通用数据保护条例 (GDPR) 对您的公司意味着什么

2023 年 9 月 03 日

更新于 4 年 2023 月 XNUMX 日

如今，隐私是一个非常重要的问题，特别是在全球范围内发生大规模数字化之后。我们的数据处理方式需要受到监督和规范，以防止某些人滥用甚至窃取数据。您知道隐私也是一项人权吗？个人数据极其敏感，容易被滥用；因此，大多数国家都通过了立法，严格规范（个人）数据的使用和处理。除了国家法律之外，还有影响国家立法的总体法规。例如，欧盟 (EU) 实施了《通用数据保护条例》(GDPR)。该法规于 2018 年 XNUMX 月生效，适用于在欧盟市场上提供商品或服务的任何组织。即使您的公司不在欧盟境内，但同时拥有来自欧盟的客户，GDPR 也适用。在详细了解 GDPR 法规及其要求之前，我们首先澄清 GDPR 的目标是什么，以及为什么它对您作为企业家很重要。在本文中，我们将解释什么是 GDPR、为什么您应该采取适当的行动来遵守，以及如何以最有效的方式做到这一点。

GDPR 到底是什么？

GDPR 是一项涵盖自然公民个人数据保护的欧盟法规。因此，它仅旨在保护个人数据，而不是专业数据或公司数据。欧盟官方网站上是这样描述的：

“关于在个人数据处理和此类数据自由流动方面保护自然人的条例 (EU) 2016/679。该法规的更正文本于 23 年 2018 月 24 日发布在欧盟官方公报上。GDPR 加强了公民在数字时代的基本权利，并通过澄清数字单一市场中的企业规则来促进贸易。这套共同的规则消除了因国家制度不同而造成的碎片化，并避免了繁文缛节。该条例自2016年25月2018日起施行，自XNUMX年XNUMX月XNUMX日起施行。为公司和个人提供更多信息.[1]=

它基本上是确保由于其提供的商品或服务的性质而需要处理数据的公司安全处理个人数据的一种手段。例如，如果您以欧盟公民的身份在网站上订购产品，则您的数据将受到此法规的保护，因为您居住在欧盟。正如我们之前简要解释的那样，公司本身并不需要在欧盟国家成立才属于该法规的范围。每家与欧盟客户打交道的公司都需要遵守 GDPR，确保所有欧盟公民的个人数据受到保护和安全。这样，您就可以放心，没有公司会将您的数据用于除明确说明和概述之外的其他目的。

GDPR 的具体目的是什么？

GDPR 的主要目的是保护个人数据。 GDPR 法规希望所有组织，无论大小，包括您的组织，都考虑他们使用的个人数据，并深思熟虑地考虑他们使用这些数据的原因和方式。从本质上讲，GDPR 希望企业家在涉及客户、员工、供应商和其他与之开展业务的各方的个人数据时更加了解。换句话说，GDPR 法规希望杜绝那些只因为有能力收集个人数据而没有充分理由的组织。或者因为他们相信他们现在或将来可以从中受益，而无需太多关注，也无需通知您。正如您将在下面的信息中看到的，GDPR 实际上并没有真正禁止太多。只要您透明地说明如何尊重个人隐私，您仍然可以参与电子邮件营销，仍然可以做广告，并且仍然可以出售和使用客户的个人数据。该法规更多的是提供有关您使用数据的方式的充分信息，以便您的客户和其他第三方了解您的具体目标和行动。这样，每个人至少都可以在知情同意的基础上向您提供他们的数据。可以说，您需要按照您所说的去做，并且不得将这些数据用于您所说以外的其他目的，因为这可能会导致巨额罚款和其他后果。

GDPR 适用的企业家

您可能会问自己：“GDPR 也适用于我的公司吗？” 答案相当简单：如果您拥有来自欧盟的客户群或人事管理部门，那么您就可以处理个人数据。如果您处理个人数据，则必须遵守《通用数据保护条例》(GDPR)。法律决定了您可以如何处理个人数据以及您必须如何保护它。因此，这对您的组织始终很重要，因为所有与欧盟个人打交道的公司都必须遵守 GDPR 法规。我们所有的专业和个人互动都越来越数字化，因此考虑个人隐私是正确的做法。客户希望他们喜爱的商店能够谨慎处理他们提供的个人数据，因此您可以为自己制定有关 GDPR 的个人法规而感到自豪。而且，作为额外的好处，您的客户一定会喜欢它。

根据 GDPR，当您处理个人数据时，您几乎总是也在处理这些数据。考虑收集、存储、修改、补充或转发数据。即使您匿名创建或删除数据，您也在处理它。如果数据涉及的人可以与其他人区分开来，则该数据就是个人数据。这就是已识别人员的定义，我们将在本文后面详细讨论。例如，如果您知道一个人的名字和姓氏，并且该数据也与其官方发布的身份识别方式上的数据相匹配，则您已识别出该人的身份。作为参与此过程的个人，您可以控制您向组织提供的个人数据。首先，GDPR 赋予您了解组织使用的具体个人数据及其原因的权利。同时，您有权了解这些组织如何保障您的隐私。此外，您可以反对使用您的数据，请求组织删除您的数据，甚至请求将您的数据转移到竞争服务。[2] 因此，从本质上讲，数据所属的个人可以选择您对数据的处理方式。这就是为什么作为一个组织，您需要谨慎对待您提供的有关您获取的个人数据的确切使用的信息，因为数据所属的个人需要了解其数据被处理的原因。只有这样，个人才能决定您是否正确使用数据。

具体涉及哪些数据？

个人数据在 GDPR 中发挥着最重要的作用。保护个人隐私是出发点。如果我们仔细阅读 GDPR 指南，我们可以将数据分为三类。第一类具体涉及个人数据。这可以归类为有关已识别或可识别自然人的所有信息。例如，他或她的姓名和地址详细信息、电子邮件地址、IP 地址、出生日期、当前位置以及设备 ID。该个人数据是可以识别自然人身份的所有信息。请注意，这个概念的解释非常广泛。当然不限于姓氏、名字、出生日期或地址。某些数据（乍一看与个人数据无关）仍然可以通过添加某些信息而受到 GDPR 的管辖。因此，人们普遍认为，即使是（动态）IP 地址（计算机在互联网上相互通信的唯一数字组合）也可以被视为个人数据。当然，必须针对每种具体情况专门考虑这一点，但要考虑您处理的数据。

第二类是所谓的伪匿名数据：以这样的方式处理的个人数据：如果不使用附加信息就无法再追踪该数据，但仍然使一个人独一无二。例如，加密的电子邮件地址、用户 ID 或客户编号仅通过安全良好的内部数据库链接到其他数据。这也属于 GDPR 的范围。第三类由完全匿名的数据组成：所有允许追溯的个人数据都已被删除的数据。在实践中，这通常很难证明，除非个人数据首先是可追踪的。因此，这超出了 GDPR 的范围。

谁有资格成为可识别人士？

有时，定义谁属于“可识别人员”的范围可能有点困难。特别是因为互联网上有许多虚假的个人资料，例如拥有虚假社交媒体帐户的人。一般来说，当您无需太多努力就可以追溯一个人的个人数据时，您就可以认为该人是可识别的。例如，考虑一下可以链接到帐户数据的客户编号。或者您可以轻松追踪的电话号码，从而找出它属于谁。这都是个人数据。如果您似乎无法识别某人，则有必要进行更多研究。您可以要求对方提供有效的身份证明，以确保您知道自己正在与谁打交道。您还可以查看经过验证的数据库以获取有关某人身份的信息，例如数字电话簿（实际上仍然存在）。如果您不确定客户或其他第三方是否可识别，请尝试联系该客户并索取个人数据。如果此人没有回答您的询问，通常最好删除您拥有的所有数据并丢弃向您提供的信息。很可能有人使用了假身份。 GDPR 旨在保护个人，但作为一家公司，您也需要采取适当的措施来保护自己免受欺诈。不幸的是，人们可以使用虚假身份，因此对人们提供的信息保持警惕非常重要。当有人使用他人的身份时，这可能会对您的公司造成严重影响。始终建议尽职调查。

使用第三方数据的合法理由

GDPR 的一个主要组成部分是规则，即您只能将第三方数据用于指定的合法目的。基于数据最小化的要求，GDPR 规定您只能将个人数据用于既定且记录在案的商业目的，并得到六个可用 GDPR 法律依据之一的支持。换句话说，您对个人数据的使用仅限于既定目的和法律依据。您进行的任何个人数据处理及其目的和法律依据都必须记录在 GDPR 登记册中。本文档迫使您思考每项处理活动，并仔细考虑其目的和法律依据。 GDPR 具有六个法律依据，我们将在下面概述。

合同义务：签订合同时，必须处理个人数据。履行合同时也可能使用个人数据。
同意：用户明确同意使用其个人数据或放置 cookie。
合法利益：为了控制者或第三方的合法利益，有必要处理个人数据。在这种情况下，平衡很重要，不应侵犯数据主体的个人自由。
切身利益：当生死攸关的情况出现时，可能会处理数据。
法律义务：个人数据必须依法处理。
公共利益：这主要与政府和地方当局有关，例如公共秩序和安全以及公众保护方面的风险。

这些是允许您存储和处理个人数据的法律依据。通常，其中一些原因可能会重叠。这一般不是问题，只要你能解释并证明确实有法律依据。当您缺乏存储和处理个人数据的法律依据时，您可能会遇到麻烦。请记住，GDPR 考虑到了对个人隐私的保护，因此法律依据有限。了解并应用这些，您作为一个组织或公司应该是安全的。

GDPR 适用的数据

GDPR 的核心适用于完全或至少部分自动的数据处理。例如，这需要通过数据库或计算机进行数据处理。但它也适用于物理文件中包含的个人数据，例如存储在档案中的文件。但这些文件必须是实质性的，因为所包含的数据与某些订单、文件或业务交易相关。如果您拥有一张只有姓名的手写便条，则它不符合 GDPR 规定的数据资格。毕竟，这张手写的便条可能来自对您感兴趣的人，或者是个人性质的。公司处理数据的一些常见方式包括订单管理、客户数据库、供应商数据库、员工管理，当然还有直接营销，例如时事通讯和直接邮件。您处理其个人数据的人称为“数据主体”。这可以是客户、新闻通讯订户、员工或联系人。有关公司的数据不被视为个人数据，而有关独资企业或自营职业者的数据则被视为个人数据。[3]

有关网络营销的规则

GDPR 对在线营销具有重大影响。您需要遵守一些基本规则，例如在电子邮件营销中始终提供选择退出选项。此外，投标人还必须能够表明和调整他们的偏好。这意味着如果您当前不提供这些选项，则必须调整电子邮件。许多组织还使用重定向机制。例如，这可以通过 Facebook 或 Google Ads 来实现，但请记住，您需要请求明确的许可才能执行此操作。您的网站上可能已经有隐私和 cookie 政策。所以有了这些规则，这些法律部分也需要修改。 GDPR 要求规定这些文件需要更加全面和透明。您通常可以使用模型文本进行这些调整，这些文本可以在互联网上免费获得。除了对您的隐私和 cookie 政策进行法律调整外，还必须任命一名数据处理官。此人负责数据处理并确保组织始终符合 GDPR 规定。

遵守 GDPR 的提示和方法

当然，最重要的是，作为企业家，您必须遵守 GDPR 等法律法规和规则。幸运的是，有一些方法可以以尽可能少的努力来遵守 GDPR。正如我们已经讨论过的，GDPR 本身实际上并没有禁止任何内容，但它确实为个人数据的处理方式制定了严格的准则。如果您不遵守具体准则并出于 GDPR 中未提及的原因或超出其范围而使用数据，您将面临罚款甚至更严重后果的风险。除此之外，请记住，当您也尊重他们的数据和隐私时，与您合作的所有各方都会尊重您作为企业主的身份。这将为您提供积极且值得信赖的形象，这对业务确实有利。我们现在将讨论一些技巧，使遵守 GDPR 成为一个简单而高效的过程。

1.首先列出您要处理的个人数据

要做的第一件事是研究您需要哪些确切数据以及目的。您要收集哪些信息？您需要多少数据才能实现您的目标？只需姓名和电子邮件地址，还是您还需要实际地址和电话号码等额外数据？您还需要创建一个处理寄存器，在其中列出您保留的数据、数据的来源以及与哪些方共享此信息。还要考虑保留期，因为 GDPR 规定您必须对此保持透明。

2. 将隐私作为您企业的总体优先事项

隐私是一个非常重要的话题，在（不可预见的）未来，这种情况仍将持续下去，因为技术和数字化只会不断进步和增长。因此，作为一名企业家，您必须了解所有必要的隐私法规，并在开展业务时优先考虑这一点，这一点非常重要。这不仅可以确保您遵守所有适用的法律，还可以为您的公司树立信任的形象。因此，作为一名企业家，请深入了解 GDPR 规则或以其他方式寻求法律专家的建议，这样您就可以确保在隐私方面您是合法开展业务的。您需要找出您的公司必须遵守哪些具体规则。荷兰当局还可以为您提供大量信息、提示和日常使用的工具，为您提供帮助。

3. 确定处理个人数据的正确法律依据

正如我们已经讨论过的，根据 GDPR，只有六个官方法律依据允许您处理和存储个人数据。如果您要使用数据，了解您的使用背后的法律依据至关重要。理想情况下，您应该记录您与公司进行的不同类型的数据处理，例如在您的隐私政策中，以便客户和第三方可以阅读并确认此信息。然后，分别确定每项行动的正确法律依据。如果您需要出于新的动机或原因处理个人数据，请务必在开始之前添加此活动。

4. 尽量减少数据使用

作为一个组织，您必须确保仅收集最少的数据元素以实现特定目标。例如，如果您在线销售商品或服务，您的用户通常只需要向您提供电子邮件和密码即可使注册过程顺利进行。在注册过程中，无需询问顾客的性别、出生地，甚至地址。只有当用户继续购买商品并希望将其运送到某个地址时，才需要询问更多信息。然后，您有权在该阶段请求用户的地址，因为这是任何运输过程的基本信息。最大限度地减少收集的数据量可以最大限度地减少潜在隐私或安全相关事件的影响。数据最小化是 GDPR 的核心要求，并且在保护用户隐私方面非常有效，因为您只处理您需要的信息，仅此而已。

5. 了解您处理数据的人员的权利

了解 GDPR 的一个重要部分是了解您存储和处理其数据的客户和其他第三方的权利。只有了解他们的权利，您才能保护自己并避免罚款。确实，GDPR 为个人引入了许多重要权利。例如检查其个人数据的权利、更正或删除数据的权利以及反对处理其数据的权利。我们将在下面简要讨论这些权利。

访问权

第一项访问权是指个人有权查看和查阅所处理的有关其的个人数据。如果客户提出要求，您有义务向他们提供。

纠正权

纠正与纠正相同。因此，纠正权赋予个人对组织处理的有关他们的个人数据进行更改和添加的权利，以确保这些数据得到正确处理。

被遗忘的权利

被遗忘权正如其所言：当客户特别要求时被“遗忘”的权利。然后，组织有义务删除他们的个人数据。请注意，如果涉及法律义务，个人不能援引此权利。

限制处理权

这项权利使作为数据主体的个人有机会限制其个人数据的处理，这意味着他们可以要求处理更少的数据。例如，如果一家公司要求提供的数据超出了所涉及流程绝对需要的数据。

数据移植权

这项权利意味着个人有权将其个人数据转移给另一个组织。例如，如果有人去竞争对手或员工去另一家公司工作，而你将数据传输到这家公司，

反对权

反对权是指个人有权反对处理其个人数据，例如，当数据用于营销目的时。他们可以出于特定的个人原因行使这项权利。

不受自动决策影响的权利

个人有权不接受可能对他们产生重大后果或造成人为干预法律后果的完全自动化决策。自动化处理的一个例子是信用评级系统，它将完全自动确定您是否有资格获得贷款。

知情权

这意味着当个人提出要求时，组织必须向个人提供有关其个人数据收集和处理的明确信息。根据 GDPR 原则，组织必须能够表明他们处理哪些数据以及原因。

通过熟悉这些权利，您可以更好地预见客户和第三方何时可能查询您正在处理的数据。然后，您会发现更容易答应并向他们发送他们所要求的信息，因为您已经做好了准备。始终为查询做好准备并准备好数据可以为您节省大量时间，例如，通过投资一个良好的客户管理系统，使您可以快速有效地提取必要的数据。

如果您不遵守，会发生什么？

我们之前已经简要讨论过这个主题：如果您不遵守 GDPR，就会产生后果。再次提醒您，您无需拥有一家位于欧盟的公司即可被要求遵守。如果您处理的数据来自欧盟，即使只有一位客户，您也属于 GDPR 的管辖范围。可以处以两种级别的罚款。每个国家/地区的数据保护主管机构可以发出两级有效罚款。该级别是根据具体违规行为确定的。一级罚款包括未经父母同意处理未成年人个人数据、未报告数据泄露以及与未在所需数据安全方面提供足够保证的处理者合作等违规行为。这些罚款最高可达 10 万欧元，对于公司而言，最高可达上一财年全球年营业额的 2%。

如果您犯有基本罪行，则适用二级。例如，未能遵守数据处理原则，或者组织无法证明数据主体实际上已同意数据处理。如果您属于二级罚款范围，您将面临最高 20 万欧元的罚款，或高达公司全球营业额 4% 的罚款。请注意，这些金额已最大化，并取决于您的个人情况和企业的年收入等因素。除罚款外，国家数据保护机构还可能实施其他制裁。这可以是警告和谴责，也可以是暂时（有时甚至永久）停止数据处理。在这种情况下，您可能暂时或永久不再通过您的组织处理个人数据。例如，因为您多次犯罪。这基本上将使您无法开展业务。另一项可能的 GDPR 制裁是向提出有理有据的投诉的用户支付损害赔偿金。简而言之，对个人隐私和个人数据保持警惕，以避免造成如此严重的后果。

您想知道您是否符合 GDPR 规定吗？

如果您计划在荷兰开展业务，则必须遵守 GDPR。如果您与荷兰客户或任何其他欧盟国家的客户开展业务，您还必须遵守这项欧盟法规。如果您不确定自己是否属于 GDPR 的范围，您可以随时联系 Intercompany Solutions 寻求有关该主题的建议。我们可以帮助您查明您是否有适用的内部法规和流程，以及您向第三方提供的信息是否足够。有时很容易忽视重要信息，但这可能会给您带来法律麻烦。请记住：隐私是一个极其重要的话题，因此您必须始终了解最新的法规和新闻。如果您对此主题有任何疑问或想了解有关荷兰商业机构的更多信息，请随时联系 Intercompany Solutions 任何时候。我们很乐意帮助您解答任何疑问，或为您提供明确的报价。

来源：

https://gdpr-info.eu/

https://www.afm.nl/en/over-de-afm/organisatie/privacy

https://finance.ec.europa.eu/

[1] https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_nl#:~:text=The%20general%20regulation%20dataprotection%20(GDPR)&text=The%20AVG%20(also%20known%20under,digital%20unified%20market%20te%20.

[2] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming

[3] https://www.rijksoverheid.nl/onderwerpen/privacy-en-persoonsgegevens/documenten/brochures/2018/05/01/de-algemene-verordening-gegevensbescherming