如果您的企业为欧盟客户提供服务,那么您可能听说过《通用数据保护条例》(GDPR)。这部厚重的法律法规规定了在欧盟境内运营的任何企业的数据保护原则,不遵守规定将被视为严重违法行为。
事实上,违反 GDPR 可能会使企业损失高达 1000万至 2000 万欧元的法律费用。
那么,GDPR 到底是什么?您如何确保您的业务符合 GDPR 规定?请继续阅读此博客文章以了解更多信息!
GDPR 基础知识
GDPR 合规的关键在于透明度和责任感。除了了解您(作为企业)有责任保护从客户收集的任何数据之外,您还必须承认,如果出现问题,您将承担责任。
如果您使用客户数据来分析网站活动、电话号码数据 建立客户档案或投放定向广告,那么您就是数据控制者。同样,处理个人数据的任何人(无论是内部团队还是外包营销公司)都是您的数据处理者。
更重要的是,双方都有责任告知客户并行使自己的权利。
GDPR 下欧盟公民的权利
根据《通用数据保护条例》,电子商务公司如何 每个欧盟客户都拥有六项基本权利。对于对法律感兴趣的人,我还列出了每项权利在GDPR 原文中的相关位置。
- 获取信息(第 3 章第 2 节第 15 条)
- 数据可移植性(第 3 章第 3 节第 20 法案)
- 删除(第 3 章第 3 节第 20 条)
- 投诉(第8章第77条)
- 异议(第 3 章,第 21-22 条)
- 纠正(第 3 章第 3 节第 16 幕)
如果这些想法现在没有意义,没关系!我稍后会深入探讨它们。目前,我们还需要介绍一些基础知识。
此外,我再强调一下,GDPR 中还有许多其他数据保护措施。这六项权利是最低限度的,如果你不确定,值得聘请专家来仔细检查你的营销。
谁负责执行 GDPR?
虽然数据处理者和数据控制者有责任维护 GDPR 的高安全标准,但欧盟也建立了一套复杂的执法系统。大部分执法工作都围绕着一名数据保护官展开,该官员负责监控和报告企业的 GDPR 合规情况。
这一切都受到欧洲数据保护委员会的监督,但这是一个完全不同的故事!
访问企业收集的数据的权利
了解了基础知识后,让我们深入了解 GDPR 的基本内容。
理解这本厚厚的书绝非易事,但其最基本的原则可以分解为六项不可剥夺的权利之一。为了开始这篇博文,我将从第 15 条明确规定的访问权开始。
什么是个人数据?
在数据处理和营销领域,数据的形式多种多样。一般的营销人员会发现任何一个人身上都有几十个数据点,但根据 GDPR,只有其中一部分信息被视为“个人数据”。
确切地说,GDPR 将个人数据定义为“与已识别或可识别的自然人(“数据主体”)相关的任何事物”。此类数据的示例包括:
- 生物特征数据(例如面部数据或指纹)(第 1 章第 4 条第 14 款)
- 数字识别信息(例如浏览器历史记录和搜索历史记录)
- 遗传数据(第 1 章第 4 条第 13 款)
- 识别号码
- 姓名,包括全名和部分姓名(第 1 章第 4 条第 3 款)
- 与客户身体、社会或经济状况有关的敏感个人数据(第 1 章第 4 条第 1 款)
任何使用此类信息的数据处理活动也被视为个人数据,此类“分析”的结果应根据要求提供给消费者。除了基本信息外,GDPR 将以下任何推断信息定义为私人和个人数据(根据第 1 章第 4 条第 4 款):
- 经济形势
- 兴趣、爱好和个人喜好
- 地理位置或“运动”
- 个人健康
- 专业表现
许多企业使用假名数据来保护此类信息,从而将数据与个人脱钩。然而,这并不意味着这些信息无需遵守 GDPR。因此,除非这些信息与个人的个人资料真正完全脱钩,否则消费者应该可以访问这些信息。
访问权是什么意思?
就法律义务而言,GDPR 的访问权规定,数据处理者和数据控制者均有权根据请求向数据主体提供其个人身份信息。此类请求可以随时以任何理由提出,并且必须遵守。
当消费者请求访问其数据时,企业必须向他们提供一份详细的数据清单,其中包括:
- 品牌数据保护官的联系信息
- 收集的信息的类别或类型
- 任何相关第三方数据处理者的信息
- 数据是否由人工智能处理
- 收集和处理个人数据的原因
企业收到这些请求后,通常有一个月的时间来执行,并且应告知客户任何延误。根据客户的要求,信息应以数字或物理方式传递。
企业可以拒绝提供信息吗?
在某些情况下,企业可以拒绝客户的信息请求。根据欧盟的数据保护法,不具备所要求信息的企业可以拒绝满足请求。但是,企业承担举证责任,拒绝请求可能会导致未来出现问题。
数据可携权
与访问权非常相似,数据可携权(第 3 章第 15 条概述)赋予客户离线管理和控制自己数据的能力。换句话说,消费者应该能够下载他们的数据并在个人设备上查看。
数据下载后,消费者可以随意使用。在某些情况下,他们甚至可能将信息转移到竞争平台。
因此,消费者可以要求将他们的数据直接传输给不同的数据控制者,并且必须及时、公正地满足这一请求。
删除权
客户还可以随时行使删除权(或“被遗忘权”),这意味着他们可以要求删除所有非必要数据。此外,用户可以在此过程中请求其数据的副本。
这项权利相当标准,世界各地的隐私和数据保护法中都有相关例子。那么,让我们进入下一个话题吧!
投诉权
顾名思义,这项权利定义了消费者对企业提出投诉的能力。当发生这种情况时,必须通知投诉的数据主体(或数据主体)其投诉已收到并提交。
再次强调,这是一条简单的规则。为了节省时间,我不会深入探讨技术细节。相反,我会快速进入下一个步骤。
反对权
这是“大事件”之一!
欧洲的数据隐私法非常广泛,而且法规执行严格。避免昂贵的惩罚绝非易事,但了解基本知识可以帮助您遵守法律。
异议权是一种花哨的说法,即客户可以随时以任何理由拒绝提供任何非必要数据。事实上,他们可以毫无理由地拒绝访问他们的数据!
一旦消费者对某一类数据提出异议,企业就不能再收集该信息。而且,企业也不能利用该信息进行任何数据处理。
这项权利与每位客户提出投诉的权利重叠。同样,客户可以随时以任何(正当)理由提出投诉。同样,客户有权随时以任何理由更正错误信息!
如何处理通用数据保护条例合规问题
至此,显而易见,遵守 GDPR很难!有这么多变动的部分,你(作为数据控制者和保护者)很容易忘记一些事情。
此外,您不能将责任推给其他人。如果您的数据处理者不遵守规定,您也将不遵守规定。数据保护规则适用于每个相关方,您有责任确保采取适当的数据保护措施。
你不能拒绝请求
除非您能明确证明您没有这些数据,否则您可以根据要求交出您拥有的任何信息。该规则的唯一例外(第 2 章第 12(5) 节给出)是当特定客户向公司提出过多且繁重的投诉时。同样,证明他们这样做不是数据主体的工作。企业应跟踪他们的请求并记录任何奇怪或不稳定的信息请求。
并且——即使您确实拒绝了请求——您也必须发出拒绝通知,以便客户可以对您的公司提出投诉。
你必须告诉用户他们注册了什么
避免法律报复的最佳方法之一是进行数据保护影响评估。这些分析工作概述在第 4 章第 3 节第 35 条中。
当一家公司接受影响评估时,电子邮件线索 数据保护官会审查该公司收集的所有数据的清单。每一点数据也将与一个目的挂钩,欧洲的数据保护规则允许政府以无意义或侵入性的理由拒绝收集数据。
数据影响评估是常规程序,但对许多小型企业来说并非必需。如果您的公司不处理大量个人数据或存储和处理可归类为有害的数据,那么您就不需要进行影响评估。
但是,如果放弃数据影响评估,您的企业就有责任发布自己的数据保护信息。换句话说,您现在要承担举证责任,并且必须自己制作影响声明。
什么是数据影响声明?
显然,您希望遵守 GDPR 规定。这意味着您需要一份数据影响声明。
这些在线文件必须包括……
首先,我要说的是,合规影响声明将包含大量信息,所以请耐心阅读这份清单。如果您准备好了,现在是时候开始做笔记了!
那么,品牌需要发布什么内容才能符合 GDPR 规定?清单如下:
- 对消费者风险的正式评估
- 收集的数据类型列表
- 每个数据控制者和数据处理者的联系信息
- 贵公司为保护用户数据所采取的措施
- 针对任何可能的数据泄露制定计划
- 关于每个客户同意收集数据的权利、责任和风险的声明
- 收集每种类型数据的原因
所有这些信息都必须以清晰明了的语言提供。用华丽的莎士比亚散文来掩饰你的意图似乎是一个不错的想法,但这却是极其违法的。
考虑聘请专家
需要吸收的信息太多了,而我只是触及了表面。
GDPR 是一份冗长的法律文件,理解每一项法律义务不仅仅是一件苦差事,而是一项艰巨的任务!大多数品牌(尤其是小型企业)没有时间处理所有事情。但是,如果您仍想发展,并且计划打入利润丰厚的欧洲经济区,则需要了解 GDPR。
那么,你该怎么做?
如果您很聪明,请聘请专家!在 The Email Marketers,我的专业团队了解法律事务的来龙去脉。电子邮件列表 我们可以策划令人惊叹的活动,而无需诉诸卑鄙的手段,而且我们绝不会让您的数据主体觉得自己不如他们尊贵的客户!
给我打电话!大胆尝试,我们将讨论营销专家团队如何帮助您的业务拓展。您还可以在我的博客上查看更多营销技巧。
(本网站所含信息仅供参考,不应被视为任何主题的法律建议。)