我们如何管理 GDPR
欧盟 GDPR 是一项全面的隐私法规,于 2018 年 5 月 25 日实施。我们在技术中进行了更新,不仅管理 GDPR 计划,还将超越欧盟边界,以确保所有使用 Zonos 的人的隐私关注。
Zonos 提供行业领先的隐私技术,以确保购物者和商家对其数据和流程拥有控制权,符合欧盟 GDPR 的框架。
Zonos 对您业务的目标继续是:
- 帮助您解码跨境。
- 让您控制全球供应链。
- 为您的国际买家提供安全和出色的体验。
关键 GDPR 指令项目
罚款
因违反 GDPR 而处以的罚款可达年全球营业额的 4% 或 2000 万欧元。这是对最严重违规行为可以施加的最高罚款,例如未获得足够的客户同意以处理数据或违反“隐私设计”概念的核心。
个人数据定义
个人数据是指任何可以直接或间接识别个人的信息,例如姓名、照片、电子邮件地址、银行详细信息、社交网络网站上的帖子、医疗信息或计算机 IP 地址。
同意
同意必须以易于理解和易于获取的形式给予,并附有数据处理目的。它必须明确、易于识别,并使用 clear 和易于理解的语言。撤回同意的难易程度应与给予同意相同。在处理敏感个人数据时,只有“选择加入”才足够。
如果数据主体未满 16 岁,则需要父母同意才能处理该儿童的个人数据。成员国可以降低父母同意的年龄,但不得低于 13 岁。
数据保护官 (DPOs)
在以下情况下必须任命 DPO:(a)公共机构,(b)从事大规模或大数据系统监控的组织,或(c)参与敏感个人数据的大规模处理的组织(第 37 条)。如果您的组织不属于这些类别,则不需要任命 DPO。
数据主体的权利
违规通知
根据 GDPR,违规通知将在所有成员国成为强制性要求,当数据泄露可能“对个人的权利和自由造成风险”时。通知必须在意识到违规后的 72 小时内进行。数据处理者还需在首次意识到数据泄露后“毫不延迟”地通知控制者。
访问权
数据主体有权从数据控制者那里获得确认,确认是否处理了与他们相关的个人数据,在哪里处理,以及处理的目的。数据控制者应免费提供一份个人数据的副本,以电子格式提供。
被遗忘权
被称为数据删除,被遗忘权使数据主体有权要求数据控制者删除其个人数据,停止进一步传播数据,并可能要求第三方停止处理数据。数据必须不再与处理的原始目的相关,或数据主体撤回同意。还应注意,这一权利要求控制者在考虑此类请求时将主体的权利与“数据可用性的公共利益”进行比较。
数据可携带性
数据主体可以接收与他们相关的个人数据,这些数据是他们之前以“常用和机器可读格式”提供的,并有权将这些数据传输给另一个控制者。
隐私设计
数据隐私必须是控制者和处理者用来管理数据主体信息的技术系统的核心,而不仅仅是附加功能。
数据主体信息
在收集数据时,必须向数据主体提供的信息已被明确规定,包括:
- 控制者和 DPO 的身份和联系信息
- 处理的目的,个人数据的用途
- 处理的法律依据
- 如适用,控制者或第三方追求的合法利益
- 如适用,个人数据的接收者或接收者类别
- 个人数据将被存储的期限,或如果无法确定,则用于确定该期限的标准
- 存在访问、纠正或删除个人数据的权利
- 数据可携带权
- 随时撤回同意的权利
- 向监督机构提出投诉的权利
重要的是,如果数据不是直接从数据主体处获得(可能使用第三方列表),则列表会有所不同,包括个人数据的来源:
- 存在任何剖析和有关所涉及逻辑的有意义信息,以及此类处理对数据主体的意义和预期后果。
- GDPR 对于从第三方列表获取数据的营销人员来说,代表了一个重大问题。
合法利益
GDPR 第 6 条规定,数据收集者只有在拥有合法利益或同意的情况下,才能合法处理数据。确定您是否拥有合法利益需要对您收集的数据的期望和背景进行“仔细评估”。
使用合法利益的广泛解释来克服同意的需求是很有诱惑力的。我们不鼓励将合法利益的开放性视为收集数据的理由。GDPR 提供了一些示例,例如处理个人数据以防止欺诈、与员工和客户相关的内部管理目的、网络安全以及报告可能的犯罪活动或对公共安全的威胁。
合法利益仍然存在灰色地带,定义将随着时间的推移而变得更加明确。短期建议是养成问“是否可以在不处理个人数据的情况下实现相同目标?”的习惯。如果答案是肯定的,那么最佳做法是放弃将合法利益作为处理数据的基础;您应获得同意。
建议
Zonos 建议遵循以下内容以符合欧盟的 GDPR:
遵守GDPR的步骤
- 制定一个积极的计划以确保您的GDPR合规性。
- 审查隐私通知和政策,确保它们符合GDPR合规标准。
- 准备一个应对安全漏洞的计划。
- 审计您的同意。
- 使营销同意为选择加入。
- 与您的法律顾问审查指令的合法利益部分,以确保它涵盖您组织使用购买者数据以处理和管理该订单的情况。
- 使您的同意语言易于查找和阅读,关于个人数据的使用。
- 为数据主体向您组织提出的数据使用请求创建行动计划。
- 对您的合规性负责。
- 培训您的员工。
- 确保有clear的流程,书面记录并进行审计。
- 在需要时任命数据保护官(DPO)。
- 确保您的控制者/处理合作伙伴符合规定。
常见问题解答
这对谁有影响?
GDPR适用于位于欧盟内外的组织、控制者和处理者,他们向欧盟数据主体提供商品或服务。GDPR还适用于组织,例如营销组织或那些提供或使用监控欧盟主体行为的数据的组织。
控制者和处理者之间有什么区别?
控制者确定处理个人数据的目的、条件和方式,而处理者代表控制者处理个人数据。
欧盟 GDPR
了解 Zonos 如何管理欧盟 GDPR 计划。数据保护在日常业务中变得至关重要。尽管通用数据保护条例(GDPR)计划并不是市场上第一个隐私计划,但迄今为止,它已成为理解和管理个人数据及其数据权利的最重要推动力。
为了引起关注,欧盟允许其成员国施加罚款,最高可达年全球营业额的 4% 或 2000 万欧元,因违反 GDPR 而处以罚款。该指令还表达了希望实现便利和“一站式服务”的愿望。