解讀GDPR | 你應該知道的那些事兒

歐盟的「通用數據保護條例」（GDPR，General Data Protection Regulation）於2018年5月25日生效，而好多企業對GDPR並不十分了解。就目前看來，行業對於這項條例的觀念仍有不當之處。儘管企業爲GDPR的作了大量準備工做，才能合規，可是許多人還在拖拖拉拉。

數十年來，歐洲一直是隱私和數據保護問題的先行者。隨着通用數據保護條例（GDPR）全面隱私法的生效，歐盟（EU）又開創了新局面。若是你的企業有收集，存儲或使用有關歐洲居民的我的信息，那麼GDPR可能會對你的業務流程產生深遠影響。

1、什麼是GDPR？

通過四年多的協商，2016年4月歐洲議會和歐洲理事會經過GDPR。這項條例賦予歐盟公民更多的我的數據控制權，另外對那些收集、處理和存儲我的數據的公司提出更高的責任要求，特別是數據泄露。

從2016年5月開始，除非有明確的法律依據，不然企業將再也不被容許收集或處理一個歐洲公民的消費者數據，例如得到公民自願給予和「明確的」贊成。 若是沒有提供適當通知或管理辦法，公司也將被禁止使用之前收集的數據。

GDPR取代了1995年數據保護指令的條例，將使28個歐盟及歐洲經濟共同體成員國的隱私保護法，更具備一致性和現代性。根據1995年指令，每一個成員國都制定了本身的數據保護規則，這致使了在歐盟開展業務的公司監管環境和合規不一致的難題。

GDPR的大部份內容實際上並不新鮮，由於包含了「數據保護指令」中既存的理念。 但GDPR確實引入了一些新的概念，包括針對不合規對象的鉅額罰款和加強的數據主體權利。這對任何在歐盟開展業務的公司或任何在其數據庫中存有歐盟公民我的數據的公司都具備約束力。

一、如下是相關的GDPR的術語，能夠幫咱們更好的理解文章中的概念：

數據主題：能夠經過姓名，位置數據，在線標識符（如用戶名）或其身份，遺傳或其餘身份等信息直接或間接識別的「天然人」。例：Marie Dubois

我的數據：任何與識別或可識別數據主題有關的信息。例：女性。 年齡48. Ph＃：33 1 7210 940.地址：99 Place de l'Étoile，75008 Paris，France。 喜歡帽子。 天天在線閱讀。

敏感我的數據：有關種族或族裔出身，政治觀點，宗教或哲學信仰，工會會員資格，有關健康，性生活和性取向的信息以及遺傳或生物識別數據的我的數據。例：恩馬爾凱成員！ 派對。天主教徒。 去年打破了腿。 指紋和視網膜掃描的副本。

處理：任何對我的數據或與我的數據有關的事情。例：收集，存儲，傳輸，共享，修改，使用或刪除我的數據。

數據控制方：肯定我的數據處理目的和手段的實體。例：Grande Banque du Nord是一家向瑪麗提供抵押貸款以購買房屋的金融機構。 當瑪麗首次在大銀行的網站上註冊以得到更多關於抵押貸款的信息時，大銀行成爲瑪麗提供的我的數據的控制者。

數據處理方：根據數據控制方的指令處理我的數據的實體。例：Grande Banque將她的數據上傳到Sales Cloud對象上時，Salesforce成爲Marie我的數據的處理方。

假名數據：不能與特定數據主體綁定的我的數據，沒有單獨存儲的附加信息，採用技術措施確保數據不與該附加信息相結合。例：當Marie訪問Community Cloud上託管的Grande Banque網站社區以瞭解有關抵押貸款流程的更多信息時，系統會以散列形式記錄她的IP地址並將其連接到Marie查看的頁面。 散列IP地址被視爲假名數據，由於儘管散列IP地址自己並不能識別Marie，但仍能夠將其與其餘與Marie相關的信息關聯起來。

匿名數據：沒法鏈接到已識別或可識別的人員的數據。例：Grande Banque網站要求人們留下評論。 該系統不收集來自評論者的任何信息 - 甚至不包括IP地址。 評論自己能夠被認爲是匿名的。

公正和透明：企業必須始終合法，公正，透明地處理我的數據。例：當Grande Banque du Nord要求Marie Dubois在其網站上註冊爲客時，Grande Banque必須明確通知Marie，該銀行及其網站在收集她的哪些具體信息以及該銀行將來如何使用該信息。 例如，若是Grande Banque追蹤Marie的網站使用狀況，Grande Banque必須在隱私聲明中描述它們會追蹤Marie的網站使用狀況。

目的限制：企業能夠收集我的數據僅用於指定的，明確的和合法的目的。 他們不能以與這些目的不相符的方式對人數據進一步處理。例：當Grande Banque要求Marie 註冊爲客戶時，銀行必須通知她將會如何處理她的我的數據。 Grande Banque必須僅將Marie的我的數據用於該通知中描述的目的。 例如，若是隱私聲明沒有聲明Grande Banque與搬家公司共享我的數據，則Grande Banque不得將其信息賣給給尋找新客戶的住宅搬家公司。

數據最小化：組織只收集足夠的，相關的我的數據，而且僅限於預約目的所需的我的數據。例：當Marie在Grande Banque移動應用上下載並設置帳戶時，Grande Banque只能收集與Marie服務相關的信息。 該應用不得記錄她的確切位置，訪問手機上的聯繫人，或收集手機上其餘應用的信息。 Grande Banque不得要求Marie提供與抵押貸款流程無關的信息，例如她的宗教信仰或種族信息。

準確性：我的數據必須準確，並在必要時保持最新。例：當Marie填寫格蘭特銀行的詳細表格以準備購買新的房子時，她提供了她目前的薪水。 然而，當她在工做中得到晉升和加薪時，她會與Grande Banque聯繫。 Grande Banque必須更新其記錄以反映她最新的薪水。

數據刪除：我的資料只有在須要實現收集的最初目的時才能保留。例：Marie發現另外一家銀行PetitCréditdu Sud提供了低得多的利率。 Marie決定從Grande Banque轉到PetitCrédit，她告訴Grande Banque她正在終止他們的關係。在沒有合法理由保留的狀況下， Grande Banque必須刪除Marie的全部我的數據; 例如Marie收入，儲蓄帳戶和債務的信息。

安全：企業必須使用適當的技術和組織安全措施來保護我的數據免遭未經受權的處理和意外泄露，訪問，丟失，破壞或更改。 根據具體的使用狀況和處理的我的數據，建議使用數據隔離，加密，假名和匿名處理，並在某些狀況下須要提供保護我的數據的幫助。例：做爲抵押申請程序的其中一步，PetitCrédit要求Marie在其網站上填寫一份表格，要求提供詳細和敏感的我的信息。 PetitCrédit必須確保表單在安全的網頁上，而且數據在傳輸過程當中進行了加密。 當PetitCrédit將這些數據存儲在其Salesforce實例中時，它必須確保只有那些有合法需求訪問數據的PetitCrédit員工纔有權限訪問該數據。

問責制：數據控制方負責整個策略的實施以確保企業控制的我的數據按照GDPR原則處理。這包括指定數據保護官員，數據處理者受到合同條款約束，並使用「隱私設計」和「默認隱私」原則。此外，數據控制方必須可以證實合規性，包括保存處理記錄活動和進行隱私影響評估等。例：爲了將Marie的我的數據放入PetitCrédit的Salesforce實例中，該銀行必須確保其與Salesforce簽署書面協議容許處理我的數據處理，例如數據處理附錄。 PetitCrédit還必須記錄銀行如何以及爲什麼收集Marie的信息，收集哪些類型的信息，與誰共享數據，以及保護數據的安全性。

二、如下是組織可使用的三種方法將隱私原則運用到他們的文化中：

隱私設計：當企業規劃新的處理活動或開發或實施新產品，服務或功能時，他們必須設計符合GDPR原則的活動和產品，以確保他們採起適當的保護措施以保護隱私。

默認隱私：這是企業在收集，處理或存儲數據時必須始終使用最「私密性」默認設置的思路。 例如，當給予我的對他們的數據處理數量的選擇時，默認設置應該始終是處理量最少的選擇。 選擇保留期限時，默認值必須儘量短。

數據保護的影響評估：分析新的處理活動以識別和解決隱私風險。

2、GDPR有什麼新東西？

一、我的數據：之前的隱私制度將我的數據定義爲姓名、照片、電子郵件地址、電話號碼、實際地址或我的證件號碼、銀行賬號或社保卡號。但GDPR擴大了定義，時期包括「已識別」（identified）和「可識別」(identifiable)的數據信息。這意味着我的數據指的是任何可用於識別我的的信息，包括位置數據、移動設備ID以及某些狀況下的IP地址。（生物特徵數據和遺傳數據被認爲是「敏感的我的數據」）

匿名數據是一種潛在的合規性信息，即通過散列、加密或以某種技術方法進行匿名處理的我的數據。 經過將其與附加數據相結合後從新定位識別的數據也被視爲我的數據。以下類型的隱私數據將受到GDPR保護：

• 基本的身份信息，如姓名、地址和證件號碼等；

• 網絡數據，如位置、IP地址、Cookie數據和RFID標籤等；

• 醫療保健和遺傳數據；

• 生物識別數據，如指紋、虹膜等；

• 種族或民族數據；

• 政治觀點；

• 性取向。

二、我的權利：GDPR授予數據主體關於控制方如何處理其數據的一些權利。 這些權利要求數據控制方制定適當的系統來回應並有效處理數據主體的要求。目前數據主體享有的我的權利有：

數據訪問：數據主體有權向數據控制方確認企業是否正在處理他們的我的數據。若是是，控制方必須向數據主體提供有關此類處理的信息，包括處理的具體數據，處理目的以及與其共享此類數據的其餘方。

對象權：在某些狀況下，數據主體能夠隨時反對處理他們的我的數據，特別是若是處理是出於直接營銷目的。

數據整改：若是數據不許確或不完整，數據主體可要求控制方更正或完善我的數據。

處理限制：數據主體能夠要求控制方中止訪問和修改其我的數據。例如，控制方能夠標記或使用技術手段來確保這些數據不會被任何一方進一步處理。

數據可移植性：在某些狀況下，數據主體有權要求控制方以結構化，經常使用和機器可讀的格式（例如.csv文件）提供其我的數據，以便他們能夠將本身的我的數據數據發送給其餘公司。

刪除權：也稱爲「被遺忘權」，該權利受權數據主體請求數據控制方在下列狀況下刪除或移除其我的數據：當數據再也不用於原始目的時，當數據主題撤回數據使用權時，或當數據主體反對處理方式時。

GDPR經過要求數據管理員採起合理步驟，確保參與數據共享的第三方刪除，擴大了被刪除的權利，也被稱爲被遺忘的權利。數據當事人也享有在多個平臺數據不自動打通的權利，以及根據要求以電子形式免費得到經處理的我的數據副本的權利，包括這些數據被用於何處，以及使用數據的目的。

三、記錄保存要求：數據管理員和任何外包商必須保存其數據處理活動的書面記錄，包括他們處理數據的緣由以及他們計劃保存數據的時間。 此信息必須根據要求提供給數據保護機構。

四、問責原則：雖然GDPR並無詳細說明問責制，但數據控制者必須清楚地記錄他們所採起的全部行動。GDPR稱之爲「經過設計和默認的數據保護」。若是監管機構要求提供合規證實，公司必須可以提供。

五、數據保護官員（DPO）：GDPR規定擁有250名或以上員工處理敏感數據或犯罪記錄的組織必須指定數據保護官DPO。這根據他們是否處理敏感數據的狀況而定，擁有少於250名員工的組織可能也須要指定DPO。那麼，若是你的公司內已經存在了一個發揮相似做用的人員，可以確保PII安全是最好的。不然，你將須要從新聘請一名DPO。根據企業自身的狀況，DPO能夠不要求必定是全職，在這種狀況下，企業就能夠選擇一名兼職DPO人員。加上GDPR新規容許一名DPO同時爲多個企業工做，因此聘請一名兼職DPO人員將是一個很好的選擇。

目前，根據GDPR如何普遍地解釋「系統地監督或處理」仍然是一個懸而未決的問題。DPO旨在幫助企業遵照GDPR，直接向企業CXO彙報，同時保持徹底自主性。

六、更大的罰款：每一單GDPR違規行爲將受到高達2000萬歐元的嚴重處罰，或者上一年全球年營業額的4％，以較高者爲準。

監管部門在設定罰款時能夠考慮減輕因素，好比，儘快改正或是舉報違規行爲的企業能夠受到稍微輕點的處罰。

不管如何，這些罰款意味着小公司巨大災難，「這不是開玩笑的情。」Todd Ruback說。

「要麼他們會倒閉，要麼就會被吞併。」 他表示，「咱們將最終造成一個更清潔的生態系統，但也會減小競爭。Facebook和谷歌受到歐盟委員會嚴格的審查，除非有意外發生不然他們難以倖免」

3、違規通知

而對於企業來講，其中最具挑戰性的合規要求應該是，公司必須在發現違規事件的72小時內，向監管當局和受到違規事件影響的我的通報數據違規行爲。執行影響評估的另外一個要求是，經過識別漏洞以及制定漏洞解決方案來幫助減輕漏洞致使的安全風險。

4、數據控制方與數據處理方

GDPR爲數據控制方和數據處理方創建了不一樣的規則。數據控制方決定爲何以及如何處理我的數據，並被要求創建處理數據的法律依據。條例規定數據處理方「表明控制方處理我的數據」。處理方必須合法和負責任地進行處理，控制方必須確保處理方作着合規的工做。

雖然對控制方的規則更爲嚴格，但控制方和處理方都處於GDPR之下。與之前的隱私制度不一樣，數據處理方若是不遵照條例，可能要承擔重大處罰。

5、合法理由

若是公司有法律依據，則能夠處理數據。 例如，保險公司必須處理客戶數據才能執行合同條款。 銀行必須處理數據以遵照法律。但咱們應該知道兩個法律基礎：合法權益和許可。

一、合法權益

可以證實「合法利益」的公司在某些狀況下能夠在未經贊成的狀況下合法處理我的數據：數據是合法收集的，有正當理由去使用數據以及數據處理的過程也是合規的。

要得到合法權益，數據控制方須要進行一個稱爲「平衡測試」。這個測試將數據控制方的利益與數據當事人的權利進行權衡，其中包括數據當事人對數據處理方式的合理指望是怎樣的，以及控制方是否有正確的保障措施。

合法權益的例子包括預防犯罪、欺詐檢測、網絡安全，以及進行員工背景調查等。 「直效營銷」在GDPR中也被認爲特殊的對我的數據的合法使用，但也有必定的注意事項。

只要控制方確保用戶能夠有隨時選擇不參與（opt-out）的權利，那麼個性化的溝通、彙總分析以建立趨勢報告，受衆測量在GDPR下均可行。

二、許可

許可一直是歐洲隱私法的基石，但GDPR大大提升了這個標準。

決定如何使用我的數據的數據控制方，必須獲得他們計劃使用數據的目的「明確的」許可。換句話說，若是一家企業不被許可作一件事，那它也不能使用這些數據來作其餘事情。

許可必須是自願以及明確的

選擇退出模式（或者說，預選框的形式）不會消失。當網站在加載頁面的同時，加載追蹤cookie，務必通知訪客，該網站會使用cookie。（一般是以彈出窗口的形式）。在用戶贊成啓用cookie以前須要有一個屏蔽頁屏蔽該網頁內容。

底線是消費者對行爲必須是確定的和知曉的。英國、法國和德國的數據保護機構都贊成，消費者能夠經過在網站上勾選一個框來表示贊成處理，可是隻有在事先他們已經被用簡單明瞭語言的通知告知了的狀況下才能表示贊成處理。

不是每一個人都相信中間商能在GDPR下蓬勃發展。網站數據管理軟件Tealium首席技術官兼創始人Mike Anderson說：「第三方生態系統不會在GDPR世界中佔據一席之地。 GDPR是關於第一方關係的。」

6、當有問題時誰負責？

營銷者和媒體方可能會對第三方犯下的錯誤負責，這意味着他們將更加挑剔與誰合做。GDPR所以促進了盡職調查和供應商管理的重要性。

許可不是GDPR合規的「萬金油」。獲得它後，「你必須確保供應鏈中沒有人會濫用你所分享的數據以致於使你面臨法律風險。」Johnny Ryan認爲。

然而，對那些在問責制問題上充耳不聞的公司來講，將來仍是有但願的。

Forrester公司副總裁兼研究總監Melissa Parrish說：「事實是：若是出現問題，他們都會陷入困境。 沒有任何方法能夠推卸責任。」

7、與ePrivacy不一致

儘管GDPR成爲頭條新聞，但ePrivacy《電子隱私條例》，也就是Cookie指令，對於營銷人員來講可能更具影響力。GDPR涉及處理我的數據，ePrivacy涵蓋與電子通訊相關的隱私。

若是您訪問過歐洲的一個網站，看到一個彈出式橫幅AD，警告您「訪問本網站，您須要接受使用Cookie」，那麼您已經體驗過ePrivacy的措施。

歐洲監管機構正在更新ePrivacy，以使其與GDPR更加一致，並簡化了cookie合規性，這已經轉化爲大量的許可請求。監管機構但願在5月份以前完成ePrivacy並使之生效，以便正式推出GDPR。

可是，若是ePrivacy和GDPR都包含處理相同狀況的法規，則以ePrivacy規則爲準。目前正在審查的ePrivacy草案不包括處理合法利益的法律依據，所以2018年5月起，營銷者可以處理數據的惟一法律依據可能就是許可。（在某些狀況下，合同的履行可能會成爲法律依據。）

通過修訂的ePrivacy規定極有可能在5月份沒法得到批准。畢竟GDPR用了四年的時間才能經過，而ePrivacy草案是從今年一月份以來纔開始審覈修訂。

數據技術公司Acxiom全球首席隱私官Sheila Colclasure表示：「目前，ePrivacy與GDPR不一致，因此咱們有一個缺口。咱們須要確保Cookie法承認合法利益，而且不會破壞創新。可是，若是ePrivacy與GDPR沒法同時生效，那針對ePrivacy的執行仍然存在一個灰色地帶。」

不管哪一種方式，若是ePrivacy 條例不包括合法利益，「這對於AD技術公司來講是個壞消息，」國際隱私專業協會研究和教育副總裁Omer Tene說。

Omer Tene說：「除非有合法利益修改，不然很難看出AD技術公司將如何遵照ePrivacy。 這對AD代理商來講是很是重要的。」

特別是考慮到違規的可能性。 ePrivacy草案中規定的罰款與GDPR中的罰款密切相關：高達2000萬歐元，即全球年營業額的4％。

8、GDPR的誤解

對GDPR最大的誤讀就是，不在歐洲的公司沒必要擔憂GDPR。這不對。 GDPR對歐盟公民的我的資料擁有管轄權，不管在哪裏（進行數據）處理。

Omer Tene說：「GDPR將在歐盟誕生，但它適用於世界上任何以歐洲受衆爲目標服務的公司，以有意義的方式收集我的數據或按期監控歐洲人的信息。與之前你必須在場才受到數據保護指令的政權相比，這是一個巨大的變化。」

不管如何，許多中小型AD技術公司和營銷技術公司彷佛都採起觀望GDPR的方法。而這不是一個明智之舉，Evidon的 Todd Ruback說。

「他們沒有積極主動地應對，這是一個糟糕的商業戰略，特別是當媒體方和品牌主已經與他們的數字化供應商達成協議，並調整了他們與第三方之間的免責條款。」Todd Ruback說。

公司正在開始得到提示。根據國際隱私專業協會和安永會計師事務所10月份發佈的聯合年度治理報告，95％的受訪者（75％位於歐盟之外）認爲GDPR適用於他們，而美國的50％公司認爲GDPR法規正在推進他們的隱私計劃。

9、隱私盾

隱私盾（Privacy Shield）是取代避風港條款（Safe Harbor）的歐盟-美國數據傳輸協議。 它在十月中旬經過了第一次年度審查，這意味着歐洲官員認爲它提供了適當的跨境數據保護。在2018年5月以前經過Privacy Shield進行自我認證是美國公司確保其擁有有效機制在歐盟和美國之間傳輸我的數據的一種方法。

一樣，隱私保護只適用於國際數據傳輸，並不保證遵照GDPR的其餘關鍵原則，包括得到許可，進行隱私影響評估和任命數據保護人員等。

10、清單

GDPR是一個龐大的立法文件，有99個密集的文章，要確保合規性並不容易。在處理最棘手的問題以前，最好先處理更簡單的問題。

Todd Ruback表示：「監管機構須要的只是一臺瀏覽器，一臺筆記本電腦和一系列網站，以查看誰是透明的。你是否有消費者中心，並能夠用簡單的方式遞交你的數據行爲，以及讓我的控制他們的我的數據？在監管機構開始深刻公司內部流程並查看是否實現信息可被遺忘的權利以前，這是他們最容易施行的所在。」

肯定您的公司是控制方仍是處理方。這將影響法規對你產生怎樣的影響。

進行數據保護影響評估（DPIA）：對數據流程進行風險分析。第一步是繪製數據流導圖，並清楚地瞭解你從哪裏收集數據、與誰共享數據、數據泄漏的可能性以及您如何維護，保留和保護數據。 DPIA幫助企業弄清楚他們是否符合GDPR和/或他們還須要作多少工做才能知足。

看看你的合同：檢查你的供應鏈合做夥伴，以肯定你與合做夥伴的協議是不是最新的，幷包括與GDPR有關的條款。例如，若是出現違反或執法的狀況，該怎麼辦。這能夠是DPIA流程的一部分。

須要一個DPO（區間震盪線）嗎？一家公司是否須要任命一名數據保護官員取決於其數據追蹤的範圍和規模。法律規定：「按期和系統的大規模監督」可是擁有DPO永遠比沒有DPO好。

文檔：控制方必須證實，表現他們完成的數據處理符合GDPR的標準，包括（用戶）許可選擇，數據保存和管理的內部政策。若是一個數據保護監督機構敲門，你須要手頭的書面證實。

11、準備GDPR合規

一、創建你的團隊

企業須要創建一種隱私文化，而不只僅是將數據合規工做只交給一我的來管理。招聘並創建你的跨職能團隊來執行GDPR政策和流程。 團隊應該由技術，產品，營銷，人力資源以及企業的其餘團隊成員的組成。

二、評估你的企業

一旦企業組建了跨職能團隊，團隊就能夠分析企業現有的隱私和安全隱患，肯定重點關注的重點領域。 分析的一個重要環節是瞭解企業存儲我的數據的位置。 許多企業有數十個存儲我的數據的不一樣數據庫和系統。 我的數據能夠來自員工，求職者，網站上的填寫表格，或忠誠度計劃，購買記錄，填寫退稅或保修卡，參加活動或經過電子郵件，電話以及社交媒體與客戶服務團隊進行聯繫。

三、注意

存儲我的數據的數據庫和系統可能被公司內部許多不一樣的部門使用。市場營銷，銷售，人力資源，財務，IT，採購，工資單，風險管理，健康與安全，審計和法律部門均可以運行這些系統，或當與不一樣的供應商合做管理我的數據。

當企業識別出存儲這些數據的位置時，團隊能夠創建一個數據清單，爲每一個存儲系統顯示存儲的數據類型，數據來源，用途，訪問權限，如何得到保障，傳輸過給哪些第三方以及會保留多久。在完成這項工做時，團隊還能夠識別企業從哪些第三方接收我的數據，以及給哪些第三方傳輸我的數據。

經過分析，企業能夠建立數據處理活動的登記冊，並肯定哪些活動對數據隱私構成高風險。對於每項高風險活動，企業能夠進行數據保護影響評估，以肯定他們須要採起的行動，以確保他們正確保護我的隱私權。

四、創建控制和流程

一旦企業對其數據有了更好的理解，該團隊就能夠建立必要的操做和技術變動的路線圖。路線圖能夠確保組織有適當的控制和流程，例如：

隱私聲明：必須在收集我的數據的任何地方提供隱私聲明，包括經過使用網站Cookie和標籤。

使用限制：可使用管理或技術控制來限制企業對其收集數據的目的使用數據。

安全：行政，物理和技術安全措施對於防止未經受權的訪問，使用，修改，披露或刪除我的數據是必要的。

數據主體權利：須要機制和程序來管理數據主體贊成偏好，並對投訴和訪問請求，整改，限制，可移植性和刪除進行響應。

供應商管理：組織必須與收集或接收我的數據的分支機構，供應商和其餘第三方簽定合同，其中包括標準合同條款或其餘機制，以合法化歐盟境外的數據傳輸。

事件響應：必須建立流程來檢測和響應安全漏洞，包括糾正漏洞並通知全部必要的參與方。

培訓：必須提供員工和供應商培訓，以提升有關隱私政策，流程和要求的意識，並報告關注事項和可疑數據活動。

評估：必須對每一個高風險數據處理活動進行數據保護影響評估。

五、文件合規性

一旦企業走上合規之路，團隊能夠專一於記錄合規工做。企業能夠編輯隱私聲明和贊成書的副本，數據清單和數據處理活動的註冊，書面政策和程序，培訓材料，內部公司數據傳輸協議和供應商合同。若是須要，企業能夠指定一名數據保護官員並肯定適當的歐盟監管機構。對於企業來講，對隱私計劃進行按期評估或審計以確保一切按計劃運行也很是有必要的。

十二：Salesforce對GDPR合規計劃關鍵要素的想法

怡海軟件合做夥伴Salesforce致力於保護隱私。在Salesforce，信任是其第一價值，沒有什麼比客戶取得成功和保護他們的數據更重要。 Salesforce是全球第一批經過歐洲數據保護機構批准的合規保護其客戶數據的全球十大軟件公司。 Salesforce也是全球首批認證符合歐盟 - 美國隱私保護框架和瑞士 - 美國隱私保護框架的公司之一。

Salesforce歡迎GDPR，這是在整個歐盟流程化數據保護要求方面邁出的重要一步。 在GDPR的開發和批准過程當中，Salesforce與歐洲立法者，歐盟數據保護機構和行業協會密切合做。Salesforce致力於遵照GDPR爲客戶提供服務。致力於確保Salesforce的客戶在遵照GDPR的同時繼續使用咱們的服務。 咱們知道，與現有法律要求相似，遵照GDPR要求Salesforce與咱們的客戶創建夥伴關係。

Salesforce擁有強大的安全和隱私程序，符合行業最高標準。 它們使咱們可以遵照適用於Salesforce的各類數據保護法律和法規。 咱們的服務基於咱們用於保護客戶我的數據的管理，技術和物理安全措施，贏得了衆多安全相關認證。 對於咱們的一些服務，這些認證包括國際標準化組織（ISO）27001和27018標準，美國註冊會計師協會（AICPA）系統和組織控制（SOC）報告，支付卡行業數據安全標準（PCI） ，德國萊茵TÜV認證雲服務以及英國網絡基礎計劃。 咱們的服務還得到了TRUSTe認證印章，代表隱私認證機構TRUSTe審查了咱們的隱私慣例，並證明了符合其認證標準。

此外，Salesforce爲客戶提供強大的數據處理附錄，其中包含不多有軟件公司能夠匹配的強大隱私承諾。 本附錄包含數據傳輸框架，確保客戶能夠依靠Salesforce具備約束力的公司規則，Salesforce的隱私保護證書或標準合同條款，容許我的數據合法地轉移到歐盟之外的Salesforce系統中。

最後，Salesforce爲咱們的每項主要服務發佈信任與合規文檔。 該文檔描述了每種服務的體系結構，服務所得到的與安全性和隱私相關的審覈和認證以及適用的管理，技術和物理控制。 該文件還介紹了咱們提供服務的基礎設施環境和實體材料。

咱們來看一下Salesforce用來促進跨境數據傳輸的三種機制。（From：CRM日記本）

如需瞭解更多，歡迎訪問怡海軟件官網[http://www.frensworkz.com/]()