访问它!GDPR 合规指南
Acre 解决方案和产品使客户能够以满足 GDPR 要求的方式管理和处理个人数据。本指南旨在帮助和支持我们的客户评估他们自己是否准备好履行新法规的责任和义务。
概述
数据保护是一项基本权利,每个人都有权保护与其有关的个人数据。《通用数据保护条例》(GDPR)自2018年5月25日起适用,旨在赋予个人对其个人数据的更多控制权。整个欧盟有一套规则,在某些领域可以由国家立法来补充。
GDPR 对收集、使用和处理个人数据的企业或组织规定了义务。GDPR 的核心是要求组织和企业对如何使用和保护个人数据保持完全透明,并能够表现出对其数据处理活动的问责制。必须出于特定目的并在有关人员的同意或法律规定的其他合法基础上公平处理此类数据。
虽然 Acre 为客户提供灵活直观的产品功能以促进遵守新法规,但 Acre 组织不收集、控制、使用或处理 Acre 本地产品中存在的个人数据。因此,确保遵守GDPR中规定的义务是个人数据控制者和处理者的作用和责任。
如果您对数据控制者和/或数据处理者的身份有任何疑问或不确定,无论如何,您都应咨询您的法律顾问。
什么是个人数据?
“个人数据” 一词是指与已识别或可识别的活人有关的任何信息。
如果可以使用 “标识符” 直接或间接识别一个人,则可以对其进行识别。GDPR 提供了标识符示例,包括姓名、识别号和位置数据。也可以通过参照个人身份特有的因素来识别一个人,例如身体、遗传或文化因素。
已被去识别化、加密或假名化但可用于重新识别个人身份的个人数据仍然是个人数据,属于GDPR的范围。如果个人数据被匿名化,使个人不再可识别,则不被视为个人数据。为了使数据真正匿名化,匿名化必须是不可逆的。
无论使用何种技术或方法处理个人数据,法律都会保护个人数据——它适用于自动和手动处理。个人数据如何存储也无关紧要——在 IT 系统中、通过视频监控还是存储在纸上;在所有情况下,个人数据都受到 GDPR 中规定的保护要求的约束。
什么构成数据处理?
处理涵盖对个人数据执行的各种操作,包括手动或自动方式。它包括收集、记录、组织、结构、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供、调整或组合、限制、删除或销毁个人数据进行披露。
《通用数据保护条例》(GDPR)适用于全部或部分通过自动化方式处理个人数据,也适用于非自动处理(如果它是结构化归档系统的一部分)。
我是数据控制者还是数据处理者?
数据控制者是控制并负责在计算机或结构化手册文件中保存和使用个人信息的个人或法人。作为数据控制者有其法律责任,因此您应该明确这些责任是否适用于您或您的组织。
如果您或您的组织控制其持有的个人数据并对其负责,即决定保留哪些个人信息以及将信息用于何种用途,则您或您的组织是数据控制者。
数据控制者为个人的案例示例包括全科医生、药剂师、政治家和个体经营者,这些人保留有关患者、客户、成分等的个人信息。
如果您或您的组织持有个人数据,但其他个人或组织决定并对数据发生的事情负责,则该其他个人或组织是数据控制者,而您或您的组织是 “数据处理者”。
数据处理者的示例包括薪资公司、会计师和市场研究公司,所有这些公司都可以代表他人保存或处理个人信息。
什么是数据同意,我需要考虑吗?
为了合法处理个人数据,组织和企业必须从一开始就确定和记录这样做的法律依据。处理数据的一些合法方法包括:
- 个人的同意:如果向个人提供对其数据使用方式的真正选择和控制权,则同意是适当的。
- 切身利益: 处理对于保护个人的切身利益是必要的,例如,如果需要保护某人的生命。
- 具有法律义务的合规性: 例如,如果欧盟法律为特定目的要求数据,则可以对数据进行处理。
- 与个人签订的合同: 处理是履行与个人签订的合同所必需的,例如提供所要求的商品或服务
如果您对是否已获得足够的同意来处理个人数据有任何疑问,则应咨询您的法律顾问。
什么是数据处理合同,我需要考虑吗?
如果您代表客户(数据控制者)持有或处理(输入、编辑、维护)个人数据(数据处理者),则需要一份数据处理合同。我们建议您征求法律意见,以最好地确保合同涉及适当的安全和其他数据保护保障措施。作为一部分,我们建议客户准备一份有关数据处理和安全系统移交的清单。
了解你的角色和责任
很明显,法律正在改为GDPR,这需要在安全系统规划中考虑在内。根据GDPR,需要确定和解决可能导致合规问题的领域。根据GDPR,个人有权获得与其数据使用有关的明确信息。
第一个实际步骤是确定您在GDPR方面的角色和责任。你是数据控制者还是数据处理者,或者两者兼而有之?如果您对数据控制者和/或数据处理者的身份有任何疑问或不确定,无论如何,您都应咨询您的法律顾问。
第二步是承担责任。考虑您在使用安全系统时正在处理的所有个人数据,并在以下标题下对其进行检查:
- 存储了哪些个人数据?
- 处理个人数据的法律依据是什么?
- 数据存储在哪里?
- 如何保护数据?
- 数据保留多长时间?
- 处理个人数据访问请求的政策是什么?
- 如果有人要求从系统中删除,流程是什么?
- 谁有权访问数据?
- 个人数据是否传输到欧洲经济区以外?
Accessit!& GDPR
以下信息概述了英亩是如何进入的!系统可用于促进 GDPR 合规性。
存储了哪些个人数据?
AccessIT 无需存储任何个人数据!系统才能正常运行。
图片、姓名、电子邮件地址和电话号码是系统中的预定义字段,但用户可定义的字段可用于输入各种个人数据。
处理个人数据的法律依据是什么?
数据的输入和数据的维护由站点的数据控制器和数据处理器控制。因此,数据控制者和/或数据处理者有责任确保获得处理个人数据的法律依据。
AccessIT 中没有内置任何明确的程序!用于获得用户同意或记录同意的软件。
数据存储在哪里?
数据存储在 AccessIT 中!数据库位于服务器和备份中。系统控制器(名称)中可能存储一些个人数据,但系统所有者可以将其关闭。
如何保护数据?
访问 AccessIT! 的内容数据库,使用客户端软件。登录名和软件受密码保护。
我们不加密个人数据。最终用户可以选择在数据库级别(SQL Server 或 SQL Compact)自己强制加密。
除非通过远程登录授权,否则Acre员工无法访问客户的系统。
数据保留多长时间?
在 AccessIT 中!,只要持卡人需要信用卡,持卡人数据就会被保留。可以定义信用卡的有效期结束日期,但应由系统用户安排在持卡人数据到期时将其删除。Acre提供信用卡到期报告,以简化此过程。
我们有一项功能可以清除超过设定月份的日志事件,用户可以对其进行自定义。默认情况下,活动永久举行。
删除持卡人后,默认情况下,系统不会删除其相关的日志事件。但是可以将其更改为在删除用户时删除日志事件。
处理个人数据访问请求的政策是什么?
如果提出请求,则数据控制者和/或数据处理者有责任根据GDPR规定概述政策并及时提供数据。
AccessIT 中有几份报告可用!用于详细说明所持有的有关个人的信息,例如最近的日志事件,包括将该数据导出到标准 PDF 报告或 CSV 文件的方法。
如果有人要求从系统中删除,流程是什么?
如果提出请求,则数据控制者和/或数据处理者有责任概述政策并根据GDPR法规及时删除数据。
可以从 AccessIT 中手动删除持卡人数据!最终用户的系统。默认情况下,系统不会删除关联的日志事件数据。但是有一项设置可以更改此默认值,这样已删除用户的日志事件也会随之删除。
谁有权访问数据?
数据控制者和/或数据处理者有责任披露谁有权访问AccessIT上的个人数据!系统已安装在现场。数据控制者和/或数据处理者负责创建和执行这些流程。
Accessit!具有向特定人员授予客户端软件权限的系统。对系统的所有访问都经过审计,包括登录、用户数据更改和操作。
个人数据是否传输到欧洲经济区以外?
在正常操作模式下,AccessIT!用户数据不在系统外部共享。数据控制者和/或数据处理者有责任披露系统的配置是否在欧洲经济区之外传输数据。
.webp)