Brexit为英国企业带来了许多挑战,包括欧盟整合的一般数据保护法案(GDPR) 2018年到英国的数据保护法律。无论组织的大小,GDPR影响从如何建立客户数据库的方式你的业务和市场不符合可能导致巨额罚款。
GDPR是什么?
一般的数据保护监管(GDPR)是一种法律,它生效2018年5月25日在欧盟。它管理机构如何处理和使用个人资料,为消费者提供更多的保护。
GDPR进化是一个现有的数据保护法律,以反映个人和组织的方式现在交流和分享个人信息数字化——例如,在智能手机上,通过社会媒体或电子邮件。
根据GDPR,消费者现在控制:
- 他们收集的数据
- 什么信息被收集
- 公司如何使用这些信息
- 是否有第三方获得这些信息
每个组织需要能够处理个人资料:
- 证明同意把它
- 能够被用于显示数据
- 展示它是如何被保护
- 为个人提供访问和评估的能力,修改或数据处理实践的挑战
Brexit后GDPR是否仍然适用?
英国GDPR已经添加到数据保护法律为“英国GDPR”, 2021年1月1日生效。英国post-Brexit版本主要是像欧盟规定,因此,在实践中,几乎没有改变数据保护的原则和义务。总而言之:
- 英国GDPR既适用于英国的组织收集、存储或处理个人数据的个人居住在英国和在面向英国以外的组织为英国居民提供商品或服务
- 欧盟GDPR既适用于欧盟组织收集、存储或处理个人数据的个人居住在欧盟和非欧盟组织,欧盟居民提供商品或服务
什么是个人数据?
任何允许确定一个活生生的人,直接或间接,算作个人资料。这可能是一个名字,一张照片,一个地址,更新社交网络网站、位置信息、医疗信息、或计算机的IP地址。GDPR定义敏感的个人信息作为特殊类别的信息。信息包括种族、宗教信仰、工会会员、政治观点,和性取向。
公司或政府当局的信息不是归入个人数据。然而,没有区分个人数据对个体在他们的私人,公共或工作角色。因此,个人信息作为唯一的交易员、员工、合作伙伴和公司董事,他们分别是识别可能被视为个人数据。
我的GDPR下企业的主要职责是什么?
当你运行一个业务,GDPR影响一系列的活动——从你的销售团队的前景如何市场营销活动管理。要点包括:
- 组织必须证明同意了如果一个单独的对象接收通信。这意味着任何数据必须有一个带时间戳的审计跟踪,联系选择和细节。
- 组织必须证明个人同意某种行动,如收到简讯。它是不允许假设或添加一个免责声明或提供一个退出机制。
- 应用程序和形式必须符合双选择规则和电子邮件营销的最佳实践。例如,报名参加交流,前景必须填写表格或蜱虫一个盒子,然后在进一步邮件确认他们这么做。
- 业务活动可能需要审查。例如,GDPR之前,在一个事件交换名片,将联系人添加到一个公司的邮件列表是允许的。现在,这已经不再是合法的。
- 如果你购买营销列表,你还负责获得适当的许可信息,即使一个外包伙伴负责收集数据。
如果你是一个英国的组织,在欧洲运营,因此受欧盟GDPR,您可能还需要:
- 任命欧盟代表
- 确定一个领导在欧盟监管机构(一个独立的公共权力在每个欧盟成员国,肩负着保护跨境处理个人资料)
- 更新任何合同有关EU-UK数据传输
- 更新你的政策,程序和其他文档
我的业务需要一个隐私政策和饼干政策?
饼干(数据,使一个网站记住游客和他们的行为识别浏览趋势)有时可以识别一个人。这意味着它们算作个人数据。GDPR使强制要求企业对饼干和透明的数据跟踪。
GDPR之下,您可以包括饼干在你的隐私政策的信息,而不是一个单独的饼干的政策。你的隐私政策应该出发:
- 你如何管理和收集用户的个人数据
- 你收集数据的原因
- 解释什么饼干使用和收集数据
- 发生了什么数据,如果是与任何人分享
- 你个人资料多长时间
- 用户可以更改cookie设置或撤销同意吗
确保你遵守GDPR规则应该在你的核心数字营销策略。
打破GDPR规则的后果是什么?
数据泄露是非常认真地加以对待。欧盟GDPR侵权行为可能导致的罚款€2000万(£1800万)或年度全球营业额的4%——哪个更大。这就是为什么你的生意必须——并保持GDPR兼容。
我的生意可以免除GDPR合规吗?
GDPR和英国GDPR适用于所有组织,处理个人数据——从小型企业到跨国公司。所以,如果你收集的数据,市场,或位于欧盟为客户提供服务,你必须遵守GDPR。
唯一能免除GDPR如果你:
- 欧盟积极阻止数据的处理数据对象(在欧盟你阻止你的网站)
- 处理个人数据的欧盟公民在欧盟之外,只要你不直接目标欧盟数据对象,或者是监控他们的线上行为用于市场营销目的
唯一区别的法律使得企业雇员人数不到250人。如果这是你,你的公司必须遵守GDPR,但你不需要保持书面记录的数据处理。不过,也有例外。你仍然需要记录的任何活动:
- 你在一个正规的基础上(我完成。e如果是一次性的事件或多一些你做的很少)
- 有可能导致风险的权利和自由揭示主题的数据敏感的个人信息
- 涉及特殊类别的刑事定罪和犯罪数据
GDPR合规检查表
GDPRa€¯合规不是一次性活动,而是一个持续的过程。为了避免被处以巨额罚款的风险,您的组织必须采取适当的程序和保持文档后,证明你GDPR规则。作为一个指南,这就是封面:
1。范围和计划GDPR合规项目——任命和培训项目经理,如果需要数据保护官员。
2。进行库存数据和数据流过程和审计充分理解数据如何处理它。
3所示。进行全面的风险评估,识别风险、分析和评估这些风险和控制他们的方法。
4所示。进行详细的差距分析,评估你目前的工作流程,流程和过程来识别需要解决的任何合规差距。
5。制定运营政策、程序和过程,使现有的符合GDPR的要求。
6。通过加密和安全的个人数据网络安全,把程序检测,报告和调查个人资料泄露。
7所示。确保每个人都参与处理数据训练有素的批准程序。
8。监控合规通过定期进行内部审核和定期更新流程,检查你的记录和测试安全控制。