歐盟的“通用資料保護條例”(GDPR,General Data Protection Regulation)于2018年5月25日生效,而好多企業對GDPR并不十分了解。就目前看來,行業對于這項條例的觀念仍有不當之處。盡管企業為GDPR的做了大量準備工作,才能合規,但是許多人還在拖拖拉拉。
數十年來,歐洲一直是隐私和資料保護問題的先行者。随着通用資料保護條例(GDPR)全面隐私法的生效,歐盟(EU)又開創了新局面。如果你的企業有收集,存儲或使用有關歐洲居民的個人資訊,那麼GDPR可能會對你的業務流程産生深遠影響。
一、什麼是GDPR?
經過四年多的協商,2016年4月歐洲議會和歐洲理事會通過GDPR。這項條例賦予歐盟公民更多的個人資料控制權,另外對那些收集、處理和存儲個人資料的公司提出更高的責任要求,特别是資料洩露。
從2016年5月開始,除非有明确的法律依據,否則企業将不再被允許收集或處理一個歐洲公民的消費者資料,例如獲得公民自願給予和“明确的”同意。 如果沒有提供适當通知或管理辦法,公司也将被禁止使用以前收集的資料。
GDPR取代了1995年資料保護指令的條例,将使28個歐盟及歐洲經濟共同體成員國的隐私保護法,更具有一緻性和現代性。根據1995年指令,每個成員國都制定了自己的資料保護規則,這導緻了在歐盟開展業務的公司監管環境和合規不一緻的難題。
GDPR的大部分内容實際上并不新鮮,因為包含了“資料保護指令”中既存的理念。 但GDPR确實引入了一些新的概念,包括針對不合規對象的巨額罰款和增強的資料主體權利。這對任何在歐盟開展業務的公司或任何在其資料庫中存有歐盟公民個人資料的公司都具有限制力。
1、以下是相關的GDPR的術語,可以幫我們更好的了解文章中的概念:
資料主題:可以通過姓名,身份證件,位置資料,線上辨別符(如使用者名)或其身份,遺傳或其他身份等資訊直接或間接識别的“自然人”。例:Marie Dubois
個人資料:任何與識别或可識别資料主題有關的資訊。例:女性。 年齡48. Ph#:33 1 7210 940.位址:99 Place de l'Étoile,75008 Paris,France。 喜歡帽子。 每天線上閱讀。
敏感個人資料:有關種族或族裔出身,政治觀點,宗教或哲學信仰,工會會員資格,有關健康,性生活和性取向的資訊以及遺傳或生物識别資料的個人資料。例:恩馬爾凱成員! 派對。天主教徒。 去年打破了腿。 指紋和視網膜掃描的副本。
處理:任何對個人資料或與個人資料有關的事情。例:收集,存儲,傳輸,共享,修改,使用或删除個人資料。
資料控制方:确定個人資料處理目的和手段的實體。例:Grande Banque du Nord是一家向瑪麗提供抵押貸款以購買房屋的金融機構。 當瑪麗首次在大銀行的網站上注冊以獲得更多關于抵押貸款的資訊時,大銀行成為瑪麗提供的個人資料的控制者。
資料處理方:根據資料控制方的指令處理個人資料的實體。例:Grande Banque将她的資料上傳到Sales Cloud對象上時,Salesforce成為Marie個人資料的處理方。
假名資料:不能與特定資料主體綁定的個人資料,沒有單獨存儲的附加資訊,采用技術措施確定資料不與該附加資訊相結合。例:當Marie通路Community Cloud上托管的Grande Banque網站社群以了解有關抵押貸款流程的更多資訊時,系統會以散列形式記錄她的IP位址并将其連結到Marie檢視的頁面。 散列IP位址被視為假名資料,因為盡管散列IP位址本身并不能識别Marie,但仍可以将其與其他與Marie相關的資訊關聯起來。
匿名資料:無法連接配接到已識别或可識别的人員的資料。例:Grande Banque網站要求人們留下評論。 該系統不收集來自評論者的任何資訊 - 甚至不包括IP位址。 評論本身可以被認為是匿名的。
公正和透明:企業必須始終合法,公正,透明地處理個人資料。例:當Grande Banque du Nord要求Marie Dubois在其網站上注冊為客時,Grande Banque必須明确通知Marie,該銀行及其網站在收集她的哪些具體資訊以及該銀行未來如何使用該資訊。 例如,如果Grande Banque追蹤Marie的網站使用情況,Grande Banque必須在隐私聲明中描述它們會追蹤Marie的網站使用情況。
目的限制:企業可以收集個人資料僅用于指定的,明确的和合法的目的。 他們不能以與這些目的不相符的方式對人資料進一步處理。例:當Grande Banque要求Marie 注冊為客戶時,銀行必須通知她将會如何處理她的個人資料。 Grande Banque必須僅将Marie的個人資料用于該通知中描述的目的。 例如,如果隐私聲明沒有聲明Grande Banque與搬家公司共享個人資料,則Grande Banque不得将其資訊出售給尋找新客戶的住宅搬家公司。
資料最小化:組織隻收集足夠的,相關的個人資料,并且僅限于預定目的所需的個人資料。例:當Marie在Grande Banque移動應用上下載下傳并設定賬戶時,Grande Banque隻能收集與Marie服務相關的資訊。 該應用不得記錄她的确切位置,通路手機上的聯系人,或收集手機上其他應用的資訊。 Grande Banque不得要求Marie提供與抵押貸款流程無關的資訊,例如她的宗教信仰或種族資訊。
準确性:個人資料必須準确,并在必要時保持更新。例:當Marie填寫格蘭特銀行的詳細表格以準備購買新的房産時,她提供了她目前的薪水。 然而,當她在工作中獲得晉升和加薪時,她會與Grande Banque聯系。 Grande Banque必須更新其記錄以反映她新的薪水。
資料删除:個人資料隻有在需要實作收集的最初目的時才能保留。例:Marie發現另一家銀行PetitCréditdu Sud提供了低得多的利率。 Marie決定從Grande Banque轉到PetitCrédit,她告訴Grande Banque她正在終止他們的關系。在沒有合法理由保留的情況下, Grande Banque必須删除Marie的所有個人資料; 例如Marie收入,儲蓄賬戶和債務的資訊。
安全:企業必須使用适當的技術群組織安全措施來保護個人資料免遭未經授權的處理和意外洩露,通路,丢失,破壞或更改。 根據具體的使用情況和處理的個人資料,建議使用資料隔離,加密,假名和匿名處理,并在某些情況下需要提供保護個人資料的幫助。例:作為抵押申請程式的其中一步,PetitCrédit要求Marie在其網站上填寫一份表格,要求提供詳細和敏感的個人資訊。 PetitCrédit必須確定表單在安全的網頁上,并且資料在傳輸過程中進行了加密。 當PetitCrédit将這些資料存儲在其Salesforce執行個體中時,它必須確定隻有那些有合法需求通路資料的PetitCrédit員工才有權限通路該資料。
問責制:資料控制方負責整個政策的實施以確定企業控制的個人資料按照GDPR原則處理。這包括指定資料保護官員,資料處理者受到合同條款限制,并使用“隐私設計”和“預設隐私”原則。此外,資料控制方必須能夠證明合規性,包括儲存處理記錄活動和進行隐私影響評估等。例:為了将Marie的個人資料放入PetitCrédit的Salesforce執行個體中,該銀行必須確定其與Salesforce簽署書面協定允許處理個人資料處理,例如資料處理附錄。 PetitCrédit還必須記錄銀行如何以及為何收集Marie的資訊,收集哪些類型的資訊,與誰共享資料,以及保護資料的安全性。
2、以下是組織可以使用的三種方法将隐私原則運用到他們的文化中:
隐私設計:當企業規劃新的處理活動或開發或實施新産品,服務或功能時,他們必須設計符合GDPR原則的活動和産品,以確定他們采取适當的保護措施以保護隐私。
預設隐私:這是企業在收集,處理或存儲資料時必須始終使用“私密性”預設設定的思路。 例如,當給予個人對他們的資料處理數量的選擇時,預設設定應該始終是處理量較少的選擇。 選擇保留期限時,預設值必須盡可能短。
資料保護的影響評估:分析新的處理活動以識别和解決隐私風險。
二、GDPR有什麼新東西?
1、個人資料:以前的隐私制度将個人資料定義為姓名、照片、電子郵件位址、電話号碼、實際位址或個人身份證号碼、銀行帳号或社保卡号。但GDPR擴大了定義,時期包括“已識别”(identified)和“可識别”(identifiable)的資料資訊。這意味着個人資料指的是任何可用于識别個人的資訊,包括位置資料、移動裝置ID以及某些情況下的IP位址。(生物特征資料和遺傳資料被認為是“敏感的個人資料”)
匿名資料是一種潛在的合規性資訊,即經過散列、加密或以某種技術方法進行匿名處理的個人資料。 通過将其與附加資料相結合後重新定位識别的資料也被視為個人資料。如下類型的隐私資料将受到GDPR保護:
• 基本的身份資訊,如姓名、位址和身份證号碼等;
• 網絡資料,如位置、IP位址、Cookie資料和RFID标簽等;
• 醫療保健和遺傳資料;
• 生物識别資料,如指紋、虹膜等;
• 種族或民族資料;
• 政治觀點;
• 性取向。
2、個人權利:
GDPR授予資料主體關于控制方如何處理其資料的一些權利。 這些權利要求資料控制方制定适當的系統來回應并有效處理資料主體的要求。目前資料主體享有的個人權利有:
資料通路:資料主體有權向資料控制方确認企業是否正在處理他們的個人資料。如果是,控制方必須向資料主體提供有關此類處理的資訊,包括處理的具體資料,處理目的以及與其共享此類資料的其他方。
對象權:在某些情況下,資料主體可以随時反對處理他們的個人資料,特别是如果處理是出于直接營銷目的。
資料整改:如果資料不準确或不完整,資料主體可要求控制方更正或完善個人資料。
處理限制:資料主體可以要求控制方停止通路和修改其個人資料。例如,控制方可以标記或使用技術手段來確定這些資料不會被任何一方進一步處理。
資料可移植性:在某些情況下,資料主體有權要求控制方以結構化,常用和機器可讀的格式(例如.csv檔案)提供其個人資料,以便他們可以将自己的個人資料資料發送給其他公司。
删除權:也稱為“被遺忘權”,該權利授權資料主體請求資料控制方在下列情況下删除或移除其個人資料:當資料不再用于原始目的時,當資料主題撤回資料使用權時,或當資料主體反對處理方式時。
GDPR通過要求資料管理者采取合理步驟,確定參與資料共享的第三方删除,擴大了被删除的權利,也被稱為被遺忘的權利。資料當事人也享有在多個平台資料不自動打通的權利,以及根據要求以電子形式免費獲得經處理的個人資料副本的權利,包括這些資料被用于何處,以及使用資料的目的。
3、記錄儲存要求:資料管理者和任何外包商必須儲存其資料處理活動的書面記錄,包括他們處理資料的原因以及他們計劃儲存資料的時間。 此資訊必須根據要求提供給資料保護機構。
4、問責原則:雖然GDPR并沒有詳細說明問責制,但資料控制者必須清楚地記錄他們所采取的所有行動。GDPR稱之為“通過設計和預設的資料保護”。如果監管機構要求提供合規證明,公司必須能夠提供。
5、資料保護官員(DPO):GDPR規定擁有250名或以上員工處理敏感資料或犯罪記錄的組織必須指定資料保護官DPO。這根據他們是否處理敏感資料的情況而定,擁有少于250名員工的組織可能也需要指定DPO。那麼,如果你的公司内已經存在了一個發揮類似作用的人員,能夠確定PII安全是好的。否則,你将需要重新聘請一名DPO。根據企業自身的情況,DPO可以不要求一定是全職,在這種情況下,企業就可以選擇一名兼職DPO人員。加上GDPR新規允許一名DPO同時為多個企業工作,是以聘請一名兼職DPO人員将是一個很好的選擇。
目前,根據GDPR如何廣泛地解釋“系統地監督或處理”仍然是一個懸而未決的問題。DPO旨在幫助企業遵守GDPR,直接向企業CXO彙報,同時保持完全自主性。
6、更大的罰款:每一單GDPR違規行為将受到高達2000萬歐元的嚴重處罰,或者上一年全球年營業額的4%,以較高者為準。監管部門在設定罰款時可以考慮減輕因素,比如,盡快改正或是舉報違規行為的企業可以受到稍微輕點的處罰。無論如何,這些罰款意味着小公司巨大災難,這不是開玩笑的情。要麼他們會倒閉,要麼就會被吞并。
三、違規通知
而對于企業來說,其中很具挑戰性的合規要求應該是,公司必須在發現違規事件的72小時内,向監管當局和受到違規事件影響的個人通報資料違規行為。執行影響評估的另一個要求是,通過識别漏洞以及制定漏洞解決方案來幫助減輕漏洞導緻的安全風險。
四、資料控制方與資料處理方
GDPR為資料控制方和資料處理方建立了不同的規則。資料控制方決定為什麼以及如何處理個人資料,并被要求建立處理資料的法律依據。條例規定資料處理方“代表控制方處理個人資料”。處理方必須合法和負責任地進行處理,控制方必須確定處理方做着合規的工作。
雖然對控制方的規則更為嚴格,但控制方和處理方都處于GDPR之下。與以前的隐私制度不同,資料處理方如果不遵守條例,可能要承擔重大處罰。
五、合法理由
如果公司有法律依據,則可以處理資料。 例如,保險公司必須處理客戶資料才能執行合同條款。 銀行必須處理資料以遵守法律。但我們應該知道兩個法律基礎:合法權益和許可。
1、合法權益
能夠證明“合法利益”的公司在某些情況下可以在未經同意的情況下合法處理個人資料:資料是合法收集的,有正當理由去使用資料以及資料處理的過程也是合規的。
要獲得合法權益,資料控制方需要進行一個稱為“平衡測試”。這個測試将資料控制方的利益與資料當事人的權利進行權衡,其中包括資料當事人對資料處理方式的合理期望是怎樣的,以及控制方是否有正确的保障措施。
合法權益的例子包括預防犯罪、欺詐檢測、網絡安全,以及進行員工背景調查等。 “直效營銷”在GDPR中也被認為特殊的對個人資料的合法使用,但也有一定的注意事項。
隻要控制方確定使用者可以有随時選擇不參與(opt-out)的權利,那麼個性化的溝通、彙總分析以建立趨勢報告,閱聽人測量在GDPR下都可行。
2、許可
許可一直是歐洲隐私法的基石,但GDPR大大提高了這個标準。
決定如何使用個人資料的資料控制方,必須得到他們計劃使用資料的目的“明确的”許可。換句話說,如果一家企業不被許可做一件事,那它也不能使用這些資料來做其他事情。
許可必須是自願以及明确的
選擇退出模式(或者說,預選框的形式)不會消失。當網站在加載頁面的同時,加載追蹤cookie,務必通知訪客,該網站會使用cookie。(通常是以彈出視窗的形式)。在使用者同意啟用cookie之前需要有一個屏蔽頁屏蔽該網頁内容。
底線是消費者對行為必須是肯定的和知曉的。英國、法國和德國的資料保護機構都同意,消費者可以通過在網站上勾選一個框來表示同意處理,但是隻有在事先他們已經被用簡單明了語言的通知告知了的情況下才能表示同意處理。
不是每個人都相信中間商能在GDPR下蓬勃發展。網站資料管理軟體Tealium首席技術官兼創始人Mike Anderson說:“第三方生态系統不會在GDPR世界中占據一席之地。 GDPR是關于第一方關系的。”
六、當有問題時誰負責?
營銷者和媒體方可能會對第三方犯下的錯誤負責,這意味着他們将更加挑剔與誰合作。GDPR是以促進了盡職調查和供應商管理的重要性。
許可不是GDPR合規的“萬金油”。得到它後,“你必須確定供應鍊中沒有人會濫用你所分享的資料以至于使你面臨法律風險。”
然而,對那些在問責制問題上充耳不聞的公司來說,未來還是有希望的。
Forrester公司副總裁兼研究總監Melissa Parrish說:“事實是:如果出現問題,他們都會陷入困境。 沒有任何方法可以推卸責任。”
七、與ePrivacy不一緻
盡管GDPR成為頭條新聞,但ePrivacy《電子隐私條例》,也就是Cookie指令,對于營銷人員來說可能更具影響力。GDPR涉及處理個人資料,ePrivacy涵蓋與電子通信相關的隐私。
如果您通路過歐洲的一個網站,看到一個彈出式橫幅AD,警告您“通路本網站,您需要接受使用Cookie”,那麼您已經體驗過ePrivacy的措施。
如果ePrivacy和GDPR都包含處理相同情況的法規,則以ePrivacy規則為準。2018年5月起,營銷者能夠處理資料的唯一法律依據可能就是許可。(在某些情況下,合同的履行可能會成為法律依據。)
資料技術公司Acxiom全球首席隐私官Sheila Colclasure表示:“目前,ePrivacy與GDPR不一緻,是以我們有一個缺口。我們需要確定Cookie法認可合法利益,并且不會破壞創新。但是,如果ePrivacy與GDPR無法同時生效,那針對ePrivacy的執行仍然存在一個灰色地帶。”
無論哪種方式,如果ePrivacy 條例不包括合法利益,“這對于AD技術公司來說是個壞消息,”國際隐私專業協會研究和教育副總裁Omer Tene說。
Omer Tene說:“除非有合法利益修改,否則很難看出AD技術公司将如何遵守ePrivacy。 這對AD代理商來說是非常重要的。”
特别是考慮到違規的可能性。 ePrivacy草案中規定的罰款與GDPR中的罰款密切相關:高達2000萬歐元,即全球年營業額的4%。
八、GDPR的誤解
對GDPR最大的誤讀就是,不在歐洲的公司不必擔心GDPR。這不對。 GDPR對歐盟公民的個人資料擁有管轄權,無論在哪裡(進行資料)處理。
Omer Tene說:“GDPR将在歐盟誕生,但它适用于世界上任何以歐洲閱聽人為目标服務的公司,以有意義的方式收集個人資料或定期監控歐洲人的資訊。與以前你必須在場才受到資料保護指令的政權相比,這是一個巨大的變化。”
無論如何,許多中小型AD技術公司和營銷技術公司似乎都采取觀望GDPR的方法。而這不是一個明智之舉,Evidon的 Todd Ruback說。
“他們沒有積極主動地應對,這是一個糟糕的商業戰略,特别是當媒體方和品牌主已經與他們的數字化供應商達成協定,并調整了他們與第三方之間的免責條款。”Todd Ruback說。
公司正在開始獲得提示。根據國際隐私專業人員協會和安永會計師事務所10月份釋出的聯合年度治理報告,95%的受訪者(75%位于歐盟以外)認為GDPR适用于他們,而美國的50%公司認為GDPR法規正在推動他們的隐私計劃。
九、隐私盾
隐私盾(Privacy Shield)是取代避風港條款(Safe Harbor)的歐盟-美國資料傳輸協定。 它在十月中旬通過了第一次年度審查,這意味着歐洲官員認為它提供了适當的跨境資料保護。在2018年5月之前通過Privacy Shield進行自我認證是美國公司確定其擁有有效機制在歐盟和美國之間傳輸個人資料的一種方法。
同樣,隐私保護隻适用于國際資料傳輸,并不保證遵守GDPR的其他關鍵原則,包括獲得許可,進行隐私影響評估和任命資料保護人員等。
十、清單
GDPR是一個龐大的立法檔案,有99個密集的文章,要確定合規性并不容易。在處理較棘手的問題之前,先處理更簡單的問題。
Todd Ruback表示:“監管機構需要的隻是一台浏覽器,一台筆記本電腦和一系列網站,以檢視誰是透明的。你是否有消費者中心,并可以用簡單的方式遞交你的資料行為,以及讓個人控制他們的個人資料?在監管機構開始深入公司内部流程并檢視是否實作資訊可被遺忘的權利之前,這是他們更容易施行的所在。”
确定您的公司是控制方還是處理方。這将影響法規對你産生怎樣的影響。
進行資料保護影響評估(DPIA):對資料流程進行風險分析。第一步是繪制資料流導圖,并清楚地了解你從哪裡收集資料、與誰共享資料、資料洩漏的可能性以及您如何維護,保留和保護資料。 DPIA幫助企業弄清楚他們是否符合GDPR和/或他們還需要做多少工作才能滿足。
看看你的合同:檢查你的供應鍊合作夥伴,以确定你與合作夥伴的協定是否是最新的,并包括與GDPR有關的條款。例如,如果出現違反或執法的情況,該怎麼辦。這可以是DPIA流程的一部分。
需要一個DPO(區間震蕩線)嗎?一家公司是否需要任命一名資料保護官員取決于其資料追蹤的範圍和規模。法律規定:“定期和系統的大規模監督”但是擁有DPO永遠比沒有DPO好。
文檔:控制方必須證明,表現他們完成的資料處理符合GDPR的标準,包括(使用者)許可選擇,資料儲存和管理的内部政策。如果一個資料保護監督機構敲門,你需要手頭的書面證明。
十一、準備GDPR合規
1、建立你的團隊
企業需要建立一種隐私文化,而不僅僅是将資料合規工作隻交給一個人來管理。招聘并建立你的跨職能團隊來執行GDPR政策和流程。 團隊應該由技術,産品,營銷,人力資源以及企業的其他團隊成員的組成。
2、評估你的企業
一旦企業組建了跨職能團隊,團隊就可以分析企業現有的隐私和安全隐患,确定重點關注的重點領域。 分析的一個重要環節是了解企業存儲個人資料的位置。 許多企業有數十個存儲個人資料的不同資料庫和系統。 個人資料可以來自員工,求職者,網站上的填寫表格,或忠誠度計劃,購買記錄,填寫退稅或保修卡,參加活動或通過電子郵件,電話以及社交媒體與客戶服務團隊進行聯系。
3、注意
存儲個人資料的資料庫和系統可能被公司内部許多不同的部門使用。市場營銷,銷售,人力資源,财務,IT,采購,工資單,風險管理,健康與安全,審計和法律部門都可以運作這些系統,或當與不同的供應商合作管理個人資料。
當企業識别出存儲這些資料的位置時,團隊可以建立一個資料清單,為每個存儲系統顯示存儲的資料類型,資料來源,用途,通路權限,如何獲得保障,傳輸過給哪些第三方以及會保留多久。在完成這項工作時,團隊還可以識别企業從哪些第三方接收個人資料,以及給哪些第三方傳輸個人資料。
通過分析,企業可以建立資料處理活動的登記冊,并确定哪些活動對資料隐私構成高風險。對于每項高風險活動,企業可以進行資料保護影響評估,以确定他們需要采取的行動,以確定他們正確定護個人隐私權。
4、建立控制和流程
一旦企業對其資料有了更好的了解,該團隊就可以建立必要的操作和技術變更的路線圖。路線圖可以確定組織有适當的控制和流程,例如:
隐私聲明:必須在收集個人資料的任何地方提供隐私聲明,包括通過使用網站Cookie和标簽。
使用限制:可以使用管理或技術控制來限制企業對其收集資料的目的使用資料。
安全:行政,實體和技術安全措施對于防止未經授權的通路,使用,修改,披露或删除個人資料是必要的。
資料主體權利:需要機制和程式來管理資料主體同意偏好,并對投訴和通路請求,整改,限制,可移植性和删除進行響應。
供應商管理:組織必須與收集或接收個人資料的分支機構,供應商和其他第三方簽訂合同,其中包括标準合同條款或其他機制,以合法化歐盟境外的資料傳輸。
事件響應:必須建立流程來檢測和響應安全漏洞,包括糾正漏洞并通知所有必要的參與方。
教育訓練:必須提供員工和供應商教育訓練,以提高有關隐私政策,流程和要求的意識,并報告關注事項和可疑資料活動。
評估:必須對每個高風險資料處理活動進行資料保護影響評估。
5、檔案合規性
一旦企業走上合規之路,團隊可以專注于記錄合規工作。企業可以編輯隐私聲明和同意書的副本,資料清單和資料處理活動的注冊,書面政策和程式,教育訓練材料,内部公司資料傳輸協定和供應商合同。如果需要,企業可以指定一名資料保護官員并确定适當的歐盟監管機構。對于企業來說,對隐私計劃進行定期評估或審計以確定一切按計劃運作也非常有必要的。
十二:Salesforce對GDPR合規計劃關鍵要素的想法
在Salesforce,信任是其第一價值,沒有什麼比客戶取得成功和保護他們的資料更重要。 Salesforce是較早通過歐洲資料保護機構準許的合規保護其客戶資料的軟體公司。 Salesforce也是全球首批認證符合歐盟 - 美國隐私保護架構和瑞士 - 美國隐私保護架構的公司之一。
Salesforce歡迎GDPR,這是在整個歐盟流程化資料保護要求方面邁出的重要一步。 在GDPR的開發和準許過程中,Salesforce與歐洲立法者,歐盟資料保護機構和行業協會密切合作。Salesforce緻力于遵守GDPR為客戶提供服務。緻力于確定Salesforce的客戶在遵守GDPR的同時繼續使用服務。 與現有法律要求類似,遵守GDPR要求Salesforce與其客戶建立夥伴關系。
Salesforce擁有強大的安全和隐私程式,符合行業标準。 它們使其能夠遵守适用于Salesforce的各種資料保護法律和法規。服務基于保護客戶個人資料的管理,技術和實體安全措施,赢得了衆多安全相關認證。 對于一些服務,這些認證包括國際标準化組織(ISO)27001和27018标準,美國注冊會計師協會(AICPA)系統群組織控制(SOC)報告,支付卡行業資料安全标準(PCI) ,德國萊茵TÜV認證雲服務以及英國網絡基礎計劃。 服務還獲得了TRUSTe認證印章,表明隐私認證機構TRUSTe審查了隐私慣例,并證明了符合其認證标準。
此外,Salesforce為客戶提供強大的資料處理附錄,其中包含很少有軟體公司可以比對的強大隐私承諾。 本附錄包含資料傳輸架構,確定客戶可以依靠Salesforce具有限制力的公司規則,Salesforce的隐私保護證書或标準合同條款,允許個人資料合法地轉移到歐盟以外的Salesforce系統中。
最後,Salesforce為每項主要服務釋出信任與合規文檔。 該文檔描述了每種服務的體系結構,服務所獲得的與安全性和隐私相關的稽核和認證以及适用的管理,技術和實體控制。 該檔案還介紹了我們提供服務的基礎設施環境和實體材料。
我們來看一下Salesforce用來促進跨境資料傳輸的三種機制。(From:CRM日記本)
如需了解更多,歡迎通路怡海軟體官網 http://www.frensworkz.com/