資料私隱及保安


關於GDPR你需要知道的17件事

托德Grennan 通過托德Grennan2018年3月20日

《歐洲一般保障資料規例》(GDPR)正在重塑歐洲和全球企業的客戶數據格局,並提高了嚴重的後果針對不合規品牌。

GDPR是一個大話題,它可能很可怕——尤其是如果你還沒有完全遵守。雖然Braze不能向我們的客戶或其他任何人提供法律建議,但我們可以引導您了解涉及GDPR時需要考慮的一些主要問題,以及我們為遵守GDPR而采取的步驟。

厚顏無恥的GDPR

Braze是一個客戶互msports万博体育客服動平台,為消費者品牌提供個性化的信息ABC新聞交付的英雄達美樂在不斷變化的數據隱私環境中,微軟已經做好了安全導航的準備。在Braze,我們相信“通過設計實現安全”,這意味著我們已經將安全構建到我們產品的核心中,並從第一天起就將其作為一個重點關注領域。我們對保持最高標準的數據保護法規和安全標準的合規性感到自豪,包括:進行第三方滲透測試,進行SOC II合規性審計,並與我們的客戶就GDPR進行合作。

Braze與一家領先的歐盟隱私和合規公司合作,幫助我們準備GDPR。我們致力於確保持續遵守所有適用的數據隱私法規下的數據處理者和控製者義務,並在2018年5月25日GDPR法規生效時製定了廣泛的合規計劃。

安全和隱私保護永遠不會結束——它們總是在進行中。Braze一直是,並將繼續是我們客戶數據的好管家。我們將不斷應對新出現的風險和法規,始終將信任和透明作為我們的核心。

最基本的

什麼是GDPR?

《通用數據保護條例》(GDPR)是歐盟於2016年5月25日通過的一項新法律,對組織使用歐盟數據主體的個人數據製定了更嚴格的規定。

根據GDPR,歐盟公民擁有哪些權利?

根據GDPR,所有歐盟數據主體將對他們的個人數據以及如何在全球範圍內收集和使用這些數據擁有更多的控製權。這些新權利包括:

歐盟為什麼通過GDPR?

取代之前作為歐盟個人數據法律基礎的《數據保護指令》(以下簡稱《指令》)。該指令於1995年通過,當時現代互聯網剛剛成型,智能手機和其他移動設備所能提供的數據收集還不存在。GDPR尋求在當今移動優先的世界中保護歐盟數據主體的數據和隱私權。雖然GDPR於2016年通過,但各組織有兩年的時間采取必要措施,以確保在2018年5月25日(周五)之前完全遵守新法律。

誰必須遵守GDPR?

這條規則並不適用於每個組織,但它適用於很多組織,很有可能您的組織就是其中之一。GDPR的影響範圍很廣,適用於在歐盟境內設立的任何公司,以及向歐盟境內人員銷售商品或服務的任何組織(或監控歐盟境內任何人的行為)。這意味著,除了歐盟的客戶、潛在客戶或員工之外,在歐盟公司全球辦公室工作的任何人(manbetx万博全站客户端無論國籍)或在歐盟期間數據由歐盟公司處理的任何人(無論國籍)都受GDPR的保護。因此,不用說,可能受到這項立法影響的組織數量是巨大的。

當涉及到GDPR合規時,組織應該從哪裏開始?

每個組織的流程必然會有很大的不同——畢竟,GDPR合規在很大程度上取決於你目前如何使用個人數據。以下是一些聰明品牌正在使用的最佳實踐,你可以從中學習。首先,思考你的品牌收集、管理和處理根據GDPR被視為“個人數據”的信息的方式,並規劃新規則和限製如何影響你的業務。其次,尋求專業的法律建議——無論是來自內部律師、外部律師或公司,或兩者兼而有之。GDPR是一項龐大、複雜、有時難以理解的法規,組織在沒有足夠的法律指導和監督的情況下設計合規路線圖,可能會將自己置於非常危險的境地。

GDPR術語和定義

GDPR下的“個人數據”是什麼?

任何可以直接或間接用於識別一個人的信息都是個人數據。時期。這可以是明顯的標識符,如電子郵件地址或身份證號碼,但它也適用於更模糊的數據點,如給定的人的生物特征數據,位置信息,IP地址,等等。

什麼是保障資料主任?

根據GDPR,數據保護官(DPO)的任務是監督與您組織的數據保護需求相關的指導,並確保組織遵守法規。DPO可以是員工,也可以是外部顧問,並不是每個組織都必須有DPO。

戰術這

根據GDPR,品牌可以收集哪些類型的個人數據?

除了一些與刑事定罪相關的數據的特殊規則(隻能由國家當局處理)外,GDPR對組織可以收集的個人數據類型沒有具體限製。相反,該法規要求適用的組織證明他們已經實施了所謂的“數據保護的設計和默認這樣,對個人數據的保護就被納入了組織所做的一切。。

GDPR是否適用於隻在美國設有辦事處的組織?

是的,它可以。最終,您的組織是否受GDPR的約束並不取決於您組織辦公室的位置,而是取決於您在交易或監控歐盟人員時是否收集了個人數據。一般來說,如果您收集或處理歐盟數據主體的個人數據,您很可能需要遵守GDPR。此外,歐盟客戶、潛在客戶或員工、在歐盟公司全manbetx万博全站客户端球辦公室工作的任何人(無論國籍)或在歐盟期間數據由歐盟公司處理的任何人(無論國籍)都受GDPR的保護。

如果歐盟公民居住在歐盟以外,GDPR是否仍然適用?

如果處理其個人數據的組織位於歐盟,則可能如此。

如果非歐盟公民居住在歐盟境內,GDPR是否適用?

最有可能。你不需要成為歐盟公民。如果您是歐盟居民,甚至是訪問歐盟,而您的個人數據是由在歐盟設立的組織處理的,那麼您的個人數據的處理將受GDPR的約束。如果該組織不在歐盟境內,但在歐盟境內為您提供商品或服務,或在歐盟境內監控您的行為,GDPR也適用。

GDPR是否適用於2018年5月25日之前收集的數據?

的確如此。GDPR中沒有任何條款規定在法規實施之前收集的數據可以適用於GDPR,所以無論你是在5月25日收集受GDPR約束的個人數據,還是在20世紀收集的個人數據,你都必須像對待法規下的其他個人數據一樣對待它。

你什麼時候可以處理個人資料?

根據GDPR,個人數據的處理隻有在符合六種批準的理由之一時才合法。

你能通過加密個人數據來繞過GDPR嗎?

不。雖然GDPR鼓勵組織對他們處理的個人數據進行加密以保護人們的隱私,但該法規並沒有要求這樣做,而且簡單地加密個人數據並不能改變你的組織收集和使用這些個人數據的事實,這自動要求你遵守GDPR。

對所有內容進行門控怎麼樣?

這很好,但是你不能預先選中複選框。個人必須采取行動表示同意,例如勾選或勾選複選框,而不是采取行動撤回同意(如預先選中的複選框或默認選項)。撤回同意對個人來說應該像給予同意一樣容易。

GDPR的責任和後果

不遵守GDPR的品牌將麵臨什麼處罰?

非常大的。未能遵守GDPR的組織可被處以最高可達2000萬歐元,占全球收入的4%,以較大者為準。無論你是一個大型的全球性組織,還是一個充滿鬥誌的小初創公司,這種罰款都會讓你感到刺痛。記住,GDPR不是一個建議,它是針對受影響組織的法律。

誰可以提交GDPR投訴?

GDPR下,對機構的投訴歐盟個人數據主體和歐盟成員國的監管機構都可以因未能遵守該規定而提起訴訟。這意味著,對個人刪除數據的請求反應遲緩的組織可能會麵臨巨額經濟處罰。

Braze和gdpr:事實

Braze什麼時候能符合GDPR ?

Braze正在與歐盟領先的隱私和合規公司之一合作,以確保在2018年5月25日或之前實現全組織範圍內的GDPR合規。這些努力包括與我們的客戶建立積極的合作夥伴關係,以確保他們了解Braze將如何使他們遵守作為數據控製者的廣泛義務。

Braze是數據處理器還是數據控製器?

當Braze客戶端使用我們的平台時,這些客戶端是控製器,而Braze是處理器——這意味著當涉及到代表客戶處理個人數據時,Braze將遵循客戶的指示。但是,當涉及到從自己的歐盟員工和訪問Braze網站的歐盟數據主體或通過我們的營銷計劃以其他方式收集數據時,Braze是控製者。

Braze在歐洲有數據中心嗎?

是的。Braze使用AWS作為其托管提供商,並允許客戶將數據存儲在美國或歐洲。在歐洲,數據托管在德國法蘭克福的一個數據中心,備份在愛爾蘭。Braze不會將任何個人數據從最初存儲的國家轉移存儲。

Braze是否提供有關GDPR合規的麵向客戶的文檔?

是的!釺焊有GDPR合規F.A.Q.以及持續更新的其他相關材料,以確保客戶能夠了解Braze的GDPR合規性。

Braze將如何確保客戶能夠遵守數據主體的糾正權、刪除個人數據的權利(包括被遺忘權)以及GDPR下的訪問權?

作為一家數據處理公司,Braze專注於在技術上可行的情況下,自動化客戶遵守GDPR下數據主體權利的能力。例如,Braze已經更新了其平台,以便客戶端可以響應單個數據主體的請求。作為數據控製者,Braze已經製定了數據主體訪問請求表,供人們根據GDPR行使其權利。

客戶是否可以使用Braze來獲得根據GDPR處理個人數據所需的明確同意?

一般來說,雖然客戶端可以使用Braze向使用他們的應用程序或網站的人發送有針對性的消息,但消息的內容、接收人以及每個客戶端消息活動的所有其他元素都由客戶端決定。因此,每個客戶最終都要確定,這是否是他們希望按照GDPR的要求獲得歐盟數據主體同意的方式。

Braze將如何使客戶停止從歐盟數據主體那裏收集個人數據,而歐盟數據主體要麼沒有同意處理他們的個人數據,要麼撤回了同意?

根據GDPR,當個人決定他們不希望你的組織收集或使用他們的數據時,在大多數情況下,法律要求你刪除你所擁有的關於他們的所有個人數據。在這種情況下,可以配置Braze平台,以停止收集未同意數據處理(或撤回同意)的人的個人數據。話雖如此,在處理來自歐盟數據主體的個人數據之前,每個Braze客戶最終都有責任根據GDPR獲得並記錄同意,或根據GDPR確定另一個法律上充分的理由。

Braze是否會進行更新,以限製我們客戶及其最終用戶的個人數據提供給其員工,而這些員工在他們的崗位上並不需要這些數據?

目前的情況是,隻有為了支持平台運營、遵守適用法律或根據客戶的指示而需要訪問特定個人數據的Braze員工才被允許訪問或處理客戶及其最終用戶的個人數據。

Braze做了哪些產品更改來支持GDPR合規?

特別是,Braze已經采取措施,允許客戶利用Braze平台的REST api和sdk來執行與個人數據相關的更細致的操作。使用Braze,現在可以:

  • 通過API導出個人客戶檔案及其相關個人數據,使我們的客戶遵守GDPR的訪問權和數據可移植權
  • 通過Braze SDK停止對給定客戶數據的所有處理,然後通過API刪除該個人數據,支持符合GDPR的刪除權
  • 根據GDPR的糾正權,通過API或SDK調整給定用戶的客戶檔案中包含的信息
  • 通過API或SDK將個人資料標記為未訂閱的電子郵件和推送通知,以遵守GDPR的反對權

Braze是否會更新記錄營銷許可變更的日期?

實際上,根據GDPR, Braze客戶負責所有與歐盟數據主體何時提供或撤銷其同意相關的記錄保存,這是他們作為數據控製者義務的一部分。

Braze會確保它的子處理器也符合GDPR嗎?

由於Braze對其子處理器的作為和不作為負責,並確保他們遵守GDPR,因此我們要求所有子處理器簽署強製遵守GDPR的合同協議。

Braze平台將如何使客戶端滿足最終用戶對數據可移植性的要求?

Braze已經允許客戶導出他們在Braze平台中可能擁有的任何和所有數據,以支持他們獨特的數據需求。然而,雖然我們很高興支持客戶數據從我們的係統中無縫轉移,但根據GDPR將部分或全部數據提供給個人消費者的責任最終取決於我們的客戶,而不是Braze本身。

Braze是否有其他關於其GDPR合規活動的麵向公眾的文件?

當然!看看更多GDPR信息包括嚴格遵守GDPR F.A.Q.這些文件會根據需要進行更新,以使我們的客戶能夠理解和跟蹤Braze GDPR合規計劃。


托德Grennan

托德Grennan

托德·格倫南是紐約作家和編輯。當他不在Braze上寫關於移動營銷、客戶保留和新興技術的文章時,你會發現他試圖閱讀維基百科上與第二次世界大戰有關的每一篇文章。

相關內容

在瞬息萬變的世界中擁抱注重隱私的客戶參與

閱讀更多

透明度如何幫助消費者理解隱私和個性化之間的平衡

閱讀更多

客戶互動

什麼是零方數據?

閱讀更多

客戶互動

Braze如何幫助你準備無餅幹的未來

閱讀更多