此列是在每周通讯可称之为最佳实践。请点击此处订阅。
贵公司做国际业务,特别是与欧盟(EU)范围内的客户?如果是这样,那么你就需要注意正在发生的事情的数据隐私和数据主权的区域。大的变化正在进行,他们可能会对你如何管理客户信息的影响。
在十二月底,欧盟委员会(EC)批准的最终版本一般数据保护条例(GDPR)。这是欧盟的1995年的数据保护规则(95/46 / EC),这是相当出给定的最后二十年的技术发展和全球化日期的大规模检修。欧盟委员会一直致力于在GDPR 2012年以来,为了加强网络隐私权益,促进欧洲的数字经济。
有在这将对欧盟以外的很多企业显著影响GDPR一些术语。虽然GDPR是欧洲标准,术语域外适用于任何实体(称为数据处理器或数据控制器),其提供的商品或服务,以欧盟的居民(称为数据对象)。
值得庆幸的条例规定,有面向电子商务服务网站,可以访问欧盟居民并不构成提供商品或服务。一个商人必须表明意图提请欧盟居民客户;例如,通过使用本地语言或付款的面额。不过,也有很多其他的方法,一个企业可以在规定被抓到。
这里有几个的GDPR商业企业更有意义的方面:
- 一个人必须在明确的条款告知,他的信息将被收集和/或处理的,为了什么特定的目的。如果信息将被用于多种用途 - 个人必须被告知每一个目的 - 除了处理订单说营销或数据分析的目的。同意不能被暗示,必须明确给出。对于同意该请求必须简洁明了,不能在一个不寻常的背景下进行。
- 数据控制器在时间的长度,使他们能够保持个体的数据的限制。数据必须被删除或在此时间段结束审查。
- 数据控制器或处理器的身份必须是透明的,并清除。个人应该知道的风险,规则,保障和权利有关的个人资料,以及如何处理行使相对于处理自己的权利。
- 数据控制器必须对数据对象对他们的数据,整改,删除和对数据的使用撤回同意的权利请求的访问提供了一种方法。此外,数据主体应该有自己的数据删除,不再受撤回其同意处理处理的权利。
- 数据主体应该对存在纹的,这种分析的结果被告知。
- 当数据控制器(例如,企业)使用数据处理器(例如,云服务提供商)来处理数据代表控制器,处理器必须满足加工的安全条例的所有要求。这包括实施必要的符合要求的技术和组织措施。控制器或处理器应该保持有关其职责范围处理活动的所有类别的记录。
- 数据控制器需要至72小时,涉及未加密数据的数据违反内通知数据的受试者。
- 被欧盟以外传送用于处理(如将数据放入云应用)的任何数据是受所有GDPR的规定。
我可以继续下去。这些点才开始触及到如何个人数据可以根据新的规定来处理的规范。但是可以看到的是,规格有可能对公司今天怎么做生意有很大的影响。
该GDPR允许两年企业评估新的法规,把适当的措施,以确保合规性。该规定允许对不遵守显著的处罚,包括高达全球每年销售收入的2%或百万欧元行政罚款。
在2015年Ovum的研究报告数据隐私法:切割繁文缛节,的三分之二的受访者表示,他们预计立法以迫使他们的欧洲业务战略的变化。有些公司可能会放弃欧盟市场共有,而不是花的钱和精力,以符合新的规定。超过一半的受访者预计他们的公司将因违反法律进行评估的罚款。
如果你甚至觉得这个监管可能对您的业务产生影响,没有时间评估局势,并制定你去进计划浪费。