關(guān)于GDPR

·GDPR規(guī)定了所有歐盟的公民所享有的數(shù)字生活中的權(quán)利，其前身為?1995?年開始執(zhí)行的《數(shù)據(jù)保護指令》(Data Protection Directive)，大部分 GDPR條款都從其繼承而來，同時GDPR在生效后會取代舊的規(guī)定。在歐盟的法律體系中，指令(directive)和條例(regulation)是兩種不同的形式：指令不直接適用于各成員國，還需要成員國自行轉(zhuǎn)化成為其國內(nèi)法，在轉(zhuǎn)化過程中成員國有一定的自主裁量權(quán);條例則對各成員國有直接適用的效力。在歐洲，事實上也是目前世界范圍中，GDPR 是最完善、最嚴(yán)格的隱私保護規(guī)定。

·GDPR在歐盟法律框架內(nèi)屬于“條例”，此前已經(jīng)在歐洲議會(下議院)和歐盟理事會(上議院)通過，可以直接在各歐盟成員國施行，不需要各國議會通過。目前歐盟有28個成員國，大約有5億多人可以直接得到GDPR的保護。值得一提的是，雖然英國已經(jīng)啟動脫歐程序，但也同樣批準(zhǔn)了GDPR，并且同樣從5月25日開始正式推行。

·根據(jù)GDPR的規(guī)定，企業(yè)在收集、存儲、使用個人信息上要取得用戶的同意，用戶對自己的個人數(shù)據(jù)有絕對的掌控權(quán)。

適用地域范圍

1、GDPR適用于在歐盟境內(nèi)設(shè)有業(yè)務(wù)機構(gòu)(establishment)的組織，只要這些組織在業(yè)務(wù)機構(gòu)在歐盟境內(nèi)的活動中處理個人數(shù)據(jù)(而不論此類處理行為是否實際發(fā)生在歐盟境內(nèi))。

2、如某一組織雖不在歐盟境內(nèi)設(shè)立業(yè)務(wù)機構(gòu)，但卻處理歐盟境內(nèi)個人的個人數(shù)據(jù)，并且此類處理行為與向歐盟境內(nèi)個人提供商品或服務(wù)相關(guān)，無論該等商品或服務(wù)是否收費，則也應(yīng)當(dāng)適用GDPR。

3、GDPR適用于非歐盟組織處理歐盟境內(nèi)個人的個人數(shù)據(jù)，只要此類處理行為涉及對這些個人的行為進(jìn)行監(jiān)控，且該處理行為發(fā)生在歐盟。

企業(yè)如何應(yīng)對GDPR

1、內(nèi)容準(zhǔn)備：企業(yè)GDPR說明文本清晰明確。

(1)企業(yè)內(nèi)部的“服務(wù)協(xié)議”和“隱私條款”需要針對GDPR做相應(yīng)調(diào)整，制定適合企業(yè)自身情況的規(guī)則說明文檔。

(2)清晰明確表明企業(yè)將收集的數(shù)據(jù)、使用及用戶享有的許可或撤銷許可權(quán)益。

(3)保證多語言版本，不可利用語言不同等，模糊規(guī)定而獲取用戶的許可。

2、新用戶：表單入口明確權(quán)益告知。

(1)在訂閱、注冊等全部數(shù)據(jù)采集入口設(shè)置明顯告知用戶窗口。

(2)位置醒目、內(nèi)容明確清晰。

(3)可存在自動勾選強制同意行為，獲得用戶主觀許可后才可使用

3、已有會員：用戶自主完成授權(quán)。

(1)授權(quán)頁面默認(rèn)不勾選用戶授權(quán)的內(nèi)容，需要用戶自己進(jìn)行勾選然后點擊“授權(quán)”。

(4)GDPR 正式生效后，可在郵件發(fā)送界面的“排除組”那里進(jìn)行勾選，對未獲得授權(quán)的用戶不再進(jìn)行發(fā)送。

4、已有會員：允許隨時撤銷許可或修改授權(quán)。

(1)針對一直未對是否授權(quán)做明確回應(yīng)用戶，以及已許可用戶，在后期每封郵件推送中，均需設(shè)置明顯的撤銷許可標(biāo)識。

(2)允許用戶隨時取消授權(quán)行為。

(3)允許用戶隨時修改個人信息內(nèi)容。