这个专栏可以在名为IT最佳实践的每周时事通讯中找到。点击这里订阅。
贵公司是否从事国际业务,特别是与欧盟(EU)内的客户开展业务?如果是这样,那么您需要关注数据隐私和数据主权方面正在发生的事情。巨大的变化正在进行中,它们可能会对您管理客户信息的方式产生影响。
在12月底,欧洲委员会(EC)批准了该协议的最终版本一般资料保护规例(GDPR)。这是对欧盟1995年数据保护规定(指令95/46/EC)的一次大规模修订,考虑到过去20年的技术发展和全球化,这些规定已经相当过时。欧盟委员会自2012年以来一直致力于GDPR的工作,以加强网络隐私权和促进欧洲的数字经济。
GDPR中的一些条款将对欧盟以外的许多企业产生重大影响。虽然GDPR是一项欧洲法规,但这些条款适用于向欧盟居民(称为数据主体)提供商品或服务的任何实体(称为数据处理器或数据控制器)。
值得庆幸的是,该规定规定,欧盟居民可访问的面向商业的网站并不构成提供商品或服务。商户必须表明有意吸引欧盟居民成为其客户;例如,通过使用当地语言或支付面额。然而,还有许多其他的方式可以使企业陷入这些规定中。
以下是对商业企业更相关的GDPR的几个方面:
- 必须明确告知个人,他的信息将被收集和/或处理,以及用于什么特定目的。如果这些信息将被用于多种目的——比如除了处理订单之外的营销或数据分析目的——个人必须被告知每一个目的。同意不能被暗示,必须被明确地给予。征求同意的请求必须清楚和简明,不能在不寻常的情况下提出。
- 数据控制器可以保存个人数据的时间长度是有限的。在此期间结束时,必须删除或审查数据。
- 数据控制器或处理器的标识必须是透明和清晰的。个人应知悉处理个人资料的风险、规则、保障及权利,以及如何行使处理个人资料的权利。
- 资料管制员必须提供一种方法,让资料当事人要求查阅其资料、改正、删除及撤回同意使用资料的权利。此外,资料当事人应有权撤销其处理同意,以抹去其资料及不再处理其资料。
- 应告知资料当事人有关档案的存在,以及这种档案的后果。
- 当数据控制器(例如,企业)使用数据处理器(例如,云服务提供商)代表控制器处理数据时,处理器必须满足本条例对处理安全性的所有要求。这包括实施必要的技术和组织措施来满足需求。管制员或处理机应保持其负责的所有类别的处理活动的记录。
- 数据管制员须在涉及未加密数据的资料被违反后72小时内通知资料当事人。
- 任何转移到欧盟以外进行处理的数据(例如将数据放入云应用程序)都要遵守GDPR的所有规定。
我可以一直讲下去。这些要点只是开始触及在新规下如何处理个人资料的规格。然而,您可以看到,规范可能会对公司现在的业务方式产生很大的影响。
GDPR允许企业用两年时间评估新规定,并采取适当措施确保合规。该规定允许对不合规行为实施重大处罚,包括最高为每年全球销售额2%或100万欧元的行政罚款。
在2015年卵子研究报告中数据隐私法:减少繁文缛节三分之二的受访者表示,他们预计该法案将迫使他们改变欧洲业务战略。一些公司可能会完全放弃欧盟市场,而不是把钱和精力花在遵守新规定上。超过一半的受访者预计,他们的公司将因违法行为被课以罚金。
如果你甚至认为这一规定会对你的业务产生影响,那么你就没有时间浪费在评估形势和制定你的前进计划上了。