通用數據保護條例 (GDPR) 對您的公司意味著什麼

2023 年 9 月 03 日

更新於 4 年 2023 月 XNUMX 日

如今，隱私是一個非常重要的問題，特別是在全球範圍內發生大規模數字化之後。我們的數據處理方式需要受到監督和規範，以防止某些人濫用甚至竊取數據。您知道隱私也是一項人權嗎？個人數據極其敏感，容易被濫用；因此，大多數國家都通過了立法，嚴格規範（個人）數據的使用和處理。除了國家法律之外，還有影響國家立法的總體法規。例如，歐盟 (EU) 實施了《通用數據保護條例》(GDPR)。該法規於 2018 年 XNUMX 月生效，適用於在歐盟市場上提供商品或服務的任何組織。即使您的公司不在歐盟境內，但同時擁有來自歐盟的客戶，GDPR 也適用。在詳細了解 GDPR 法規及其要求之前，我們首先澄清 GDPR 的目標是什麼，以及為什麼它對您作為企業家很重要。在本文中，我們將解釋什麼是 GDPR、為什麼您應該採取適當的行動來遵守，以及如何以最有效的方式做到這一點。

GDPR 到底是什麼？

GDPR 是一項涵蓋自然公民個人數據保護的歐盟法規。因此，它僅旨在保護個人數據，而不是專業數據或公司數據。歐盟官方網站上是這樣描述的：

“關於在個人數據處理和此類數據自由流動方面保護自然人的條例 (EU) 2016/679。該法規的更正文本於 23 年 2018 月 24 日發佈在歐盟官方公報上。GDPR 加強了公民在數字時代的基本權利，並通過澄清數字單一市場中的企業規則來促進貿易。這套共同的規則消除了因國家製度不同而造成的碎片化，並避免了繁文縟節。該條例自2016年25月2018日起施行，自XNUMX年XNUMX月XNUMX日起施行。為公司和個人提供更多信息.[1]“

它基本上是確保由於其提供的商品或服務的性質而需要處理數據的公司安全處理個人數據的一種手段。例如，如果您以歐盟公民的身份在網站上訂購產品，則您的數據將受到此法規的保護，因為您居住在歐盟。正如我們之前簡要解釋的那樣，公司本身並不需要在歐盟國家成立才屬於該法規的範圍。每家與歐盟客戶打交道的公司都需要遵守 GDPR，確保所有歐盟公民的個人數據受到保護和安全。這樣，您就可以放心，沒有公司會將您的數據用於除明確說明和概述之外的其他目的。

GDPR 的具體目的是什麼？

GDPR 的主要目的是保護個人數據。 GDPR 法規希望所有組織，無論大小，包括您的組織，都考慮他們使用的個人數據，並深思熟慮地考慮他們使用這些數據的原因和方式。從本質上講，GDPR 希望企業家在涉及客戶、員工、供應商和其他與之開展業務的各方的個人數據時更加了解。換句話說，GDPR 法規希望杜絕那些只因為有能力收集個人數據而沒有充分理由的組織。或者因為他們相信他們現在或將來可以從中受益，而無需太多關注，也無需通知您。正如您將在下面的信息中看到的，GDPR 實際上並沒有真正禁止太多。只要您透明地說明如何尊重個人隱私，您仍然可以參與電子郵件營銷，仍然可以做廣告，並且仍然可以出售和使用客戶的個人數據。該法規更多的是提供有關您使用數據的方式的充分信息，以便您的客戶和其他第三方了解您的具體目標和行動。這樣，每個人至少都可以在知情同意的基礎上向您提供他們的數據。可以說，您需要按照您所說的去做，並且不得將這些數據用於您所說以外的其他目的，因為這可能會導致巨額罰款和其他後果。

GDPR 適用的企業家

您可能會問自己：“GDPR 也適用於我的公司嗎？” 答案相當簡單：如果您擁有來自歐盟的客戶群或人事管理部門，那麼您就可以處理個人數據。如果您處理個人數據，則必須遵守《通用數據保護條例》(GDPR)。法律決定了您可以如何處理個人數據以及您必須如何保護它。因此，這對您的組織始終很重要，因為所有與歐盟個人打交道的公司都必須遵守 GDPR 法規。我們所有的專業和個人互動都越來越數字化，因此考慮個人隱私是正確的做法。客戶希望他們喜愛的商店能夠謹慎處理他們提供的個人數據，因此您可以為自己制定有關 GDPR 的個人法規而感到自豪。而且，作為額外的好處，您的客戶一定會喜歡它。

根據 GDPR，當您處理個人數據時，您幾乎總是也在處理這些數據。考慮收集、存儲、修改、補充或轉發數據。即使您匿名創建或刪除數據，您也在處理它。如果數據涉及的人可以與其他人區分開來，則該數據就是個人數據。這就是已識別人員的定義，我們將在本文後面詳細討論。例如，如果您知道一個人的名字和姓氏，並且該數據也與其官方發布的身份識別方式上的數據相匹配，則您已識別出該人的身份。作為參與此過程的個人，您可以控制您向組織提供的個人數據。首先，GDPR 賦予您了解組織使用的具體個人數據及其原因的權利。同時，您有權了解這些組織如何保障您的隱私。此外，您可以反對使用您的數據，請求組織刪除您的數據，甚至請求將您的數據轉移到競爭服務。[2] 因此，從本質上講，數據所屬的個人可以選擇您對數據的處理方式。這就是為什麼作為一個組織，您需要謹慎對待您提供的有關您獲取的個人數據的確切使用的信息，因為數據所屬的個人需要了解其數據被處理的原因。只有這樣，個人才能決定您是否正確使用數據。

具體涉及哪些數據？

個人數據在 GDPR 中發揮著最重要的作用。保護個人隱私是出發點。如果我們仔細閱讀 GDPR 指南，我們可以將數據分為三類。第一類具體涉及個人數據。這可以歸類為有關已識別或可識別自然人的所有信息。例如，他或她的姓名和地址詳細信息、電子郵件地址、IP 地址、出生日期、當前位置以及設備 ID。該個人數據是可以識別自然人身份的所有信息。請注意，這個概念的解釋非常廣泛。當然不限於姓氏、名字、出生日期或地址。某些數據（乍一看與個人數據無關）仍然可以通過添加某些信息而受到 GDPR 的管轄。因此，人們普遍認為，即使是（動態）IP 地址（計算機在互聯網上相互通信的唯一數字組合）也可以被視為個人數據。當然，必須針對每種具體情況專門考慮這一點，但要考慮您處理的數據。

第二類是所謂的偽匿名數據：以這樣的方式處理的個人數據：如果不使用附加信息就無法再追踪該數據，但仍然使一個人獨一無二。例如，加密的電子郵件地址、用戶 ID 或客戶編號僅通過安全良好的內部數據庫鏈接到其他數據。這也屬於 GDPR 的範圍。第三類由完全匿名的數據組成：所有允許追溯的個人數據都已被刪除的數據。在實踐中，這通常很難證明，除非個人數據首先是可追踪的。因此，這超出了 GDPR 的範圍。

誰有資格成為可識別人士？

有時，定義誰屬於“可識別人員”的範圍可能有點困難。特別是因為互聯網上有許多虛假的個人資料，例如擁有虛假社交媒體帳戶的人。一般來說，當您無需太多努力就可以追溯一個人的個人數據時，您就可以認為該人是可識別的。例如，考慮一下可以鏈接到帳戶數據的客戶編號。或者您可以輕鬆追踪的電話號碼，從而找出它屬於誰。這都是個人數據。如果您似乎無法識別某人，則有必要進行更多研究。您可以要求對方提供有效的身份證明，以確保您知道自己正在與誰打交道。您還可以查看經過驗證的數據庫以獲取有關某人身份的信息，例如數字電話簿（實際上仍然存在）。如果您不確定客戶或其他第三方是否可識別，請嘗試聯繫該客戶並索取個人數據。如果此人沒有回答您的詢問，通常最好刪除您擁有的所有數據並丟棄向您提供的信息。很可能有人使用了假身份。 GDPR 旨在保護個人，但作為一家公司，您也需要採取適當的措施來保護自己免受欺詐。不幸的是，人們可以使用虛假身份，因此對人們提供的信息保持警惕非常重要。當有人使用他人的身份時，這可能會對您的公司造成嚴重影響。始終建議盡職調查。

使用第三方數據的合法理由

GDPR 的一個主要組成部分是規則，即您只能將第三方數據用於指定的合法目的。基於數據最小化的要求，GDPR 規定您只能將個人數據用於既定且記錄在案的商業目的，並得到六個可用 GDPR 法律依據之一的支持。換句話說，您對個人數據的使用僅限於既定目的和法律依據。您進行的任何個人數據處理及其目的和法律依據都必須記錄在 GDPR 登記冊中。本文檔迫使您思考每項處理活動，並仔細考慮其目的和法律依據。 GDPR 具有六個法律依據，我們將在下面概述。

合同義務：簽訂合同時，必須處理個人數據。履行合同時也可能使用個人數據。
同意：用戶明確同意使用其個人數據或放置 cookie。
合法利益：為了控制者或第三方的合法利益，有必要處理個人數據。在這種情況下，平衡很重要，不應侵犯數據主體的個人自由。
切身利益：當生死攸關的情況出現時，可能會處理數據。
法律義務：個人數據必須依法處理。
公共利益：這主要與政府和地方當局有關，例如公共秩序和安全以及公眾保護方面的風險。

這些是允許您存儲和處理個人數據的法律依據。通常，其中一些原因可能會重疊。這一般不是問題，只要你能解釋並證明確實有法律依據。當您缺乏存儲和處理個人數據的法律依據時，您可能會遇到麻煩。請記住，GDPR 考慮到了對個人隱私的保護，因此法律依據有限。了解並應用這些，您作為一個組織或公司應該是安全的。

GDPR 適用的數據

GDPR 的核心適用於完全或至少部分自動的數據處理。例如，這需要通過數據庫或計算機進行數據處理。但它也適用於物理文件中包含的個人數據，例如存儲在檔案中的文件。但這些文件必須是實質性的，因為所包含的數據與某些訂單、文件或業務交易相關。如果您擁有一張只有姓名的手寫便條，則它不符合 GDPR 規定的數據資格。畢竟，這張手寫的便條可能來自對您感興趣的人，或者是個人性質的。公司處理數據的一些常見方式包括訂單管理、客戶數據庫、供應商數據庫、員工管理，當然還有直接營銷，例如時事通訊和直接郵件。您處理其個人數據的人稱為“數據主體”。這可以是客戶、新聞通訊訂戶、員工或聯繫人。有關公司的數據不被視為個人數據，而有關獨資企業或自營職業者的數據則被視為個人數據。[3]

有關網絡營銷的規則

GDPR 對在線營銷具有重大影響。您需要遵守一些基本規則，例如在電子郵件營銷中始終提供選擇退出選項。此外，投標人還必須能夠表明和調整他們的偏好。這意味著如果您當前不提供這些選項，則必須調整電子郵件。許多組織還使用重定向機制。例如，這可以通過 Facebook 或 Google Ads 來實現，但請記住，您需要請求明確的許可才能執行此操作。您的網站上可能已經有隱私和 cookie 政策。所以有了這些規則，這些法律部分也需要修改。 GDPR 要求規定這些文件需要更加全面和透明。您通常可以使用模型文本進行這些調整，這些文本可以在互聯網上免費獲得。除了對您的隱私和 cookie 政策進行法律調整外，還必須任命一名數據處理官。此人負責數據處理並確保組織始終符合 GDPR 規定。

遵守 GDPR 的提示和方法

當然，最重要的是，作為企業家，您必須遵守 GDPR 等法律法規和規則。幸運的是，有一些方法可以以盡可能少的努力來遵守 GDPR。正如我們已經討論過的，GDPR 本身實際上並沒有禁止任何內容，但它確實為個人數據的處理方式製定了嚴格的準則。如果您不遵守具體準則並出於 GDPR 中未提及的原因或超出其範圍而使用數據，您將面臨罰款甚至更嚴重後果的風險。除此之外，請記住，當您也尊重他們的數據和隱私時，與您合作的所有各方都會尊重您作為企業主的身份。這將為您提供積極且值得信賴的形象，這對業務確實有利。我們現在將討論一些技巧，使遵守 GDPR 成為一個簡單而高效的過程。

1.首先列出您要處理的個人數據

要做的第一件事是研究您需要哪些確切數據以及目的。您要收集哪些信息？您需要多少數據才能實現您的目標？只需姓名和電子郵件地址，還是您還需要實際地址和電話號碼等額外數據？您還需要創建一個處理寄存器，在其中列出您保留的數據、數據的來源以及與哪些方共享此信息。還要考慮保留期，因為 GDPR 規定您必須對此保持透明。

2. 將隱私作為您企業的總體優先事項

隱私是一個非常重要的話題，在（不可預見的）未來，這種情況仍將持續下去，因為技術和數字化只會不斷進步和增長。因此，作為一名企業家，您必須了解所有必要的隱私法規，並在開展業務時優先考慮這一點，這一點非常重要。這不僅可以確保您遵守所有適用的法律，還可以為您的公司樹立信任的形象。因此，作為一名企業家，請深入了解 GDPR 規則或以其他方式尋求法律專家的建議，這樣您就可以確保在隱私方面您是合法開展業務的。您需要找出您的公司必須遵守哪些具體規則。荷蘭當局還可以為您提供大量信息、提示和日常使用的工具，為您提供幫助。

3. 確定處理個人數據的正確法律依據

正如我們已經討論過的，根據 GDPR，只有六個官方法律依據允許您處理和存儲個人數據。如果您要使用數據，了解您的使用背後的法律依據至關重要。理想情況下，您應該記錄您與公司進行的不同類型的數據處理，例如在您的隱私政策中，以便客戶和第三方可以閱讀並確認此信息。然後，分別確定每項行動的正確法律依據。如果您需要出於新的動機或原因處理個人數據，請務必在開始之前添加此活動。

4. 盡量減少數據使用

作為一個組織，您必須確保僅收集最少的數據元素以實現特定目標。例如，如果您在線銷售商品或服務，您的用戶通常只需要向您提供電子郵件和密碼即可使註冊過程順利進行。在註冊過程中，無需詢問顧客的性別、出生地，甚至地址。只有當用戶繼續購買商品並希望將其運送到某個地址時，才需要詢問更多信息。然後，您有權在該階段請求用戶的地址，因為這是任何運輸過程的基本信息。最大限度地減少收集的數據量可以最大限度地減少潛在隱私或安全相關事件的影響。數據最小化是 GDPR 的核心要求，並且在保護用戶隱私方面非常有效，因為您只處理您需要的信息，僅此而已。

5. 了解您處理數據的人員的權利

了解 GDPR 的一個重要部分是了解您存儲和處理其數據的客戶和其他第三方的權利。只有了解他們的權利，您才能保護自己並避免罰款。確實，GDPR 為個人引入了許多重要權利。例如檢查其個人數據的權利、更正或刪除數據的權利以及反對處理其數據的權利。我們將在下面簡要討論這些權利。

訪問權

第一項訪問權是指個人有權查看和查閱所處理的有關其的個人數據。如果客戶提出要求，您有義務向他們提供。

整改權

糾正與糾正相同。因此，糾正權賦予個人對組織處理的有關他們的個人數據進行更改和添加的權利，以確保這些數據得到正確處理。

被遺忘的權利

被遺忘權正如其所言：當客戶特別要求時被“遺忘”的權利。然後，組織有義務刪除他們的個人數據。請注意，如果涉及法律義務，個人不能援引此權利。

限制處理的權利

這項權利使作為數據主體的個人有機會限制其個人數據的處理，這意味著他們可以要求處理更少的數據。例如，如果一家公司要求提供的數據超出了所涉及流程絕對需要的數據。

數據可移植性的權利

這項權利意味著個人有權將其個人數據轉移給另一個組織。例如，如果有人去競爭對手或員工去另一家公司工作，而你將數據傳輸到這家公司，

反對權

反對權是指個人有權反對處理其個人數據，例如，當數據用於營銷目的時。他們可以出於特定的個人原因行使這項權利。

不受自動決策影響的權利

個人有權不接受可能對他們產生重大後果或造成人為乾預法律後果的完全自動化決策。自動化處理的一個例子是信用評級系統，它將完全自動確定您是否有資格獲得貸款。

知情權

這意味著當個人提出要求時，組織必須向個人提供有關其個人數據收集和處理的明確信息。根據 GDPR 原則，組織必須能夠表明他們處理哪些數據以及原因。

通過熟悉這些權利，您可以更好地預見客戶和第三方何時可能查詢您正在處理的數據。然後，您會發現更容易答應並向他們發送他們所要求的信息，因為您已經做好了準備。始終為查詢做好準備並準備好數據可以為您節省大量時間，例如，通過投資一個良好的客戶管理系統，使您可以快速有效地提取必要的數據。

如果您不遵守，會發生什麼？

我們之前已經簡要討論過這個主題：如果您不遵守 GDPR，就會產生後果。再次提醒您，您無需擁有一家位於歐盟的公司即可被要求遵守。如果您處理的數據來自歐盟，即使只有一位客戶，您也屬於 GDPR 的管轄範圍。可以處以兩種級別的罰款。每個國家/地區的數據保護主管機構可以發出兩級有效罰款。該級別是根據具體違規行為確定的。一級罰款包括未經父母同意處理未成年人個人數據、未報告數據洩露以及與未在所需數據安全方面提供足夠保證的處理者合作等違規行為。這些罰款最高可達 10 萬歐元，對於公司而言，最高可達上一財年全球年營業額的 2%。

如果您犯有基本罪行，則適用二級。例如，未能遵守數據處理原則，或者組織無法證明數據主體實際上已同意數據處理。如果您屬於二級罰款範圍，您將面臨最高 20 萬歐元的罰款，或高達公司全球營業額 4% 的罰款。請注意，這些金額已最大化，並取決於您的個人情況和企業的年收入等因素。除罰款外，國家數據保護機構還可能實施其他制裁。這可以是警告和譴責，也可以是暫時（有時甚至永久）停止數據處理。在這種情況下，您可能暫時或永久不再通過您的組織處理個人數據。例如，因為您多次犯罪。這基本上將使您無法開展業務。另一項可能的 GDPR 制裁是向提出有理有據的投訴的用戶支付損害賠償金。簡而言之，對個人隱私和個人數據保持警惕，以避免造成如此嚴重的後果。

您想知道您是否符合 GDPR 規定嗎？

如果您計劃在荷蘭開展業務，則必須遵守 GDPR。如果您與荷蘭客戶或任何其他歐盟國家的客戶開展業務，您還必須遵守這項歐盟法規。如果您不確定自己是否屬於 GDPR 的範圍，您可以隨時聯繫 Intercompany Solutions 尋求有關該主題的建議。我們可以幫助您查明您是否有適用的內部法規和流程，以及您向第三方提供的信息是否足夠。有時很容易忽視重要信息，但這可能會給您帶來法律麻煩。請記住：隱私是一個極其重要的話題，因此您必須始終了解最新的法規和新聞。如果您對此主題有任何疑問或想了解有關荷蘭商業機構的更多信息，請隨時聯繫 Intercompany Solutions 任何時候。我們很樂意幫助您解答任何疑問，或為您提供明確的報價。

來源：

https://gdpr-info.eu/

https://www.afm.nl/en/over-de-afm/organisatie/privacy

https://finance.ec.europa.eu/

[1] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.

[2] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

[3] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming