歐盟的“通用數據保護條例”（GDPR，General Data Protection Regulation）即將于2018年5月25日生效，而好多企業對GDPR并不十分了解。就目前看來，行業對于這項條例的觀念仍有不當之處。盡管企業為GDPR的來臨需要做大量準備工作，才能合規，但是許多人還在拖拖拉拉。

 

數十年來，歐(ou)洲一直是隱私(si)和(he)數據(ju)保(bao)護問題的(de)先行者(zhe)。現在，隨(sui)著通用數據(ju)保(bao)護條例（GDPR）全面隱私(si)法的(de)通過，歐(ou)盟（EU）又開創了新局(ju)面。如果你的(de)在企(qi)業收集，存(cun)儲或使用有關(guan)歐(ou)洲居民的(de)個人信息，那么GDPR可(ke)能會對你的(de)業務流程產生深遠影響。

 

該指(zhi)令適用(yong)于1995年當時的技術(shu)情況(kuang)，但隨后(hou)幾年技術(shu)的快速變(bian)化需(xu)要更新。歐(ou)盟(meng)(meng)立(li)法者發布了(le)(le)一般數(shu)據保護條例（GDPR），以便在(zai)收集到比以往更多(duo)的數(shu)據的情況(kuang)下能夠保持用(yong)戶(hu)隱私(si)(si)。他們(men)還(huan)希望確保整(zheng)個(ge)歐(ou)盟(meng)(meng)設立(li)統一的法律，避免國家之間的重大(da)分歧。 GDPR顯著擴大(da)了(le)(le)授予個(ge)人的隱私(si)(si)權(quan)，為運用(yong)個(ge)人信息的企(qi)業(ye)設置了(le)(le)許(xu)多(duo)新的義務。自2018年5月(yue)25日起GDPR就(jiu)要生(sheng)效，大(da)家準備好了(le)(le)嗎？

 

什么是GDPR？
經過四年多的協商，2016年4月歐洲(zhou)議會和(he)(he)歐洲(zhou)理事會通(tong)過GDPR。這(zhe)項條例(li)賦予歐盟公民更多的個人數(shu)據控制(zhi)權，另外對(dui)那(nei)些收(shou)集、處理和(he)(he)存儲(chu)個人數(shu)據的公司提出(chu)更高的責任要求(qiu)，特別(bie)是數(shu)據泄露。

 

從(cong)五月份開(kai)始，除(chu)非有(you)明確的法(fa)律(lv)依據，否(fou)則企業將不再(zai)被允(yun)許(xu)收(shou)集或處理(li)一(yi)個歐洲公(gong)民的消費(fei)者(zhe)數據，例如獲(huo)得公(gong)民自(zi)愿給予(yu)和“明確的”同意。 如果沒有(you)提供適當(dang)通知或管理(li)辦法(fa)，公(gong)司也(ye)將被禁(jin)止使用以(yi)前收(shou)集的數據。

 

GDPR取代了(le)1995年數(shu)據保(bao)護(hu)指(zhi)令的條例，將使28個(ge)歐(ou)盟(meng)(meng)及歐(ou)洲經(jing)濟(ji)共同體成(cheng)員國的隱私保(bao)護(hu)法，更(geng)具有一(yi)致性(xing)和現代性(xing)。根據1995年指(zhi)令，每(mei)個(ge)成(cheng)員國都制(zhi)定了(le)自己的數(shu)據保(bao)護(hu)規(gui)則，這導(dao)致了(le)在歐(ou)盟(meng)(meng)開展業務的公司監管環境和合規(gui)不(bu)一(yi)致的難題(ti)。

 

GDPR的大部(bu)分內容實(shi)際上并(bing)不新鮮，因(yin)為包(bao)含了“數(shu)(shu)據(ju)保護(hu)指令”中既存(cun)的理念(nian)(nian)。 但GDPR確實(shi)引入(ru)了一些新的概(gai)念(nian)(nian)，包(bao)括(kuo)針對(dui)(dui)不合(he)規對(dui)(dui)象(xiang)的巨(ju)額罰款(kuan)和增強的數(shu)(shu)據(ju)主體權利。這(zhe)對(dui)(dui)任何在(zai)歐(ou)盟(meng)開展業務的公(gong)司(si)或任何在(zai)其數(shu)(shu)據(ju)庫中存(cun)有歐(ou)盟(meng)公(gong)民個(ge)人數(shu)(shu)據(ju)的公(gong)司(si)都具(ju)有約束力(li)。

 

以下是相關的GDPR的術語，可以幫我們更好的理解文章中的概念
數據主題：可以通過姓名，身份證號碼，位置數據，在線標識符（如用戶名）或其身份，遺傳或其他身份等信息直接或間接識別的“自然人”。例：Marie Dubois

 

個人數據：任何與識別或可識別數據主題有關的信息。例：女性。 年齡48. Ph＃：33 1 7210 940.地址：99 Place de l'étoile，75008 Paris，France。 喜歡帽子。 每天在線閱讀。

 

敏感個人數據：有關種族或族裔出身，政治觀點，宗教或哲學信仰，工會會員資格，有關健康，性生活和性取向的信息以及遺傳或生物識別數據的個人數據。例：恩馬爾凱成員！ 派對。天主教徒。 去年打破了腿。 指紋和視網膜掃描的副本。

 

處理：任何對個人數據或與個人數據有關的事情。例：收集，存儲，傳輸，共享，修改，使用或刪除個人數據。

 

數據控制方：確定個人數據處理目的和手段的實體。例：Grande Banque du Nord是一家向瑪麗提供抵押貸款以購買房屋的金融機構。 當瑪麗首次在大銀行的網站上注冊以獲得更多關于抵押貸款的信息時，大銀行成為瑪麗提供的個人數據的控制者。

 

數據處理方：根據數據控制方的指令處理個人數據的實體。例：Grande Banque將她的數據上傳到Sales Cloud對象上時，Salesforce成為Marie個人數據的處理方。

 

假名數據：不能與特定數據主體綁定的個人數據，沒有單獨存儲的附加信息，采用技術措施確保數據不與該附加信息相結合。例：當Marie訪問Community Cloud上托管的Grande Banque網站社區以了解有關抵押貸款流程的更多信息時，系統會以散列形式記錄她的IP地址并將其鏈接到Marie查看的頁面。 散列IP地址被視為假名數據，因為盡管散列IP地址本身并不能識別Marie，但仍可以將其與其他與Marie相關的信息關聯起來。

 

匿名數據：無法連接到已識別或可識別的人員的數據。例：Grande Banque網站要求人們留下評論。 該系統不收集來自評論者的任何信息 - 甚至不包括IP地址。 評論本身可以被認為是匿名的。

 

GDPR有什么(me)新東西？
個人數據：以前的隱私制度將個人數據定義為姓名、照片、電子郵件地址、電話號碼、實際地址或個人身份證號碼、銀行帳號或社保卡號。

但GDPR擴大了定(ding)義，時期包(bao)括“已識別”（identified）和(he)“可識別”(identifiable)的(de)數(shu)(shu)據(ju)(ju)(ju)信息。這意味著(zhu)個人(ren)數(shu)(shu)據(ju)(ju)(ju)指的(de)是任何(he)可用于(yu)識別個人(ren)的(de)信息，包(bao)括位置數(shu)(shu)據(ju)(ju)(ju)、移動設備(bei)ID以及(ji)某些情況下的(de)IP地址。（生物特(te)征數(shu)(shu)據(ju)(ju)(ju)和(he)遺傳數(shu)(shu)據(ju)(ju)(ju)被認(ren)為是“敏感的(de)個人(ren)數(shu)(shu)據(ju)(ju)(ju)”）

匿(ni)名數(shu)據(ju)是一種(zhong)潛(qian)在的(de)合規性信(xin)息，即經過散列、加密(mi)或(huo)以某種(zhong)技術(shu)方法(fa)進行匿(ni)名處理的(de)個(ge)人數(shu)據(ju)。 通過將其與附加數(shu)據(ju)相(xiang)結合后重新定位識別的(de)數(shu)據(ju)也(ye)被視為(wei)個(ge)人數(shu)據(ju)。如下類型的(de)隱私數(shu)據(ju)將受到GDPR保護：

• 基本的身份信息，如姓名、地址和身份證號碼等；
• 網絡數據，如位置、IP地址、Cookie數據和RFID標簽等；
• 醫療保健和遺傳數據；
• 生物識別數據，如指紋、虹膜等；
• 種族或民族數據；
• 政治觀點；
• 性取向。

 

個人權利：1995年的數據保護指令已經賦予了公民要求企業刪除其數據的權利，如果這些數據被非法處理或不再用于其原始目的。

 

GDPR通過(guo)要(yao)求數據(ju)管理員采取合理步驟，確保參與(yu)數據(ju)共享的(de)(de)第三方(fang)刪(shan)除(chu)，擴大了(le)被刪(shan)除(chu)的(de)(de)權(quan)利，也被稱為被遺忘(wang)的(de)(de)權(quan)利。

 

數(shu)(shu)(shu)據當事人(ren)也享有在多(duo)個(ge)平臺(tai)數(shu)(shu)(shu)據不自動(dong)打通的權(quan)利(li)(li)，以及(ji)根據要(yao)求以電子形式(shi)免費獲得經處(chu)理的個(ge)人(ren)數(shu)(shu)(shu)據副本的權(quan)利(li)(li)，包(bao)括這些數(shu)(shu)(shu)據被用于(yu)何處(chu)，以及(ji)使用數(shu)(shu)(shu)據的目的。

 

記錄保存要求：數據管理員和任何外包商必須保存其數據處理活動的書面記錄，包括他們處理數據的原因以及他們計劃保存數據的時間。 此信息必須根據要求提供給數據保護機構。

     

問責原則：雖然GDPR并沒有詳細說明問責制，但數據控制者必須清楚地記錄他們所采取的所有行動。GDPR稱之為“通過設計和默認的數據保護”。如果監管機構要求提供合規證明，公司必須能夠提供。

 

數據保護官員（DPO）：GDPR規定擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定數據保護官DPO。這根據他們是否處理敏感數據的情況而定，擁有少于250名員工的組織可能也需要指定DPO。那么，如果你的公司內已經存在了一個發揮類似作用的人員，能夠確保PII安全是更好的。否則，你將需要重新聘請一名DPO。根據企業自身的情況，DPO可以不要求一定是全職，在這種情況下，企業就可以選擇一名兼職DPO人員。加上GDPR新規允許一名DPO同時為多個企業工作，所以聘請一名兼職DPO人員將是一個很好的選擇。

 

目(mu)前，根據(ju)GDPR如何(he)廣泛地解釋(shi)“系統地監督或處(chu)理”仍然(ran)是一個懸而未決的問題。DPO旨在幫助企(qi)業遵(zun)守(shou)GDPR，直接向企(qi)業CXO匯報，同時保持(chi)完全自主(zhu)性。

 

更大的罰款：每一單GDPR違規行為將受到高達2000萬歐元的嚴重處罰，或者上一年全球年營業額的4％，以較高者為準。

 

監管部(bu)門(men)在設定罰款時可以考慮減輕因(yin)素，比如，盡快(kuai)改正或(huo)是舉報違規行為(wei)的企(qi)業可以受到稍(shao)微輕點的處罰。

 

無論如何，這(zhe)(zhe)些罰款意味著小公司巨(ju)大災(zai)難，“這(zhe)(zhe)不是(shi)開玩(wan)笑的情(qing)。”Todd Ruback說。

 

“要么(me)他們會(hui)(hui)倒閉，要么(me)就會(hui)(hui)被吞并(bing)。” 他表(biao)示(shi)，“我們將形(xing)成一個更清潔的(de)生態系統(tong)，但也會(hui)(hui)減(jian)少競爭(zheng)。Facebook和(he)谷歌受(shou)到(dao)歐盟(meng)委員會(hui)(hui)嚴格(ge)的(de)審(shen)查(cha)，除非有(you)意外發生否則他們難(nan)以(yi)幸免(mian)”

 

違規通知
而對于(yu)企業(ye)來說(shuo)，其中較具(ju)挑戰性(xing)的合規(gui)要(yao)求應該是，公司必(bi)須在發現(xian)違規(gui)事件(jian)的72小時內(nei)，向監管當局和受到違規(gui)事件(jian)影(ying)響的個人(ren)通報數據違規(gui)行(xing)為。執行(xing)影(ying)響評估的另(ling)一個要(yao)求是，通過(guo)識別漏(lou)洞以及(ji)制定漏(lou)洞解決方(fang)案來幫助減輕漏(lou)洞導致的安全風險(xian)。

 

數(shu)據控(kong)制方(fang)與數(shu)據處理(li)方(fang)
GDPR為數據(ju)控(kong)制(zhi)(zhi)方(fang)(fang)和數據(ju)處(chu)理(li)方(fang)(fang)建立了不同的(de)規(gui)(gui)則(ze)。數據(ju)控(kong)制(zhi)(zhi)方(fang)(fang)決定(ding)為什么以及如何處(chu)理(li)個(ge)人數據(ju)，并被要求建立處(chu)理(li)數據(ju)的(de)法律(lv)依據(ju)。條例規(gui)(gui)定(ding)數據(ju)處(chu)理(li)方(fang)(fang)“代表控(kong)制(zhi)(zhi)方(fang)(fang)處(chu)理(li)個(ge)人數據(ju)”。處(chu)理(li)方(fang)(fang)必須(xu)合(he)法和負責任(ren)地進行處(chu)理(li)，控(kong)制(zhi)(zhi)方(fang)(fang)必須(xu)確保處(chu)理(li)方(fang)(fang)做著合(he)規(gui)(gui)的(de)工作。

 

雖然對控制(zhi)方的(de)(de)規則更為嚴(yan)格(ge)，但控制(zhi)方和處(chu)(chu)理(li)方都處(chu)(chu)于GDPR之(zhi)下。與以前的(de)(de)隱(yin)私制(zhi)度不(bu)同，數據處(chu)(chu)理(li)方如果(guo)不(bu)遵守(shou)條例(li)，可能要承擔重大處(chu)(chu)罰。

不過，目前(qian)還不清楚，廣(guang)告技術公司將被視為控(kong)制方(fang)(fang)還是處理(li)方(fang)(fang)？總體來說，廣(guang)告技術公司可(ke)以作為處理(li)方(fang)(fang)式從數據中(zhong)收集洞(dong)察，使客戶受益。但(dan)是他們也有可(ke)能(neng)涉(she)足控(kong)制方(fang)(fang)領域，因此合規負(fu)擔可(ke)能(neng)會變得更重(zhong)。

合法理由
如果公司(si)有法(fa)律依據(ju)，則可以處理數據(ju)。 例如，保險公司(si)必(bi)須處理客戶數據(ju)才能執行合同條款。 銀行必(bi)須處理數據(ju)以遵守法(fa)律。

但我們應(ying)該(gai)知道兩個法律基礎：合法權益(yi)和許可。

合法權益：能夠證明“合法利益”的公司在某些情況下可以在未經同意的情況下合法處理個人數據：數據是合法收集的，有正當理由去使用數據以及數據處理的過程也是合規的。

 

要獲得(de)合(he)法權益，數(shu)據(ju)控制方需要進行(xing)一個稱為(wei)“平衡測試(shi)”。這(zhe)個測試(shi)將數(shu)據(ju)控制方的利益與(yu)數(shu)據(ju)當(dang)事人的權利進行(xing)權衡，其中包(bao)括數(shu)據(ju)當(dang)事人對數(shu)據(ju)處理(li)(li)方式的合(he)理(li)(li)期望是怎樣的，以(yi)及控制方是否有正確的保障(zhang)措(cuo)施。

 

合法權(quan)益的例子(zi)包括預防犯罪(zui)、欺詐檢測、網絡安全，以(yi)及進(jin)行(xing)員工背景調查(cha)等。 “直效(xiao)營銷”在GDPR中(zhong)也被認(ren)為(wei)特殊的對個人數(shu)據的合法使用，但也有(you)一(yi)定(ding)的注意事(shi)項。

 

只要控(kong)制方確(que)保用戶可(ke)以(yi)有隨時(shi)選擇不參與（opt-out）的權(quan)利，那么(me)個性化的溝通、定向廣(guang)告、匯總分析(xi)以(yi)創(chuang)建趨勢報(bao)告和(he)跟(gen)蹤(zong)廣(guang)告效(xiao)果，點擊后跟(gen)蹤(zong)和(he)受眾測量在GDPR下都可(ke)行。

 

目前尚不清楚的是(shi)(shi)，參與互聯網行(xing)為廣(guang)告和程序化廣(guang)告的公(gong)司是(shi)(shi)否可以要求合(he)法(fa)權(quan)益(yi)。反廣(guang)告屏蔽公(gong)司PageFair負(fu)責人Johnny Ryan認為這不太可能(neng)：“有些廣(guang)告技術公(gong)司似乎已經相信自(zi)己被(bei)合(he)法(fa)利益(yi)所覆蓋，但是(shi)(shi)你不能(neng)用(yong)合(he)法(fa)權(quan)益(yi)來為RTB發(fa)生的所有瘋狂的事情辯護(hu)。”他(ta)補(bu)充(chong)道，“至少在(zai)私下里，任何知道他(ta)們在(zai)說什么的人都會承認。”

 

許可：許可一直是歐洲隱私法的基石，但GDPR大大提高了這個標準。

決定如何使(shi)(shi)用(yong)(yong)個人數(shu)據(ju)的(de)數(shu)據(ju)控制方，必須得到他(ta)們計劃(hua)使(shi)(shi)用(yong)(yong)數(shu)據(ju)的(de)目的(de)“明確的(de)”許可。換句話(hua)說，如果一家企業不(bu)被許可做一件事，那它也不(bu)能使(shi)(shi)用(yong)(yong)這(zhe)些數(shu)據(ju)來做其他(ta)事情。

許(xu)可必須是自愿以及明確的：選擇退出(chu)模(mo)式(shi)(shi)（或者說，預選框的形式(shi)(shi)）不(bu)會消失。當網站在加(jia)載頁面的同(tong)時，加(jia)載追蹤cookie，務必通知(zhi)訪客(ke)，該網站會使用(yong)cookie。（通常是以彈出(chu)窗(chuang)口的形式(shi)(shi)）。在用(yong)戶同(tong)意(yi)啟用(yong)cookie之前(qian)需要有一個屏(ping)蔽(bi)頁屏(ping)蔽(bi)該網頁內容。

底線是(shi)消(xiao)費(fei)者對行(xing)為必須是(shi)肯定的和(he)(he)知(zhi)(zhi)曉(xiao)的。英國、法(fa)國和(he)(he)德國的數據保護機構都(dou)同意(yi)，消(xiao)費(fei)者可以通(tong)過在(zai)網站上(shang)勾選一個框來表(biao)示同意(yi)處理，但(dan)是(shi)只有在(zai)事先他們已(yi)經被用簡單明了語言的通(tong)知(zhi)(zhi)告(gao)知(zhi)(zhi)了的情(qing)況下才能表(biao)示同意(yi)處理。

 

廣告技術和營銷技術供應商通常(chang)與消(xiao)費(fei)者沒有直接聯(lian)系，因(yin)此獲得(de)跟蹤或數據收集的同意(yi)(yi)是一個棘手的問題(ti)。他們很(hen)可能不得(de)不依賴面(mian)向(xiang)消(xiao)費(fei)者的實體，比如(ru)向(xiang)媒體方(fang)和營銷人員代表取得(de)同意(yi)(yi)。

   

不是(shi)每個人(ren)(ren)都(dou)相(xiang)信中間商能(neng)在GDPR下蓬勃發(fa)展(zhan)。網站(zhan)數據管理(li)軟件Tealium首席(xi)技術(shu)官(guan)兼創始人(ren)(ren)Mike Anderson說：“第三方生(sheng)態系統不會(hui)在GDPR世界中占據一席(xi)之地。 GDPR是(shi)關于第一方關系的。”

 

當有問題時誰負(fu)責？
營銷者和(he)媒(mei)體方(fang)可能會(hui)對第三方(fang)犯(fan)下的(de)(de)錯誤(wu)負(fu)責，這(zhe)意(yi)味(wei)著(zhu)他們(men)將更加挑剔與誰合作。GDPR因此促進了盡職調查和(he)供應商管(guan)理的(de)(de)重要性(xing)。

 

許可不是GDPR合規的(de)“萬金油”。得到(dao)它后(hou)，“你(ni)必須確保供應鏈中沒有人(ren)會濫用你(ni)所分享的(de)數據(ju)以至于使(shi)你(ni)面臨法(fa)律風險。”Johnny Ryan認為。

 

然而，對那(nei)些在問(wen)責(ze)制(zhi)問(wen)題(ti)上充耳不聞的營銷(xiao)者(zhe)和廣告技術公司來(lai)說，未來(lai)還是有(you)希望的。

 

Forrester公司副總(zong)裁兼研究總(zong)監Melissa Parrish說：“事(shi)實是：如果(guo)出現(xian)問題(ti)，他們都會陷入困(kun)境。 沒有任何方法可以推卸(xie)責(ze)任。”

 

與ePrivacy不一致
盡(jin)管GDPR成為頭(tou)條新聞，但ePrivacy，也就是(shi)Cookie指令，對(dui)于營(ying)銷人(ren)員來說可能更具影響力(li)。GDPR涉(she)及處理個(ge)人(ren)數(shu)據，ePrivacy涵(han)蓋(gai)與(yu)電子(zi)通信相關的隱私。

 

如果您訪(fang)問過(guo)歐洲的一(yi)個網(wang)(wang)站(zhan)(zhan)，看到(dao)一(yi)個彈出式橫(heng)幅廣告(gao)，警告(gao)您“訪(fang)問本網(wang)(wang)站(zhan)(zhan)，您需要(yao)接受使用Cookie”，那(nei)么您已(yi)經體驗過(guo)ePrivacy的措施。

 

歐洲(zhou)監管機構(gou)正(zheng)在(zai)更新ePrivacy，以使其與GDPR更加一致，并簡(jian)化(hua)了cookie合(he)規性，這已(yi)經轉化(hua)為大量的許可請求。監管機構(gou)希望在(zai)5月份之前(qian)完成ePrivacy并使之生效(xiao)，以便正(zheng)式推出(chu)GDPR。

 

但是，如果ePrivacy和GDPR都包含處理相同(tong)情況的(de)法規(gui)，則以ePrivacy規(gui)則為準(zhun)。目前正在(zai)審查的(de)ePrivacy草案不包括處理合法利益的(de)法律(lv)(lv)依(yi)據(ju)，因(yin)此(ci)2018年5月起，營銷者能(neng)夠處理數據(ju)的(de)唯一法律(lv)(lv)依(yi)據(ju)可(ke)能(neng)就是許可(ke)。（在(zai)某些情況下，合同(tong)的(de)履行可(ke)能(neng)會成為法律(lv)(lv)依(yi)據(ju)。）

 

經過修(xiu)訂的ePrivacy規定較有可能在5月(yue)份無法獲得(de)批準。畢竟GDPR用了四(si)年的時間(jian)才(cai)能通過，而ePrivacy草(cao)案是從(cong)今年一月(yue)份以來才(cai)開(kai)始審核修(xiu)訂。

數據技術(shu)公司Acxiom全球首席(xi)隱(yin)私官Sheila Colclasure表示(shi)：“目(mu)前，ePrivacy與(yu)GDPR不(bu)一(yi)致，所以我(wo)們有一(yi)個缺口。我(wo)們需要(yao)確保Cookie法認可(ke)合法利(li)益(yi)，并且不(bu)會破壞創新。但是，如果ePrivacy與(yu)GDPR無法同時生效(xiao)，那針對(dui)ePrivacy的執行仍然存(cun)在一(yi)個灰(hui)色地帶(dai)。”

 

無(wu)論哪種方式，如果ePrivacy 條例不包括合(he)法(fa)利益，“這對于廣(guang)告技術公(gong)司來說(shuo)是個壞消息，”國際隱私(si)專業協會研究和(he)教育(yu)副(fu)總裁Omer Tene說(shuo)。

Omer Tene說：“除非有合法利益(yi)修改，否則很難看出(chu)廣告技術公司將如何遵守ePrivacy。 這對廣告代理商來說是非常重要的。”

 

特別是考慮(lv)到違規的可能(neng)性。 ePrivacy草案中(zhong)(zhong)規定的罰款與GDPR中(zhong)(zhong)的罰款密切相關：高達2000萬歐元，即全球年營(ying)業額的4％。

 

GDPR的誤解
對GDPR較大的誤(wu)讀就是，不在歐洲的公司不必(bi)擔(dan)心GDPR。這不對。 GDPR對歐盟(meng)公民的個(ge)人資料(liao)擁(yong)有管轄(xia)權(quan)，無論(lun)在哪里（進行(xing)數據）處理。

 

Omer Tene說：“GDPR將在(zai)歐(ou)(ou)盟誕生，但它適用(yong)于世界上任(ren)何(he)以(yi)歐(ou)(ou)洲受眾為目標服務的公司，以(yi)有意義的方式收集個人(ren)(ren)數據或定期監控歐(ou)(ou)洲人(ren)(ren)的信息。與以(yi)前你(ni)必須(xu)在(zai)場才受到數據保護指令的政權(quan)相比，這是一個巨大的變(bian)化。”

 

無(wu)論如何，許多中小型廣告技術公司和(he)營銷技術公司似(si)乎(hu)都采取觀望GDPR的方法。而這不是一個(ge)明智(zhi)之舉，Evidon的 Todd Ruback說。

 

“他們沒有積極主(zhu)動地應對，這是一個(ge)糟糕的(de)(de)商業(ye)戰略，特別是當媒(mei)體(ti)方(fang)和品牌(pai)主(zhu)已經與(yu)他們的(de)(de)數字化供應商達成(cheng)協議，并調整了他們與(yu)第三方(fang)之間(jian)的(de)(de)免責條款。”Todd Ruback說。

 

公司(si)正(zheng)在開始獲得提示。根據國際(ji)隱(yin)私專業(ye)人員協會(hui)和安永(yong)會(hui)計(ji)師事務所10月(yue)份發布(bu)的(de)聯(lian)合年度(du)治理報告，95％的(de)受訪(fang)者（75％位(wei)于歐盟以外）認(ren)為GDPR適用于他(ta)們(men)，而美(mei)國的(de)50％公司(si)認(ren)為GDPR法規正(zheng)在推動他(ta)們(men)的(de)隱(yin)私計(ji)劃。

 

隱私盾
隱私盾（Privacy Shield）是取代避風港條(tiao)款（Safe Harbor）的(de)歐(ou)盟(meng)-美國數據傳輸協議。 它在十月(yue)中旬(xun)通過了第一次(ci)年度(du)審查，這(zhe)意味著歐(ou)洲官(guan)員認為它提(ti)供了適當的(de)跨境數據保護。在2018年5月(yue)之(zhi)前(qian)通過Privacy Shield進(jin)行自我認證(zheng)是美國公司確保其擁有有效(xiao)機(ji)制在歐(ou)盟(meng)和美國之(zhi)間傳輸個(ge)人數據的(de)一種方法。

同樣，隱私保護只適用于國際(ji)數(shu)據傳輸(shu)，并不保證遵守(shou)GDPR的其(qi)他(ta)關鍵(jian)原則，包括獲得許(xu)可(ke)，進行隱私影響評估(gu)和任命數(shu)據保護人員等。

 

清(qing)單
GDPR是(shi)一個龐(pang)大的立法文件，有(you)99個密(mi)集(ji)的文章，要確(que)保合規性(xing)并(bing)不容易。在處(chu)理更(geng)棘手的問題(ti)之(zhi)前，先處(chu)理更(geng)簡單的問題(ti)。

 

Todd Ruback表示：“監管機構需要的只(zhi)是(shi)一(yi)臺(tai)瀏(liu)覽器(qi)，一(yi)臺(tai)筆(bi)記(ji)本電(dian)腦和一(yi)系列網站，以(yi)查(cha)看誰是(shi)透明的。你(ni)是(shi)否有消費者中心，并(bing)可以(yi)用簡單的方(fang)式遞(di)交(jiao)你(ni)的數據(ju)行為，以(yi)及讓個(ge)(ge)人控制他(ta)們的個(ge)(ge)人數據(ju)？在(zai)監管機構開始深入公(gong)司(si)內部流程并(bing)查(cha)看是(shi)否實現信息可被遺忘的權利之(zhi)前，這是(shi)他(ta)們較容易施行的所在(zai)。”

 

確(que)定您(nin)的(de)公司是控制方(fang)還(huan)是處理方(fang)。這將影(ying)響(xiang)法(fa)規對你產生怎樣的(de)影(ying)響(xiang)。

 

進行數據保護影響評估（DPIA）：對數據流程進行風險分析。第一步是繪制數據流導圖，并清楚地了解你從哪里收集數據、與誰共享數據、數據泄漏的可能性以及您如何維護，保留和保護數據。 DPIA幫助企業弄清楚他們是否符合GDPR和/或他們還需要做多少工作才能滿足。

 

看看你的合同：檢查你的供應鏈合作伙伴，以確定你與合作伙伴的協議是否是新的，并包括與GDPR有關的條款。例如，如果出現違反或執法的情況，該怎么辦。這可以是DPIA流程的一部分。

 

需(xu)要一(yi)(yi)個(ge)DPO嗎？一(yi)(yi)家公司是否需(xu)要任命一(yi)(yi)名數據(ju)保(bao)護官(guan)員(yuan)取決于其數據(ju)追(zhui)蹤的范(fan)圍和規模。法律規定(ding)：“定(ding)期和系統的大規模監督(du)”但是擁有(you)DPO永遠(yuan)比沒(mei)有(you)DPO好。

 

文檔：控制方必須證明，表現他們完成的數據處理符合GDPR的標準，包括（用戶）許可選擇，數據保存和管理的內部政策。如果一個數據保護監督機構敲門，你需要手頭的書面證明。