IAB英国 GDPR清单

 

(最后更新2018年5月1日) 

自从欧盟委员会首次起草了更新欧洲数据保护规则的计划以来, 我们的目标是帮助会员了解新法律对他们的业务意味着什么，并在可能的情况下提供指导. 

向企业提供建议，建议他们实施哪些流程来帮助他们遵守GDPR，一直是一项具有挑战性的任务. 《dsn彩乐园网址》(GDPR)对模糊性并不陌生，而且充斥着可能对我们的行业产生深远影响的灰色地带. 我们首先提出了“现在需要考虑的五件事” 我们的会员简报会 这是我们在2016年10月IAB Engage之后发布的，但随着截止日期的临近，你明白吗, 进一步的行业指导越来越重要. 好消息是，事情正慢慢开始变得明朗起来. 

因此，您可以在下面找到我们的GDPR清单，该清单受到ICO自己的启发 “现在要采取的12个步骤” 但它是为彩乐园dsn行业量身定制的，有助于实现合规. 我们的目标是定期更新清单，所以请务必回来. 我们建议您使用我们的 成员介绍 在列表旁边. 你也可以看看我们的 快问&A 浏览GDPR的简介. 

无论您处于合规之旅的哪个阶段, 我们想听到你的消息，所以请给我们发电子邮件 (电子邮件保护) 有任何关于GDPR的问题, 当然, 在我们的网站上查看我们的GDPR内容 GDPR中心.

1. 意识

2. 盘点并记录您的合规旅程

3. 处理个人资料的法律依据 

4. 同意 & 合法利益

5. Pseudonymisation

6. 沟通隐私信息

7. 个人的权利

8. 数据控制器和数据处理器

9. 数据泄露

10. 隐私设计和隐私影响评估

11. 资料保障主任

12. 国际

 

1. 意识

GDPR带来了巨额罚款——最高可达全球年营业额的4%. 但这并不是高级决策者需要了解新法律的唯一原因. 由于GDPR的实施，一些流程——甚至可能是产品——将不得不改变. 对于许多彩乐园dsn公司来说, 这是他们第一次必须遵守一套与GDPR一样广泛的数据保护规则. 

我们建议您将不同的部门聚集在一起，以提高对业务各个方面的认识，并起草一份涉及所有相关部门员工的合规路线图. 不要忘记GDPR将适用于所有在欧盟开展业务的公司, 因此，要确保你的海外同事——尤其是那些在美国的同事——参与进来，并完全了解情况.

2. 盘点并记录您的合规旅程

问责制是贯穿GDPR的核心主题. 问责的关键是记录你所持有的个人资料，并确定任何风险领域. 你现在就可以开始了. 请记住，GDPR中包含的个人数据的定义不仅仅包括个人身份信息(PII)。. 认识到这一点很重要，因为许多业内人士目前认为这些数据点超出了数据保护立法的范围, 会被GDPR捕获吗. 这意味着您不应该假设唯一标识符(例如.g. cookie id或广告id)是“匿名”数据. 

像这样, 许多IAB成员可能发现将所有在线标识符视为个人数据是最简单的方法, 因此，请确保您了解数据的来源，并清楚地了解您与谁共享数据. 您应该考虑运行一个信息审计来帮助完成这个练习，并对您的数据实践进行任何持续的监视. 

3. 处理个人资料的法律依据 

组织需要根据GDPR合法处理个人数据的理由, 包括一开始收集数据. GDPR提供了六个法律依据: 

• 同意

• 合同

• 法律遵从(与另一法律)

• 保护某人的切身利益

• 公共利益

• 合法权益

彩乐园dsn中最常用的两个法律依据是同意和合法利益. 像这样, 考虑您处理数据的各种方式，并确定哪种法律依据最适合您执行的处理类型. 在某些情况下, 你可能会发现，将同意和合法利益结合起来使用是很有用的, 这取决于您打算进行何种处理，或者您是否希望为其他目的处理数据.  

重要的是要记住，根据当前的电子隐私指令(“cookie法”)，你必须使用同意来访问和/或存储用户设备上的信息. 这意味着从2018年5月25日起, GDPR引入的更严格的同意要求(见下文)将适用于这些情况. 欧盟目前正在审查电子隐私指令，这可能会导致这些要求的一些变化. 

4. 同意 & 合法利益

同意在GDPR中起着突出的作用. 然而, 同意只是公司处理上述个人数据的六个法律依据之一，在某些情况下并不是最合适的法律依据. 与现有规则相比，GDPR加强了同意的条件. 一般来说，同意必须是自由的、具体的、知情的和明确的. 重要的是, 现在，它需要个人的积极行动才能有效. 如果您打算处理敏感的个人数据，则必须明确表示同意. 

最重要的是, 公司有举证责任证明同意是合法获得的, 因此，能够在作为法律基础或必要的情况下核实同意(见上文提到的“cookie法”)将非常重要, 特别是如果另一个组织代表你获得同意. 

帮助公司在适用的地方遵守GDPR的同意要求, IAB英国已经为IAB欧洲的同意和指导做出了贡献 IAB欧洲的透明度 & 同意框架 -一项帮助公司遵守GDPR同意和透明度要求的行业倡议. 了解更多有关IAB欧洲透明度的信息 & 同意架构，请浏览 www.advertisingconsent.eu

您还需要查看ICO关于同意的指导，这是可用的 在这里.

只要个人的利益不高于一切，公司就可以依靠“合法利益”来处理个人数据. 在实践中, 这意味着企业需要进行平衡测试，以评估其利益的平衡. 数据审裁处为《彩乐园dsn》作出了贡献 通过例子和有用的模板评估，帮助公司了解他们可以在哪里应用合法利益.

5. Pseudonymisation 

GDPR首次在欧盟数据保护法中引入了假名化的概念. 我们理解假名包含两个相关的概念. 假名化可以是数据可以经过的一个过程，例如加密, 散列或标记化-确保数据不再直接链接到个人. 没有任何直接识别细节的个人资料也可能在收集时被假名化. 例如，一个随机的cookie ID允许用户被识别，但不是直接识别. 

无论哪种情况， 公司必须记住，无论你使用何种形式的假名, 根据GDPR，这些数据仍然是个人数据. 也就是说, 作为一种增强隐私和安全的措施，假名化有明显的好处, 尤其是对数据进行假名处理的公司可以减轻GDPR的部分义务(详见第7点——个人权利)。. 如果您想依靠合法利益来处理您的任何个人数据，假名化也可以帮助您通过平衡测试(参见上文第3点)。.

6. 沟通隐私信息

透明度是GDPR的另一个核心要素. 在我们的行业中，隐私政策和通知长期以来一直用于向用户传达组织如何以及为什么使用数据. 根据您是否直接从个人获取数据，GDPR要求不同级别的详细信息. 在所有情况下, 你的通知——尤其是——必须简明扼要, 通俗易懂，用清晰易懂的语言书写. 它还必须包括您使用的法律依据，并解释您在处理个人数据时的合法权益(如果这是您经营的法律依据之一).

像这样, 现在看看你目前使用的隐私声明，分析哪些需要修改，如果你还没有开始起草这些修改. 每个参与收集和使用数据的组织都必须公开这些信息，这一点至关重要, 从发行商开始，一直到每个相关的第三方. 

的 ICO关于私隐通知、透明度及管制的指引 是一个很好的起点吗. 另外，请务必查阅“知情权在… ICO的GDPR概述.

7. 个人的权利 

GDPR赋予个人广泛的权利. 这些都是: 

• 知情权(见上文第6点) 

• 进入权

• 纠正权

• 删除权

• 限制加工的权利

• 数据可携权(见 第二十九条工作组指导 欲知详情)

• 反对权(选择退出权)

• 不受制于自动化决策制定的权利，包括分析(参见 第二十九条工作组指导 欲知详情)

检查您的流程，以确保您能够充分响应您可能从个人收到的任何请求. 

IAB欧洲提供了有用的指导，帮助公司了解他们有义务回应个人的要求. 我们强烈建议您考虑现有的指导 在这里.

8. 数据控制器和数据处理器

GDPR保留了当前数据保护法中“数据控制者”和“数据处理者”的概念，以区分组织在处理个人数据时所扮演的不同角色. 提醒一下, 数据控制者是指那些单独或与其他控制者共同决定谁和为什么处理个人数据的组织, 而数据处理器则代表数据控制器. 这意味着只有控制者对当前规则下的数据保护合规性负责, 不是处理器. 

重要的是，GDPR将法定义务扩展到数据处理者. 这意味着数据处理者可能会受到数据保护机构的执法行动和任何潜在的罚款(请记住, 高达全球年营业额的4%)，自2018年5月起. 根据GDPR，数据处理者的义务包括: 

• 数据协议 -处理者必须与控制者签订书面合同(或其他法律行为). 这必须列出处理的主题和持续时间, 加工的性质和目的, 个人数据的类型和数据主体的类别以及控制者的义务和权利

• 数据安全 -处理者必须采取适当的安全措施，并在发生数据泄露时及时通知控制者(见下文).

• Sub-处理器 -处理者只有在获得控制者事先书面授权的情况下才能使用子处理器. 供应商还必须给予数据控制器反对使用子处理器的任何更改的机会.

• 控制器的指令 处理者只能按照控制者的指示处理个人数据.

• 问责制 处理者必须保存数据处理活动的记录，并在相关数据保护机构要求时提供这些记录.

• 资料保障主任 在某些情况下，处理者必须指定一名资料保障主任(详情见下文).

• 跨境转移 -处理商必须遵守有关跨境转账的限制(详情见下文).

鉴于数据控制者和处理者都有GDPR规定的义务, 企业明确自己的角色很重要. 甚至在品牌活动的过程中，这些角色也会发生变化. 

虽然起草现行规则，我们建议您考虑 ICO对该问题的指导 来帮助这个练习, 期间，你可以, 例如, 想要弄清楚你在受众细分中的角色. 你是自己做还是听从品牌或发行商的指示? 每个客户都有不同吗? 无论如何, 现在就开始与你的合作伙伴签订合同，并审查那些已经到位的合同，以确保它们符合GDPR的要求. 

9. 数据泄露

个人数据泄露可能会在声誉和财务方面产生深远的影响. 因此，您应该确保您所放置的进程允许您进行检测, 报告和调查违规行为. 与现有规则相比, GDPR要求遭受数据泄露的数据控制者，其中个人可能遭受某种形式的损害, 例如通过身份盗窃或泄露机密, 通知他们的数据保护局，即英国的ICO. 数据处理者必须及时通知控制者他们所发生的任何违规行为(请参阅上文有关数据控制者和数据处理者的更多信息)。. 现在开始识别可能触发通知需求的数据类型. 第2点提到的信息审计可以帮助您实现这一点. 检查 第29条工作组关于违约通知的指导 了解更多细节.

10. 隐私设计和隐私影响评估

隐私影响评估(PIAs)——或GDPR所称的数据保护影响评估(DPIAs)——在新规则中发挥着重要作用. 长期以来被认为是好的做法, 现在法律要求在高风险情况下运行PIA, 例如，在部署新技术或分析操作可能对个人产生重大影响的地方. 目前尚不清楚这一要求是否适用于处理假名数据. 

GDPR还将设计和默认隐私原则写入法律. 这两种情况, 执行PIA可以帮助您评估如何将这两个原则结合到您想要推向市场的任何新产品或服务中. ICO制定了关于 私隐影响评估(PIAs) 这又一次为这个练习提供了一个很好的起点.

11. 资料保障主任

GDPR规定，决定是否需要指定数据保护官(DPO)的标准之一是“控制者或处理者的核心活动包括以下处理操作。, 由于他们的本性, 它们的范围和/或目的, 要求对大规模的数据主体进行定期和系统的监测。. 

如果这适用于你的公司, 那么你就必须指定一个人来负责GDPR合规. 您还必须考虑这个人适合在业务结构和治理中的哪个位置. 要帮助解决这个问题，请参考 第29条工作组关于dpo的指导. 

12. 国际

我们行业的大多数企业都在欧洲经营. 在这种情况下，您需要确定哪个数据保护机构将是您的“领导机构”. 这在英国脱欧的情况下尤为重要，因为根据ICO在欧洲数据保护框架内的未来角色，您可能无法指定ICO作为您的领导机构. 在这种情况下, 总部设在英国的企业不太可能从GDPR的“一站式服务”概念中受益，它们将不得不与欧洲大陆的多个数据保护机构打交道. 第29条工作组关于领导监管机构的指导 是否有助于确定你的领导权威.  

重要的是, 您还应该考虑将数据传输到欧盟以外的国家的选择. 在GDPR之前，您可能需要第一次这样做, 你可能没有处理个人资料.

GDPR为跨境数据传输提供了多种选择. 转移到欧盟委员会认为提供“充分”数据保护标准的国家是无缝的. 现提供目前享有这一地位的国家名单 在这里 包括欧盟和美国.S. 隐私保护. 还有其他选择，包括使用标准合同条款.  

在脱欧后，英国是否也会被认为在数据保护方面“足够”，或者是否会找到另一个解决方案，这还有待观察. 英国政府还将考虑与美国同行达成一项协议，以确保两国之间数据的持续流动，因为英国将无法从欧盟-美国贸易协定中受益.S. 一旦国家退出欧盟，隐私保护.