歐盟的“通用數據保護條例”(GDPR,General Data Protection Regulation)於2018年5月25日生效,而好多企業對GDPR並不十分了解。就目前看來,行業對於這項條例的觀念仍有不當之處。儘管企業爲GDPR的做了大量準備工作,才能合規,但是許多人還在拖拖拉拉。
數十年來,歐洲一直是隱私和數據保護問題的先行者。隨着通用數據保護條例(GDPR)全面隱私法的生效,歐盟(EU)又開創了新局面。如果你的企業有收集,存儲或使用有關歐洲居民的個人信息,那麼GDPR可能會對你的業務流程產生深遠影響。
一、什麼是GDPR?
經過四年多的協商,2016年4月歐洲議會和歐洲理事會通過GDPR。這項條例賦予歐盟公民更多的個人數據控制權,另外對那些收集、處理和存儲個人數據的公司提出更高的責任要求,特別是數據泄露。
從2016年5月開始,除非有明確的法律依據,否則企業將不再被允許收集或處理一個歐洲公民的消費者數據,例如獲得公民自願給予和“明確的”同意。 如果沒有提供適當通知或管理辦法,公司也將被禁止使用以前收集的數據。
GDPR取代了1995年數據保護指令的條例,將使28個歐盟及歐洲經濟共同體成員國的隱私保護法,更具有一致性和現代性。根據1995年指令,每個成員國都制定了自己的數據保護規則,這導致了在歐盟開展業務的公司監管環境和合規不一致的難題。
GDPR的大部分內容實際上並不新鮮,因爲包含了“數據保護指令”中既存的理念。 但GDPR確實引入了一些新的概念,包括針對不合規對象的鉅額罰款和增強的數據主體權利。這對任何在歐盟開展業務的公司或任何在其數據庫中存有歐盟公民個人數據的公司都具有約束力。
1、以下是相關的GDPR的術語,可以幫我們更好的理解文章中的概念:
數據主題:可以通過姓名,位置數據,在線標識符(如用戶名)或其身份,遺傳或其他身份等信息直接或間接識別的“自然人”。例:Marie Dubois
個人數據:任何與識別或可識別數據主題有關的信息。例:女性。 年齡48. Ph#:33 1 7210 940.地址:99 Place de l'Étoile,75008 Paris,France。 喜歡帽子。 每天在線閱讀。
敏感個人數據:有關種族或族裔出身,政治觀點,宗教或哲學信仰,工會會員資格,有關健康,性生活和性取向的信息以及遺傳或生物識別數據的個人數據。例:恩馬爾凱成員! 派對。天主教徒。 去年打破了腿。 指紋和視網膜掃描的副本。
處理:任何對個人數據或與個人數據有關的事情。例:收集,存儲,傳輸,共享,修改,使用或刪除個人數據。
數據控制方:確定個人數據處理目的和手段的實體。例:Grande Banque du Nord是一家向瑪麗提供抵押貸款以購買房屋的金融機構。 當瑪麗首次在大銀行的網站上註冊以獲得更多關於抵押貸款的信息時,大銀行成爲瑪麗提供的個人數據的控制者。
數據處理方:根據數據控制方的指令處理個人數據的實體。例:Grande Banque將她的數據上傳到Sales Cloud對象上時,Salesforce成爲Marie個人數據的處理方。
假名數據:不能與特定數據主體綁定的個人數據,沒有單獨存儲的附加信息,採用技術措施確保數據不與該附加信息相結合。例:當Marie訪問Community Cloud上託管的Grande Banque網站社區以瞭解有關抵押貸款流程的更多信息時,系統會以散列形式記錄她的IP地址並將其鏈接到Marie查看的頁面。 散列IP地址被視爲假名數據,因爲儘管散列IP地址本身並不能識別Marie,但仍可以將其與其他與Marie相關的信息關聯起來。
匿名數據:無法連接到已識別或可識別的人員的數據。例:Grande Banque網站要求人們留下評論。 該系統不收集來自評論者的任何信息 - 甚至不包括IP地址。 評論本身可以被認爲是匿名的。
公正和透明:企業必須始終合法,公正,透明地處理個人數據。例:當Grande Banque du Nord要求Marie Dubois在其網站上註冊爲客時,Grande Banque必須明確通知Marie,該銀行及其網站在收集她的哪些具體信息以及該銀行未來如何使用該信息。 例如,如果Grande Banque追蹤Marie的網站使用情況,Grande Banque必須在隱私聲明中描述它們會追蹤Marie的網站使用情況。
目的限制:企業可以收集個人數據僅用於指定的,明確的和合法的目的。 他們不能以與這些目的不相符的方式對人數據進一步處理。例:當Grande Banque要求Marie 註冊爲客戶時,銀行必須通知她將會如何處理她的個人數據。 Grande Banque必須僅將Marie的個人數據用於該通知中描述的目的。 例如,如果隱私聲明沒有聲明Grande Banque與搬家公司共享個人數據,則Grande Banque不得將其信息賣給給尋找新客戶的住宅搬家公司。
數據最小化:組織只收集足夠的,相關的個人數據,並且僅限於預定目的所需的個人數據。例:當Marie在Grande Banque移動應用上下載並設置賬戶時,Grande Banque只能收集與Marie服務相關的信息。 該應用不得記錄她的確切位置,訪問手機上的聯繫人,或收集手機上其他應用的信息。 Grande Banque不得要求Marie提供與抵押貸款流程無關的信息,例如她的宗教信仰或種族信息。
準確性:個人數據必須準確,並在必要時保持最新。例:當Marie填寫格蘭特銀行的詳細表格以準備購買新的房子時,她提供了她目前的薪水。 然而,當她在工作中獲得晉升和加薪時,她會與Grande Banque聯繫。 Grande Banque必須更新其記錄以反映她最新的薪水。
數據刪除:個人資料只有在需要實現收集的最初目的時才能保留。例:Marie發現另一家銀行PetitCréditdu Sud提供了低得多的利率。 Marie決定從Grande Banque轉到PetitCrédit,她告訴Grande Banque她正在終止他們的關係。在沒有合法理由保留的情況下, Grande Banque必須刪除Marie的所有個人數據; 例如Marie收入,儲蓄賬戶和債務的信息。
安全:企業必須使用適當的技術和組織安全措施來保護個人數據免遭未經授權的處理和意外泄露,訪問,丟失,破壞或更改。 根據具體的使用情況和處理的個人數據,建議使用數據隔離,加密,假名和匿名處理,並在某些情況下需要提供保護個人數據的幫助。例:作爲抵押申請程序的其中一步,PetitCrédit要求Marie在其網站上填寫一份表格,要求提供詳細和敏感的個人信息。 PetitCrédit必須確保表單在安全的網頁上,並且數據在傳輸過程中進行了加密。 當PetitCrédit將這些數據存儲在其Salesforce實例中時,它必須確保只有那些有合法需求訪問數據的PetitCrédit員工纔有權限訪問該數據。
問責制:數據控制方負責整個策略的實施以確保企業控制的個人數據按照GDPR原則處理。這包括指定數據保護官員,數據處理者受到合同條款約束,並使用“隱私設計”和“默認隱私”原則。此外,數據控制方必須能夠證明合規性,包括保存處理記錄活動和進行隱私影響評估等。例:爲了將Marie的個人數據放入PetitCrédit的Salesforce實例中,該銀行必須確保其與Salesforce簽署書面協議允許處理個人數據處理,例如數據處理附錄。 PetitCrédit還必須記錄銀行如何以及爲何收集Marie的信息,收集哪些類型的信息,與誰共享數據,以及保護數據的安全性。
2、以下是組織可以使用的三種方法將隱私原則運用到他們的文化中:
隱私設計:當企業規劃新的處理活動或開發或實施新產品,服務或功能時,他們必須設計符合GDPR原則的活動和產品,以確保他們採取適當的保護措施以保護隱私。
默認隱私:這是企業在收集,處理或存儲數據時必須始終使用最“私密性”默認設置的思路。 例如,當給予個人對他們的數據處理數量的選擇時,默認設置應該始終是處理量最少的選擇。 選擇保留期限時,默認值必須儘可能短。
數據保護的影響評估:分析新的處理活動以識別和解決隱私風險。
二、GDPR有什麼新東西?
1、個人數據:以前的隱私制度將個人數據定義爲姓名、照片、電子郵件地址、電話號碼、實際地址或個人證件號碼、銀行帳號或社保卡號。但GDPR擴大了定義,時期包括“已識別”(identified)和“可識別”(identifiable)的數據信息。這意味着個人數據指的是任何可用於識別個人的信息,包括位置數據、移動設備ID以及某些情況下的IP地址。(生物特徵數據和遺傳數據被認爲是“敏感的個人數據”)
匿名數據是一種潛在的合規性信息,即經過散列、加密或以某種技術方法進行匿名處理的個人數據。 通過將其與附加數據相結合後重新定位識別的數據也被視爲個人數據。如下類型的隱私數據將受到GDPR保護:
• 基本的身份信息,如姓名、地址和證件號碼等;
• 網絡數據,如位置、IP地址、Cookie數據和RFID標籤等;
• 醫療保健和遺傳數據;
• 生物識別數據,如指紋、虹膜等;
• 種族或民族數據;
• 政治觀點;
• 性取向。
2、個人權利:GDPR授予數據主體關於控制方如何處理其數據的一些權利。 這些權利要求數據控制方制定適當的系統來回應並有效處理數據主體的要求。目前數據主體享有的個人權利有:
數據訪問:數據主體有權向數據控制方確認企業是否正在處理他們的個人數據。如果是,控制方必須向數據主體提供有關此類處理的信息,包括處理的具體數據,處理目的以及與其共享此類數據的其他方。
對象權:在某些情況下,數據主體可以隨時反對處理他們的個人數據,特別是如果處理是出於直接營銷目的。
數據整改:如果數據不準確或不完整,數據主體可要求控制方更正或完善個人數據。
處理限制:數據主體可以要求控制方停止訪問和修改其個人數據。例如,控制方可以標記或使用技術手段來確保這些數據不會被任何一方進一步處理。
數據可移植性:在某些情況下,數據主體有權要求控制方以結構化,常用和機器可讀的格式(例如.csv文件)提供其個人數據,以便他們可以將自己的個人數據數據發送給其他公司。
刪除權:也稱爲“被遺忘權”,該權利授權數據主體請求數據控制方在下列情況下刪除或移除其個人數據:當數據不再用於原始目的時,當數據主題撤回數據使用權時,或當數據主體反對處理方式時。
GDPR通過要求數據管理員採取合理步驟,確保參與數據共享的第三方刪除,擴大了被刪除的權利,也被稱爲被遺忘的權利。數據當事人也享有在多個平臺數據不自動打通的權利,以及根據要求以電子形式免費獲得經處理的個人數據副本的權利,包括這些數據被用於何處,以及使用數據的目的。
3、記錄保存要求:數據管理員和任何外包商必須保存其數據處理活動的書面記錄,包括他們處理數據的原因以及他們計劃保存數據的時間。 此信息必須根據要求提供給數據保護機構。
4、問責原則:雖然GDPR並沒有詳細說明問責制,但數據控制者必須清楚地記錄他們所採取的所有行動。GDPR稱之爲“通過設計和默認的數據保護”。如果監管機構要求提供合規證明,公司必須能夠提供。
5、數據保護官員(DPO):GDPR規定擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定數據保護官DPO。這根據他們是否處理敏感數據的情況而定,擁有少於250名員工的組織可能也需要指定DPO。那麼,如果你的公司內已經存在了一個發揮類似作用的人員,能夠確保PII安全是最好的。否則,你將需要重新聘請一名DPO。根據企業自身的情況,DPO可以不要求一定是全職,在這種情況下,企業就可以選擇一名兼職DPO人員。加上GDPR新規允許一名DPO同時爲多個企業工作,所以聘請一名兼職DPO人員將是一個很好的選擇。
目前,根據GDPR如何廣泛地解釋“系統地監督或處理”仍然是一個懸而未決的問題。DPO旨在幫助企業遵守GDPR,直接向企業CXO彙報,同時保持完全自主性。
6、更大的罰款:每一單GDPR違規行爲將受到高達2000萬歐元的嚴重處罰,或者上一年全球年營業額的4%,以較高者爲準。
監管部門在設定罰款時可以考慮減輕因素,比如,儘快改正或是舉報違規行爲的企業可以受到稍微輕點的處罰。
無論如何,這些罰款意味着小公司巨大災難,“這不是開玩笑的情。”Todd Ruback說。
“要麼他們會倒閉,要麼就會被吞併。” 他表示,“我們將最終形成一個更清潔的生態系統,但也會減少競爭。Facebook和谷歌受到歐盟委員會嚴格的審查,除非有意外發生否則他們難以倖免”
三、違規通知
而對於企業來說,其中最具挑戰性的合規要求應該是,公司必須在發現違規事件的72小時內,向監管當局和受到違規事件影響的個人通報數據違規行爲。執行影響評估的另一個要求是,通過識別漏洞以及制定漏洞解決方案來幫助減輕漏洞導致的安全風險。
四、數據控制方與數據處理方
GDPR爲數據控制方和數據處理方建立了不同的規則。數據控制方決定爲什麼以及如何處理個人數據,並被要求建立處理數據的法律依據。條例規定數據處理方“代表控制方處理個人數據”。處理方必須合法和負責任地進行處理,控制方必須確保處理方做着合規的工作。
雖然對控制方的規則更爲嚴格,但控制方和處理方都處於GDPR之下。與以前的隱私制度不同,數據處理方如果不遵守條例,可能要承擔重大處罰。
五、合法理由
如果公司有法律依據,則可以處理數據。 例如,保險公司必須處理客戶數據才能執行合同條款。 銀行必須處理數據以遵守法律。但我們應該知道兩個法律基礎:合法權益和許可。
1、合法權益
能夠證明“合法利益”的公司在某些情況下可以在未經同意的情況下合法處理個人數據:數據是合法收集的,有正當理由去使用數據以及數據處理的過程也是合規的。
要獲得合法權益,數據控制方需要進行一個稱爲“平衡測試”。這個測試將數據控制方的利益與數據當事人的權利進行權衡,其中包括數據當事人對數據處理方式的合理期望是怎樣的,以及控制方是否有正確的保障措施。
合法權益的例子包括預防犯罪、欺詐檢測、網絡安全,以及進行員工背景調查等。 “直效營銷”在GDPR中也被認爲特殊的對個人數據的合法使用,但也有一定的注意事項。
只要控制方確保用戶可以有隨時選擇不參與(opt-out)的權利,那麼個性化的溝通、彙總分析以創建趨勢報告,受衆測量在GDPR下都可行。
2、許可
許可一直是歐洲隱私法的基石,但GDPR大大提高了這個標準。
決定如何使用個人數據的數據控制方,必須得到他們計劃使用數據的目的“明確的”許可。換句話說,如果一家企業不被許可做一件事,那它也不能使用這些數據來做其他事情。
許可必須是自願以及明確的
選擇退出模式(或者說,預選框的形式)不會消失。當網站在加載頁面的同時,加載追蹤cookie,務必通知訪客,該網站會使用cookie。(通常是以彈出窗口的形式)。在用戶同意啓用cookie之前需要有一個屏蔽頁屏蔽該網頁內容。
底線是消費者對行爲必須是肯定的和知曉的。英國、法國和德國的數據保護機構都同意,消費者可以通過在網站上勾選一個框來表示同意處理,但是只有在事先他們已經被用簡單明瞭語言的通知告知了的情況下才能表示同意處理。
不是每個人都相信中間商能在GDPR下蓬勃發展。網站數據管理軟件Tealium首席技術官兼創始人Mike Anderson說:“第三方生態系統不會在GDPR世界中佔據一席之地。 GDPR是關於第一方關係的。”
六、當有問題時誰負責?
營銷者和媒體方可能會對第三方犯下的錯誤負責,這意味着他們將更加挑剔與誰合作。GDPR因此促進了盡職調查和供應商管理的重要性。
許可不是GDPR合規的“萬金油”。得到它後,“你必須確保供應鏈中沒有人會濫用你所分享的數據以至於使你面臨法律風險。”Johnny Ryan認爲。
然而,對那些在問責制問題上充耳不聞的公司來說,未來還是有希望的。
Forrester公司副總裁兼研究總監Melissa Parrish說:“事實是:如果出現問題,他們都會陷入困境。 沒有任何方法可以推卸責任。”
七、與ePrivacy不一致
儘管GDPR成爲頭條新聞,但ePrivacy《電子隱私條例》,也就是Cookie指令,對於營銷人員來說可能更具影響力。GDPR涉及處理個人數據,ePrivacy涵蓋與電子通信相關的隱私。
如果您訪問過歐洲的一個網站,看到一個彈出式橫幅AD,警告您“訪問本網站,您需要接受使用Cookie”,那麼您已經體驗過ePrivacy的措施。
歐洲監管機構正在更新ePrivacy,以使其與GDPR更加一致,並簡化了cookie合規性,這已經轉化爲大量的許可請求。監管機構希望在5月份之前完成ePrivacy並使之生效,以便正式推出GDPR。
但是,如果ePrivacy和GDPR都包含處理相同情況的法規,則以ePrivacy規則爲準。目前正在審查的ePrivacy草案不包括處理合法利益的法律依據,因此2018年5月起,營銷者能夠處理數據的唯一法律依據可能就是許可。(在某些情況下,合同的履行可能會成爲法律依據。)
經過修訂的ePrivacy規定極有可能在5月份無法獲得批准。畢竟GDPR用了四年的時間才能通過,而ePrivacy草案是從今年一月份以來纔開始審覈修訂。
數據技術公司Acxiom全球首席隱私官Sheila Colclasure表示:“目前,ePrivacy與GDPR不一致,所以我們有一個缺口。我們需要確保Cookie法認可合法利益,並且不會破壞創新。但是,如果ePrivacy與GDPR無法同時生效,那針對ePrivacy的執行仍然存在一個灰色地帶。”
無論哪種方式,如果ePrivacy 條例不包括合法利益,“這對於AD技術公司來說是個壞消息,”國際隱私專業協會研究和教育副總裁Omer Tene說。
Omer Tene說:“除非有合法利益修改,否則很難看出AD技術公司將如何遵守ePrivacy。 這對AD代理商來說是非常重要的。”
特別是考慮到違規的可能性。 ePrivacy草案中規定的罰款與GDPR中的罰款密切相關:高達2000萬歐元,即全球年營業額的4%。
八、GDPR的誤解
對GDPR最大的誤讀就是,不在歐洲的公司不必擔心GDPR。這不對。 GDPR對歐盟公民的個人資料擁有管轄權,無論在哪裏(進行數據)處理。
Omer Tene說:“GDPR將在歐盟誕生,但它適用於世界上任何以歐洲受衆爲目標服務的公司,以有意義的方式收集個人數據或定期監控歐洲人的信息。與以前你必須在場才受到數據保護指令的政權相比,這是一個巨大的變化。”
無論如何,許多中小型AD技術公司和營銷技術公司似乎都採取觀望GDPR的方法。而這不是一個明智之舉,Evidon的 Todd Ruback說。
“他們沒有積極主動地應對,這是一個糟糕的商業戰略,特別是當媒體方和品牌主已經與他們的數字化供應商達成協議,並調整了他們與第三方之間的免責條款。”Todd Ruback說。
公司正在開始獲得提示。根據國際隱私專業協會和安永會計師事務所10月份發佈的聯合年度治理報告,95%的受訪者(75%位於歐盟以外)認爲GDPR適用於他們,而美國的50%公司認爲GDPR法規正在推動他們的隱私計劃。
九、隱私盾
隱私盾(Privacy Shield)是取代避風港條款(Safe Harbor)的歐盟-美國數據傳輸協議。 它在十月中旬通過了第一次年度審查,這意味着歐洲官員認爲它提供了適當的跨境數據保護。在2018年5月之前通過Privacy Shield進行自我認證是美國公司確保其擁有有效機制在歐盟和美國之間傳輸個人數據的一種方法。
同樣,隱私保護只適用於國際數據傳輸,並不保證遵守GDPR的其他關鍵原則,包括獲得許可,進行隱私影響評估和任命數據保護人員等。
十、清單
GDPR是一個龐大的立法文件,有99個密集的文章,要確保合規性並不容易。在處理最棘手的問題之前,最好先處理更簡單的問題。
Todd Ruback表示:“監管機構需要的只是一臺瀏覽器,一臺筆記本電腦和一系列網站,以查看誰是透明的。你是否有消費者中心,並可以用簡單的方式遞交你的數據行爲,以及讓個人控制他們的個人數據?在監管機構開始深入公司內部流程並查看是否實現信息可被遺忘的權利之前,這是他們最容易施行的所在。”
確定您的公司是控制方還是處理方。這將影響法規對你產生怎樣的影響。
進行數據保護影響評估(DPIA):對數據流程進行風險分析。第一步是繪製數據流導圖,並清楚地瞭解你從哪裏收集數據、與誰共享數據、數據泄漏的可能性以及您如何維護,保留和保護數據。 DPIA幫助企業弄清楚他們是否符合GDPR和/或他們還需要做多少工作才能滿足。
看看你的合同:檢查你的供應鏈合作伙伴,以確定你與合作伙伴的協議是否是最新的,幷包括與GDPR有關的條款。例如,如果出現違反或執法的情況,該怎麼辦。這可以是DPIA流程的一部分。
需要一個DPO(區間震盪線)嗎?一家公司是否需要任命一名數據保護官員取決於其數據追蹤的範圍和規模。法律規定:“定期和系統的大規模監督”但是擁有DPO永遠比沒有DPO好。
文檔:控制方必須證明,表現他們完成的數據處理符合GDPR的標準,包括(用戶)許可選擇,數據保存和管理的內部政策。如果一個數據保護監督機構敲門,你需要手頭的書面證明。
十一、準備GDPR合規
1、建立你的團隊
企業需要建立一種隱私文化,而不僅僅是將數據合規工作只交給一個人來管理。招聘並建立你的跨職能團隊來執行GDPR政策和流程。 團隊應該由技術,產品,營銷,人力資源以及企業的其他團隊成員的組成。
2、評估你的企業
一旦企業組建了跨職能團隊,團隊就可以分析企業現有的隱私和安全隱患,確定重點關注的重點領域。 分析的一個重要環節是瞭解企業存儲個人數據的位置。 許多企業有數十個存儲個人數據的不同數據庫和系統。 個人數據可以來自員工,求職者,網站上的填寫表格,或忠誠度計劃,購買記錄,填寫退稅或保修卡,參加活動或通過電子郵件,電話以及社交媒體與客戶服務團隊進行聯繫。
3、注意
存儲個人數據的數據庫和系統可能被公司內部許多不同的部門使用。市場營銷,銷售,人力資源,財務,IT,採購,工資單,風險管理,健康與安全,審計和法律部門都可以運行這些系統,或當與不同的供應商合作管理個人數據。
當企業識別出存儲這些數據的位置時,團隊可以建立一個數據清單,爲每個存儲系統顯示存儲的數據類型,數據來源,用途,訪問權限,如何獲得保障,傳輸過給哪些第三方以及會保留多久。在完成這項工作時,團隊還可以識別企業從哪些第三方接收個人數據,以及給哪些第三方傳輸個人數據。
通過分析,企業可以創建數據處理活動的登記冊,並確定哪些活動對數據隱私構成高風險。對於每項高風險活動,企業可以進行數據保護影響評估,以確定他們需要採取的行動,以確保他們正確保護個人隱私權。
4、建立控制和流程
一旦企業對其數據有了更好的理解,該團隊就可以創建必要的操作和技術變更的路線圖。路線圖可以確保組織有適當的控制和流程,例如:
隱私聲明:必須在收集個人數據的任何地方提供隱私聲明,包括通過使用網站Cookie和標籤。
使用限制:可以使用管理或技術控制來限制企業對其收集數據的目的使用數據。
安全:行政,物理和技術安全措施對於防止未經授權的訪問,使用,修改,披露或刪除個人數據是必要的。
數據主體權利:需要機制和程序來管理數據主體同意偏好,並對投訴和訪問請求,整改,限制,可移植性和刪除進行響應。
供應商管理:組織必須與收集或接收個人數據的分支機構,供應商和其他第三方簽訂合同,其中包括標準合同條款或其他機制,以合法化歐盟境外的數據傳輸。
事件響應:必須創建流程來檢測和響應安全漏洞,包括糾正漏洞並通知所有必要的參與方。
培訓:必須提供員工和供應商培訓,以提高有關隱私政策,流程和要求的意識,並報告關注事項和可疑數據活動。
評估:必須對每個高風險數據處理活動進行數據保護影響評估。
5、文件合規性
一旦企業走上合規之路,團隊可以專注於記錄合規工作。企業可以編輯隱私聲明和同意書的副本,數據清單和數據處理活動的註冊,書面政策和程序,培訓材料,內部公司數據傳輸協議和供應商合同。如果需要,企業可以指定一名數據保護官員並確定適當的歐盟監管機構。對於企業來說,對隱私計劃進行定期評估或審計以確保一切按計劃運行也非常有必要的。
十二:Salesforce對GDPR合規計劃關鍵要素的想法
怡海軟件合作伙伴Salesforce致力於保護隱私。在Salesforce,信任是其第一價值,沒有什麼比客戶取得成功和保護他們的數據更重要。 Salesforce是全球第一批通過歐洲數據保護機構批准的合規保護其客戶數據的全球十大軟件公司。 Salesforce也是全球首批認證符合歐盟 - 美國隱私保護框架和瑞士 - 美國隱私保護框架的公司之一。
Salesforce歡迎GDPR,這是在整個歐盟流程化數據保護要求方面邁出的重要一步。 在GDPR的開發和批准過程中,Salesforce與歐洲立法者,歐盟數據保護機構和行業協會密切合作。Salesforce致力於遵守GDPR爲客戶提供服務。致力於確保Salesforce的客戶在遵守GDPR的同時繼續使用我們的服務。 我們知道,與現有法律要求類似,遵守GDPR要求Salesforce與我們的客戶建立夥伴關係。
Salesforce擁有強大的安全和隱私程序,符合行業最高標準。 它們使我們能夠遵守適用於Salesforce的各種數據保護法律和法規。 我們的服務基於我們用於保護客戶個人數據的管理,技術和物理安全措施,贏得了衆多安全相關認證。 對於我們的一些服務,這些認證包括國際標準化組織(ISO)27001和27018標準,美國註冊會計師協會(AICPA)系統和組織控制(SOC)報告,支付卡行業數據安全標準(PCI) ,德國萊茵TÜV認證雲服務以及英國網絡基礎計劃。 我們的服務還獲得了TRUSTe認證印章,表明隱私認證機構TRUSTe審查了我們的隱私慣例,並證實了符合其認證標準。
此外,Salesforce爲客戶提供強大的數據處理附錄,其中包含很少有軟件公司可以匹配的強大隱私承諾。 本附錄包含數據傳輸框架,確保客戶可以依靠Salesforce具有約束力的公司規則,Salesforce的隱私保護證書或標準合同條款,允許個人數據合法地轉移到歐盟以外的Salesforce系統中。
最後,Salesforce爲我們的每項主要服務發佈信任與合規文檔。 該文檔描述了每種服務的體系結構,服務所獲得的與安全性和隱私相關的審覈和認證以及適用的管理,技術和物理控制。 該文件還介紹了我們提供服務的基礎設施環境和實體材料。
我們來看一下Salesforce用來促進跨境數據傳輸的三種機制。(From:CRM日記本)
如需瞭解更多,歡迎訪問怡海軟件官網[http://www.frensworkz.com/]()