什麼是歐盟通用數據保護條例 (GDPR) 以及它將如何影響您的在線業務？

您的收件箱是否充斥著更新隱私政策的電子郵件？ 這是有原因的——這個原因是通用數據保護條例，或 GDPR。

這些天似乎每個人都在談論 GDPR。 但為什麼是現在？

嗯，問題是，GDPR 在過去七年中一直在製定中。 但最近，就這項數據保護改革真正需要的內容達成了一致。

基本上，GDPR 是一套旨在為歐洲公民提供對個人數據的更多控制的法規。 除此之外，這項改革還將規範網絡世界的一般同意和隱私法，為整體數據處理和存儲創造新的標準。

至少 50% 的組織表示，除非他們顯著改變其運營方式，否則他們將難以遵守 GDPR。 這可能是一項歐洲法規，但它不僅僅影響歐洲。

建議世界各地的在線企業遵守新的 GDPR 法規——GDPR 適用於歐盟內部的每家公司，以及歐盟以外的任何向歐盟內的客戶或企業提供產品或服務的組織。 很有可能，大多數全球公司都必須符合 GDPR 的要求……如果您的公司屬於英國的數據保護法，那麼您也包括在內。

可以這樣想——Facebook 的主要總部在美國，但生活在歐洲和世界各地的人們都可以註冊 Facebook。 因此，由於 Facebook 向歐洲人提供服務並收集他們的數據，因此 Facebook 必須符合 GDPR，即使它主要位於美國。

不過，不要害怕成為 GDPR 合規者。 即使您在技術上不必如此。

GDPR 合規性只會對您有好處。 您將使用一個系統來處理有關您的客戶（或電子郵件訂閱者）的個人敏感信息，同時保證所有這些數據的安全。 實際上，每個人都可以從 GDPR 中受益。

GDPR 的好處在於它帶有關於數據收集的嚴格規則和指導方針。 這意味著不再有模糊的界限和更多的監管。 但這也意味著那些必須遵守 GDPR 的人如果不遵守新規定將面臨處罰。

有兩種不同類型的數據處理——負責處理數據的人員（或機構、當局等）和負責控制的人員。 通過這種設置，如果發生誤用​​，雙方都負有全部責任，但如果每個人都遵守有關數據保護的規則，那麼違規的可能性就會降低。 在 GDPR 之前，如果數據發生問題，沒有真正的解決方案。

您的企業如何符合 GDPR

符合 GDPR 要求的第一步是仔細查看您收集的數據。 那個數據是個人的嗎？ 如果是，那麼您應該應用 GDPR 規則和法規。

如果任何數據（其中的一部分或整個組）可以識別此人，那麼它就是個人數據。 在這種情況下，您必須徵得這些人的同意，告知他們將如何使用他們的數據以及使用多長時間。 此外，您必須讓他們深入了解您擁有的數據，並允許他們根據需要將其刪除。

個人數據的一些典型示例包括姓名、地址、照片，甚至 IP 地址也被視為個人數據。

此外，如果他們不想刪除數據，您必須執行特定活動以保護該數據。 其中一種方法是假名化。

什麼是假名化？

雖然名字很複雜，但想法很簡單。 假名化是一種數據管理技術，其主要目標是去個性化數據，使其無法追溯到個人，除非您使用其他數據——這就像一把鑰匙。 沒有該密鑰，您將無法發現使其加密的原始數據。

GDPR 還列出了有關存儲所有這些加密密鑰的規則列表，以便去個性化過程和信息保持安全。

個人數據和加密數據都代表不同的拼圖，如果你從等式中去掉一個，你就看不到全貌。

假名化和加密的區別

雖然有相似之處，但主要區別很明顯。 加密不是一成不變的，有多種方法可以實現。 最終結果是一樣的——數據受到保護和加密。

加密和假名化之間的區別在於，您無法處理加密數據，除非您將它們恢復到原始未加密狀態。 使用假名化，您只是暫時匿名化個人數據，以便在數據處理過程中，沒有人可以將它們與真實的人聯繫起來。

基本上，雖然加密更安全、更完整，但在技術上實現起來也非常複雜，而假名化可以讓您只加密數據的敏感部分。 它可以粗略地轉換為現實生活中的情況，即您正在進行公開問卷調查，答案是匿名的，但最終結果是相同的——您得到了您想要的數據。

GDPR 和有效的數據保護

為了處理數據，公司如果想要符合 GDPR 標準，就需要使用假名。 他們可以選擇不這樣做，但他們將面臨多項可能高達數百萬美元的罰款。

通過假名，數據可以用於分析、探索和統計研究，但也可以在數據所有者同意的情況下使用。 公司還必須隨時獲得該同意。

除了假名化之外，公司還可以實施多種技術解決方案來確保這些數據受到保護。 如果可能，最好實現完全加密，但除此之外，公司可以確保其當前系統能夠承受政策變化。

保護數據的另一種方法是加強現有系統。 在系統中建立必要的保護措施，但也要確保它們從開發的早期階段就內置到產品和服務中。

GDPR 規則將於 2018 年 5 月 25 日開始適用。從這一天起，所有歐盟組織和公司都必須遵守 GDPR。

GDPR 的好處是什麼？

• 更少的數據洩露、黑客攻擊和濫用。
• 數據保護將從一開始就內置到每個產品或服務中。
• 如果企業使用假名等數據保護機制，他們仍然可以訪問必要的數據。
• 將創造新的就業機會。
• 人們將完全控制他們的數據。
• 如果他們的數據被黑客入侵，企業將不得不通知消費者，以限制掩蓋。

您是否擔心立法會如何影響您的業務？ 通過註冊DesignRush Daily Dose 來了解最新情況！

GDPR 處罰和罰款

雖然許多企業認為 GDPR 只是一種滋擾，但由於罰款數額巨大，因此他們被鼓勵遵守新的 GDPR 規則。 罰款金額從 1000 萬歐元（超過 1150 萬美元）到 2000 萬歐元（2300 萬美元）不等，相當於一家公司全球年營業額的 2% 到 4%，對某些公司來說可能價值數十億美元。

如果企業在未經授權的情況下傳輸數據，無視人們對數據洞察和數據刪除的要求，則可能會被罰款。 罰款還會影響在發生違規行為後的前 72 小時內未通知用戶和當局的公司。 另一個可能招致罰款的例子是不任命負責 GDPR 規則和合規的人——負責組織內數據保護的人。

任命數據控制者

每個處理敏感數據（包括處理、監控和行為跟踪）的組織都必須任命一名數據保護官。 這意味著使用數字營銷策略的公司可能必須符合 GDPR。

成為 DPO 不需要證書，並且只有一套指導方針，而不是實際立法，關於誰應該成為數據保護官。 主要是，該人應具有數據保護法律的經驗和理解，並應開展活動以確保公司合規。 如果公司不合規，該人也應承擔責任。

此外，根據公司規模，可能只有一個 DPO 或整個部門致力於將風險降至最低並最大限度地保護數據。

使 GDPR 成為核心價值

公司可以通過多種方式確保公司認真對待並執行 GDPR。

• 員工培訓
• 政策審查
• 人力資源法規
• 內部審計
• 記錄涉及數據使用的所有流程和活動
• 最大限度地減少數據使用
• 使用化名等策略

公司如何準備 GDPR 立法

公司內部的營銷部門通常使用來自用戶的敏感數據，但誰處理公司內部的數據並不重要。 整個公司都需要合規，這裡有一份清單可以幫助簡化流程。

第 1 步 – 任命一名數據保護官

您需要有人來監督和修改所有內部流程，並確保您的公司遵守指導方針。 如果您認為您的公司中沒有任何人可以擔任這樣的角色，那麼您應該考慮僱用可以擔任此職務的人。 此外，現在有 GDPR 培訓，您當前的員工可以通過這些培訓來了解有關 GDPR 的更多信息。

第 2 步 - 查看您的郵件列表

對整個郵件列表進行全面修訂。 發送有關新隱私政策更新的必要電子郵件，並詢問人們是否仍想與您共享他們的數據。 如果他們不同意您，請將其從列表中刪除。 如果您使用電子郵件營銷自動化，只需使用一個新列表，您將在其中對歐洲用戶進行細分，以便獲得他們的同意。

第 3 步 - 通過數據保護官批准營銷活動

在您的營銷人員掌握訣竅之前，DPO 應該監督您的營銷活動並在發布前批准它們。 通過這種方式，您可以確保一切正常，並且您仍然符合 GDPR。

步驟 4 – 記錄數據流和流程

您的電子郵件列表可能會被剔除，但正如您現在所知，這是必要的。 但是，您仍然必須確保所有未來的數據收集也符合 GDPR。 您的數據入口點也必須保持安全。 其中包括通訊註冊、所有帳戶註冊、各種活動、購買清單、保護傳輸給合作夥伴的數據以及任何類型的數據使用和收集。 用戶應同意您進行所有數據操作，並且您應明確指出您將對其數據執行的所有活動。

第 5 步 – 更新您的隱私政策

確保您的網站有一個易於訪問的隱私政策頁面，您可以在其中公開概述您收集和處理數據的方式，以及您採取哪些措施來保護數據。

第 6 步 – 實施 GDPR 的員工和管理培訓

向所有決策者和營銷人員講授數據保護和協議。 您甚至可以擴展此功能，以對所有員工進行有關新規則和流程的教育。 這可以通過研討會、培訓、分發小冊子或在線手冊來完成——任何對您的業務有用的東西。

步驟 7 – 刪除公司不使用的數據

符合 GDPR 要求的步驟之一是盡可能減少您在日常流程中使用的數據，並在您不再需要時刪除這些數據。

第 8 步 - 重新驗證

向所有歐洲居民發送電子郵件，如果他們想加入您的名單，請要求他們續簽同意書。 這可以通過電子郵件、移動應用程序甚至直接郵件來完成。 GDPR 政策嚴格禁止向之前從您的列表中取消訂閱的個人發送新電子郵件。

默認隱私和設計隱私 - 有什麼區別

在這個新的 GDPR 時代，有兩個新術語應該被認可和遵守。 基本上，我們已經說過，新產品和服務必須帶有符合 GDPR 規則的內置機制。 隱私設計意味著公司應該提前考慮併計劃如何包含數據保護政策，即使是在項目的早期階段，以及項目生命週期的其餘部分。

默認情況下，數據處理者必須保護數據隱私，這意味著除了數據所有者之外，任何人都無法獲得個人數據。 此外，處理者應僅為處理目的收集最低限度的必要個人數據，完成後不存儲這些數據。

你可以做什麼來自動化這個過程

嘗試確保能夠為您解決許多這些問題的技術解決方案。 例如，這可能是一個會自動刪除某些個人數據的軟件。

重新評估和測試

為了阻止可能的違規行為並遵守 GDPR，公司最好進行各種測試、案例研究和重新評估流程。

為每個新系統、媒體活動、項目規劃行動或任何類似行為製定 GDPR 合規性清單。 這樣，您的員工可以快速評估流程，並在項目不遵守規定或以任何方式濫用數據時通知負責人。 當然，公司或員工可能會認為這些額外的步驟是一種負擔，但安全總比後悔好。

只要記住那些數百萬美元的罰款。

新的數據收集政策

除了保護以前收集的數據外，您還必須確保未來的數據收集從一開始就是安全的。 在徵求同意時，您可以使用簡單、自然的語言。

用複雜的術語來掩蓋它可能會產生誤導。 人們提供的同意應清晰明確。 確保您清楚地概述了您將如何使用新收集的信息。

也是時候在您的網站上獲得另一份 cookie 政策同意書了。 你必須確保訂閱的人達到法定年齡，因為根據新的 GDPR 規則，只有 16 歲及以上的人才能提供他們的個人數據。 16 歲以下的兒童必須獲得父母的同意。

公司必須明白，他們不能在沒有正當理由的情況下索取個人信息。 即使該信息的存儲符合 GDPR 規則，也不會。 公司應尋求法律援助，為每項數據收集和處理活動準備法律依據。

新表格可能包括用戶的年齡甚至居住國，以確定 GDPR 規則是否適用。 此外，您的客戶有權知道他們的數據是否會跨境傳輸。 在任何時候，您都必須確保有一種機制允許用戶撤回他們的同意，甚至提出投訴。

如果人們要求對其信息進行洞察，公司必須遵守並提供不會無故延遲的回复，最遲應在收到請求後的一個月內發送。

新的電子隱私法

歐洲委員會發布了有關電子隱私法規的新法律提案。 它旨在作為現有“Cookie 法”的更新，也將符合已使用的 GDPR 法。

GDPR 與電子隱私法的區別

雖然 GDPR 關注個人數據的數據保護，但電子隱私法希望規範用戶個人生活的隱私。 這樣，在線交流就可以保護用戶。 有許多部門和行業受到這些法律的影響。 歐洲委員會認為，應該有兩套基於不同人權的不同規則。

這項新的電子隱私法會對營銷行業產生相當大的影響。 超過 92% 的人擔心他們的在線隱私以及他們的數據如何用於營銷目的。 他們非常擔心公司對其生活的洞察力，尤其是在監控他們的在線活動、電子郵件內容和消息時。 這就是為什麼這個概念從 GDPR 和個人數據保護演變為電子隱私法以及其他數據的原因。

基本上，關於獲得所有營銷目的的同意，將會有更多規範的規則和政策。 這也包括行為營銷策略。 根據新的電子隱私法，未經用戶同意，公司將無法使用來自電子通信的任何數據、消費者使用的設備中存儲的信息或任何其他信息，除非需要立即處理數據。

智者的話——提防詐騙

由於公司一直在發送電子郵件，讓人們從他們的郵件列表中選擇退出，因此詐騙者已經想出了一種方法來利用整個 GDPR 合規性進行網絡釣魚詐騙。 具有諷刺意味的是，黑客故意針對那些試圖通過新的 GDPR 規則保護數據安全的人。

以下是識別 GDPR 網絡釣魚詐騙的方法：

如果公司詢問您是否希望保留在他們的數據庫中，那可能不是網絡釣魚詐騙。 但是，如果您在任何時候收到一條消息，要求您再次發送任何個人數據或信息（例如姓名、地址、用戶名、密碼甚至付款信息），請避開。 真正的公司永遠不會通過電子郵件做到這一點。

數據保護的未來以及您的企業如何使用這些信息

同樣，與 GDPR 一樣，隱私控制的權力正在回歸數據所有者。 有了這項新法律，用戶將能夠直接在他們的互聯網瀏覽器中同意使用 cookie 或撤回它。

通過這樣做，人們認為不必為每個網站制定 cookie 政策，而更像是一個處理它的軟件分類賬。 這也意味著，如果網站只使用匿名數據收集，網站就不必使用無聊的彈出窗口來徵求同意。

這些新的隱私法將適用於所有消息服務，包括 Facebook 的 Messenger 應用、Viber、WhatsApp 和 Gmail。

其中許多措施將直接影響數字營銷的未來，但現在說甚至預測這將如何發展還為時過早。 我們只需要拭目以待，同時密切關注我們的數據。

您的企業是否需要一些幫助來跟上所有這些新的數據法規？ 查看 DesignRush 的最佳網絡安全和風險管理公司名單，這些公司可以在 GDPR 法規生效時幫助簡化流程。

想要更多商業洞察？ 註冊我們的通訊！