GDPR 簡介
General Data Protection Regulation (EU GDPR) 《一般資料保護規範》是在歐盟法律中對所有歐盟個人關於資料保護和隱私的規範,涉及了歐洲境外的個人資料出口。GDPR 主要目標為取回個人對於個人資料的控制,以及為了國際商務而簡化在歐盟內的統一規範。(wiki)
GDPR的宗旨是什麼?
GDPR旨在提高關於個人資料的收集方式及其用途的透明度,擴展了“個人資料的定義”,要求對資料的處理、存儲、傳輸和刪除進行更嚴格的控制。
什麼是個人資料(Personal Data)?
GDPR將關於個人的資料稱為“個人資料(Personal Data)”。個人資料包含可用於識別或辨別的在世個人信息。身份識別信息包括姓名、身份證號碼、位置數據、個性特徵(性別、年齡或頭髮顏色等)、財務信息和在線身份識別信息(如IP地址)。
哪些個人資料被認為是敏感的?
敏感個人資料包括種族或族裔,宗教、政治或哲學信仰,工會會員或從屬關係,身體或精神健康狀況,性取向,用於唯一地識別個人的遺傳或生物識別資料。
數據保護原則
- Principle (a) – lawfulness, fairness and transparency
- Principle (b) – purpose limitation
- Principle (c) – data minimisation
- Principle (d) – accuracy
- Principle (e) – storage limitation
- Principle (f) – integrity and confidentiality
與數據保護相關的重要義務包括六個原則,在實踐中,這些原則相互重疊,可劃分為三個主要領域:
1) 收集個人資料
- 僅出於明確而具體的目的收集資料
收集個人資料的公司必須確保他們有權收集該資料,並明確該資料的用途。在接收來自客戶的資料時,請不要因為客戶向您提供了該資料或者該資料在未來可能有用而接受。
- 僅收集您需要的資料
所收集的資料量應滿足您的項目需求,但不應過多收集。此概念有時被稱為“資料收集最小化”。
2) 處理和共享個人數據
- 公平性和透明度
必須公平透明地使用客戶的顧客數據。客戶必須明確告知其顧客所收集的個人資料的內容、共享該資料的方式以及使用該資料的目的 。機構在為客戶設計服務時,應確保客戶可以遵守這些要求,並且向顧客妥當解釋我們對個人資料的任何處理 。
- 準確性
我們從客戶獲取的資料的準確性主要由客戶負責。
3) 傳輸和刪除個人資料
- 保證資料安全
必須保證資料的安全,並且防止未經授權或非法處理,意外丟失、損壞或損毀。
- 僅在需要的時間內保留資料
處理個人資料
在設計應用程式時,您需要了解以什麼方式、在什麼時候向客戶的顧客提供關於使用其個人資料的信息。您可能不會直接處理任何個人資料,但作為設計流程的一部分,您需要了解有哪些要求被觸發以及何時被觸發,以便您可以將相關內容納入設計。
傳輸和處置個人資料
何時刪除個人資料?
- 查看與客戶達成的合同或資料處理協議
- 若合同未明確說明何時以什麼方式刪除客戶的歐盟顧客資料,則默認做法是在項目、服務或工作結束後的一個月內將其刪除
- 客戶可能要求在刪除前向其發送一份個人資料副本,這通常在合同中有明確規定
- 有時在向客戶提供的 服務結束後,還需要將資料繼續合理保留一段時間,此時應確定合理的保留時間,記錄您選擇超出一個月默認期限的依據,確保在此 改定的期限過後刪除個人數據。
