一般数据保护条例 (GDPR):您需要知道的一切

已发表: 2018-04-02

新的《通用数据保护条例》(GDPR) 的主要目标是加强和结合对来自不同成员国的个人数据的处理,并根据一项欧盟 (EU) 法规对其进行调整。

目前,欧盟 28 个成员国都有自己的数据保护法规,并将这些法律应用于其国际贸易,这使得行使个人数据保护的权利变得相当困难。

新的 GDPR 附带了广泛的规则,这些规则会影响所有公司,无论其规模或行业如何,并且通常需要准备好专注于其业务的不同领域。

关于在处理和自由流通个人数据方面保护自然人的新法规于 2018 年 5 月 25 日生效,即欧洲议会和理事会通过第 2016/679 号法规两年后。 在本文中,我们希望帮助您了解为了满足这项新法规的要求您可以做什么和不可以做什么,并向您保证您的电子邮件营销工具 Benchmark 也符合这项新法规的要求。

新的 GDPR 并没有取消每个成员国自己目前实施的数据保护立法。 相反,它有助于同步欧盟的所有成员国。 某些决定仍将在每个成员国的国家层面做出,但请注意,责任方现在必须将 GDPR 作为规范,而不是其本国的数据保护法规。

如果您目前满足您所在国家/地区的数据保护要求,那么您已经具备了良好的基础。 但是,您仍需要修改和更改某些方面以符合新规定。

您需要牢记电子邮件营销策略的三个要点,它们是:同意、访问和数据收集。

同意

根据第 4 条第 11 款,数据主体的“同意”是如定义中所述,用户的同意必须明确且明确。 这两个词消除了任何疑问或歧义。

(32) 同意应通过明确的肯定行为给予同意,该行为确立了数据主体同意处理与其相关的个人数据的自由给出、具体、知情和明确的指示,例如通过书面声明,包括电子手段,或口头陈述。 这可能包括在访问互联网网站时勾选一个框,选择信息社会服务的技术设置或其他声明或行为,在这种情况下明确表明数据主体接受对其个人数据的拟议处理。 因此,沉默、预先打勾或不活动不应构成同意。 同意应涵盖为同一目的或多个目的进行的所有处理活动。 当处理有多种目的时,应对所有目的都给予同意。 如果在通过电子方式提出请求后要获得数据主体的同意,该请求必须清晰、简洁,并且不会对所提供的服务的使用造成不必要的干扰。

例子:

我最近参加了一个贸易展,一整天我都积累了很多名片,我将用它来创建一个数据库,然后我将上传到我的 Benchmark 帐户,目的是发送时事通讯。

有了新规定,这合法吗?

不可以。您与展会上的个人之间建立的网络并不赋予您使用他们个人数据的权利,即使得到个人的口头确认。 GDPR 现在要求双方存在该协议的证据。

GDPR 规定,必须获得个人明确和明确的同意,并在审计时提供证据支持。 需要有证据表明个人同意使用其个人数据。

推荐:

  • 检查您的数据收集方法并消除可能存在的任何歧义。
  • 分析您的数据库,并且仅分析您可以证明该人已同意您的数据。

使用权

负责处理个人数据的一方必须为每个用户提供简单直接的访问权限,以修改他们自己的个人详细信息。 责任方还必须提供一个渠道,个人可以在其中确认他们通过电子方式表示同意,无论是通过他们自己的网站、注册表或电子邮件确认。

责任方将有一个月的时间向客户提供答复,如果请求是复杂的,并且正在采取必要步骤来完成个人请求,则有可能将其延长至两个月。

对于我们的电子邮件营销工具,管理订阅选项允许个人访问他们的个人数据并在需要时修改数据或直接取消订阅。

在这一点上,有一个新的权利,即删除权(第 17 条),用户可以行使他们的“被遗忘权”,并将他们的个人数据从数据库中永久删除。 我们选择了子点 1 中包含的六个原因中的两个,这些原因使个人能够行使自己的权利:

a) 就收集或以其他方式处理的目的而言,不再需要个人数据;

d) 个人资料被非法处理;

汇编:

GDPR 提倡简化个人数据的收集。 作为营销人员,当我们所做的只是发送每周通讯时,我们往往会要求提供更多不必要的细节。 出于这个原因,这些新规定鼓励我们只为我们当前的策略收集和编制最少的个人数据,而不是收集您认为将来可能有用的其他数据。

如果您的目标是通知您的数据库即将进行的促销活动,则个人姓名和电子邮件地址的汇编足以满足您的目标。

英国脱欧

英国将在 2019 年正式脱欧,不再是欧盟的一部分。此次脱欧后,相关规定将不再适用。 我们目前不知道英国或英国境内的公司将如何处理数据保护,但我们相信他们将通过与欧盟相当的类似法规。

如果我不符合新的 GDPR 要求会怎样?

《通用数据保护条例》建立了一套工具以遵守新规定,包括制裁和罚款。 在因不遵守新的 GDPR 而被处以罚款时,将考虑并仔细评估许多因素,例如:

  • 违规的严重程度/持续时间;
  • 受影响的数据主体的数量和他们遭受的损害程度;
  • 侵权的故意性质;
  • 为减轻损害而采取的任何行动;
  • 与监管机构的合作程度。

如果不遵守规则,条例规定了两个罚款上限。 第一个上限规定了最高 1000 万欧元的罚款,或者,如果是一项承诺,最高可达全球年营业额的 2%。 例如,如果控制者没有按照法规的要求进行影响评估,则将适用第一类罚款。 罚款上限最高可达 2000 万欧元或全球年营业额的 4%。 一个例子是侵犯数据主体在条例下的权利。 罚款金额视个案情况调整。

在计划电子邮件营销策略时,您需要牢记上述要点(同意、访问和编译)。

基准

在 Benchmark,我们正在努力更新我们的隐私政策,以符合法规的要求。 在 GDPR 的情况下,没有向我们提供证明我们遵守新法规和隐私保护框架的证明。

我们 Benchmark 想向您保证,我们正在按照新的 GDPR 处理您的个人数据。

欧盟第一次在如何处理个人数据方面表现出领导力和统一性,并迫使世界其他地区无一例外地要求任何国家在处理欧洲个人数据时遵守这些规定。

不要忘记与您的听众分享这篇文章并留下您的评论。 谢谢阅读!

观看我们的网络研讨会