GDPR与行业专家解密

2019年5月25日，标志着欧盟（EU）通用数据保护条例（GDPR）具有里程碑意义的实施一周年。

GDPR对个人信息的收集，使用和处理产生了重大的全球影响。无论企业在地理位置上的位置如何，GDPR都适用于所有参与向欧洲经济区（EEA）公民销售商品或提供服务的组织和企业。

虽然我们都以不同的方式听说过GDPR，但很难找到它究竟是什么以及我们应该如何遵守。

我们联系了Scaled Inference的数据保护官Ken Stineman以及法律和GDPR问题专家，以使GDPR失去神秘感。

什么是GDPR？

欧盟的GDPR立法旨在协调整个欧洲的数据隐私法律，并为公民提供更多的数据保护权利。GDPR框架为个人信息的收集，处理和保护以及欧盟个人在个人数据方面的权利制定了指导原则。

GDPR管理欧盟个人的“个人数据”处理，包括信息的收集，存储，转移和使用。

什么是个人资料？

GDPR定义的个人数据广泛地表示可用于识别个人的信息。该信息可以是姓名，电子邮件地址，家庭住址，电话号码，移动设备信息，出生日期，注册标识符，位置数据，IP地址以及其他识别信息的组合。



GDPR还描述了敏感的特殊类别个人数据，包括种族，民族，宗教或哲学信仰，遗传数据，身份识别生物识别，健康数据和医疗记录，性取向，刑事定罪和犯罪数据。

GDPR法规也保护其他个人数据，包括财务信息，社交媒体帖子，广告标识符和照片图像。

什么是假名数据？

假匿名是一种替换或删除标识个人的数据集中的信息的技术。假匿名可以涉及用例如参考号或ID替换名称或其他标识符。

使用假名个人信息可以降低数据主体的隐私风险，使识别个人更加困难，但仍然被视为GDPR下的个人数据。

Scaled Inference鼓励其客户在使用Amp.ai时使用辅助标识符，哈希或其他间接代码发送假名而非直接标识符，这样他们就是唯一能够重新识别任何个人的实体。

处理个人数据的关键GDPR概念是什么？

处理的合法性

GDPR第6条要求处理可识别信息的公司必须对其收集的个人数据类型，目的，可能使用的个人数据以及可能披露信息的实体保持透明。处理个人信息有六个合法依据，包括：同意，合同，法律义务，数据主体的重要利益，公共利益和合法利益。



Scaled Inference在其隐私声明中解释了它用于处理，保留期限的法律依据，以及个人有权向监管机构投诉。

同意

根据GDPR，个人数据的处理只能在法律允许或数据主体明确同意处理的情况下进行。

同意必须是自由的，明确的，并且必须采取明确的肯定行为。如果没有书面合同，Scaled Inference会对工作申请，营销，网络研讨会和其他数据收集使用“选择加入”复选框或类似的确认，因此不会混淆将要处理的信息。

数据最小化和目的限制

GDPR要求只能为指定，明确和合法的目的收集个人数据。未经进一步同意，此类数据仅可用于所述目的而不能用于其他目的。

扩展推理仅收集为了我们的业务功能，产品和服务而必需的个人数据。缩放推理将其收集的数据的使用仅限于所述目的，采取措施防止不当使用和披露信息，并解释数据保留的时间段。

设计数据保护

GDPR第2条要求Scaled Inference采取积极主动的数据保护方法，并通过新产品，服务和项目的设计和开发过程预测隐私问题和风险。

安防措施

GDPR要求实施适当的技术和组织措施，以确保适合特定个人信息风险的机密性，完整性和机密性，包括数据描述和数据加密。

扩展推断在整个数据生命周期中，端到端的“按设计安全”测量和控制，以确保数据的持续机密性，完整性和可用性。

Scaled Inference从开始到结束都考虑了客户和个人信息的安全性。个人信息和客户信息在进入系统时都是安全的，受到保护，安全保留，然后妥善销毁。

在Scaled Inference，我们有严格的安全流程和控制措施，我们的基础设施提供商拥有安全认证，包括国际标准化组织（ISO）27001和美国注册会计师协会（AICPA）系统和组织控制（SOC）信任标准。Scaled Inference已签订数据保护协议，确保其提供商也遵守GDPR标准和要求。

Scaled Inference中的安全措施包括基于角色的访问，双因素身份验证，运行中和静态数据的强加密，全天候安全保护，漏洞扫描，数据备份，网络监控和灾难恢复计划。

违反通知

如果有任何违反机密个人信息的行为，数据管理员必须“在没有不当拖延的情况下”通知相关数据保护机构，并在可行的情况下，在知悉违规行为后的72小时内通知相关数据保护机构。

当个人数据泄露可能导致个人权利和自由的高风险时，控制者还必须将数据泄露的个人数据泄露信息传达给数据主体，而不得无故拖延。

Scaled Inference具有安全事件响应流程，采取措施缓解已知风险和漏洞，并编写违规通知程序。

GDPR下的个人权利是什么？

根据GDPR，欧盟公民有权同意，拒绝，删除和控制公司为商业目的而收集的私人信息。个人可以更好地控制他们与公司共享的信息以及公司如何利用这些信息。



知情权： GDPR下的关键透明度要求是告知个人其数据的收集和使用。

访问权：授予个人获取其个人数据副本的权利以及有关处理目的的信息。

纠正权：纠正错误的个人数据的权利和投诉的权利。

限制处理的权利：在某些情况下，个人可以限制组织使用其数据的方式。个人还拥有与自动决策和分析相关的权利。

擦除权：擦除权也被称为“被遗忘的权利”。个人有权删除其个人数据，包括邮件列表，数据库或备份副本中的记录。

对象权：绝对权利阻止其数据用于直接营销。

问责制

“一般数据保护条例”（GDPR）已将第24条中的问责制原则编成法典，该条款要求各组织采取适当的技术和组织措施，以证明其遵守该条例。

问责制要求包括实施适当的数据保护政策以及定期审查这些政策和程序。

为此，Scaled Inference开发了一个隐私和安全计划，其中包含用于保护客户和个人信息的书面政策和程序。

Scaled Inference具有合规，培训，行为准则和流程的文化，可以通过设计和默认设置来实现隐私目标。我们已经任命了一名数据保护官，并有一个安全事件响应小组，以便能够回应问题。