大家都在谈论GDPR,但它到底是什么呢?它适用于哪些组织?它对市场和平台有何影响?我们希望对这些问题做出一些解释。
GDPR是什么?
《一般数据保护条例》(GDPR)是一项将于2018年5月25日生效的欧洲法规,它将取代1995年的《数据保护指令》和欧盟(EU)的国家数据保护法。
GDPR的目的在于,在欧盟范围内制定统一的标准,规范在欧盟收集、使用和分享数据主体个人数据的方式。
GDPR保护哪些信息?
GDPR对个人数据采取比平常更广泛的定义,包括“与确定的或可识别的自然人有关的任何信息(数据主体);可识别的自然人是可以直接或间接,特别是通过参考诸如姓名、身份证件号码、位置数据、在线标识符之类的标识符进行识别的自然人,或者通过物理、生理、遗传、精神、经济、文化或社会身份方面的一个或多个因素识别的自然人”。
因此在某些情况下,该定义可涵盖IP地址、移动设备ID、电子邮件地址、Cookie和其他在线标识符。
GDPR要求适用于哪些组织?
GDPR适用于跨境组织,在欧盟建立的组织在其活动过程中处理个人数据时要遵守该条例的相关要求(欧盟和非欧盟数据主体)。它也适用于欧盟的非正式或非实体形式的非欧盟组织,只要此类非欧盟组织向欧盟的数据主体(主体在欧盟范围内)提供商品或服务或监控其行为(例如互联网使用情况分析),便要受该条例约束。
“处理”行为涵盖组织的各种行为,如收集、记录、整理、存储、改编或更改、检索、咨询、通过传播披露、传播或以其他方式共享、校正或合并、删除或销毁等等。
通常要求这些非欧盟组织指定一个在欧盟成员国建立的代表处,在此处理个人数据或监控数据主体行为。“建立”一词有多种解释,因此,判断组织是否是在欧盟建立的,应该分情况区别对待。
关键要素
GDPR规定了一些关键要素和义务,这些要素和义务会影响组织应该了解和实施的内容,例如:
制裁
违反GDPR要求的组织可能面临严厉的行政和经济制裁,包括高达两千万欧元或者该组织上一财年全球全年总营业额4%的罚款。
GDPR对您有何影响?
作为一家商业公司(例如在全球销售或以其他方式提供商品或服务并处理个人数据的市场或数字平台),您应该了解GDPR是否适用于您的组织以及对您的组织的影响。您的组织收集、存储或处理的个人数据可能是卖家、客户、供应商甚至是网站随机访问者的数据。
GDPR对组织的适用性不受规模和收入限制,甚至无关是否在欧盟有正式存在形式。 如果您在欧盟收集、持有、处理或访问可用于识别数据主体的信息,则可能需遵守GDPR的要求。
首先,您应该了解为欧盟数据主体提供“商品和服务”的标准。可以在欧盟访问您的网站吗?您使用欧盟语言和货币吗?您是否针对欧盟进行宣传推广?
我们以总部设在新加坡、销售手工领带的组织为例。该公司在欧盟既没有办事处也没有设立分公司,但在网上销售产品。该公司面向欧盟客户开展有针对性的宣传推广,甚至其网站有针对欧盟的翻译页面。该组织在注册和创建账户时收集个人数据,包括注册商名称和电子邮件地址。那么GDPR适用于该组织吗?答案是肯定的。
GDPR新的管理体制赋予组织更多责任;现在组织有责任确认其处理的数据已得到应有的保护。有时GDPR只提供一个框架或指导方针,组织必须确定自己是否是个人数据的控制方或处理方,并确保正确存储和保护个人数据。
您应该提出的几个关键问题
您应该问自己几个问题,以确保做好遵循GDPR要求的准备:您收集什么性质的个人数据?您打算收集更多类型的信息吗?如何收集、处理和存储数据?处理的性质是什么?目前需要更新和制定哪些政策?您的隐私政策是否充分说明了信息使用方式?您需要任命数据处理官吗?您收集信息的法律依据是什么?您是否会征得数据主体同意?您能否充分尊重数据主体的权利?您是否采取了足够的安全措施?在考虑GDPR合规性问题时,需要解决这些问题以及更多问题。
随着GDPR实施的逐渐临近,个人对自身权利和数据收集者责任的认识越来越深入。
为迎接GDPR的实施,Payoneer都做了哪些工作呢?
在Payoneer,我们收集、使用和共享客户、合作伙伴和供应商个人数据的方式非常安全且高度透明,为此,我们十分自豪。我们正努力为GDPR的实施做准备,更新我们的政策并重新整理涉及数据主体访问和其他权利的程序,并采取各种措施,以确保完全符合GDPR的要求。
请注意,本文只是粗略介绍了一些我们认为了解GDPR的关键问题,并未做到详实全面。对于GDPR与您的组织的具体关系,我们建议您自己进行有针对性的分析。