除非你過去幾週一直生活在岩石下,否則你很可能被大量有關GDPR的電子郵件淹沒。如果您不在迴圈中,GDPR(一般數據保護法規)是一組與保護歐盟居民的個人數據相關的新要求。
初步討論始於六年前,但雙方尚未就最終的GDPR會是什麼樣子達成一致。 至2016年4月,當合規截止日期設置為 2018 年 5 月 25 日時。合規狂潮隨著最後期限的過去而加劇,GDPR現在正式生效。
那麼,GDPR究竟意味著什麼,對網站擁有者和 發佈者 ?我們將在此方便的清單中分解需要知道的資訊。
GDPR 會影響您嗎?
GDPR 不僅適用於歐盟的公司,還僅適用於歐盟的公司。它影響任何公司,在世界任何地方,收集,存儲,或處理歐盟居民的數據。有些公司 影響更大 比其他人,雖然:
- 處理或儲存大量消費者資料的公司
- 技術公司和行銷人員
- 處理資料處理或連線不同系統的資料代理
- 公尺 發佈者 /網站運營商
最大的影響是什麼? 它影響著商業模式依賴於收集和利用消費者數據的公司。
底線:如果您正在收集、使用、存儲或訪問來自任何歐洲居民的數據,則 GDPR 適用於您。請繼續閱讀以了解內容 發佈者 - 以及任何負責監督網站的人 - 都需要瞭解GDPR。
GDPR 變化一覽
與以前的數據保護法規相比,GDPR 有何不同?
- 私人資訊的定義被擴展,現在包括任何可以直接或間接識別個人的資料。這包括設備標識號、地理位置數據、IP 位址,甚至 Cookie 標識。
- "特殊類別"資料是個人資料,被歸類為更敏感,因此需要更安全的保護。除了種族、民族、政治、宗教、工會成員、健康、性生活和性取向之外,現在還包括遺傳和生物識別數據。
- 您需要明確同意共用任何歐盟居民的任何個人數據。這種同意必須明確,並特定於每個數據處理活動,允許歐盟居民同意他們舒適的數據處理類型。基本上,您的用戶現在選擇數據處理,你必須通知他們,他們可以隨時撤回他們的同意。
- 無論您的企業位於何處,您都可能因違反規定而被罰款。
- 無論您是數據擁有者(控制器)還是數據處理器,您都應對違規行為負責。這意味著,即使您的業務僅代表另一家公司處理數據,您也有責任遵守 GDPR 法規。請務必研究供應商的合規步驟,並瞭解如何負責任地繼續使用他們的工具和服務。(例如,如果您使用 ShareThis 的 social media share buttons,您可以確保使用 ShareThis 新 GDPR 合規工具.)
- 發佈者 通常是數據擁有者,這意味著您有責任在發現后 72 小時內向相關機構報告違規行為。
數據控制器和數據處理者之間的區別是什麼?資料控制器是負責確定 個人資料處理方法 以及原因。另一方面,數據處理器代表控制器處理實際處理。 發佈者 在大多數情況下,數據控制器。
如果您是發行者或網站運營商,應瞭解(和操作)哪些內容
作為發行者,您可能為使用者提供了與內容互動的各種方式,這些按鈕允許使用者使用 在社交媒體上關注您,評論文章的部分,以方便的方式 對內容做出反應.大多數網站使用 Cookie 來識別使用者並提供更加個人化的體驗。所有這些活動都可能導致使用者收集數據,從而留下 發佈者 在產品上,為GDPR的合規性。
我們已經分解了行動步驟,每個發佈者或網站運營商需要知道的必須遵守下面的 GDPR。
必要的內部作業
- 指定某人負責 GDPR 合規性。根據新規則,一些公司需要任命一名數據保護官(DPO),包括公共機構和任何大規模運營的數據處理者,儘管對於規模較小的公司來說,這可能不是必需的。 發佈者.即使您不需要任命 DPO,任命某人領導 GDPR 合規戰略的制定、監督持續的合規性並掌握新的 GDPR 發展,也符合您的最大利益。
- 對員工進行GDPR培訓。任何接觸使用者、客戶或訪客數據的人都應該知道組織內誰負責GDPR策略,並瞭解可能發生哪些違反GDPR的行為。
- 文檔是您的新 BFF。清楚地記錄收集、使用、存儲和共用個人數據過程中的所有步驟,並確保對這些過程所做的任何更改也會立即記錄在案。
- 定期審核。為確保您的公司保持合規,您應該定期審核您的數字環境、流程和文檔。
管理供應商
- 評估您的供應商並瞭解其合規性。作為發佈商,您可能正在與多家供應商合作,負責您運營的不同方面,例如分析和廣告。根據GDPR,由您決定您的供應商是否符合GDPR。 發佈者 經常與眾多第三方供應商合作,現在是評估和完善這些合作夥伴關係的好時機。在與你合作的人身上要有選擇性。
- 傳達您的數據策略。您可能需要修改供應商合同,以納入您對數據處理的期望。以與數據相關的任何身份與您合作的每個供應商溝通您的數據策略。
- 在合同中定義違約通知流程。在發生數據洩露的情況下,供應商有責任儘快通知數據擁有者(控制者)。以書面形式詳細說明此過程,截止日期和其他通知要求是一個好主意。
- 不要收集個人數據。如果您的任何使用者數據屬於 GDPR 的「個人數據」定義,則採取措施,未經使用者明確同意,不得收集或共用這些數據。
管理使用者
- 制定新的隱私聲明。正如我們前面提到的,同意現在必須是明確和具體的,因此請確保您的通知是用通俗易懂的語言,並且易於理解,以便使用者選擇加入數據收集和處理活動。清楚地解釋您要收集哪些數據,為什麼收集這些數據,以及您計劃如何處理這些數據,包括如何存儲這些數據以及是否將與任何第三方共用。
- 開發用於通知使用者、獲取同意和管理同意的流程。請記住,歐盟居民現在可以隨時撤回對任何數據處理活動的同意,因此您需要一個明確的流程來瞭解您為哪些個人獲得了哪些同意。 ShareThis ' GDPR 合規工具 使使用者能夠輕鬆控制其數據。
- 制定策略,為使用者提供對其數據的訪問許可權。根據GDPR,歐盟居民可以隨時要求其個人數據的副本,數據控制者必須及時遵守。使用戶能夠訪問個人數據,並允許他們輕鬆修復任何不準確之處。
- 制定用於識別違規行為並通知受影響的用戶和當局的流程。如果發生違規行為,您和您的員工應該知道接下來的步驟。誰負責通知當局?您如何確定是否必須通知受影響的個人?您需要在違規通知中包含哪些資訊?所有這些資訊都應該立即訪問,並且應該有人負責執行每個步驟(即使它是處理每個任務的同一個人)。
- 不要忘記被遺忘的權利。根據GDPR,歐盟居民可以要求 資料被擦除. 發佈者 (以及受 GDPR 控制的任何實體)必須及時遵守,因此必須有一個定義的過程來滿足這些請求。這也意味著採取「合理步驟」 通知任何處理器或其他接觸過數據的第三方。
對許多人來說, GDPR合規性似乎令人望而生畏 發佈者 和網站擁有者,但一旦你已經掌握了法規需要什麼,很明顯,這些都是常識和(大部分)實際要求,加強用戶的隱私。雖然您需要重新審視合作關係、修改合同語言並制定新的政策和程式,但非常值得您花時間避免代價高昂的處罰,更重要的是,為使用者提供他們應得的隱私。
