一般數據保護條例 (GDPR):您需要知道的一切

已發表: 2018-04-02

新的《通用數據保護條例》(GDPR) 的主要目標是加強和結合對來自不同成員國的個人數據的處理,並根據一項歐盟 (EU) 法規對其進行調整。

目前,歐盟 28 個成員國都有自己的數據保護法規,並將這些法律應用於其國際貿易,這使得行使個人數據保護的權利變得相當困難。

新的 GDPR 附帶了廣泛的規則,這些規則會影響所有公司,無論其規模或行業如何,並且通常需要準備好專注於其業務的不同領域。

關於在處理和自由流通個人數據方面保護自然人的新法規於 2018 年 5 月 25 日生效,即歐洲議會和理事會通過第 2016/679 號法規兩年後。 在本文中,我們希望幫助您了解為了滿足這項新法規的要求您可以做什麼和不可以做什麼,並向您保證您的電子郵件營銷工具 Benchmark 也符合這項新法規的要求。

新的 GDPR 並沒有取消每個成員國自己目前實施的數據保護立法。 相反,它有助於同步歐盟的所有成員國。 某些決定仍將在每個成員國的國家層面做出,但請注意,責任方現在必須將 GDPR 作為規範,而不是其本國的數據保護法規。

如果您目前滿足您所在國家/地區的數據保護要求,那麼您已經具備了良好的基礎。 但是,您仍需要修改和更改某些方面以符合新規定。

您需要牢記電子郵件營銷策略的三個要點,它們是:同意、訪問和數據收集。

同意

根據第 4 條第 11 款,數據主體的“同意”是如定義中所述,用戶的同意必須明確且明確。 這兩個詞消除了任何疑問或歧義。

(32) 同意應通過明確的肯定行為給予,以自由給出、具體、知情和明確表示數據主體同意處理與他或她有關的個人數據,例如通過書面聲明,包括電子手段,或口頭陳述。 這可能包括在訪問互聯網網站時勾選一個框,選擇信息社會服務的技術設置或其他聲明或行為,在這種情況下明確表明數據主體接受對其個人數據的擬議處理。 因此,沉默、預先打勾或不活動不應構成同意。 同意應涵蓋為同一目的或多個目的進行的所有處理活動。 當處理有多種目的時,應對所有目的都給予同意。 如果在通過電子方式提出請求後要獲得數據主體的同意,該請求必須清晰、簡潔,並且不會對所提供的服務的使用造成不必要的干擾。

例子:

我最近參加了一個貿易展,一整天我都積累了很多名片,我將用它來創建一個數據庫,然後我將上傳到我的 Benchmark 帳戶,目的是發送時事通訊。

有了新規定,這合法嗎?

不可以。您與展會上的個人之間建立的網絡並不賦予您使用他們個人數據的權利,即使得到個人的口頭確認。 GDPR 現在要求雙方存在該協議的證據。

GDPR 規定,必須獲得個人明確和明確的同意,並在審計時提供證據支持。 需要有證據表明個人同意使用其個人數據。

推薦:

  • 檢查您的數據收集方法並消除可能存在的任何歧義。
  • 分析您的數據庫,並且僅分析您可以證明該人已同意您的數據。

使用權

負責處理個人數據的一方必須為每個用戶提供簡單直接的訪問權限,以修改他們自己的個人詳細信息。 責任方還必須提供一個渠道,個人可以在其中確認他們通過電子方式表示同意,無論是通過他們自己的網站、註冊表或電子郵件確認。

責任方將有一個月的時間向客戶提供答复,如果請求是複雜的,並且正在採取必要步驟來完成個人請求,則有可能將其延長至兩個月。

對於我們的電子郵件營銷工具,管理訂閱選項允許個人訪問他們的個人數據並在需要時修改數據或直接取消訂閱。

在這一點上,有一個新的權利,即刪除權(第 17 條),用戶可以行使他們的“被遺忘權”,並將他們的個人數據從數據庫中永久刪除。 我們選擇了子點 1 中包含的六個原因中的兩個,這些原因使個人能夠行使自己的權利:

a) 就收集或以其他方式處理的目的而言,不再需要個人數據;

d) 個人資料被非法處理;

彙編:

GDPR 提倡簡化個人數據的收集。 作為營銷人員,當我們所做的只是發送每週通訊時,我們往往會要求提供更多不必要的細節。 出於這個原因,這些新規定鼓勵我們只為我們當前的策略收集和編制最少的個人數據,而不是收集您認為將來可能有用的其他數據。

如果您的目標是通知您的數據庫即將進行的促銷活動,則個人姓名和電子郵件地址的彙編足以滿足您的目標。

英國脫歐

英國將在 2019 年正式脫歐,不再是歐盟的一部分。此次脫歐後,相關規定將不再適用。 我們目前不知道英國或英國境內的公司將如何處理數據保護,但我們相信他們將通過與歐盟相當的類似法規。

如果我不符合新的 GDPR 要求會怎樣?

《通用數據保護條例》建立了一套工具以遵守新規定,包括制裁和罰款。 在因不遵守新的 GDPR 而被處以罰款時,將考慮並仔細評估許多因素,例如:

  • 違規的嚴重程度/持續時間;
  • 受影響的數據主體的數量和他們遭受的損害程度;
  • 侵權的故意性質;
  • 為減輕損害而採取的任何行動;
  • 與監管機構的合作程度。

如果不遵守規則,條例規定了兩個罰款上限。 第一個上限規定了最高 1000 萬歐元的罰款,或者,如果是一項承諾,最高可達全球年營業額的 2%。 例如,如果控制者沒有按照法規的要求進行影響評估,則將適用第一類罰款。 罰款上限最高可達 2000 萬歐元或全球年營業額的 4%。 一個例子是侵犯數據主體在條例下的權利。 罰款金額視個案情況調整。

在計劃電子郵件營銷策略時,您需要牢記上述要點(同意、訪問和編譯)。

基準

在 Benchmark,我們正在努力更新我們的隱私政策,以符合法規的要求。 在 GDPR 的情況下,沒有向我們提供證明我們遵守新法規和隱私保護框架的證明。

我們 Benchmark 想向您保證,我們正在按照新的 GDPR 處理您的個人數據。

歐盟第一次在如何處理個人數據方面表現出領導力和統一性,並迫使世界其他地區無一例外地要求任何國家在處理歐洲個人數據時遵守這些規定。

不要忘記與您的聽眾分享這篇文章並留下您的評論。 謝謝閱讀!

觀看我們的網絡研討會