自2018年5月25日起生效的《通用数据保护条例》(GDPR)要求企业保护欧盟成员国内部交易中欧盟公民的个人数据和隐私。GDPR还对欧盟以外的个人数据输出进行了监管。符合GDPR规定,欧盟公民有权访问和控制自己的个人数据。
GDPR下的个人数据是什么?
根据下面的定义GDPR,个人资料是指任何与已识辨或可识辨的人(称为资料当事人)有关的资料。不相关的信息收集在一起可以识别特定的人,也被视为个人数据。去识别或加密的个人数据,即使可以重新识别,也仍然是个人数据。
个人资料的例子包括:
- 的名字
- 地址
- 位置数据
- 任何能唯一识别个人的id
它们还可以包括一个或多个特定于自然人的身体、生理、遗传、心理、经济、文化或社会身份的因素。
公开的公司注册数据或公司联系电子邮件ID等数据不被视为个人数据,不属于GDPR的范围。
如果个人数据已经匿名化,无法逆转,也无法再识别出个人身份,则不被视为GDPR个人数据。
GDPR保护哪些数据?
任何个人数据都必须受到保护,以符合GDPR。GDPR明确定义了个人数据,并涵盖以下情况:
- 容易识别的个人身份信息,包括姓名、姓氏、家庭住址
- 各种电子邮件id,包括个人和专业id,可以追溯到个人
- 由机构或当局颁发的身份证明或身份证号码,如学生证或雇员证
- 生物特征数据,如虹膜扫描或指纹
- 网络数据,包括位置数据、IP地址、cookie或RFID标签,可用于识别个人
- 手机广告标识符
- 种族或民族数据
- 健康和遗传数据,包括疾病和治疗
- 由医生或医院持有的唯一标识符数据
- 宗教或哲学信仰
- 政治观点
- 工会会员资格
- 性取向
成员国可在处理遗传数据、生物特征数据或有关健康的数据方面保持或引入进一步的条件,包括限制。如果需要,成员国可以扩大GDPR的范围,并确定可以处理国民身份证号码或任何其他通用标识符的条件。
与死亡个人有关的信息原则上不被视为GDPR个人数据。但是,死者的数据也可以指在世的人,在某些情况下,可以允许根据GDPR指南进行处理。对于未出生的孩子,GDPR个人数据保护规则在出生前的程度取决于国家法律体系对未出生孩子保护的立场。
什么是敏感个人资料?
某些个人数据的处理可能对个人的基本权利造成重大风险,因此被视为敏感的GDPR个人数据。例子如下:
- 显示种族或民族的个人资料
- 健康和遗传数据,包括心理健康和治疗
- 生物特征数据,如照片和指纹,仅用于识别个人
- 宗教或哲学信仰
- 政治观点
- 工会会员资格
- 关于一个人的性生活或性取向的资料
除非数据主体明确同意,否则不应处理敏感的GDPR个人数据。根据欧盟或成员国法律,在特定情况下允许处理敏感的个人数据,并规定了适当的措施来保护数据主体的基本权利和利益。
- 用于履行控制者或数据主体在就业、社会保障和社会保护法领域的义务和行使特定权利,这些领域由欧盟或成员国法律授权,为数据主体的基本权利和利益提供适当保障
- 保护数据主体或其他自然人的重大利益,而该数据主体在身体上或法律上无法给予同意
- 如果非营利性机构出于特定目的在适当的保障措施下进行处理,仅涉及成员、前成员或相关人员,并且未经数据主体同意,不得在该机构之外披露GDPR个人数据
- 当处理涉及数据主体明确公开的GDPR个人数据时
- 为法律要求的确立、行使或辩护,或当法院以其司法能力行事时
- 基于重大公共利益的原因,基于欧盟或成员国法律规定的适当措施来维护数据主体的基本权利和利益
- 预防或职业医学,用于评估雇员的工作能力,医疗诊断,提供健康或社会护理或治疗,或管理健康或社会护理系统和服务
- 出于公共卫生领域公共利益的原因,例如防范严重的跨界健康威胁,或确保卫生保健、医药产品或医疗器械的高标准质量和安全
- 为公众利益、科学或历史研究或统计目的而存档
以客户为中心的数据隐私保护方法
GDPR的定义适用于所有向欧盟公民销售商品或服务的企业。在欧盟以外注册或位于欧盟以外的企业可以收集和使用欧盟公民的个人数据,在这种情况下,它们还必须遵守GDPR。
随着科技提供了收集、处理和使用个人数据的机会,公众对隐私的关注显著增加。身份盗窃、数据泄露等案件凸显了采取严格措施保护客户数据隐私的必要性。
企业收集客户数据以充分了解客户,并利用这些数据提供卓越的客户体验。虽然收集客户数据至关重要,但企业需要通过以客户为中心的方法来保护GDPR个人数据,从而建立信任。
保护客户隐私数据有三个步骤:
- 了解GDPR收集的客户个人数据
- 处理、存储这些数据,并使客户可以更改和控制其使用
- 确保数据永远不会以任何方式被访问,这可能导致特定个人的身份
企业范围的数据隐私治理方法可以建立在用于管理客户个人信息(PI)的协作自动化流程之上。
受治理的数据隐私方法有助于:
- 快速识别PI的位置
- 提供对PI的快速且兼容的访问
- 通过数据的可见性和监管报告,确保数据隐私合规性
亚愽视频数据隐私丰富的PI发现和分类、业务流程管理和报告功能,妥善管理GDPR个人数据。通过Col亚愽视频libra,数据隐私利益相关者可以
- 通过PI发现和分类功能,快速准确地定位PI
- 通过业务流程管理记录如何使用它以及用于什么目的
- 通过监管和管理报告,监控GDPR准备情况的合规进展
从隐私管理人员到数据管理人员的利益相关者都可以在一个集中的位置管理数据隐私。这允许他们获得可用于隐私用例的元数据的可见性。此外,该平台可扩展以支持新法规。