歐盟的通用數據保護條例 (GDPR) 將於今年 5 月 25 日生效。 以防萬一你不是一個大讀者（我也不是），我們決定創建這個“CliffsNotes”版本來幫助你為即將到來的法規做好準備。 對於那些仍然想閱讀 GDPR 全文的人，我警告你這是公平的，它包含大量的法律術語和令人困惑的行話。 因此，為了幫助您完成它，我們在本文末尾包含了一個快速詞彙表，以更好地幫助理解其中的術語和概念。

GDPR – “CliffsNotes”版本

GDPR 是一個法律框架，為歐盟 (EU) 內個人信息的收集和處理制定了指導方針。 它標準化了所有 28 個歐盟國家（以及從其成員那裡收集數據的國家）的數據保護法，並對控制和處理個人身份信息施加了嚴格的新規則。 根據歐盟委員會的說法，“個人數據是與個人有關的任何信息，無論是與他或她的私人、職業或公共生活有關。 它可以是姓名、家庭住址、照片、電子郵件地址、銀行詳細信息、社交網站上的帖子、醫療信息或計算機 IP 地址等任何內容。” GDPR 由許多關鍵原則組成，其中一些概述如下：

處理的合法依據

除非至少有一個合法依據，否則不得處理數據：

• 數據主體已同意出於一個或多個特定目的處理個人數據。
• 處理對於履行數據主體作為一方的合同或在簽訂合同之前應數據主體的要求採取措施是必要的。
• 處理對於遵守控制者所承擔的法律義務是必要的。
• 處理對於保護數據主體或其他自然人的切身利益是必要的。
• 處理是為了公共利益或行使控制者的官方權力而執行的任務的執行所必需的。
• 為了控制者或第三方追求的合法利益，處理是必要的，除非這些利益被數據主體的利益或基本權利和自由所凌駕，這需要保護個人數據，特別是如果數據對像是一個孩子。

同意

“同意必須明確並與其他事項區分開來，並以清晰易懂的形式提供，使用清晰明了的語言。” 這意味著您的客戶不能被迫同意或不知道他們同意處理他們的個人數據。 還必須事先告知他們撤回同意的權利，並確切知道他們在給予同意時同意什麼。

訪問權、數據可移植性和刪除權

收集後，保留記錄並能夠證明同意的內容以及同意的目的。 您需要知道（並記錄）正在收集哪些數據、如何使用、存儲在哪裡、誰可以訪問它以及需要多長時間。 不要將這些數據用於收集時給出的原因之外的任何其他原因。

• 訪問權 - 為數據主體提供更新其信息或製定程序來處理信息更新請求的能力
• 數據可移植性——能夠以通用格式向數據主體提供所有數據的副本
• 被遺忘權 – 準備好處理數據主體提出的刪除所有數據的請求，並在 30 天內製定相應流程

報告數據洩露

GDPR 還包含一項新要求，即數據控制者有法律義務在得知個人數據洩露後 72 小時內通知監管機構 (DPC)，除非數據是匿名或加密的。 此外，如果違規行為可能給數據主體帶來損害，也必須在同一時期內向受影響的個人報告。

設計隱私和 DPIA

開發新系統的公司將需要將數據保護設計到產品和服務的業務流程開發中。 默認情況下，隱私設置必須設置在較高級別，並且控制者應採取措施確保數據處理在產品或服務的整個生命週期內符合法規。

不確定您的網站或營銷計劃是否符合要求？ 我們很高興與您聊天，以查看您當前的情況，並就您需要遵守的事項提供一些反饋。

快速探地雷達詞彙表

數據主體：居住在歐盟的人。

個人數據：與已識別/可識別數據主體相關的任何信息（姓名、身份證號碼、地址、IP 地址等）

控制者：收集人們的個人數據並決定如何處理這些數據的公司或組織。 示例 - 公司，您作為營銷人員，為

處理器：通過根據其指令“處理”數據來幫助控制者的公司或組織，但不決定如何處理數據。 示例 – 谷歌通過谷歌分析

數據處理：通過自動化方式或其他方式對個人數據或個人數據集執行的任何操作或操作集，例如收集、記錄、組織、構建、存儲、改編或更改、檢索、諮詢、使用、通過傳輸、傳播或以其他方式提供、對齊或組合、限制、刪除或破壞而披露。

數據保護官 (DPO)：負責監督 GDPR 合規性並且是數據隱私專家的控制者/處理者的代表。

數據隱私影響評估 (DPIA)：對特定類型處理的有用性、風險和風險緩解選項的記錄評估。

監管機構：以前稱為“數據保護機構”； 成員國中負責監督該國數據隱私執法的一個或多個政府機構（例如，愛爾蘭的數據保護專員辦公室、德國的 18 個國家/地區當局）。