Omnis GDPR 合规指南

范德比尔特的解决方案和产品使客户能够以满足 GDPR 要求的方式管理和处理个人数据。本指南旨在帮助和支持我们的客户评估他们自己是否准备好履行新法规的责任和义务。

概述

数据保护是一项基本权利，每个人都有权保护与其有关的个人数据。《通用数据保护条例》（GDPR）自2018年5月25日起适用，旨在赋予个人对其个人数据的更多控制权。整个欧盟有一套规则，在某些领域可以由国家立法来补充。

GDPR 对收集、使用和处理个人数据的企业或组织规定了义务。GDPR 的核心是要求组织和企业对如何使用和保护个人数据保持完全透明，并能够表现出对其数据处理活动的问责制。必须出于特定目的并在有关人员的同意或法律规定的其他合法基础上公平处理此类数据。

尽管范德比尔特为客户提供灵活直观的产品功能以促进对新法规的遵守，但范德比尔特组织不收集、控制、使用或处理范德比尔特本地产品中存在的个人数据。因此，确保遵守GDPR中规定的义务是个人数据控制者和处理者的作用和责任。

如果您对数据控制者和/或数据处理者的身份有任何疑问或不确定，无论如何，您都应咨询您的法律顾问。

什么是个人数据？

“个人数据” 一词是指与已识别或可识别的活人有关的任何信息。

如果可以使用 “标识符” 直接或间接识别一个人，则可以对其进行识别。GDPR 提供了标识符示例，包括姓名、识别号和位置数据。也可以通过参照个人身份特有的因素来识别一个人，例如身体、遗传或文化因素。

已被去识别化、加密或假名化但可用于重新识别个人身份的个人数据仍然是个人数据，属于GDPR的范围。如果个人数据被匿名化，使个人不再可识别，则不被视为个人数据。为了使数据真正匿名化，匿名化必须是不可逆的。

无论使用何种技术或方法处理个人数据，法律都会保护个人数据——它适用于自动和手动处理。个人数据如何存储也无关紧要——在 IT 系统中、通过视频监控还是存储在纸上；在所有情况下，个人数据都受到 GDPR 中规定的保护要求的约束。

什么构成数据处理？

处理涵盖对个人数据执行的各种操作，包括手动或自动方式。它包括收集、记录、组织、结构、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供、调整或组合、限制、删除或销毁个人数据进行披露。

《通用数据保护条例》（GDPR）适用于全部或部分通过自动化方式处理个人数据，也适用于非自动处理（如果它是结构化归档系统的一部分）。

我是数据控制者还是数据处理者？

数据控制者是控制并负责在计算机或结构化手册文件中保存和使用个人信息的个人或法人。作为数据控制者有其法律责任，因此您应该明确这些责任是否适用于您或您的组织。

如果您或您的组织控制其持有的个人数据并对其负责，即决定保留哪些个人信息以及将信息用于何种用途，则您或您的组织是数据控制者。

数据控制者为个人的案例示例包括全科医生、药剂师、政治家和个体经营者，这些人保留有关患者、客户、成分等的个人信息。

如果您或您的组织持有个人数据，但其他个人或组织决定并对数据发生的事情负责，则该其他个人或组织是数据控制者，而您或您的组织是 “数据处理者”。

数据处理者的示例包括薪资公司、会计师和市场研究公司，所有这些公司都可以代表他人保存或处理个人信息。

什么是数据同意，我需要考虑吗？

为了合法处理个人数据，组织和企业必须从一开始就确定和记录这样做的法律依据。处理数据的一些合法方法包括：

• 个人的同意：如果向个人提供对其数据使用方式的真正选择和控制权，则同意是适当的。
• 切身利益： 处理对于保护个人的切身利益是必要的，例如，如果需要保护某人的生命。
• 具有法律义务的合规性： 例如，如果欧盟法律为特定目的要求数据，则可以对数据进行处理。
• 与个人签订的合同： 处理是履行与个人签订的合同所必需的，例如提供所要求的商品或服务

如果您对是否已获得足够的同意来处理个人数据有任何疑问，则应咨询您的法律顾问。

什么是数据处理合同，我需要考虑吗？

如果您代表客户（数据控制者）持有或处理（输入、编辑、维护）个人数据（数据处理者），则需要一份数据处理合同。我们建议您征求法律意见，以最好地确保合同涉及适当的安全和其他数据保护保障措施。作为一部分，我们建议客户准备一份有关数据处理和安全系统移交的清单。

了解你的角色和责任

很明显，法律正在改为GDPR，这需要在安全系统规划中考虑在内。根据GDPR，需要确定和解决可能导致合规问题的领域。根据GDPR，个人有权获得与其数据使用有关的明确信息。

第一个实际步骤是确定您在GDPR方面的角色和责任。你是数据控制者还是数据处理者，或者两者兼而有之？如果您对数据控制者和/或数据处理者的身份有任何疑问或不确定，无论如何，您都应咨询您的法律顾问。

第二步是承担责任。考虑您在使用安全系统时正在处理的所有个人数据，并在以下标题下对其进行检查：

• 存储了哪些个人数据？
• 处理个人数据的法律依据是什么？
• 数据存储在哪里？
• 如何保护数据？
• 数据保留多长时间？
• 处理个人数据访问请求的政策是什么？
• 如果有人要求从系统中删除，流程是什么？
• 谁有权访问数据？
• 个人数据是否传输到欧洲经济区以外？

Omnis 和 GDPR

以下信息概述了如何使用范德比尔特Omnis V6.3系统来促进GDPR合规性。

存储了哪些个人数据？

为了使系统正常运行，无需存储任何个人数据。

图片、姓名、电子邮件地址和电话号码是系统中的预定义字段，但用户可定义的字段可用于输入各种个人数据。

处理个人数据的法律依据是什么？

数据的输入和数据的维护由站点的数据控制器和数据处理器控制。因此，数据控制者和/或数据处理者有责任确保获得处理个人数据的法律依据。

Omnis系统具有一些软件功能，使系统所有者能够监控和检索注册该系统的个人的同意。

数据存储在哪里？

数据存储在服务器上的数据库和备份中。系统控制器中没有存储任何个人数据。

如何保护数据？

要访问数据库的内容，使用 Omnis 客户端软件。用户软件的登录受密码保护。数据库本身可以加密，但由于性能降低，默认情况下不加密。

可以将用户访问权限定义到较高的精度，从而确保可以限制特定职能或角色对个人数据的访问。

除非通过远程登录授权，否则范德比尔特员工无法访问客户系统。

数据保留多长时间？

在范德比尔特全能系统中，这是用户可定义的系统设置。从 1 到 366 天。数据库备份文件的保留由系统所有者定义。系统管理员有责任以透明的方式传达数据保留期限。

处理个人数据访问请求的政策是什么？

如果提出请求，则数据控制者和/或数据处理者有责任根据GDPR规定概述政策并及时提供数据。

Vanderbilt Omnis系统中有预定义的报告和接口，可用于以结构化、常用和机器可读的格式向个人提供个人数据。

如果有人要求从系统中删除，流程是什么？

如果提出请求，则数据控制者和/或数据处理者有责任概述政策并根据GDPR法规及时删除数据。

可以立即从Omnis客户端软件中删除人员及其相关的个人数据，也可以通过以下方式删除：3^rd 派对申请。但是，在满足数据保留规则的清除标准之前，任何事件日志文件中的任何个人数据都不会被删除。天数可以设置为 1 到 366。

谁有权访问数据？

数据控制者和/或数据处理者有责任披露谁有权访问现场安装的Omnis系统上的个人数据。数据控制者和/或数据处理者负责创建和执行这些流程。这不是由Omnis系统自动完成的。范德比尔特无法访问和/或处理本地Omnis系统上的个人数据。

个人数据是否传输到欧洲经济区以外？

范德比尔特 Omnis 系统的接口可用于与 3 人共享个人数据^rd 派对系统。数据控制者和/或数据处理者有责任披露系统的配置是否在欧洲经济区之外传输数据。