GDPR检查清单:您须知道的一切
James Haslam, Senior Content Manager, Adjust, 2018年2月06日.
继近期发布的博文GDPR 就要来了,您准备好了吗?之后,我们希望通过本文为您提供更深入的洞见,让您了解自己以及第三方服务提供商是否符合GDPR (European General Data Protection Regulation) 的严格标准。
GDPR将于2018年5月25日生效。生效后,未完全符合GDPR的企业可能会面临罚款和法律诉讼。为帮助您全面了解GDPR新规,我们编写了一系列检查清单,用于自查以及检查您的第三方服务提供商是否符合GDPR要求。
下文列举了您需要检查的清单,它将帮助您明确和检查与第三方服务提供商合作中的GDPR合规性。如果您还不是Adjust的客户,您也可以使用这个清单检查您正在使用的服务商是否完全符合GDPR法规。
检查清单
1. 您的服务器/云服务位于何处?
GDPR对数据存储的地理位置作了明确的要求。原则很简单:如果您正在存储欧盟居民的个人数据,那么您的服务器就必须位于欧洲。
这意味着不能发送数据到欧盟以外的服务器(例如美国)。法规也同样适用于云服务,即必须在欧洲设有硬件来存储欧盟公民的数据。
Adjust用于存储欧洲客户数据的所有服务器均位于欧洲——准确的说,在法兰克福和阿姆斯特丹。
2. 您存储了哪些数据?
GDPR规定了存储数据的类型。只有为提供完整服务所必需的数据才允许被收集。原则就是“数据最小化”(GDPR第5c条)
询问您的服务提供商他们正在存储的个人数据准确类型,以及他们为什么需要这些数据。最后您需要将这些信息反馈给潜在用户,并给予他们可以退出、不启用该类跟踪的选项(更多内容请参见下文)。
Adjust使用的数据主要是移动ID(如IDFA、IDFV、Android-ID和 Windows-ID等)。哈希指纹(hashed fingerprint )是由IP地址、来自用户UA的数据(如操作系统、操作系统版本等)和应用版本等生成的hash。所有数据将于6小时后被删除。
3. 您是否已有符合GDPR的安全/隐私证书,而不仅仅是所谓自认证机构的认证?
隐私认证和法规有很多种,每种含义也有所不同。有的服务提供商可能会选择获取一些自认证徽章来展示其在欧洲拥有与我们同等的数据保护级别。单纯地把认证徽章展示在网站上并不代表这些提供商符合适用的数据保护法规。GDPR是直接适用于每个欧盟成员国的实用法规。
每个服务提供商都应经欧盟认证,而不仅仅是所谓自认证机构(如US-Privacy Shield)的认证。不是所有的安全徽章都具有同等含义,您必须清楚地了解哪些认证可以确保您符合要求。遗憾的是,自认证徽章表示公司并未就是否符合适用的数据保护法规经专家或法律顾问审核。
Adjust已经获得ePrivacy认证,代表我们已经通过严苛的法律和技术审计,符合最严格的欧盟数据保护法规。
4. 您是否与用户和其他合作方签署了数据处理协议?
根据GDPR第28条第4款,任何公司在使用任何用户数据和与服务提供商共享数据时都必须就数据收集、传输和使用签署数据处理协议。Adjust与所有欧洲客户均签订了数据处理协议。
5.您是否已建立了删除政策、活动处理记录和技术组织措施(TOMs)等?
这些都是GDPR第17、30和32条要求的。例如包括以下机制:
- 物理访问控制:拒绝未授权人员访问用于处理个人数据的数据处理系统。
- 数据访问控制:防止未授权人士使用数据处理系统。
- 数据使用控制:确保授权使用数据处理系统的人员只能在规定的访问权限内使用数据,在处理、使用和存储个人数据的过程中未授权人员均不得对其进行读取、复制、修改或删除。
- 分离原则:确保服务于不同目的的数据在处理期间分开保存。
- 假名化(Pseudonymization)
- 数据传输控制:保证在电子传送、传输或存储个人数据到数据存储媒介的过程中,未授权人员不得对其进行读取、复制、更改或删除,且确保通过传输系统的个人数据传输可以被查证。
- 准入控制:系统有能力查实个人数据在数据处理系统中是否被输入、修改或删除,以及操作人员。
- 可用性控制:保护个人数据免受意外损坏或丢失。
- 快速恢复能力:通过应急管理计划和定期的恢复测试,确保当物理或技术故障发生时个人数据可以被快速恢复。
- 数据保护管理:指定的数据隐私保护官员姓名和联系地址。
- 事故响应管理:快速响应事故的相关措施。
- 默认隐私设置:IT系统的默认设置,即仅处理为提供服务必需的个人数据。
- 合同控制:确保对个人数据的委托处理符合合同方的要求。
6. 您是否为用户提供可以退出的选项(SDK或隐私政策中)?
营销人员可能会对GDPR第6 1f) 条有异议。根据该条款,如果出于合法目的,在处理个人数据时不必征求用户的同意。直接营销可被认定为合法目的——线上营销与直接营销没有明显的区别,因此也应被看作是合法目的(尤其是在一切都发生在互联网上的今天)。
在任何情况下,必须给所有用户提供可以不被跟踪的选项,以及给予他们将其数据从您的数据库中删除的权利(后者就是GDPR第17条中所指出的“被遗忘权”)
7. 您是否设有数据隐私保护官员?
自今年5月份起,所有数据使用公司都必须雇佣专门的数据隐私保护官员来监督GDPR的执行(根据GDPR第37条)。这篇博文将帮助您深入了解隐私官员的角色和职能。
本篇文章的目的是帮助您在与第三方合作时理解GDPR,文章内容不构成法律建议。如需解读GDPR实行后的具体义务和如何在使用公司产品和服务时合规处理个人数据,请咨询您的法律顾问。
想要每月获取最新应用洞见吗?立即订阅我们的新闻简报!