關于GDPR
·GDPR規定了所有歐盟的公民所享有的數字生活中的權利,其前身為?1995?年開始執行的《數據保護指令》(Data Protection Directive),大部分 GDPR條款都從其繼承而來,同時GDPR在生效后會取代舊的規定。在歐盟的法律體系中,指令(directive)和條例(regulation)是兩種不同的形式:指令不直接適用于各成員國,還需要成員國自行轉化成為其國內法,在轉化過程中成員國有一定的自主裁量權;條例則對各成員國有直接適用的效力。在歐洲,事實上也是目前世界范圍中,GDPR 是最完善、最嚴格的隱私保護規定。
·GDPR在歐盟法律框架內屬于“條例”,此前已經在歐洲議會(下議院)和歐盟理事會(上議院)通過,可以直接在各歐盟成員國施行,不需要各國議會通過。目前歐盟有28個成員國,大約有5億多人可以直接得到GDPR的保護。值得一提的是,雖然英國已經啟動脫歐程序,但也同樣批準了GDPR,并且同樣從5月25日開始正式推行。
·根據GDPR的規定,企業在收集、存儲、使用個人信息上要取得用戶的同意,用戶對自己的個人數據有絕對的掌控權。
適用地域范圍
1、GDPR適用于在歐盟境內設有業務機構(establishment)的組織,只要這些組織在業務機構在歐盟境內的活動中處理個人數據(而不論此類處理行為是否實際發生在歐盟境內)。
2、如某一組織雖不在歐盟境內設立業務機構,但卻處理歐盟境內個人的個人數據,并且此類處理行為與向歐盟境內個人提供商品或服務相關,無論該等商品或服務是否收費,則也應當適用GDPR。
3、GDPR適用于非歐盟組織處理歐盟境內個人的個人數據,只要此類處理行為涉及對這些個人的行為進行監控,且該處理行為發生在歐盟。
企業如何應對GDPR
1、內容準備:企業GDPR說明文本清晰明確。
(1)企業內部的“服務協議”和“隱私條款”需要針對GDPR做相應調整,制定適合企業自身情況的規則說明文檔。
(2)清晰明確表明企業將收集的數據、使用及用戶享有的許可或撤銷許可權益。
(3)保證多語言版本,不可利用語言不同等,模糊規定而獲取用戶的許可。
2、新用戶:表單入口明確權益告知。
(1)在訂閱、注冊等全部數據采集入口設置明顯告知用戶窗口。
(2)位置醒目、內容明確清晰。
(3)可存在自動勾選強制同意行為,獲得用戶主觀許可后才可使用
3、已有會員:用戶自主完成授權。
(1)授權頁面默認不勾選用戶授權的內容,需要用戶自己進行勾選然后點擊“授權”。
(4)GDPR 正式生效后,可在郵件發送界面的“排除組”那里進行勾選,對未獲得授權的用戶不再進行發送。
4、已有會員:允許隨時撤銷許可或修改授權。
(1)針對一直未對是否授權做明確回應用戶,以及已許可用戶,在后期每封郵件推送中,均需設置明顯的撤銷許可標識。
(2)允許用戶隨時取消授權行為。
(3)允許用戶隨時修改個人信息內容。