GDPR影响谁?
欧盟GDPR不仅适用于欧洲的组织,还适用于任何处理和保存欧洲联盟内个人数据的组织,以及居住在国外的欧盟公民。换句话说,如果你计划拥有来自欧洲的客户,你需要关注这一点。
如果不遵守会发生什么?
GDPR将于2018年5月25日生效。违反规定的处罚是相当严重的。
- 罚款可高达全球年收入的4%或2000万欧元,以较高者为准。
- 个人有权寻求赔偿,包括对个人数据控制权的丧失或权利的限制、歧视、经济损失、声誉损害或受专业保密保护的个人数据的保密性丧失。
- 个人可以选择对数据控制者、处理者或两者提起诉讼,可能还包括供应链中的任何人。
你的选择是什么?
如果你拥有或经营一家电子商务业务,你的选择是有限的。实际上只有两个选择。
选择1 - 接受它(好主意!)
一位朋友曾告诉我:“如果你不知道自己要去哪个方向,你已经迷路了。”我认为这在欧盟GDPR中尤其真实。需要学习的内容很多,还有更多需要澄清的地方。但实现欧盟GDPR的准备工作始于遵守的决定。评估你的情况,识别不合规的领域。然后你可以制定减少责任的策略。
选择2 - 不向欧洲或其公民销售(坏主意!)
如果你不想遵守欧盟GDPR,我们强烈建议你不要计划与任何来自欧洲的人做生意。请记住,那些欧洲个人可能居住在国外。将你的电子商务业务限制在美国边界并不能确保你的合规性。不合规的风险是显著的,可以描述为“因惩罚而痛苦”。不合规是一个选择,但不推荐。
监管的5个关键领域
欧盟GDPR的准备工作涉及熟悉监管的五个关键领域——同意、个人权利、政策和问责制。
1. 合法利益
GDPR法规第6条规定,数据收集者只有在具有合法利益或同意的情况下,才能合法处理数据。确定你是否具有合法利益需要对你所收集的数据的期望和背景进行“仔细评估”。
使用合法利益的广泛解释来克服同意的需要是很诱人的。我们不鼓励将合法利益的开放性视为收集数据的理由。GDPR提供了一些示例,例如处理个人数据以防止欺诈、与员工和客户相关的内部管理目的、确保网络安全,以及报告可能的犯罪行为或对公共安全的威胁。
合法利益仍然存在灰色地带,定义会随着时间的推移而变得更加明显。短期建议是养成问“是否可以在不处理个人数据的情况下实现相同目标?”的习惯。如果答案是肯定的,那么最佳做法是放弃将合法利益作为处理数据的基础;你应该获得同意。
2. 同意
不再有被动同意。你需要说明你将如何使用数据。以下是请求同意的两个示例。
3. 个人权利
根据GDPR,个人有被遗忘的权利。例如,如果他们同意将数据用于营销目的,他们有权要求你“忘记他们”。围绕主题访问、反对处理、数据可携带性和反对分析等新权利已被引入。
4. 政策
法规第13条列出了12个关键领域,你需要用clear的语言而非法律术语告知消费者。制定标准隐私政策,告知客户你如何管理他们的数据。
在隐私政策中,必须有指定的联系人以及你组织的联系信息。
5. 问责制
教育你的员工,并提供工具以帮助推动公司内部的问责制,不仅仅是针对这一法规,还包括你收到的所有个人数据。数据保护是整个组织的责任。任何接触数据的人都需要了解其影响和不合规的处罚。
Zonos,跨境电子商务技术的领导者,将继续引领并指导商家应对将其产品销售到全球的挑战。我们将继续提供常见问题解答和文档示例,展示你可以采用的内部隐私政策和流程。我们将分享内部培训文件,供你与团队使用。Zonos非常重视数据隐私,并致力于欧盟GDPR的准备工作。更多详细信息将定期发布。
为什么你应该关心GDPR?
在电子商务中,无论你在哪里都能看到有人在讨欧盟GDPR或欧洲联盟通用数据保护条例。信息种类繁多,从技术文章到社交媒体上的猜测。我们都想知道这将如何影响我们。我需要做出哪些变化(如果有的话)?这到底意味着什么?
在本文中,我们将快速了解欧盟GDPR——它是什么,我们如何准备,以及它可能对在线业务的影响。