什么是通用数据保护法规(GDPR)?
通用数据保护条例(GDPR)是一个法律框架,为从居住在欧盟(EU)的个人收集和处理个人信息制定了准则。 由于该法规适用于任何网站,无论其网站位于何处,即使所有未专门向欧盟居民销售商品或服务的欧洲访客也必须遵守该法规。
GDPR要求向欧盟访客提供大量数据披露。 该网站还必须采取措施促进此类欧盟消费者权益,例如在个人数据遭到破坏时及时发出通知。 经过两年的过渡期后,该条例于2016年4月通过,并于2018年5月全面生效。
GDPR的客户服务要求
根据规则,必须通过单击“同意”按钮或其他操作,将网站收集到的数据通知访问者,并明确同意该信息收集。 (此要求在很大程度上解释了网站普遍收集“ cookies”这一信息的事实,“ cookies”是保存个人信息(例如网站设置和偏好)的小文件。)
如果网站持有的任何个人数据遭到破坏,网站也必须及时通知访问者。 这些欧盟要求可能比该站点所在司法管辖区的要求更为严格。
还必须评估站点的数据安全性,以及是否需要聘请专门的数据保护官(DPO)或现有人员可以执行此功能。
必须获取有关如何与DPO和其他相关工作人员联系的信息,以便访问者可以行使其EU数据权利,其中包括删除其在现场的存在的能力以及其他措施。 (自然,该站点还必须添加人员和其他资源以能够执行此类请求。)
通用数据保护条例(GDPR)的其他规则和授权
作为对消费者的进一步保护,GDPR还要求网站收集的任何个人身份信息(PII)都必须是匿名的(匿名,顾名思义,是匿名提供的)或假名(将消费者的身份替换为假名)。 数据的假名化使公司可以进行更广泛的数据分析,例如评估特定区域客户的平均债务比率,否则该计算可能超出了为评估贷款的信誉而收集的数据的原始目的。
GDPR影响的数据超出了从客户那里收集的数据。 最值得注意的是,该法规可能适用于员工的人力资源记录。
与GDPR相关的争议
GDPR在某些方面引起了批评。 有人说,任命DPO或仅仅评估DPO的要求给一些公司带来了不必要的行政负担。 一些人还抱怨说,指南对于如何最好地处理员工数据太含糊。
此外,除非接收公司保证与欧盟要求的保护程度相同,否则数据无法传输到欧盟以外的另一个国家。 这导致人们抱怨商业行为代价高昂。
进一步令人担忧的是,与GDPR相关的成本会随着时间的推移而增加,部分原因是对客户和员工进行有关数据保护威胁和补救措施的教育需求不断提高。 对于整个欧盟及其他地区的数据保护机构如何协调法规的执行和解释,以及在GDPR全面发挥作用时确保公平的竞争环境,人们也持怀疑态度。
