Entro GDPR 合规指南
范德比尔特的解决方案和产品使客户能够以满足 GDPR 要求的方式管理和处理个人数据。本指南旨在帮助和支持我们的客户评估他们自己是否准备好履行新法规的责任和义务。
概述
数据保护是一项基本权利,每个人都有权保护与其有关的个人数据。《通用数据保护条例》(GDPR)自2018年5月25日起适用,旨在赋予个人对其个人数据的更多控制权。整个欧盟有一套规则,在某些领域可以由国家立法来补充。
GDPR 对收集、使用和处理个人数据的企业或组织规定了义务。GDPR 的核心是要求组织和企业对如何使用和保护个人数据保持完全透明,并能够表现出对其数据处理活动的问责制。必须出于特定目的并在有关人员的同意或法律规定的其他合法基础上公平处理此类数据。
尽管范德比尔特为客户提供灵活直观的产品功能以促进对新法规的遵守,但范德比尔特组织不收集、控制、使用或处理范德比尔特本地产品中存在的个人数据。因此,确保遵守GDPR中规定的义务是个人数据控制者和处理者的作用和责任。
如果您对数据控制者和/或数据处理者的身份有任何疑问或不确定,无论如何,您都应咨询您的法律顾问。
什么是个人数据?
“个人数据” 一词是指与已识别或可识别的活人有关的任何信息。
如果可以使用 “标识符” 直接或间接识别一个人,则可以对其进行识别。GDPR 提供了标识符示例,包括姓名、识别号和位置数据。也可以通过参照个人身份特有的因素来识别一个人,例如身体、遗传或文化因素。
已被去识别化、加密或假名化但可用于重新识别个人身份的个人数据仍然是个人数据,属于GDPR的范围。如果个人数据被匿名化,使个人不再可识别,则不被视为个人数据。为了使数据真正匿名化,匿名化必须是不可逆的。
无论使用何种技术或方法处理个人数据,法律都会保护个人数据——它适用于自动和手动处理。个人数据如何存储也无关紧要——在 IT 系统中、通过视频监控还是存储在纸上;在所有情况下,个人数据都受到 GDPR 中规定的保护要求的约束。
什么构成数据处理?
处理涵盖对个人数据执行的各种操作,包括手动或自动方式。它包括收集、记录、组织、结构、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供、调整或组合、限制、删除或销毁个人数据进行披露。
《通用数据保护条例》(GDPR)适用于全部或部分通过自动化方式处理个人数据,也适用于非自动处理(如果它是结构化归档系统的一部分)。
我是数据控制者还是数据处理者?
数据控制者是控制并负责在计算机或结构化手册文件中保存和使用个人信息的个人或法人。作为数据控制者有其法律责任,因此您应该明确这些责任是否适用于您或您的组织。
如果您或您的组织控制其持有的个人数据并对其负责,即决定保留哪些个人信息以及将信息用于何种用途,则您或您的组织是数据控制者。
数据控制者为个人的案例示例包括全科医生、药剂师、政治家和个体经营者,这些人保留有关患者、客户、成分等的个人信息。
如果您或您的组织持有个人数据,但其他个人或组织决定并对数据发生的事情负责,则该其他个人或组织是数据控制者,而您或您的组织是 “数据处理者”。
数据处理者的示例包括薪资公司、会计师和市场研究公司,所有这些公司都可以代表他人保存或处理个人信息。
什么是数据同意,我需要考虑吗?
为了合法处理个人数据,组织和企业必须从一开始就确定和记录这样做的法律依据。处理数据的一些合法方法包括:
- 个人的同意:如果向个人提供对其数据使用方式的真正选择和控制权,则同意是适当的。
- 切身利益: 处理对于保护个人的切身利益是必要的,例如,如果需要保护某人的生命。
- 具有法律义务的合规性: 例如,如果欧盟法律为特定目的要求数据,则可以对数据进行处理。
- 与个人签订的合同: 处理是履行与个人签订的合同所必需的,例如提供所要求的商品或服务
如果您对是否已获得足够的同意来处理个人数据有任何疑问,则应咨询您的法律顾问。
什么是数据处理合同,我需要考虑吗?
如果您代表客户(数据控制者)持有或处理(输入、编辑、维护)个人数据(数据处理者),则需要一份数据处理合同。我们建议您征求法律意见,以最好地确保合同涉及适当的安全和其他数据保护保障措施。作为一部分,我们建议客户准备一份有关数据处理和安全系统移交的清单。
了解你的角色和责任
很明显,法律正在改为GDPR,这需要在安全系统规划中考虑在内。根据GDPR,需要确定和解决可能导致合规问题的领域。根据GDPR,个人有权获得与其数据使用有关的明确信息。
第一个实际步骤是确定您在GDPR方面的角色和责任。你是数据控制者还是数据处理者,或者两者兼而有之?如果您对数据控制者和/或数据处理者的身份有任何疑问或不确定,无论如何,您都应咨询您的法律顾问。
第二步是承担责任。考虑您在使用安全系统时正在处理的所有个人数据,并在以下标题下对其进行检查:
- 存储了哪些个人数据?
- 处理个人数据的法律依据是什么?
- 数据存储在哪里?
- 如何保护数据?
- 数据保留多长时间?
- 处理个人数据访问请求的政策是什么?
- 如果有人要求从系统中删除,流程是什么?
- 谁有权访问数据?
- 个人数据是否传输到欧洲经济区以外?
Entro 和 GDPR
以下信息概述了如何使用范德比尔特Entro V6.7系统来促进GDPR合规性。
存储了哪些个人数据?
在 Entro 中,收集个人数据并不是强制性的,尽管它确实有能力存储一些用户可定义的字段,这些字段可用于存储个人数据。
处理个人数据的法律依据是什么?
数据的输入和数据的维护由站点的数据控制器和数据处理器控制。因此,数据控制者和/或数据处理者有责任确保获得处理个人数据的法律依据。
Entro SW 中没有明确的程序来获取用户同意或记录用户同意。
数据存储在哪里?
数据既存储在 PC 上,也存储在 Entro 控制器上,存储在 PC 上的所有数据都将在控制器上复制。对于系统中的每个控制器,基本上都有另一个完整的数据库备份,可以将其拉回电脑中。PC 和 SR 之间的 IP 通信,SR-> SR 是 RC4 加密的。
如何保护数据?
数据库采用定制格式,无法被 SQL Management Studio 等常规数据库分析工具读取。只有在序列号、系统名称和有效登录凭据的正确组合时,才能通过 Entro 软件查看数据库的内容。
有一种工具可以检索系统名称/序列号和登录信息,但是对其的访问受到限制。当数据库存储在 PC 上时,数据库本身使用自定义加密协议对其进行保护。
数据保留多长时间?
用户数据将保留在 Entro 系统上,直到被系统管理员删除。系统管理员有责任以透明的方式传达数据保留期限。从系统中删除卡片后,该卡立即失效,但是相关的用户信息将在 Entro DB 上再保留 3 周,之后它将自动从数据库中删除。
只要设置为保留事件,或者如果有人指定请求从事件日志中删除个人数据,事件数据就会被保留。此事件数据保留以每个软件用户为基础,因此,对于软件的每个用户,都将有一组事件文件。
处理个人数据访问请求的政策是什么?
如果提出请求,则数据控制者和/或数据处理者有责任根据GDPR规定概述政策并及时提供数据。
可以筛选 Entro 系统中发生的事件,以查看保存了哪些个人数据,例如最近的日志事件或与其个人记录相关的信息。此数据可以以 CSV 等标准格式导出。
如果有人要求从系统中删除,流程是什么?
如果提出请求,则数据控制者和/或数据处理者有责任概述政策并根据GDPR法规及时删除数据。
可以根据要求从 Entro 系统手动删除持卡人数据。但是,删除持卡人不会删除其关联活动。只要设置为保留事件,或者如果有人指定请求从事件日志中删除个人数据,该设置就会保留。
谁有权访问数据?
数据控制者和/或数据处理者有责任披露谁有权访问现场安装的 Entro 系统上的个人数据。Entro 能够定义不同的用户登录到客户端软件。有不同的登录级别可供选择。范德比尔特无法访问和/或处理本地 Entro 系统上的个人数据。
个人数据是否传输到欧洲经济区以外?
在正常操作模式下,Entro 用户数据不在系统外部共享。数据控制者和/或数据处理者有责任披露系统的配置是否在欧洲经济区之外传输数据。
.webp)