距离 GDPR 的生效日期 5 月 25 日还有不到一个月的时间,企业和机构仍在处理来自多个异构系统的大量个人身份信息 (PII),从 cookie 数据到设备标识符和 IP 地址。 -前提和云端。很可能你有 需要解决这些问题才能确定您的组织是数据控制者还是处理者。
什么是 PII 以及如何使用它?
R 在处理个人数据方面比 意大利 WhatsApp 号码列表 有的国 内数据保护法更为广泛。GDPR 第 2 款规定“通过自动化方式处理全部或部分个人数据,以及以非自动化方式处理构成记录系统一部分或被带入记录系统一部分的个人数据”。其中指出,它适用。
那么,我们如何定义个人信息呢?
根据第 4 款,个人(数据主体)有关的信息,特别是姓名、身份证号码、位置数据、在线标识符或身体、生理、遗传或精神,是指一个人可以通过参考经济、文化或社会身份的一个或多个因素直接或间接识别的人。”
这可能包括 IP 地址和 cookie 数据,并且随着 GDPR 引入了主题访问请求 (SAR)、被遗忘/删除权、数据概率等新概念,欧盟居民现在有权知道正在收集有关他们的哪些数据。 ,当 PII 无处不在时,从电子邮件和社交平台到 HR、HCM 和 CRM 系统,它会影响公司。
范围界定活动是第一步
缺乏对数据位置的认识也是一个问题。以英国连锁酒吧 Wetherspoon 为例,它删除了超过 500,000 封电子邮件营销数据库并重新开始,因为它觉得无法立即获得重新同意并妥善管理和保护其个人信息。
当时,该公司告诉Wired, “总的来说,我们认为最好不要保留我们客户的电子邮件地址。我们拥有的客户信息越少(现在几乎不存在),相关风险就越小有了数据。“做,”他说。
根据英国建筑公司 Ratcliffe Groves 的 IT 主管 Nick Ioanow 的说法,组织首先不仅需要弄清楚他们将谁标识为数据处理器或控制者,还需要弄清楚他们手头上已有哪些数据。“首先,你需要确定谁有权访问 PII 数据,你是管理员还是处理者。这也与数据的位置有关,例如基于云的电子邮件系统。其次是风险对数据和“您需要查看安全性并确定自动化处理。了解影响业务且比 GDPR 更重要的法律对于正确履行 GDPR 义务也至关重要。