GDPR正试图解决的问题:公司正在收集和滥用您的个人信息
自互联网诞生以来,公司一直在尽可能多地收集数据。收集这些信息很简单,所以他们没有理由不去囤积它。
问题是,在过去几年中,许多公司被发现未能保护或彻底滥用您的个人信息。Cambridge Analytica丑闻是研究人员利用Facebook测验收集数百万Facebook用户的大量数据,然后将其出售给咨询公司,这只是最近的一个例子。去年的Equifax黑客特别糟糕,因为泄露的信息可能被用来打开信用卡。这些只是大丑闻。很多公司都以较小的方式滥用您的数据,比如将其出售给第三方广告公司。
欧盟对局势采取了一种模糊的看法,并正在利用GDPR来试图纠正它。根据新的法律,那些没有充分保护消费者数据或以任何方式滥用消费者数据的公司将面临巨额罚款。
什么是个人数据?
GDPR保护“个人数据”,这里的意思是“与已识别或可识别的自然人有关的任何信息” - 这是一个相当广泛的定义。实际上,个人数据通常包括以下内容:
- 传记数据,例如您的姓名,地址,电话号码,社会安全号码等。
- 与您的外貌和行为有关的数据,如头发颜色,种族和身高。
- 有关您的教育和工作历史的信息,例如您的工资,大学学位,GPA,税号等。
- 任何医学或遗传数据。
- 诸如您的通话记录,私人消息或地理位置数据之类的内容。
这远不是一个完整的清单。关键是任何使您可识别的数据都很重要。在某些情况下,你的头发颜色可能就足够了。在其他人中,即使是你的全名 - 如果像罗伯特·史密斯这样常见的东西 - 可能也不会让你识别出来。
GDPR做什么?
GDPR为收集个人数据的欧盟居民提供了法律 - 第8条权利中的“数据主体”。他们是:
获得通知的权利:如果公司正在收集数据,他们需要告诉数据主体收集的内容,收集的内容,收集的内容,保留时间以及是否与之共享第三方。这些信息不能深埋在无人阅读的服务条款中; 它必须简洁明了。
访问权限:如果他们提出要求,任何拥有数据主体个人数据的组织必须在一个月内提供给他们。
纠正权:如果数据主体发现公司的数据不正确,他们可以要求更新。公司有一个月的时间来遵守。
擦除权:数据主体可以请求公司删除在某些情况下持有的任何数据。例如,如果不再需要数据,或者他们正在撤回对其使用的同意。
限制处理的权利:如果组织无法删除数据主体的数据 - 例如,因为他们需要法律案例 - 那么他们可以要求公司限制其使用方式。
数据可移植性的权利:数据主体有权从一个服务中获取其个人数据并将其与另一个服务一起使用。
反对的权利:如果数据是在未经同意的情况下收集的,而是为了合法的商业利益,为了公共利益,或由官方机构收集,数据主体可以反对。然后,组织必须停止处理数据,直到他们能够证明他们有正当理由这样做。
与自动化决策相关的权利,包括分析: GDPR实施保护措施,以便个人可以反对或获得有关影响他们及其数据的自动决策的解释。
法规的另一个重要部分是公司必须有合法的理由收集或处理任何数据。其中一个合法的理由是他们已经同意将其用于特定目的,但还有其他人喜欢他们需要遵守法律义务或者收集它符合公共利益。
正如您所看到的,根据法律赋予欧盟居民的权利相当广泛,并迫使从他们那里收集数据的公司真正考虑他们收集的内容和原因。过去收集他们所能做的一切并希望他们以后能够找到它的旧时代已经消失 - 至少在欧洲。这就是为什么您提供电子邮件地址的每项服务都与您联系。
很多公司都在大惊小怪的是,不符合GDPR标准的制裁非常严厉。根据法律,一个组织可被罚款高达2000万欧元,占其全球年营业额的4%(以较高者为准)。对于像亚马逊或谷歌这样的人来说,如果他们错误处理欧盟居民的数据,这将导致数十亿美元的潜在罚款。
GDPR对非欧洲人意味着什么?
在整篇文章中,我们一直关注GDPR赋予欧盟居民的权利,原因很简单,因为它是欧盟法律。它实际上不适用于其他国家的人。
但是,这并不意味着GDPR不会对您产生影响。这导致许多公司重新评估他们如何处理消费者数据,其中一些公司已经开始谈论将GDPR权利推广给非欧盟居民。对于公司来说,在许多情况下为所有客户强制执行一套规则也更为简单。