什么是 GDPR,为什么它对跟踪团队很重要?
5 月 25 日,欧盟《通用数据保护条例》(GDPR)将正式生效。在欧盟(EU)国家收集或处理个人数据的公司,甚至是欧盟以外的公司,都需要遵守一套新的数据收集和隐私保护规则。
与许多收集敏感个人信息的实体一样,ImmigrationTracker和Tracker I-9 Compliance的幕后团队已经为这一转变准备了很长时间。遵守 GDPR 促使我们检查了许多核心流程,最终促使我们对数据收集、存储和使用系统进行了相应的改进。
什么是 GDPR?
GDPR 是一套全面的规则和法规,对个人数据的收集、使用和保留进行规范。它是经过多年谈判后制定的,以取代 1995 年颁布的《数据保护指令》。根据欧洲议会的说法,这一变化的原因是 "在一个日益数据化的世界中,保护所有欧盟公民的隐私和数据不被侵犯,这与 1995 年指令制定的时代大不相同"。
由于这项新法规旨在使欧盟 28 个成员国保持一致,企业将有一个标准可以遵循,这与之前混乱而复杂的指令相比是一项重大改进。
虽然 GDPR 概述了许多法规--有些是全新的,有些已更新为包含更具体的语言--但管理 PII 的公司正在密切关注以下主要变化:
- 更广泛的个人数据定义:GDPR 扩展了个人数据 (PII) 的定义,使其包括设备 ID(包括广告 ID)、IP 地址或存在于用户层面的任何其他字符串或数字。
- 更严格的 "同意 "标准:最终用户同意公司收集数据是 GDPR 及其姊妹法规 ePrivacy 指令(通常被称为 "Cookie 法")的关键原则。最终用户必须被告知正在收集哪些数据以及与谁共享这些数据,他们必须能够同意(同意)使用他们的数据。这种同意必须清晰明确(不能隐藏在隐私政策或使用条款中)。
- 更广泛的最终用户数据权利:最终用户(或 GDPR 术语中的 "数据主体")将对其数据拥有更广泛的权利,包括知道其数据何时被处理的权利、纠正或更正任何不准确的个人数据的权利,以及应要求 "擦除 "或删除所有数据的权利。
- 数据保护原则:是的,原则。这包括最小化原则(只收集您需要的数据)、目的限制原则(只为特定目的使用数据)和存储限制原则(只在必要时保留数据),这是 Tracker 的 I-9 和 ImmigrationTracker 团队所熟悉的概念。
那么惩罚是什么?
不遵守 GDPR 的企业将面临高达全球年收入 4% 或 2,000 万欧元(2,450 万美元)的罚款,以金额较高者为准。对于大多数公司来说,这可不是一笔小数目。
GDPR 对我们的解决方案有何影响?
GDPR 适用于欧洲经济区所有 "个人数据 "的收集、使用和披露,并确保收集个人数据的任何一方都是根据法律批准的理由之一进行收集的。 根据 GDPR 的定义,个人数据包括与已识别或可识别的最终用户有关的所有数据,其中包括姓名、电话号码等个人可识别信息。
我们是所收集和处理的个人数据的 独立控制者。 因此,我们正在积极努力,确保在 2018 年 5 月 25 日生效日期之前做好 GDPR 准备。
Tracker 是否在国际范围内传输数据?
我们管理两条产品线,每条产品线都有非常独立的数据管理系统--Tracker I-9 Compliance 和 ImmigrationTracker。
我们的总部位于美国,但可能为欧洲经济区的客户提供服务。因此,我们可能会在美国的服务器和设施上处理来自欧洲经济区的个人数据。
Tracker 团队如何遵守 GDPR?
我们正在采取必要的措施,以确保在 2018 年 5 月 25 日截止日期前遵守并准备就绪 GDPR。 其中一些措施包括
- 数据最小化--建立机制,只收集需要的数据。
- 数据保留 --在我们的所有系统中实施最大限度的数据保留计划,以便我们定期删除或匿名处理不必要的数据。
- 同意 --与出版商合作,获取并记录与电子隐私指令或 "Cookie 法 "相关的 GDPR 级同意。
- 国际数据传输 - 完成欧盟-美国隐私保护认证。
- 个人用户权利 --正式确定数据主体权利的相关流程,确保 Tracker 能够在 GDPR 规定的时限内做出全面回应。
- 透明度--更新隐私声明和内部政策,以符合 GDPR。
- 合作伙伴和供应商协议- 更新与第三方次级处理商的现有安排,以确保符合 GDPR,并审查新的次级处理商。
- 安全--确保持续使用适当的安全措施,保护在我们拥有或管理的系统上收集和处理的任何数据。
有用的资源?欧盟委员会第 29 条工作组关于同意的指导原则。
