GDPR 詞彙表:忙碌人士的細分
已發表: 2018-02-16GDPR 的一個關鍵原則:向用戶展示您的數據政策,無需“合法化”。
那麼,他們為什麼要給我們 200 頁的大腦融化行話來閱讀?
通過新的通用數據保護條例非常重要。
但這就像觀看慢鏡頭回放的高爾夫錦標賽一樣有趣。
因此,這裡是對所有這些法律術語的含義的細分——用句子寫成你不會在中途睡著的句子。
隨意使用 CTRL+F 來擺脫頭痛。
定義
具有約束力的公司規則 (BCR) :在歐盟有個人數據嗎? 想要將其轉移給您的跨國組織中的人員。 在歐盟以外? BCR 是您要遵循的規則。
生物特徵數據:“身體數據”。 如果它可以識別您並且與身體、生理或行為特徵有關——就是這樣。
同意:這是一個大問題。 獲得使用某人個人數據的同意現在很複雜。
它必須是:
- 自由給予
- 具體的
- 肯定
- 明確的
所以……如果你要給某人發郵件,你必須得到他們的同意才能被發郵件。 要使用cookie嗎? 您也需要為此獲得特別同意。
您已獨立徵求人們的同意。 您不能將它與與您的隱私政策相同的複選框混為一談。
而且您不能預先選中“我同意____”框。 他們必須自己做。
你不能寫你老式的“這個網站使用cookies,只要你在這裡,你就會很酷”免責聲明並期望它飛起來。
人們已經了解您如何使用他們的數據。 他們必須允許您以這種方式使用它。
很多。
我們在這裡寫了更多關於它的內容。
關於健康的數據:聽起來像什麼(感謝上帝)。
數據控制器:如果您是營銷人員,那可能就是您。 是任何人以任何方式要求、收集和使用個人數據。 如果你處理它,如果你存儲它,如果你決定如何使用人們的數據——你就是一個數據控制者。 恭喜!
數據擦除:又名:“被遺忘的權利”。 這只是意味著數據主體(人類)可以選擇刪除您擁有的任何數據。 他們說出這個詞,你必須以任何方式清除他們的數據,停止使用它,並停止傳播(嚴重)。
數據可移植性:如果有人來找你說“嘿,我想要一份你擁有的所有數據的副本”——你必須說“當然,你去吧”。 而且您必須以他們可以輕鬆傳遞給其他人的格式向他們傳遞該數據的副本。 (關於這裡的更多信息)
數據處理器:您(數據控制器)用來收集和處理數據的任何東西。 您的許多營銷工具都是數據處理器(想想、分析工具、A/B 測試工具、插件等)。
數據保護機構:那些會確保你遵守規則的可怕的人。 這些是負責保護數據和隱私以及監督歐盟內部 GDPR 執行情況的國家當局。
數據保護官:如果你是一家超過 250 人的公司,你應該任命一個人來處理所有這些瘋狂的監管(但老實說,GDPR 並不能真正決定這個數字應該是多少)。 這是一位數據隱私專家,他將獨立與您合作並讓您遵守 GDPR。
數據主體:人類——擁有您擁有、查看或使用的數據。
委託法案:補充現有法案的有趣“獎金法”,以提供更多的清晰度或標準。 期待來自獨立歐盟國家的一大堆這些向前發展。
減損:法律例外!
指令:這是為所有歐盟國家設定“目標”的法律。 然後每個國家製定自己的國家法律來實現這一目標。
加密數據:或多或少:您通過混淆所有數據來保護個人數據。 數據加密確保只有具有指定訪問權限的人才能訪問或讀取您存儲的數據。 就安全措施而言,這是一個非常好的主意。
企業:從事經濟活動的任何事物——無論其“法律形式”如何。 所以你命名的人,組織,協會。 任何賺錢或亂花錢的人。
歸檔系統:GDPR 適用於兩個地方:自動化系統(將資料存儲在計算機和數據庫中),或者對於硬拷貝,適用於“相關歸檔系統”。 如果可以通過特定標準(如姓名、身份證號、電話號碼等)搜索或訪問歸檔系統,則它是“相關的”)
因此,如果您將所有 HR 數據轉儲到無標記、無組織的盒子中,您可能不必擔心 GDPR 的那些數據。 你應該擔心他們,因為你知道,所有其他的原因。
遺傳數據:歐盟官方網站對此進行了定義,但是,來吧。 你知道什麼是基因。
企業集團:要了解什麼是“企業”,有很多判例法可供篩選——但或多或少可以歸結為:企業是一家公司控制另一家公司的情況。 在這種情況下,控制意味著行使“決定性影響”的能力。
示例:母公司擁有子公司的多數股權。 假設他們可以行使控制權。 那是一項事業。
一組事業就是其中的一組。
主要機構:這或多或少與監管的實施地點有關。 它是聯盟內圍繞數據處理做出決策的地方。 意思是——如果您在德國處理您的數據,即使您在其他地方,您的“主要機構”也在德國。
個人數據:另一個大數據。 個人數據是與一個人有關並可用於識別他們的任何信息。 這包括可以間接識別它們的數據,或在與其他傳入數據結合時識別它們的數據。
這與 PII(個人身份信息)不同。 這是一個比我們以前真正看到的更嚴格的定義。
這是一個完整的細分:
個人身份數據 (PII) | 個人資料 |
|
+
|
個人數據洩露:一個大“糟糕”。 這是任何時候有人可能意外或非法訪問、破壞或濫用您存儲的個人數據的情況。 根據 GDPR,您需要在 72 小時內讓所有數據主體了解其中一項。
隱私設計:停止拖延。 當您構建一個處理數據的系統(界面、網站等)時,您甚至應該在開始之前考慮數據保護。 它的設計應該考慮到數據權利。 它們不應該是最後一分鐘的版本。
隱私影響評估:您(連同您的數據保護官)應該做的事情! 基本上,這只是對潛在隱私風險的審計。 這意味著查看您的個人數據、數據的處理方式以及您現在正在採取哪些措施來保護它。
處理:您對個人數據所做的任何事情——手動或自動。 收集它,記錄它,使用它。 個人數據會在您的屏幕上閃爍,並且會被處理。
剖析:如果您自動化個人數據,並對其進行分析以預測某人(特定)的行為——這算作剖析。
化名– 您擁有個人數據。 您以一種不再將其歸因於數據主體的方式處理它——至少,不是沒有其他一些單獨保存的信息。 典型的例子是用一個可逆的、一致的值代替可識別的數據——比如一串隨機數——以後可以“解鎖”並重新歸因。
這與實際匿名數據不同:其中可識別的信息被完全破壞。
在 GDPR 下,哪些技術“算作”假名化尚未完全確定,而且對於哪些類型的數據算作“可能被識別”或“相當可能”被識別存在很多灰色地帶。
但是有一些花哨的 GDPR 激勵措施可以對您的個人數據進行假名化。 你可以在 Recital 29 中找到這些。
例如,當您收集標準、常規的個人數據時,您只能出於數據主體明確“同意”的原因使用它。 但是使用假名,您可以在如何處理數據方面有更多的餘地——即使它的目的與最初收集數據的目的不同。
接收者——個人數據被披露給的人。
法規——具有約束力並適用於整個歐盟的法律。
代表——如果忽視 GDPR 合規性的人需要呼籲數據控制者(即您的公司)解決問題,他們會與您的代表聯繫。 代表需要在聯盟中並明確指定負責該任務。
被遺忘的權利:參見上文的數據擦除。
訪問權/主題訪問權:如果您有某人的個人數據,他們可以要求訪問它。 你必須能夠把它給他們。
監督機構:每個歐盟成員國都將任命一個公共機構來監督 GDPR 合規性。 這是一個監督機構(但您可能也知道這是一個 DPA 或數據保護機構)。
三部曲——在每個人都閱讀了擬議立法的初稿之後,歐盟委員會、歐洲議會和歐盟理事會舉行了非正式會議進行談判。 這些會議被稱為“三部曲”,其目的是為了快速通過妥協案文。
首字母縮略詞:
BCR :具有約束力的公司規則(見上文)
CFR : 歐盟基本權利憲章
CJEU :歐盟法院。
DPA :數據保護機構(見監管機構)
DPO :數據保護官
ECHR :歐洲人權公約。
EDPB : 歐洲數據保護委員會
DEPS :歐洲數據保護主管
EEA :歐洲經濟區(28 個歐盟成員國,加上冰島、列支敦士登和挪威)
TFEU :歐盟運作條約。
WP29 :工作組第 29 條。它是一個歐盟級別的諮詢委員會,由國家 DPA 組成。 但是 EDPB 在 GDPR 下或多或少地取代了它。