菜单

打电话给我们 03450 21 21 51

GDP.:面临英国零售商的10个关键问题
SRM.博客

GDP.:面临英国零售商的10个关键问题

SRM.

写道 SRM.

2018年2月28日

分享这篇文章

GDP.

有关个人数据的法律将在25年改变TH. 2018年5月,欧盟一般数据保护条例(GDPR)生效时。更换1998年的英国数据保护法案,该法案于互联网指数增长前长期起草,GDPR反映了新的数据景观,并列出了保护个人及其数据的基本权利和自由。在GDPR成为法律之前少于100天,压力已打开以确保遵守并维持未来。

SRM.在信息安全环境中运营多年。我们的GDPR顾问已经历GCHQ认证培训和获得GDPR从业者认证,并能够就GDPR遵守的战略管理提供建议。虽然GDPR在所有部门和服务中适用,但解决了同意,安全和访问权限的关键问题,虽然有许多关键问题将直接影响零售商。

1. 什么是个人数据?

简而言之:什么和一切。从移动电话号码到单独命名的电子邮件地址。通用电子邮件地址不被视为个人数据,因为它们可能属于多个个人。

GDP.还包括“敏感的个人数据”,其中包括有关的信息,例如生物识别数据,种族,政治观点,身体或心理健康状况或性取向。这可能不是客户普遍存在的信息,但可能经常按HR部门担任公司员工。

如果个人数据无法识别,则在GDPR零售商的规则下可以保留这些信息,只要他们喜欢。匿名的数据不足以来:个人数据的Pseudonamation或加密是最好的安全措施。

2.同意

当收集任何形式的个人数据 - 来自客户和员工 - 必须考虑其处理的法律依据。在收集客户数据的绝大多数情况下,必须同意。

客户:许多零售商在购买时向客户询问他们的电子邮件地址。然后将该数据用于营销目的,但在GDPR零售商下需要确保个人同意充分了解,积极和自由地提供。也就是说,他们必须积极肯定他们愿意联系。不允许预先勾选的框。

员工:同意的问题也涉及为您工作的人。 GDPR明确表示同一同意规则适用于员工和客户。零售商应在处理所需个人数据时更新员工同意程序,以完全符合符合要求的个人数据

剖析

零售商以多种方式介绍客户。可以通过自动形式,会员卡或使用cookie收集数据。虽然此信息是一个有价值的工具,当目标在线广告时,如果它包括“法律效应” - 虽然可能会限制某些行为类型–然后客户必须有权对象。

请注意,GDPR的分析要求与当前的电子隐私规则(隐私和电子通信法规)分开–PECR)仍然需要同意将Cookie放在个人的设备上。该监管也在实施GDP的同时更新。

4.忠诚计划

作为分析过程的一部分,许多零售商使用会员卡。如果在忠诚度计划下的奖励可能涉及客户的数据与适用的奖励提供商共享,则这种安排可能涉及数据共享。不仅有详细的协议需要与所有各方都有到位,但ICO的数据共享代码也应考虑。

5.数据处理

数据处理的责任扩展到所有供应商。例如,交付物流提供者以及营销机构。数据处理器对GDPR下的安全负责,并在必要时审查所有协议,并在必要时重新审议。

在GDPR下,零售商及其数据处理器供应商都必须遵守特定的安全要求。这是当前法律的变化,处理器没有直接责任。

6.数据泄露通知

GDP.介绍了对监管机构的数据违约的强制性报告,而不会延迟,而不迟于72小时意识到违约。在某些情况下,这也适用于数据科目。因此,零售商需要仔细考虑违反预防,并确保有数据违约程序。供应商和内部培训的意识是这一过程的重要因素。跨地面向地域交易的零售商将不得不确保他们符合不同的司法管辖区。对数据泄露的连贯方法不仅可以确保遵守GDPR,而且具有最小化不利宣传的额外福利。

7.访问(个人权利)

目前,提出书面请求的个人有权了解零售商为10英镑的零售商持有的个人数据。这笔费用将在25之后删除 TH. 可能。此外,一旦GDPR到位,欧盟支持的高意识运动可能是提高对这一权利的认识。这些请求必须在一个月内回答。运行忠诚度程序的零售商可以通过为这些类型的请求创建表单来开始为此准备,查看持有的个人数据并删除任何目的的东西。

8.第三方供应商

除了与GDPR下的第三方供应商有关的其他责任之外,零售商应该知道他们最终负责并解决一些基本问题:如果第三方处理器基于欧盟,他们是否有保障合同?这些供应商准备好gdpr吗?如果答案是否定,可能需要考虑替代供应商。

9.跨境数据流

GDP.合规性的基本要素是在一组零售公司或其第三方供应商中识别国际数据流(包括员工数据)。地理边界的那些经营商店或在线销售必须符合国际数据转移的规则。零售商铅监管机构将在控制器或处理器基于的国家/地区。

10. DPOS和CISOS

GDP.的合规需要大多数组织都有一个数据保护官(DPO)或首席信息安全官,其责任是管理和推动GDPR合规流程。当GDPR生效时,受到违约的受保护组织的不充分受到保护的组织将由高达2000万欧元或4%的全球营业额(以较高者为准)受到惩罚,因此这些官员受到了大量的交付。 SRM可以支持和资源内部DPOS和Cisos,或者通过我们的全部责任可以承担全部责任 VirtualCiso. service.

SRM.的GDPR团队在GDPR准备频谱的所有结尾处提供专注于所有类型和大小的组织的服务。我们的GDPR顾问通过GCHQ批准的资格培训,并能够就GDPR遵守的战略管理提供建议。虽然我们提供了无与伦比的技术和合规性专业知识,但我们也了解企业如何运作,与客户在GDPR合规流程中与客户合作,重点是提供强大有效的合规性,而不是销售产品。

有关我们的GDPR服务访问我们的更多信息 网站。

衡量你的GDPR水平准备,完成了我们的 GDP.自我评估问卷.

或阅读我们的博客:

GDP.:世界不会站在25岁TH. May 2018

GDP.:信心的问题

CISO如何在董事会层面发挥影响