歐盟的“通用數(shù)據(jù)保護(hù)條例”（GDPR，General Data Protection Regulation）即將于2018年5月25日生效，而好多企業(yè)對(duì)GDPR并不十分了解。就目前看來(lái)，行業(yè)對(duì)于這項(xiàng)條例的觀念仍有不當(dāng)之處。盡管企業(yè)為GDPR的來(lái)臨需要做大量準(zhǔn)備工作，才能合規(guī)，但是許多人還在拖拖拉拉。

 

數(shù)十年來(lái)，歐洲一直是隱私和數(shù)據(jù)保護(hù)問題的先行者。現(xiàn)在，隨著通用數(shù)據(jù)保護(hù)條例（GDPR）全面隱私法的通過，歐盟（EU）又開創(chuàng)了新局面。如果你的在企業(yè)收集，存儲(chǔ)或使用有關(guān)歐洲居民的個(gè)人信息，那么GDPR可能會(huì)對(duì)你的業(yè)務(wù)流程產(chǎn)生深遠(yuǎn)影響。

 

該指令適用于1995年當(dāng)時(shí)的技術(shù)情況，但隨后幾年技術(shù)的快速變化需要更新。歐盟立法者發(fā)布了一般數(shù)據(jù)保護(hù)條例（GDPR），以便在收集到比以往更多的數(shù)據(jù)的情況下能夠保持用戶隱私。他們還希望確保整個(gè)歐盟設(shè)立統(tǒng)一的法律，避免國(guó)家之間的重大分歧。 GDPR顯著擴(kuò)大了授予個(gè)人的隱私權(quán)，為運(yùn)用個(gè)人信息的企業(yè)設(shè)置了許多新的義務(wù)。自2018年5月25日起GDPR就要生效，大家準(zhǔn)備好了嗎？

 

什么是GDPR？
經(jīng)過四年多的協(xié)商，2016年4月歐洲議會(huì)和歐洲理事會(huì)通過GDPR。這項(xiàng)條例賦予歐盟公民更多的個(gè)人數(shù)據(jù)控制權(quán)，另外對(duì)那些收集、處理和存儲(chǔ)個(gè)人數(shù)據(jù)的公司提出更高的責(zé)任要求，特別是數(shù)據(jù)泄露。

 

從五月份開始，除非有明確的法律依據(jù)，否則企業(yè)將不再被允許收集或處理一個(gè)歐洲公民的消費(fèi)者數(shù)據(jù)，例如獲得公民自愿給予和“明確的”同意。 如果沒有提供適當(dāng)通知或管理辦法，公司也將被禁止使用以前收集的數(shù)據(jù)。

 

GDPR取代了1995年數(shù)據(jù)保護(hù)指令的條例，將使28個(gè)歐盟及歐洲經(jīng)濟(jì)共同體成員國(guó)的隱私保護(hù)法，更具有一致性和現(xiàn)代性。根據(jù)1995年指令，每個(gè)成員國(guó)都制定了自己的數(shù)據(jù)保護(hù)規(guī)則，這導(dǎo)致了在歐盟開展業(yè)務(wù)的公司監(jiān)管環(huán)境和合規(guī)不一致的難題。

 

GDPR的大部分內(nèi)容實(shí)際上并不新鮮，因?yàn)榘?ldquo;數(shù)據(jù)保護(hù)指令”中既存的理念。 但GDPR確實(shí)引入了一些新的概念，包括針對(duì)不合規(guī)對(duì)象的巨額罰款和增強(qiáng)的數(shù)據(jù)主體權(quán)利。這對(duì)任何在歐盟開展業(yè)務(wù)的公司或任何在其數(shù)據(jù)庫(kù)中存有歐盟公民個(gè)人數(shù)據(jù)的公司都具有約束力。

 

以下是相關(guān)的GDPR的術(shù)語(yǔ)，可以幫我們更好的理解文章中的概念
數(shù)據(jù)主題：可以通過姓名，身份證號(hào)碼，位置數(shù)據(jù)，在線標(biāo)識(shí)符（如用戶名）或其身份，遺傳或其他身份等信息直接或間接識(shí)別的“自然人”。例：Marie Dubois

 

個(gè)人數(shù)據(jù)：任何與識(shí)別或可識(shí)別數(shù)據(jù)主題有關(guān)的信息。例：女性。 年齡48. Ph＃：33 1 7210 940.地址：99 Place de l'étoile，75008 Paris，F(xiàn)rance。 喜歡帽子。 每天在線閱讀。

 

敏感個(gè)人數(shù)據(jù)：有關(guān)種族或族裔出身，政治觀點(diǎn)，宗教或哲學(xué)信仰，工會(huì)會(huì)員資格，有關(guān)健康，性生活和性取向的信息以及遺傳或生物識(shí)別數(shù)據(jù)的個(gè)人數(shù)據(jù)。例：恩馬爾凱成員！ 派對(duì)。天主教徒。 去年打破了腿。 指紋和視網(wǎng)膜掃描的副本。

 

處理：任何對(duì)個(gè)人數(shù)據(jù)或與個(gè)人數(shù)據(jù)有關(guān)的事情。例：收集，存儲(chǔ)，傳輸，共享，修改，使用或刪除個(gè)人數(shù)據(jù)。

 

數(shù)據(jù)控制方：確定個(gè)人數(shù)據(jù)處理目的和手段的實(shí)體。例：Grande Banque du Nord是一家向瑪麗提供抵押貸款以購(gòu)買房屋的金融機(jī)構(gòu)。 當(dāng)瑪麗首次在大銀行的網(wǎng)站上注冊(cè)以獲得更多關(guān)于抵押貸款的信息時(shí)，大銀行成為瑪麗提供的個(gè)人數(shù)據(jù)的控制者。

 

數(shù)據(jù)處理方：根據(jù)數(shù)據(jù)控制方的指令處理個(gè)人數(shù)據(jù)的實(shí)體。例：Grande Banque將她的數(shù)據(jù)上傳到Sales Cloud對(duì)象上時(shí)，Salesforce成為Marie個(gè)人數(shù)據(jù)的處理方。

 

假名數(shù)據(jù)：不能與特定數(shù)據(jù)主體綁定的個(gè)人數(shù)據(jù)，沒有單獨(dú)存儲(chǔ)的附加信息，采用技術(shù)措施確保數(shù)據(jù)不與該附加信息相結(jié)合。例：當(dāng)Marie訪問Community Cloud上托管的Grande Banque網(wǎng)站社區(qū)以了解有關(guān)抵押貸款流程的更多信息時(shí)，系統(tǒng)會(huì)以散列形式記錄她的IP地址并將其鏈接到Marie查看的頁(yè)面。 散列IP地址被視為假名數(shù)據(jù)，因?yàn)楸M管散列IP地址本身并不能識(shí)別Marie，但仍可以將其與其他與Marie相關(guān)的信息關(guān)聯(lián)起來(lái)。

 

匿名數(shù)據(jù)：無(wú)法連接到已識(shí)別或可識(shí)別的人員的數(shù)據(jù)。例：Grande Banque網(wǎng)站要求人們留下評(píng)論。 該系統(tǒng)不收集來(lái)自評(píng)論者的任何信息 - 甚至不包括IP地址。 評(píng)論本身可以被認(rèn)為是匿名的。

 

GDPR有什么新東西？
個(gè)人數(shù)據(jù)：以前的隱私制度將個(gè)人數(shù)據(jù)定義為姓名、照片、電子郵件地址、電話號(hào)碼、實(shí)際地址或個(gè)人身份證號(hào)碼、銀行帳號(hào)或社?？ㄌ?hào)。

但GDPR擴(kuò)大了定義，時(shí)期包括“已識(shí)別”（identified）和“可識(shí)別”(identifiable)的數(shù)據(jù)信息。這意味著個(gè)人數(shù)據(jù)指的是任何可用于識(shí)別個(gè)人的信息，包括位置數(shù)據(jù)、移動(dòng)設(shè)備ID以及某些情況下的IP地址。（生物特征數(shù)據(jù)和遺傳數(shù)據(jù)被認(rèn)為是“敏感的個(gè)人數(shù)據(jù)”）

匿名數(shù)據(jù)是一種潛在的合規(guī)性信息，即經(jīng)過散列、加密或以某種技術(shù)方法進(jìn)行匿名處理的個(gè)人數(shù)據(jù)。 通過將其與附加數(shù)據(jù)相結(jié)合后重新定位識(shí)別的數(shù)據(jù)也被視為個(gè)人數(shù)據(jù)。如下類型的隱私數(shù)據(jù)將受到GDPR保護(hù)：

• 基本的身份信息，如姓名、地址和身份證號(hào)碼等；
• 網(wǎng)絡(luò)數(shù)據(jù)，如位置、IP地址、Cookie數(shù)據(jù)和RFID標(biāo)簽等；
• 醫(yī)療保健和遺傳數(shù)據(jù)；
• 生物識(shí)別數(shù)據(jù)，如指紋、虹膜等；
• 種族或民族數(shù)據(jù)；
• 政治觀點(diǎn)；
• 性取向。

 

個(gè)人權(quán)利：1995年的數(shù)據(jù)保護(hù)指令已經(jīng)賦予了公民要求企業(yè)刪除其數(shù)據(jù)的權(quán)利，如果這些數(shù)據(jù)被非法處理或不再用于其原始目的。

 

GDPR通過要求數(shù)據(jù)管理員采取合理步驟，確保參與數(shù)據(jù)共享的第三方刪除，擴(kuò)大了被刪除的權(quán)利，也被稱為被遺忘的權(quán)利。

 

數(shù)據(jù)當(dāng)事人也享有在多個(gè)平臺(tái)數(shù)據(jù)不自動(dòng)打通的權(quán)利，以及根據(jù)要求以電子形式免費(fèi)獲得經(jīng)處理的個(gè)人數(shù)據(jù)副本的權(quán)利，包括這些數(shù)據(jù)被用于何處，以及使用數(shù)據(jù)的目的。

 

記錄保存要求：數(shù)據(jù)管理員和任何外包商必須保存其數(shù)據(jù)處理活動(dòng)的書面記錄，包括他們處理數(shù)據(jù)的原因以及他們計(jì)劃保存數(shù)據(jù)的時(shí)間。 此信息必須根據(jù)要求提供給數(shù)據(jù)保護(hù)機(jī)構(gòu)。

     

問責(zé)原則：雖然GDPR并沒有詳細(xì)說(shuō)明問責(zé)制，但數(shù)據(jù)控制者必須清楚地記錄他們所采取的所有行動(dòng)。GDPR稱之為“通過設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)”。如果監(jiān)管機(jī)構(gòu)要求提供合規(guī)證明，公司必須能夠提供。

 

數(shù)據(jù)保護(hù)官員（DPO）：GDPR規(guī)定擁有250名或以上員工處理敏感數(shù)據(jù)或犯罪記錄的組織必須指定數(shù)據(jù)保護(hù)官DPO。這根據(jù)他們是否處理敏感數(shù)據(jù)的情況而定，擁有少于250名員工的組織可能也需要指定DPO。那么，如果你的公司內(nèi)已經(jīng)存在了一個(gè)發(fā)揮類似作用的人員，能夠確保PII安全是更好的。否則，你將需要重新聘請(qǐng)一名DPO。根據(jù)企業(yè)自身的情況，DPO可以不要求一定是全職，在這種情況下，企業(yè)就可以選擇一名兼職DPO人員。加上GDPR新規(guī)允許一名DPO同時(shí)為多個(gè)企業(yè)工作，所以聘請(qǐng)一名兼職DPO人員將是一個(gè)很好的選擇。

 

目前，根據(jù)GDPR如何廣泛地解釋“系統(tǒng)地監(jiān)督或處理”仍然是一個(gè)懸而未決的問題。DPO旨在幫助企業(yè)遵守GDPR，直接向企業(yè)CXO匯報(bào)，同時(shí)保持完全自主性。

 

更大的罰款：每一單GDPR違規(guī)行為將受到高達(dá)2000萬(wàn)歐元的嚴(yán)重處罰，或者上一年全球年?duì)I業(yè)額的4％，以較高者為準(zhǔn)。

 

監(jiān)管部門在設(shè)定罰款時(shí)可以考慮減輕因素，比如，盡快改正或是舉報(bào)違規(guī)行為的企業(yè)可以受到稍微輕點(diǎn)的處罰。

 

無(wú)論如何，這些罰款意味著小公司巨大災(zāi)難，“這不是開玩笑的情。”Todd Ruback說(shuō)。

 

“要么他們會(huì)倒閉，要么就會(huì)被吞并。” 他表示，“我們將形成一個(gè)更清潔的生態(tài)系統(tǒng)，但也會(huì)減少競(jìng)爭(zhēng)。Facebook和谷歌受到歐盟委員會(huì)嚴(yán)格的審查，除非有意外發(fā)生否則他們難以幸免”

 

違規(guī)通知
而對(duì)于企業(yè)來(lái)說(shuō)，其中較具挑戰(zhàn)性的合規(guī)要求應(yīng)該是，公司必須在發(fā)現(xiàn)違規(guī)事件的72小時(shí)內(nèi)，向監(jiān)管當(dāng)局和受到違規(guī)事件影響的個(gè)人通報(bào)數(shù)據(jù)違規(guī)行為。執(zhí)行影響評(píng)估的另一個(gè)要求是，通過識(shí)別漏洞以及制定漏洞解決方案來(lái)幫助減輕漏洞導(dǎo)致的安全風(fēng)險(xiǎn)。

 

數(shù)據(jù)控制方與數(shù)據(jù)處理方
GDPR為數(shù)據(jù)控制方和數(shù)據(jù)處理方建立了不同的規(guī)則。數(shù)據(jù)控制方?jīng)Q定為什么以及如何處理個(gè)人數(shù)據(jù)，并被要求建立處理數(shù)據(jù)的法律依據(jù)。條例規(guī)定數(shù)據(jù)處理方“代表控制方處理個(gè)人數(shù)據(jù)”。處理方必須合法和負(fù)責(zé)任地進(jìn)行處理，控制方必須確保處理方做著合規(guī)的工作。

 

雖然對(duì)控制方的規(guī)則更為嚴(yán)格，但控制方和處理方都處于GDPR之下。與以前的隱私制度不同，數(shù)據(jù)處理方如果不遵守條例，可能要承擔(dān)重大處罰。

不過，目前還不清楚，廣告技術(shù)公司將被視為控制方還是處理方？總體來(lái)說(shuō)，廣告技術(shù)公司可以作為處理方式從數(shù)據(jù)中收集洞察，使客戶受益。但是他們也有可能涉足控制方領(lǐng)域，因此合規(guī)負(fù)擔(dān)可能會(huì)變得更重。

合法理由
如果公司有法律依據(jù)，則可以處理數(shù)據(jù)。 例如，保險(xiǎn)公司必須處理客戶數(shù)據(jù)才能執(zhí)行合同條款。 銀行必須處理數(shù)據(jù)以遵守法律。

但我們應(yīng)該知道兩個(gè)法律基礎(chǔ)：合法權(quán)益和許可。

合法權(quán)益：能夠證明“合法利益”的公司在某些情況下可以在未經(jīng)同意的情況下合法處理個(gè)人數(shù)據(jù)：數(shù)據(jù)是合法收集的，有正當(dāng)理由去使用數(shù)據(jù)以及數(shù)據(jù)處理的過程也是合規(guī)的。

 

要獲得合法權(quán)益，數(shù)據(jù)控制方需要進(jìn)行一個(gè)稱為“平衡測(cè)試”。這個(gè)測(cè)試將數(shù)據(jù)控制方的利益與數(shù)據(jù)當(dāng)事人的權(quán)利進(jìn)行權(quán)衡，其中包括數(shù)據(jù)當(dāng)事人對(duì)數(shù)據(jù)處理方式的合理期望是怎樣的，以及控制方是否有正確的保障措施。

 

合法權(quán)益的例子包括預(yù)防犯罪、欺詐檢測(cè)、網(wǎng)絡(luò)安全，以及進(jìn)行員工背景調(diào)查等。 “直效營(yíng)銷”在GDPR中也被認(rèn)為特殊的對(duì)個(gè)人數(shù)據(jù)的合法使用，但也有一定的注意事項(xiàng)。

 

只要控制方確保用戶可以有隨時(shí)選擇不參與（opt-out）的權(quán)利，那么個(gè)性化的溝通、定向廣告、匯總分析以創(chuàng)建趨勢(shì)報(bào)告和跟蹤廣告效果，點(diǎn)擊后跟蹤和受眾測(cè)量在GDPR下都可行。

 

目前尚不清楚的是，參與互聯(lián)網(wǎng)行為廣告和程序化廣告的公司是否可以要求合法權(quán)益。反廣告屏蔽公司PageFair負(fù)責(zé)人Johnny Ryan認(rèn)為這不太可能：“有些廣告技術(shù)公司似乎已經(jīng)相信自己被合法利益所覆蓋，但是你不能用合法權(quán)益來(lái)為RTB發(fā)生的所有瘋狂的事情辯護(hù)。”他補(bǔ)充道，“至少在私下里，任何知道他們?cè)谡f(shuō)什么的人都會(huì)承認(rèn)。”

 

許可：許可一直是歐洲隱私法的基石，但GDPR大大提高了這個(gè)標(biāo)準(zhǔn)。

決定如何使用個(gè)人數(shù)據(jù)的數(shù)據(jù)控制方，必須得到他們計(jì)劃使用數(shù)據(jù)的目的“明確的”許可。換句話說(shuō)，如果一家企業(yè)不被許可做一件事，那它也不能使用這些數(shù)據(jù)來(lái)做其他事情。

許可必須是自愿以及明確的：選擇退出模式（或者說(shuō)，預(yù)選框的形式）不會(huì)消失。當(dāng)網(wǎng)站在加載頁(yè)面的同時(shí)，加載追蹤cookie，務(wù)必通知訪客，該網(wǎng)站會(huì)使用cookie。（通常是以彈出窗口的形式）。在用戶同意啟用cookie之前需要有一個(gè)屏蔽頁(yè)屏蔽該網(wǎng)頁(yè)內(nèi)容。

底線是消費(fèi)者對(duì)行為必須是肯定的和知曉的。英國(guó)、法國(guó)和德國(guó)的數(shù)據(jù)保護(hù)機(jī)構(gòu)都同意，消費(fèi)者可以通過在網(wǎng)站上勾選一個(gè)框來(lái)表示同意處理，但是只有在事先他們已經(jīng)被用簡(jiǎn)單明了語(yǔ)言的通知告知了的情況下才能表示同意處理。

 

廣告技術(shù)和營(yíng)銷技術(shù)供應(yīng)商通常與消費(fèi)者沒有直接聯(lián)系，因此獲得跟蹤或數(shù)據(jù)收集的同意是一個(gè)棘手的問題。他們很可能不得不依賴面向消費(fèi)者的實(shí)體，比如向媒體方和營(yíng)銷人員代表取得同意。

   

不是每個(gè)人都相信中間商能在GDPR下蓬勃發(fā)展。網(wǎng)站數(shù)據(jù)管理軟件Tealium首席技術(shù)官兼創(chuàng)始人Mike Anderson說(shuō)：“第三方生態(tài)系統(tǒng)不會(huì)在GDPR世界中占據(jù)一席之地。 GDPR是關(guān)于第一方關(guān)系的。”

 

當(dāng)有問題時(shí)誰(shuí)負(fù)責(zé)？
營(yíng)銷者和媒體方可能會(huì)對(duì)第三方犯下的錯(cuò)誤負(fù)責(zé)，這意味著他們將更加挑剔與誰(shuí)合作。GDPR因此促進(jìn)了盡職調(diào)查和供應(yīng)商管理的重要性。

 

許可不是GDPR合規(guī)的“萬(wàn)金油”。得到它后，“你必須確保供應(yīng)鏈中沒有人會(huì)濫用你所分享的數(shù)據(jù)以至于使你面臨法律風(fēng)險(xiǎn)。”Johnny Ryan認(rèn)為。

 

然而，對(duì)那些在問責(zé)制問題上充耳不聞的營(yíng)銷者和廣告技術(shù)公司來(lái)說(shuō)，未來(lái)還是有希望的。

 

Forrester公司副總裁兼研究總監(jiān)Melissa Parrish說(shuō)：“事實(shí)是：如果出現(xiàn)問題，他們都會(huì)陷入困境。 沒有任何方法可以推卸責(zé)任。”

 

與ePrivacy不一致
盡管GDPR成為頭條新聞，但ePrivacy，也就是Cookie指令，對(duì)于營(yíng)銷人員來(lái)說(shuō)可能更具影響力。GDPR涉及處理個(gè)人數(shù)據(jù)，ePrivacy涵蓋與電子通信相關(guān)的隱私。

 

如果您訪問過歐洲的一個(gè)網(wǎng)站，看到一個(gè)彈出式橫幅廣告，警告您“訪問本網(wǎng)站，您需要接受使用Cookie”，那么您已經(jīng)體驗(yàn)過ePrivacy的措施。

 

歐洲監(jiān)管機(jī)構(gòu)正在更新ePrivacy，以使其與GDPR更加一致，并簡(jiǎn)化了cookie合規(guī)性，這已經(jīng)轉(zhuǎn)化為大量的許可請(qǐng)求。監(jiān)管機(jī)構(gòu)希望在5月份之前完成ePrivacy并使之生效，以便正式推出GDPR。

 

但是，如果ePrivacy和GDPR都包含處理相同情況的法規(guī)，則以ePrivacy規(guī)則為準(zhǔn)。目前正在審查的ePrivacy草案不包括處理合法利益的法律依據(jù)，因此2018年5月起，營(yíng)銷者能夠處理數(shù)據(jù)的唯一法律依據(jù)可能就是許可。（在某些情況下，合同的履行可能會(huì)成為法律依據(jù)。）

 

經(jīng)過修訂的ePrivacy規(guī)定較有可能在5月份無(wú)法獲得批準(zhǔn)。畢竟GDPR用了四年的時(shí)間才能通過，而ePrivacy草案是從今年一月份以來(lái)才開始審核修訂。

數(shù)據(jù)技術(shù)公司Acxiom全球首席隱私官Sheila Colclasure表示：“目前，ePrivacy與GDPR不一致，所以我們有一個(gè)缺口。我們需要確保Cookie法認(rèn)可合法利益，并且不會(huì)破壞創(chuàng)新。但是，如果ePrivacy與GDPR無(wú)法同時(shí)生效，那針對(duì)ePrivacy的執(zhí)行仍然存在一個(gè)灰色地帶。”

 

無(wú)論哪種方式，如果ePrivacy 條例不包括合法利益，“這對(duì)于廣告技術(shù)公司來(lái)說(shuō)是個(gè)壞消息，”國(guó)際隱私專業(yè)協(xié)會(huì)研究和教育副總裁Omer Tene說(shuō)。

Omer Tene說(shuō)：“除非有合法利益修改，否則很難看出廣告技術(shù)公司將如何遵守ePrivacy。 這對(duì)廣告代理商來(lái)說(shuō)是非常重要的。”

 

特別是考慮到違規(guī)的可能性。 ePrivacy草案中規(guī)定的罰款與GDPR中的罰款密切相關(guān)：高達(dá)2000萬(wàn)歐元，即全球年?duì)I業(yè)額的4％。

 

GDPR的誤解
對(duì)GDPR較大的誤讀就是，不在歐洲的公司不必?fù)?dān)心GDPR。這不對(duì)。 GDPR對(duì)歐盟公民的個(gè)人資料擁有管轄權(quán)，無(wú)論在哪里（進(jìn)行數(shù)據(jù)）處理。

 

Omer Tene說(shuō)：“GDPR將在歐盟誕生，但它適用于世界上任何以歐洲受眾為目標(biāo)服務(wù)的公司，以有意義的方式收集個(gè)人數(shù)據(jù)或定期監(jiān)控歐洲人的信息。與以前你必須在場(chǎng)才受到數(shù)據(jù)保護(hù)指令的政權(quán)相比，這是一個(gè)巨大的變化。”

 

無(wú)論如何，許多中小型廣告技術(shù)公司和營(yíng)銷技術(shù)公司似乎都采取觀望GDPR的方法。而這不是一個(gè)明智之舉，Evidon的 Todd Ruback說(shuō)。

 

“他們沒有積極主動(dòng)地應(yīng)對(duì)，這是一個(gè)糟糕的商業(yè)戰(zhàn)略，特別是當(dāng)媒體方和品牌主已經(jīng)與他們的數(shù)字化供應(yīng)商達(dá)成協(xié)議，并調(diào)整了他們與第三方之間的免責(zé)條款。”Todd Ruback說(shuō)。

 

公司正在開始獲得提示。根據(jù)國(guó)際隱私專業(yè)人員協(xié)會(huì)和安永會(huì)計(jì)師事務(wù)所10月份發(fā)布的聯(lián)合年度治理報(bào)告，95％的受訪者（75％位于歐盟以外）認(rèn)為GDPR適用于他們，而美國(guó)的50％公司認(rèn)為GDPR法規(guī)正在推動(dòng)他們的隱私計(jì)劃。

 

隱私盾
隱私盾（Privacy Shield）是取代避風(fēng)港條款（Safe Harbor）的歐盟-美國(guó)數(shù)據(jù)傳輸協(xié)議。 它在十月中旬通過了第一次年度審查，這意味著歐洲官員認(rèn)為它提供了適當(dāng)?shù)目缇硵?shù)據(jù)保護(hù)。在2018年5月之前通過Privacy Shield進(jìn)行自我認(rèn)證是美國(guó)公司確保其擁有有效機(jī)制在歐盟和美國(guó)之間傳輸個(gè)人數(shù)據(jù)的一種方法。

同樣，隱私保護(hù)只適用于國(guó)際數(shù)據(jù)傳輸，并不保證遵守GDPR的其他關(guān)鍵原則，包括獲得許可，進(jìn)行隱私影響評(píng)估和任命數(shù)據(jù)保護(hù)人員等。

 

清單
GDPR是一個(gè)龐大的立法文件，有99個(gè)密集的文章，要確保合規(guī)性并不容易。在處理更棘手的問題之前，先處理更簡(jiǎn)單的問題。

 

Todd Ruback表示：“監(jiān)管機(jī)構(gòu)需要的只是一臺(tái)瀏覽器，一臺(tái)筆記本電腦和一系列網(wǎng)站，以查看誰(shuí)是透明的。你是否有消費(fèi)者中心，并可以用簡(jiǎn)單的方式遞交你的數(shù)據(jù)行為，以及讓個(gè)人控制他們的個(gè)人數(shù)據(jù)？在監(jiān)管機(jī)構(gòu)開始深入公司內(nèi)部流程并查看是否實(shí)現(xiàn)信息可被遺忘的權(quán)利之前，這是他們較容易施行的所在。”

 

確定您的公司是控制方還是處理方。這將影響法規(guī)對(duì)你產(chǎn)生怎樣的影響。

 

進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估（DPIA）：對(duì)數(shù)據(jù)流程進(jìn)行風(fēng)險(xiǎn)分析。第一步是繪制數(shù)據(jù)流導(dǎo)圖，并清楚地了解你從哪里收集數(shù)據(jù)、與誰(shuí)共享數(shù)據(jù)、數(shù)據(jù)泄漏的可能性以及您如何維護(hù)，保留和保護(hù)數(shù)據(jù)。 DPIA幫助企業(yè)弄清楚他們是否符合GDPR和/或他們還需要做多少工作才能滿足。

 

看看你的合同：檢查你的供應(yīng)鏈合作伙伴，以確定你與合作伙伴的協(xié)議是否是新的，并包括與GDPR有關(guān)的條款。例如，如果出現(xiàn)違反或執(zhí)法的情況，該怎么辦。這可以是DPIA流程的一部分。

 

需要一個(gè)DPO嗎？一家公司是否需要任命一名數(shù)據(jù)保護(hù)官員取決于其數(shù)據(jù)追蹤的范圍和規(guī)模。法律規(guī)定：“定期和系統(tǒng)的大規(guī)模監(jiān)督”但是擁有DPO永遠(yuǎn)比沒有DPO好。

 

文檔：控制方必須證明，表現(xiàn)他們完成的數(shù)據(jù)處理符合GDPR的標(biāo)準(zhǔn)，包括（用戶）許可選擇，數(shù)據(jù)保存和管理的內(nèi)部政策。如果一個(gè)數(shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)敲門，你需要手頭的書面證明。