需要定期系统监控许多数据主体的个人数据(想想像谷歌和Facebook这样的公司)
对于经常处理大量欧盟用户数据的非欧盟企业,需要在欧盟设立法律代理。

3.数据保护影响评估
数据保护影响评估(DPIA)是对数据处理风险进行评估的过程。它采取一种积极主动的方法处理数据,以减轻与之相关的风险。
对于以下企业,DPIA是强制性的:
处理可能对个人权利和自由造成高风险的数据
执行自动化处理,包括分析
处理大量敏感个人数据
系统地监控公共区域
对其他人来说,DPIA不是强制性的,但却是一种很好的实践。
DPIA将帮助您的业务从数据到达您手中的那一刻起,到您将其交给数据处理者,再到您最后删除数据,都可以帮助您的企业规划出数据流。它将帮助您了解其他人的个人数据如何通过您的手,并让您知道您需要解决的任何合规性差距。
这不是强制性的,但它对任何在线业务很有用。

4.安全措施
作为数据控制者,您有责任保护数据主体的数据的安全。这还包括数据安全措施。
如果在自己的服务器上存储或处理数据,则需要考虑实施数据安全措施。对于大多数中小型企业来说,由于价格的原因,这是无法实现的,市场上有许多负担得起的替代品。这意味着你的数据处理器将存储和处理你的数据。这意味着他们必须实施最好的安全措施来保护您的数据。
AWS、Google、Facebook等公司实施了最先进的安全措施。他们时不时会被黑,但没有什么安全系统是坚不可摧的。他们提供最好的东西。
然而,不要想当然。无论您使用什么工具,请确保检查处理者和子处理者使用的安全措施。毕竟,这关系到用户的数据安全,以及您是否符合GDPR。
 
5.隐私设计
设计隐私是由GDPR引入的一个概念。它意味着实施适当的技术和组织措施来保护数据,即无论你做什么,都要考虑到数据保护。
在实践中,这意味着在以下情况下考虑数据隐私:
决定您的隐私政策
设计新服务
设计新的应用程序或其他产品等等。
你懂的。设计隐私的可能性是无穷的。只要您实现了数据保护的基本GDPR原则,您就很可能通过设计实现隐私。

三、最后的话
GDPR合规性需要努力,但并不难实现。
采取积极主动的方法是很重要的。GDPR不需要补救措施,但需要预防措施。对于小企业来说,实施这些措施并不难,也不昂贵。市场上有一些SAAS解决方案可以让你以每年不到几百美元的价格进行兼容。这对保护用户的数据来说不算多,也不会影响企业的预算。
否则,你可能会触犯法律,陷入财务和声誉方面的麻烦。