GDPR 词汇表：忙碌人士的细分

GDPR 的一个关键原则：向用户展示您的数据政策，无需“合法化”。

那么，他们为什么要给我们 200 页的大脑融化行话来阅读？

通过新的通用数据保护条例非常重要。

但这就像观看慢镜头回放的高尔夫锦标赛一样有趣。

因此，这里是对所有这些法律术语的含义的细分——用句子写成你不会在中途睡着的句子。

随意使用 CTRL+F 来摆脱头痛。

定义

具有约束力的公司规则 (BCR) ：在欧盟有个人数据吗？ 想要将其转移给您的跨国组织中的人员。 在欧盟以外？ BCR 是您要遵循的规则。

生物特征数据：“身体数据”。 如果它可以识别您并且与身体、生理或行为特征有关——就是这样。

同意：这是一个大问题。 获得使用某人个人数据的同意现在很复杂。

它必须是：

• 自由给予
• 具体的
• 肯定
• 明确的

所以……如果你要给某人发邮件，你必须得到他们的同意才能被发邮件。 要使用cookie吗？ 您也需要为此获得特别同意。

您已独立征求人们的同意。 您不能将它与与您的隐私政策相同的复选框混为一谈。

而且您不能预先选中“我同意____”框。 他们必须自己做。

你不能写你老式的“这个网站使用cookies，只要你在这里，你就会很酷”免责声明并期望它飞起来。

人们已经了解您如何使用他们的数据。 他们必须允许您以这种方式使用它。

很多。

我们在这里写了更多关于它的内容。

关于健康的数据：听起来像什么（感谢上帝）。

数据控制器：如果您是营销人员，那可能就是您。 是任何人以任何方式要求、收集和使用个人数据。 如果你处理它，如果你存储它，如果你决定如何使用人们的数据——你就是一个数据控制者。 恭喜！

数据擦除：又名：“被遗忘的权利”。 这只是意味着数据主体（人类）可以选择删除您拥有的任何数据。 他们说出这个词，你必须以任何方式清除他们的数据，停止使用它，并停止传播（严重）。

数据可移植性：如果有人来找你说“嘿，我想要一份你拥有的所有数据的副本”——你必须说“当然，你去吧”。 而且您必须以他们可以轻松传递给其他人的格式向他们传递该数据的副本。 （关于这里的更多信息）

数据处理器：您（数据控制器）用来收集和处理数据的任何东西。 您的许多营销工具都是数据处理器（想想、分析工具、A/B 测试工具、插件等）。

数据保护机构：那些会确保你遵守规则的可怕的人。 这些是负责保护数据和隐私以及监督欧盟内部 GDPR 执行情况的国家当局。

数据保护官：如果你是一家超过 250 人的公司，你应该任命一个人来处理所有这些疯狂的监管（但老实说，GDPR 并不能真正决定这个数字应该是多少）。 这是一位数据隐私专家，他将独立与您合作并让您遵守 GDPR。

数据主体：人类——拥有您拥有、查看或使用的数据。

委托法案：补充现有法案的有趣“奖金法”，以提供更多的清晰度或标准。 期待来自独立欧盟国家的一大堆这些向前发展。

减损：法律例外！

指令：这是为所有欧盟国家设定“目标”的法律。 然后每个国家制定自己的国家法律来实现这一目标。

加密数据：或多或少：您通过混淆所有数据来保护个人数据。 数据加密确保只有具有指定访问权限的人才能访问或读取您存储的数据。 就安全措施而言，这是一个非常好的主意。

企业：从事经济活动的任何事物——无论其“法律形式”如何。 所以你命名的人，组织，协会。 任何赚钱或乱花钱的人。

归档系统：GDPR 适用于两个地方：自动化系统（将资料存储在计算机和数据库中），或者对于硬拷贝，适用于“相关归档系统”。 如果可以通过特定标准（如姓名、身份证号、电话号码等）搜索或访问归档系统，则它是“相关的”）

因此，如果您将所有 HR 数据转储到无标记、无组织的盒子中，您可能不必担心 GDPR 的那些数据。 你应该担心他们，因为你知道，所有其他的原因。

遗传数据：欧盟官方网站对此进行了定义，但是，来吧。 你知道什么是基因。

企业集团：要了解什么是“企业”，有很多判例法可供筛选——但或多或少可以归结为：企业是一家公司控制另一家公司的情况。 在这种情况下，控制意味着行使“决定性影响”的能力。

示例：母公司拥有子公司的多数股权。 假设他们可以行使控制权。 那是一项事业。

一组事业就是其中的一组。

主要机构：这或多或少与监管的实施地点有关。 它是联盟内围绕数据处理做出决策的地方。 意思是——如果您在德国处理您的数据，即使您在其他地方，您的“主要机构”也在德国。

个人数据：另一个大数据。 个人数据是与一个人有关并可用于识别他们的任何信息。 这包括可以间接识别它们的数据，或在与其他传入数据结合时识别它们的数据。

这与 PII（个人身份信息）不同。 这是一个比我们以前真正看到的更严格的定义。

这是一个完整的细分：

个人身份数据 (PII)	个人资料
全名（如果不常见） 家庭地址 电子邮件地址 国家注册号码 护照号 车牌号 驾驶执照号码 面部、指纹或笔迹 信用卡号码 数字身份 出生日期 出生地 遗传信息 电话号码 登录名、网名、昵称或句柄	全名（如果不常见） 家庭地址 电子邮件地址 国家注册号码 护照号 车牌号 驾驶执照号码 面部、指纹或笔迹 信用卡号码 数字身份 出生日期 出生地 遗传信息 电话号码 登录名、网名、昵称或句柄 + IP地址 唯一标识符，例如设备 ID、用户 ID、事务 ID、CookieID 假名数据（即无法识别的数据+不同位置的键以使其再次可读）

个人数据泄露：一个大“糟糕”。 这是任何时候有人可能意外或非法访问、破坏或滥用您存储的个人数据的情况。 根据 GDPR，您需要在 72 小时内让所有数据主体了解其中一项。

隐私设计：停止拖延。 当您构建一个处理数据的系统（界面、网站等）时，您甚至应该在开始之前考虑数据保护。 它的设计应该考虑到数据权利。 它们不应该是最后一分钟的版本。

隐私影响评估：您（连同您的数据保护官）应该做的事情！ 基本上，这只是对潜在隐私风险的审计。 这意味着查看您的个人数据、数据的处理方式以及您现在正在采取哪些措施来保护它。

处理：您对个人数据所做的任何事情——手动或自动。 收集它，记录它，使用它。 个人数据会在您的屏幕上闪烁，并且会被处理。

剖析：如果您自动化个人数据，并对其进行分析以预测某人（特定）的行为——这算作剖析。

化名– 您拥有个人数据。 您以一种不再将其归因于数据主体的方式处理它——至少，不是没有其他一些单独保存的信息。 典型的例子是用一个可逆的、一致的值代替可识别的数据——比如一串随机数——以后可以“解锁”并重新归因。

这与实际匿名数据不同：其中可识别的信息被完全破坏。

在 GDPR 下，哪些技术“算作”假名化尚未完全确定，而且对于哪些类型的数据算作“可能被识别”或“相当可能”被识别存在很多灰色地带。

但是有一些花哨的 GDPR 激励措施可以对您的个人数据进行假名化。 你可以在 Recital 29 中找到这些。

例如，当您收集标准、常规的个人数据时，您只能出于数据主体明确“同意”的原因使用它。 但是使用假名，您可以在如何处理数据方面有更多的余地——即使它的目的与最初收集数据的目的不同。

接收者——个人数据被披露给的人。

法规——具有约束力并适用于整个欧盟的法律。

代表——如果忽视 GDPR 合规性的人需要呼吁数据控制者（即您的公司）解决问题，他们会与您的代表联系。 代表需要在联盟中并明确指定负责该任务。

被遗忘的权利：参见上文的数据擦除。

访问权/主题访问权：如果您有某人的个人数据，他们可以要求访问它。 你必须能够把它给他们。

监督机构：每个欧盟成员国都将任命一个公共机构来监督 GDPR 合规性。 这是一个监督机构（但您可能也知道这是一个 DPA 或数据保护机构）。

三部曲——在每个人都阅读了拟议立法的初稿之后，欧盟委员会、欧洲议会和欧盟理事会举行了非正式会议进行谈判。 这些会议被称为“三部曲”，其目的是为了快速通过妥协案文。

首字母缩略词：

BCR ：具有约束力的公司规则（见上文）

CFR : 欧盟基本权利宪章

CJEU ：欧盟法院。

DPA ：数据保护机构（见监管机构）

DPO ：数据保护官

ECHR ：欧洲人权公约。

EDP​​B : 欧洲数据保护委员会

DEPS ：欧洲数据保护主管

EEA ：欧洲经济区（28 个欧盟成员国，加上冰岛、列支敦士登和挪威）

TFEU ​​：欧盟运作条约。

WP29 ：工作组第 29 条。它是一个欧盟级别的咨询委员会，由国家 DPA 组成。 但是 EDPB 在 GDPR 下或多或少地取代了它。