亮蓝色和淡蓝色 GDPR 合规指南
范德比尔特的解决方案和产品使客户能够以满足 GDPR 要求的方式管理和处理个人数据。本指南旨在帮助和支持我们的客户评估他们自己是否准备好履行新法规的责任和义务。
概述
数据保护是一项基本权利,每个人都有权保护与其有关的个人数据。《通用数据保护条例》(GDPR)自2018年5月25日起适用,旨在赋予个人对其个人数据的更多控制权。整个欧盟有一套规则,在某些领域可以由国家立法来补充。
GDPR 对收集、使用和处理个人数据的企业或组织规定了义务。GDPR 的核心是要求组织和企业对如何使用和保护个人数据保持完全透明,并能够表现出对其数据处理活动的问责制。必须出于特定目的并在有关人员的同意或法律规定的其他合法基础上公平处理此类数据。
尽管范德比尔特为客户提供灵活直观的产品功能以促进对新法规的遵守,但范德比尔特组织不收集、控制、使用或处理范德比尔特本地产品中存在的个人数据。因此,确保遵守GDPR中规定的义务是个人数据控制者和处理者的作用和责任。
如果您对数据控制者和/或数据处理者的身份有任何疑问或不确定,无论如何,您都应咨询您的法律顾问。
什么是个人数据?
“个人数据” 一词是指与已识别或可识别的活人有关的任何信息。
如果可以使用 “标识符” 直接或间接识别一个人,则可以对其进行识别。GDPR 提供了标识符示例,包括姓名、识别号和位置数据。也可以通过参照个人身份特有的因素来识别一个人,例如身体、遗传或文化因素。
已被去识别化、加密或假名化但可用于重新识别个人身份的个人数据仍然是个人数据,属于GDPR的范围。如果个人数据被匿名化,使个人不再可识别,则不被视为个人数据。为了使数据真正匿名化,匿名化必须是不可逆的。
无论使用何种技术或方法处理个人数据,法律都会保护个人数据——它适用于自动和手动处理。个人数据如何存储也无关紧要——在 IT 系统中、通过视频监控还是存储在纸上;在所有情况下,个人数据都受到 GDPR 中规定的保护要求的约束。
什么构成数据处理?
处理涵盖对个人数据执行的各种操作,包括手动或自动方式。它包括收集、记录、组织、结构、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供、调整或组合、限制、删除或销毁个人数据进行披露。
《通用数据保护条例》(GDPR)适用于全部或部分通过自动化方式处理个人数据,也适用于非自动处理(如果它是结构化归档系统的一部分)。
我是数据控制者还是数据处理者?
数据控制者是控制并负责在计算机或结构化手册文件中保存和使用个人信息的个人或法人。作为数据控制者有其法律责任,因此您应该明确这些责任是否适用于您或您的组织。
如果您或您的组织控制其持有的个人数据并对其负责,即决定保留哪些个人信息以及将信息用于何种用途,那么您或您的组织就是数据控制者。
数据控制者为个人的案例示例包括全科医生、药剂师、政治家和个体经营者,这些人保留有关患者、客户、成分等的个人信息。
如果您或您的组织持有个人数据,但其他个人或组织决定并对数据发生的事情负责,则该其他个人或组织是数据控制者,而您或您的组织是 “数据处理者”。
数据处理者的示例包括薪资公司、会计师和市场研究公司,所有这些公司都可以代表他人保存或处理个人信息。
什么是数据同意,我需要考虑吗?
为了合法处理个人数据,组织和企业必须从一开始就确定和记录这样做的法律依据。处理数据的一些合法方法包括:
- 个人的同意:如果向个人提供对其数据使用方式的真正选择和控制权,则同意是适当的。
- 切身利益: 处理对于保护个人的切身利益是必要的,例如,如果需要保护某人的生命。
- 具有法律义务的合规性: 例如,如果欧盟法律为特定目的要求数据,则可以对数据进行处理。
- 与个人签订的合同: 处理是履行与个人签订的合同所必需的,例如提供所要求的商品或服务
如果您对是否已获得足够的同意来处理个人数据有任何疑问,则应咨询您的法律顾问。
什么是数据处理合同,我需要考虑吗?
如果您代表客户(数据控制者)持有或处理(输入、编辑、维护)个人数据(数据处理者),则需要一份数据处理合同。我们建议您征求法律意见,以最好地确保合同涉及适当的安全和其他数据保护保障措施。作为一部分,我们建议客户准备一份有关数据处理和安全系统移交的清单。
了解你的角色和责任
很明显,法律正在改为GDPR,这需要在安全系统规划中考虑在内。根据GDPR,需要确定和解决可能导致合规问题的领域。根据GDPR,个人有权获得与其数据使用有关的明确信息。
第一个实际步骤是确定您在GDPR方面的角色和责任。你是数据控制者还是数据处理者,或者两者兼而有之?如果您对数据控制者和/或数据处理者的身份有任何疑问或不确定,无论如何,您都应咨询您的法律顾问。
第二步是承担责任。考虑您在使用安全系统时正在处理的所有个人数据,并在以下标题下对其进行检查:
- 存储了哪些个人数据?
- 处理个人数据的法律依据是什么?
- 数据存储在哪里?
- 如何保护数据?
- 数据保留多长时间?
- 处理个人数据访问请求的政策是什么?
- 如果有人要求从系统中删除,流程是什么?
- 谁有权访问数据?
- 个人数据是否传输到欧洲经济区以外?
亮蓝色/淡蓝色和 GDPR
以下信息概述了与 GDPR 合规性相关的范德比尔特亮蓝色/精简蓝色 v5.x 系统功能。
存储了哪些个人数据?
尽管可能会收集其他数据,但以亮/淡蓝色显示的持卡人记录唯一需要的个人数据是姓氏和编码的徽章ID。名字和中间首字母是可选的。用户可定义的字段可用于输入最终用户(客户)定义的各种个人数据。
处理个人数据的法律依据是什么?
获取和处理个人数据的法律依据由最终用户的政策和程序定义。
数据存储在哪里?
数据由最终用户输入和拥有,存储在本地控制器上,或存储在备份和存档中,可以保存在其他地方并由最终用户管理。系统不允许使用重复的编码 ID。
如何保护数据?
bright/lite blue 系统需要受密码保护的登录名才能访问数据库。
访问权限可以限制为 3 个级别,其中可以根据管理员、经理和操作员的角色授予数据库权限。
除非获得技术支持的特定许可和远程访问权限,否则范德比尔特无权访问客户数据。
数据保留多长时间?
明亮/淡蓝色的数据库实用程序会自动将 5 个备份(每天 1 个)保存到控制器。备份是 FIFO,如果需要,用户可以下载并保存在其他地方。除备份外,档案还存储在主板上。对于每 100 万个交易/日志事件,就会创建和存储一个档案。可以存储的最大存档文件为 12 个。
持卡人记录和相关的个人数据可以立即从软件中 “删除”(即标记为删除/隐藏),但是,只有在清除其最后一次关联交易(日志事件)之前,持卡人数据才会被完全删除。数据库达到 100 万个事务后,事务将被清除(然后再清回 500,000)。档案(最多 12 个)是 FIFO,存储时长取决于系统的大小和活动。
处理个人数据访问请求的政策是什么?
预定义的持卡人、访问和审计报告可以运行、打印和/或导出为 CSV,并以 Excel 和 PDF 等结构化格式查看。
如果有人要求从系统中删除,流程是什么?
可以在软件中删除带有相关个人数据的持卡人记录。还需要删除备份数据库副本,除非已过去 5 天以上(即每日 5 次备份已经被覆盖)。存档,可以通过联系范德比尔特技术支持来删除/删除。
保存在其他地方(控制器外)的任何备份中的个人数据都需要由最终用户手动删除。
谁有权访问数据?
这些详细信息是根据针对每个最终用户的公司政策定义和驱动的。bright/lite blue 允许从数据库中删除持卡人的个人数据。数据副本保存在其他地方(非控制器)后,将完全由最终用户管理。
个人数据是否传输到欧洲经济区以外?
任何数据传输都将由最终用户管理和启动。
.webp)