GDPR 指南:通用数据保护条例

已发表: 2021-03-09

2018 年 5 月通过的通用数据保护条例 (GDPR) 旨在保护公民免受由于疏忽或不良行为者造成的数据泄露。 欧洲法规是试图让消费者的数字环境更加安全的众多法规之一:加利福尼亚的 CCPA、巴西的 LGPD、中国的 PIPL、加拿大的 PIPEDA。

GDPR 是对欧洲公众对数据隐私日益关注的回应。 欧盟已使用该法规来保护欧盟和欧洲经济区的数据保护,并严格执行规则、调查权和对违规行为或数据泄露事件处以巨额罚款。

GDPR 为消费者提供数据保护,包括:

  1. 知情权
  2. 访问权
  3. 整改权
  4. 删除权
  5. 限制处理的权利
  6. 数据可移植性的权利
  7. 反对权
  8. 与自动决策和分析相关的权利

谁需要关心 GDPR 合规性

不用说,如果您是一家欧洲公司,或者一家在欧洲开展任何业务的公司,您需要了解 GDPR 的要求。

美国的企业也应该注意 GDPR,因为尽管该法规是针对欧洲的,但它会影响到欧盟和欧洲经济区以外也处理欧洲消费者数据的企业。 全球经济不是孤立的,溢出效应很大; 您应该检查与您合作的供应商,以确保他们符合合规要求以避免任何责任。

如果您是一家电子商务公司,那么您作为商家就是负责消费者数据的数据控制者。 选择合适的合作伙伴将是您实现完全合规的一部分。 例如,Shopify 拥有大量 GDPR 相关资源,可帮助您了解自己的义务并证明自己的合规性。

美国消费者也应该对 GDPR 感兴趣,因为它可能在他们不知情的情况下使他们受益。 GDPR 不仅为欧洲公民提供保护,还为任何数据在欧洲被贩卖的消费者提供保护,例如度假或出差的消费者。 它还应该提醒人们哪些数据在美国受到保护,哪些不受保护。

消费者对数据保护的态度

RSA 数据隐私和安全报告对法国、德国、意大利、英国和美国的 7,500 多名消费者进行了调查,了解“隐私、数据和法规对他们与企业的关系的影响”。

它表明了对在线营销人员的不信任和对黑客的恐惧,因为“超过 40% 的受访者承认在在线注册产品和服务时会伪造个人信息和数据”,以避免被营销或丢失敏感数据。

80% 的受访者将金融和银行信息列为数据泄露中数据泄露的担忧,以及他们的密码 (76%) 和护照和驾驶执照等身份信息 (72%) 的担忧。

其他有趣的人口统计数据包括 51% 的德国受访者对他们的基因数据持保护态度,51% 的年轻千禧一代(18-24 岁)担心个人信息被用于勒索。

建立一个消费者可以信任的在线空间势在必行,但也有激励企业改进其数据安全实践的动力:82% 的英国受访者声称他们会抵制一家不断证明他们不尊重数据安全的公司保护客户数据。

尽管抵制的威胁可能不足以激励公司进行自我监管,但欧洲国家已经制定了一个实质性和渐进的监管框架,迫使公司认真对待数据安全问题,他们并不害怕征收巨额罚款以证明问题的严重性。

GDPR 保护哪些类型的个人数据

作为 GDPR 广泛合规法规的一部分,公司必须保护消费者数据,包括:

  • 个人身份信息 (PII),例如姓名、地址和身份证号码。
  • Web 数据,例如 IP 地址、cookie 数据和 RFID 标签。
  • 健康和遗传数据。
  • 政治观点。
  • 性取向。

GDPR 的好处

GDPR 是彻底和进步的。 征收的高额罚款可能惹恼了谷歌,但它们是达到目的的一种手段——一个更安全、更安全的数字环境,可以保护消费者并让公司对设计更好的系统负责。 苹果首席执行官蒂姆库克曾表示,“这应该是世界各地的法律”,政府应该为消费者数据隐私采取立场。

尽管 GDPR 可能不适用于所有北美公司,但作为数据安全实践的早期采用者对您的业务是有益的。 Michael Fimin 在《福布斯》杂志上撰文,承认 GDPR 合规的五个好处。

1. 加强网络安全

GDPR“要求组织确定其安全策略并采取适当的管理和技术措施来保护欧盟公民的个人数据。” 实施这些做法可以保护您的数据并提高您的网络安全。

2. 改进的数据管理

在审查您的数据收集和存储时,“摆脱组织保留的冗余、过时和琐碎 (ROT) 文件”,并使您的数据可搜索。 如果您的系统精简、可索引和可​​搜索,您的员工将更有效率。

3. 通过更多合格的潜在客户提高投资回报率

当您将 cookie 政策更改为用户必须选择加入的政策时,您可能拥有一个较小的数据池,但因为该池中的每个人都必须积极做出决定以允许您使用他们的数据,所以他们应该被认为更有资格。

4. 消费者信任

消费者担心他们的数据是如何被收集、使用和暴露在网上的风险中的。 超越美国的要求,将您的客户数据保护到 GDPR 标准,这凸显了您对他们的个人数据的重视程度以及您对数据泄露威胁的重视程度。

5.市场差异化

作为早期采用者有很多好处。 在后期采用者进入该领域之前,您可以通过多次数据安全实践迭代来完善您的系统,您可以预见任何未来法规的要求,并且可以在强制性或可执行之前实现合规性,这将使您在海洋中脱颖而出尚未在数据安全方面采取行动的竞争对手。 正如 Fimin 所说,GDPR 合规性是您“实施珍视人类隐私的新商业文化”的机会。 GDPR 是您脱颖而出的机会。”

GDPR 的缺点

对如此严格的法规的担忧是,合规成本可能是新公司进入数字领域的障碍,数字领域被认为是一种奖励新公司风险、创新和破坏的环境。 与市场上已经存在的较大竞争对手相比,快速扩张的公司可能缺乏竞争力。

对于较大的公司或处理大量个人数据的公司,雇用或提升负责保护数据和遵守欧洲当局的数据保护官会产生相关成本。 罚款可能很重且具有劝阻性,但与合规相关的成本也是如此。 额外的开销可能是 SMB 的丧钟。

合规性是需要积极管理的东西。 小公司可能无法以与大公司相同的能力跟上合规性。 这保留了这些大公司已经拥有的竞争优势。

公司如何收集、存储和使用数据的限制将影响许多中小企业所依赖的广告技术方面。 如果没有出于营销目的而对质量数据的洞察力,公司将难以接触到他们的目标受众,并且可能会为消费者提供相关性较低的广告。 当正确的产品出现在正确的眼前时,伟大的广告对消费者和广告商都有好处。

对 GDPR 的另一个批评是它走得太远了,过度监管将导致消费者不断被要求在线征得同意。 要么用户会看到持续不断的 cookie 横幅,要么公司不会首先收集敏感数据,而是使用替代数据分析来实现合规性,而无需向网站访问者提出任何选择加入请求。

如何实现 GDPR 合规

数据隐私是一个全球性问题,GDPR 影响任何处理欧盟居民数据的公司。 如果您的网站使用分析软件收集用户数据,则此规定会影响您,您必须从选择退出切换到选择加入数据收集。

审核您正在收集的数据。

了解您处理的数据类型、存储方式以及组织中的哪些人可以访问这些数据。 监控从您的网站收集数据的供应商,并检查他们关于遵守 GDPR 的声明。

解决各个级别的隐私问题。

不要只关注系统的设计方式或信息的存储方式,还要关注谁可以本地访问帐户。

采取基于风险的方法。

数据安全合规需要协作; 收集组织中每个人的见解和意见。 通过共同确定您最大的风险并确定其修复的优先级,您可以有效地识别您的风险并实现合规性。

数据控制

欧洲消费者现在对其个人数据的收集方式和使用方式拥有扩展权利,但他们也拥有“数据可移植性”的权利,这意味着他们可以要求提供有关他们的个人数据的副本或要求予以纠正或删除。

在数字空间和任何级别传输个人数据方面投入巨资的企业将不得不开发实践和技术,使他们能够轻松遵守法规。

  • 持续监控和保护数字资产。
  • 采取适当的控制措施来保护数据免遭泄露。
  • 在“合理的时间内”向数据主体提供数据。

如果您不遵守会发生什么:GDPR 处罚

对 GDPR 的高调处罚是巨大的。 在新规则实施的第一年,谷歌被处以 5000 万欧元的罚款。 Intersoft Consulting 在 GDPR 罚款中写道,这些罚款旨在“对每个案例都有效、相称且具有劝阻性”。

该法规采用两级精细结构来惩罚公司:

轻微侵权“将被处以最高 1000 万欧元的行政罚款,或者就企业而言,最高可达上一财政年度全球年营业额的 2%,以较高者为准。”

严重违规行为“将被处以最高 2,000 万欧元的行政罚款,或者就企业而言,最高可达上一财政年度全球总营业额的 4%,以较高者为准。”

可以根据以下因素决定处罚:

  • 侵权的性质、严重性和持续时间,考虑到相关处理的性质范围或目的以及受影响的数据主体的数量和他们遭受的损害程度。
  • 侵权行为的故意或过失性质。
  • 控制者或处理者为减轻数据主体遭受的损害而采取的任何行动。
  • 考虑到他们实施的技术和组织措施,控制者或处理者的责任程度。
  • 控制者或处理者之前的任何相关侵权行为。
  • 与监管机构的合作程度,以纠正侵权行为并减轻侵权行为可能产生的不利影响。
  • 受侵权影响的个人数据类别。
  • 侵权行为被监管机构知晓的方式,特别是控制者或处理者是否以及在多大程度上通知了侵权行为。
  • 如果第 58 条第 2 款所述的措施先前已针对同一主题对相关的控制者或处理者下达命令,则应遵守这些措施。
  • 遵守根据第 40 条批准的行为准则或根据第 42 条批准的认证机制。
  • 适用于案件情况的任何其他加重或减轻因素,例如直接或间接从侵权中获得的经济利益或避免的损失。

违反 GDPR 的平均罚款是多少?

GDPR 于 2018 年 5 月成为法律,仅在当年剩下的时间里,就有 91 起罚款总额为 55,955,871 欧元。 在大多数情况下,备受关注的是备受瞩目的巨额罚款,但并非所有 GDPR 罚款都被公布或成为头条新闻。 当您从数据中删除交给 Google 的 5000 万欧元异常罚款时,一家公司面临的 GDPR 平均罚款约为 66,000 欧元。

荷兰数据保护局 (DPA) 于 2019 年 3 月发布了处罚违规行为的指南。他们根据违规的严重程度开发了一个分级处罚系统,分为四类。

I 类适用于简单或文书违规的情况,例如“未能分享公司数据保护官 (DPO) 的联系方式或未充分记录处理者或联合控制者的责任”。 罚款范围为 0 – 200,000 欧元; 标准罚款 100,000 欧元。

当公司不履行特定的 GDPR 义务和要求时,II 类适用。 罚款范围为 120,000 欧元至 500,000 欧元; 标准罚款 310,000 欧元。

当公司拒绝对其用户或荷兰数据保护局 (DPA) 保持透明、拒绝将违规情况通知 DPA 或拒绝与 DPA 合作时,适用 III 类。 罚款范围为 300,000 欧元至 750,000 欧元; 标准罚款 525,000 欧元。

当公司从事敏感数据的非法处理、非法分析或拒绝遵守荷兰 DPA 的特定指令时,第四类适用。 罚款范围为 450,000 欧元至 1,000,000 欧元; 标准罚款 725,000 欧元*
*仅适用于 20,000,000 欧元/年营业额的 4% 的情况

GDPR 执行的显着实例

2020 年秋季,在 2018 年发生对消费者造成不利影响的单独数据泄露事件后,万豪和英国航空公司均被处以巨额罚款。

英国航空公司 | 2585 万美元 | 英国,2020

英国航空公司被罚款 2585 万美元,其 40 万客户的数据在数据泄露中受到损害。 在调查发现他们一直在处理“大量个人数据而没有采取足够的安全措施”后,信息专员办公室 (ICO) 对他们处以罚款是因为他们的数据安全漏洞。

尽管罚款是 ICO 开出的最大罚款,但在考虑到 Covid-19 对航空业的经济影响之前,他们最初提议罚款 2.29 亿美元。 ICO 还赞扬 BA 在攻击后“显着改善其 IT 安全性”并遵守调查员的要求——这两者都有助于降低最初的罚款总额。

万豪国际 | 2380 万美元 | 英国,2020

2020 年,万豪酒店因数据泄露事件被处以 2,380 万美元的罚款,该数据泄露事件导致 3.39 亿条宾客记录泄露,影响了整个欧盟的 3,000 万用户。 万豪案的有趣之处在于,最初的违规行为可追溯到 2014 年,但直到 2018 年才被发现,并且“处罚仅涵盖自 2018 年 5 月 25 日(GDPR 生效之时)以来的违规行为部分” 。”。

与英国航空公司的罚款一样,在万豪罚款前几周,英国政府将罚款总额从 1.23 亿美元降低到了 Covid-19 的经济影响以及公司的缓解努力和合规性。

谷歌 | 5700 万美元 | 法国,2018

自 GDPR 成立以来,谷歌一直是法国数据监管机构的愤怒。 2018 年,该公司因“在广告个性化方面缺乏透明度、信息不足和缺乏有效同意”而被罚款 5000 万欧元。

谷歌 | 1.21亿美元| 法国,2020

2020 年底,法国监管机构再次对谷歌处以 1 亿欧元的罚款,尽管谷歌目前正在法庭上与该金额作斗争。 罚款是因为当用户访问 google.fr 时,“在他们采取任何行动之前,他们的终端设备上放置了七个 cookie。”

亚马逊 | 4200 万美元 | 法国,2020

亚马逊还因同样的 cookie 违规行为被法国监管机构罚款 3500 万欧元。 法国当局认定,谷歌和亚马逊都不符合“为用户提供事先、清晰和完整信息的要求,也不符合获得他们同意的要求,并且反对这些 cookie 的机制存在部分缺陷。”

H&M | 4130 万美元 | 德国,2020

虽然 GDPR 执法的其他引人注目的例子是由于消费者受到数据泄露和公司行为的影响,但 H&M 的罚款是因为非法监视其在德国的员工。

汉堡数据保护局 (HmbBfDI) 宣布罚款,这是自 GDPR 实施以来德国最大的罚款,此前该公司被发现过度监控其员工的私人生活。 至少从 2014 年开始,一些工作人员就被“广泛记录他们的私人生活细节”。

“在假期和病假等缺勤后,监督团队负责人与员工进行了所谓的欢迎回来会谈。 在这些会谈之后,在许多情况下,不仅记录了员工的具体假期经历,还记录了疾病和诊断的症状,”HmbBfDI 说。 “此外,一些主管通过个人和现场谈话获得了对员工私生活的广泛了解,从相当无害的细节到家庭问题和宗教信仰。”

2019 年 10 月,在内部错误导致信息可以访问数小时后,数据收集实践被曝光。 汉堡数据保护和信息自由专员约翰内斯·卡斯珀教授在谈到罚款时说:“因此,罚款金额足以有效阻止公司侵犯员工隐私。”

我们对 GDPR 的看法

GDPR 是一项进步和全面的法案,它为保护消费者的数据保护设定了标准,这对个人来说是一件好事。 处罚旨在相称且有效,以迫使公司了解数据保护问题的严重性并劝阻违规行为。

我是欧洲人,所以我可能有偏见; GDPR 符合我的欧洲感受。 但我的首要任务是为我提供价值的公司,我相信增强的数据安全实践也符合他们的最大利益。

是的,对于那些不能足够快地合规或无法负担聘请合规专业人员来管理特定风险的成本的公司来说,这一变化可能会带来一些初期的痛苦。 尽管如此,罚款还是足够高的,可以考虑投资合规专业人员或至少审计您现有的风险。

它有助于欧洲数据执法机构与数据控制者合作,以减轻任何或潜在违规行为的后果。 他们不只是处罚,他们还积极希望数字环境更安全、更智能、更完善; 恢复消费者对数字空间的信心; 并为用户提供对其个人数据的权利和保护。

通过选择加入对您的网站访问者进行再营销的方法,再营销可能会变得更精简。 您可以放心,您列表中的用户有意识地决定选择加入。 拥有适当的系统来组织和审核您自己的数据也可以清除数据中的大量噪音; 删除冗余、过时和琐碎 (ROT) 数据。 您的数据将是黄金,您会想要保护它,您的团队将更加高效。

我们不是律师; 我们无法帮助您审核并实现网络安全合规性,但我们可以建立一个符合 GDPR 要求的出色网站,我们可以与您的数据管理团队一起创建一个数字环境,以建立消费者对您的品牌的信心并满足您的业​​务目标。