当前位置:首页 > 内容营销 > 正文

GDPR 和分析:在线企业需要了解什么?

GDPR 和分析:在线企业需要了解什么?

阅读更多关于 GDPR 的确切含义、企业应该如何遵守以及如果不遵守会受到怎样的影响。...

欧盟的通用数据保护条例 (GDPR) 将于 5 月 25 日生效。 GDPR 旨在让欧盟公民和位于欧盟的非公民控制个人身份数据。

这对收集和处理数据的公司来说意味着巨大的变化,无论分析是否由第三方(如 Google Analytics)执行。

资料来源:Unsplash 上的 Olu Eletu

GDPR 是一份冗长而复杂的文件,我敦促收集和分析数据的企业熟悉其内容并寻求法律建议。 在本文中,我将讨论在分析中使用个人身份数据的企业的一些后果,但不应将其视为法律建议。

什么是 GDPR?

GDPR 与个人身份数据有关,其定义为:

“与已识别或可识别的自然人(‘数据主体’)相关的任何信息; 可识别的自然人是可以直接或间接识别的人,”

GDPR 引入了有关数据收集和处理的严格规则,并建立了证明收集个人数据合理的法律依据。 数据收集和处理有多种理由,但与分析最相关的是同意和合同义务。

处理个人数据的实体被视为控制者或处理者。 控制器是收集数据并决定如何处理数据的实体。 处理器负责代表控制器处理数据。 收集有关购物者数据的电子商务商店是控制器。 获取该数据并使用它生成报告的第三方分析提供商是处理器。

重要的是要了解控制者负责确保处理者遵守 GDPR。 企业不能通过外包分析将责任转移给第三方。 控制器必须确保他们使用的任何分析服务都是合规的。

资料来源:Unsplash 上的 Markus Spiske

分析和剖析

GDPR 明确规定了分析,它将其定义为自动处理,以“分析或预测与该自然人在工作中的表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或运动有关的方面。

在没有其他法律依据的情况下,分析是否需要同意存在一些分歧,但很明显,基于分析的自动决策确实需要明确同意。 如果组织使用分析作为自动决策的基础——可能是营销自动化或重新定位——它必须获得明确同意(或与数据主体签订合同协议)。

同意的定义比以前的隐私立法更窄。 同意必须是“自由给予的、具体的、知情的和明确的数据主体意愿的表示,通过声明或明确的肯定行动,他或她表示同意处理与他或她有关的个人数据。

这可能会给依赖分析的企业带来问题。 没有具体描述任何分析范围的模糊选择,尤其是在分析和自动化决策方面,是不够的。 同意必须是具体的和明确的。

许多企业在他们没有特别同意的情况下进行分析。 事实上,企业在知道如何使用信息或重新利用因其他原因收集的数据之前收集信息是很常见的。

根据 GDPR,企业必须为每个“目的”寻求具体同意。 此外,数据主体应该能够随时选择退出——他们可以撤回同意,而控制者必须遵守。

值得注意的是,没有“祖父”条款允许在 GDPR 的约束之外处理历史数据。 它适用于所有个人身份信息,无论何时收集。

GDPR 控制数据主体

GDPR 赋予数据主体一系列权利,使控制者承担义务。

  • 访问权——数据主体可以要求控制者向他们提供他们存储的所有个人信息。 控制者必须让数据主体能够轻松地发出此类请求。
  • 删除权——数据主体可以要求删除(或更正)他们的个人数据。 这种权利通常被称为“被遗忘权”。
  • 数据可移植权——数据主体应该能够获取一家公司持有的数据并将其提供给另一家公司。

企业必须让数据主体能够轻松地提出这些请求,但真正的负担是确保数据的存储方式可以根据这些权利响应请求。 企业需要知道他们拥有哪些数据、存储在哪里以及它是否属于 GDPR。

如果企业尚未准备好响应数据主体的请求,则存储大量数据以进行分析的企业可能还有很多工作要做。

资料来源:Unsplash 上的 JESHOOTS.COM

GDPR 和谷歌分析

Google Analytics 提供的大部分数据无法直接链接到特定个人,但 Google Analytics 及其客户确实共享可“直接或间接”用于识别人员的数据。 正如我已经提到的,IP 地址现在被视为个人数据。

正如您所料,Google 已努力确保 Google Analytics 符合 GDPR。 当 Google Analytics 作为数据处理方时,作为处理方的 Google 与其作为控制方的客户之间必须签订书面合同。 合同应包含一组标准条款,用于描述数据并限制可以对其进行的操作。 谷歌希望在 GDPR 生效时为其所有服务提供更新的合同条款。

GDPR 合规性是一条两条路。 控制者必须确保处理者能够提供“充分保证”,数据将按照 GDPR 进行处理。 处理者只能以合同规定的方式使用数据。

需要明确的是,如果他们分包的组织不遵守 GDPR,则控制者最终要承担责任。

处罚和地域性

欧盟以外的企业可能想知道为什么他们应该关注 GDPR。 如果他们不从欧盟公民或位于欧盟的其他人那里收集个人身份数据,那么 GDPR 与他们的业务无关。

对于从欧盟内部收集个人身份数据的欧盟以外的企业来说,情况更为复杂。

在欧盟有实体地点的美国企业可以直接受到制裁,但目前尚不清楚欧盟打算如何将 GDPR 应用于在欧盟没有实体存在的企业,除非这将涉及国际法和相关条约或贸易协定。 在欧盟没有实体存在的美国企业可能需要指定一名欧盟代表来处理公司与欧盟数据保护组织之间的通信。

与不遵守 GDPR 相关的处罚是严厉的,最高可达 20,000,000 欧元或全球收入的 4% 的罚款,以较大者为准。

GDPR 的实际后果

对于大多数为分析目的收集数据的企业来说,有几个直接后果:

  • 企业应确保在收集和处理数据之前获得明确同意。
  • 他们应该实施允许欧盟公民根据要求访问、删除或移动他们的个人数据的系统。
  • 他们应该确保任何处理者——代表数据控制者进行数据处理的第三方——都符合 GDPR 的规定,并且已经签订了合规合同。

最后,如果您对 GDPR 对您的业务的后果有任何疑问,我强烈建议您咨询合格的法律专家。

注意:本文所表达的观点是作者的观点,并不一定代表卡菲昂及其员工或合作伙伴的观点。

,

最新文章