欧盟的通用数据保护条例 (GDPR) 将于今年 5 月 25 日生效。 以防万一你不是一个大读者（我也不是），我们决定创建这个“CliffsNotes”版本来帮助你为即将到来的法规做好准备。 对于那些仍然想阅读 GDPR 全文的人，我警告你这是公平的，它包含大量的法律术语和令人困惑的行话。 因此，为了帮助您完成它，我们在本文末尾包含了一个快速词汇表，以更好地帮助理解其中的术语和概念。

GDPR – “CliffsNotes”版本

GDPR 是一个法律框架，为欧盟 (EU) 内个人信息的收集和处理制定了指导方针。 它标准化了所有 28 个欧盟国家（以及从其成员那里收集数据的国家）的数据保护法，并对控制和处理个人身份信息施加了严格的新规则。 根据欧盟委员会的说法，“个人数据是与个人有关的任何信息，无论是与他或她的私人、职业或公共生活有关。 它可以是姓名、家庭住址、照片、电子邮件地址、银行详细信息、社交网站上的帖子、医疗信息或计算机 IP 地址等任何内容。” GDPR 由许多关键原则组成，其中一些概述如下：

处理的合法依据

除非至少有一个合法依据，否则不得处理数据：

• 数据主体已同意出于一个或多个特定目的处理个人数据。
• 处理对于履行数据主体作为一方的合同或在签订合同之前应数据主体的要求采取措施是必要的。
• 处理对于遵守控制者所承担的法律义务是必要的。
• 处理对于保护数据主体或其他自然人的切身利益是必要的。
• 处理是为了公共利益或行使控制者的官方权力而执行的任务的执行所必需的。
• 为了控制者或第三方追求的合法利益，处理是必要的，除非这些利益被数据主体的利益或基本权利和自由所凌驾，这需要保护个人数据，特别是如果数据对象是一个孩子。

同意

“同意必须明确并与其他事项区分开来，并以清晰易懂的形式提供，使用清晰明了的语言。” 这意味着您的客户不能被迫同意或不知道他们同意处理他们的个人数据。 还必须事先告知他们撤回同意的权利，并确切知道他们在给予同意时同意什么。

访问权、数据可移植性和删除权

收集后，保留记录并能够证明同意的内容以及同意的目的。 您需要知道（并记录）正在收集哪些数据、如何使用、存储在哪里、谁可以访问它以及需要多长时间。 不要将这些数据用于收集时给出的原因之外的任何其他原因。

• 访问权 - 为数据主体提供更新其信息或制定程序来处理信息更新请求的能力
• 数据可移植性——能够以通用格式向数据主体提供所有数据的副本
• 被遗忘权 – 准备好处理数据主体提出的删除所有数据的请求，并在 30 天内制定相应流程

报告数据泄露

GDPR 还包含一项新要求，即数据控制者有法律义务在得知个人数据泄露后 72 小时内通知监管机构 (DPC)，除非数据是匿名或加密的。 此外，如果违规行为可能给数据主体带来损害，也必须在同一时期内向受影响的个人报告。

设计隐私和 DPIA

开发新系统的公司将需要将数据保护设计到产品和服务的业务流程开发中。 默认情况下，隐私设置必须设置在较高级别，并且控制者应采取措施确保数据处理在产品或服务的整个生命周期内符合法规。

不确定您的网站或营销计划是否符合要求？ 我们很高兴与您聊天，以查看您当前的情况，并就您需要遵守的事项提供一些反馈。

快速探地雷达词汇表

数据主体：居住在欧盟的人。

个人数据：与已识别/可识别数据主体相关的任何信息（姓名、身份证号码、地址、IP 地址等）

控制者：收集人们的个人数据并决定如何处理这些数据的公司或组织。 示例 - 公司，您作为营销人员，为

处理器：通过根据其指令“处理”数据来帮助控制者的公司或组织，但不决定如何处理数据。 示例 – 谷歌通过谷歌分析

数据处理：通过自动化方式或其他方式对个人数据或个人数据集执行的任何操作或操作集，例如收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供、对齐或组合、限制、删除或破坏而披露。

数据保护官 (DPO)：负责监督 GDPR 合规性并且是数据隐私专家的控制者/处理者的代表。

数据隐私影响评估 (DPIA)：对特定类型处理的有用性、风险和风险缓解选项的记录评估。

监管机构：以前称为“数据保护机构”； 成员国中负责监督该国数据隐私执法的一个或多个政府机构（例如，爱尔兰的数据保护专员办公室、德国的 18 个国家/地区当局）。