为什么美国and Other Non-European Companies Need to Comply with GDPR

By Anne Mitchell,律师,GDPR Compliance Consultant

上次更新时间:3月19日,二千零一十八
作为遵守GDPR(欧盟通用数据保护条例)的最后期限,欧盟以外的企业对他们需要做什么来遵守这些规定感到困惑,or whether they need to comply at all (they do).  In this article GDPR legal compliance expert attorney Anne P.Mitchell explains why companies in the U.S.而其他非欧盟国家则需要遵守这项在5月份生效的复杂而混乱的法规。

一般数据保护规定
Image source: Photospin.com

您可能听说欧盟的一般数据保护条例(简称GDPR)于5月25日生效,2018,但是,如果你和许多中小型企业一样,你可能认为如果你的企业不在欧盟,那就没什么好担心的了。

不幸的是,你错了。待决法规适用于在欧盟开展业务或从个人和组织收集数据的任何人。以下是法规涵盖的内容以及您需要关注(和遵守)的原因的概述。

什么是gdpr?

gdpr是通用数据保护法规的缩写。简单来说,the regulation is intended to give individuals in the EU more control of how their personal data is used by businesses and individuals.  When it goes into effect,它将应用于集合,processing,use of,公司保留和删除个人数据。It will replace the Data Protection Directive 95/46/EC.

What kind of personal data falls under the GDPR?

gdpr用非常广泛的笔触来描绘“个人数据”。它认为个人数据是与个人个人有关的任何信息,公共或职业生活。包括他们的姓名和地址等信息,电话号码,email address,金融账户,医疗信息,甚至他们的计算机IP地址.

即使贵公司在美国或其他非欧盟国家,为什么还要遵守GDPR?

尽管GDPR保护欧盟的个人,it will protect them from unwanted data usage from any source  inside or outside of the EU.  The GDPR specifically states that actions and fines can be leveled and levied against any business,任何地方,这被发现违反了GDPR。这意味着从5/25/18开始,如果发现您的业务(无论您位于何处)未正确处理gdpr涵盖的任何数据,你的企业可以(根据gdpr,将)受到法律诉讼,and fines of up to    20,000,000 EUR (nearly $28million USD as of the time of the writing of this article) or 4% of worldwide annual turnover (annual sales after sales taxes and discounts) of your company,whichever is greater.这就是为什么你应该质疑那些告诉你,如果你在美国或其他非欧盟国家,你不必担心遵守gdpr的人。

Can the EU enforce GDPR outside of the EU?

国际管辖权是一件非常复杂的事情。at base,管辖法要求受害方所在地或犯罪行为发生地的管辖权,还有犯罪方,有某种联系。换句话说,一般来说,for example,如果来自德国的玛丽在美国度假时被乔的车撞了,she would have a very hard time getting German courts to hear the case - she would almost certainly have to sue in the U.S.因为事故(她的受伤)发生在美国。by Joe driving his car in the U.S.

However,如果玛丽坐在德国,被乔骗了,乔(从他在纽约的位置)从玛丽的德国银行账户(总部设在德国)里取钱,没有美国。分支)你可以打赌德国会有兴趣追捕乔。

用这个例子,不难看出欧盟对违反GDPR的人有何兴趣,even if that someone is headquartered outside of the European Union.  GDPR and the agencies charged with enforcing it take breach of data privacy and data handling very seriously,如果你想一想所有可以用别人的个人资料做的坏事,who can blame them?

上述问题并不能完全回答“他们将如何执行?”,but it does show that they have both the law,以及意图,这样做,as we tell our clients,我们的工作是确保你不会最终成为一个测试用例。成为一个测试用例是非常昂贵的,耗时的,以及压力诱导,不仅仅是咬紧牙关,让gdpr兼容。

你能通过阻止欧盟访问者访问你的网站来避免GDPR的遵守吗?

许多公司认为,他们可以简单地避免整个事情,只接受来自欧盟以外的客户或客户。they can just use one method or another to determine whether someone is "in the Union" and thus whose personal data falls under the protection of GDPR.Some of the things that these companies propose are:

  • 拒绝来自(即阻止)IP地址位于欧盟内的任何人
  • 输入用户或客户确认他们不在欧盟或来自欧盟的服务条款
  • Asking people at the time of signup where they are from

这些计划和其他此类计划的问题在于它们将失败。第一个计划-识别欧盟内的人员并根据其IP地址的地理位置拒绝他们访问您的网站或服务-实际上被gdpr明确禁止。gdpr包含禁止“分析”,其中gdpr定义为“任何形式的个人数据自动处理,包括使用个人数据评估与自然人相关的某些个人方面,in particular to analyse or predict aspects concerning that natural person's performance at work,economic situation,health,个人偏好,interests,可靠性,的行为,位置或移动。”

And even if it were not prohibited by GDPR,人们总是使用虚拟专用网络来屏蔽他们的实际IP地址。这样,IP地址看起来就像是在美国。或者其他地方可能会掩盖某人基于欧盟的IP地址。

“但是安妮,”你问,“gdpr说‘任何形式的自动处理’,所以,如果我们只是问他们或者以某种方式手动获取这些信息,对吗?”

No,因为这会导致我们采取其他方法,试图通过排除欧盟成员国的任何人来绕过gdpr,但都会失败。

第一,people lie.  Or they simply don't tell the truth.  Or may not even know the exact truth.

第二,正如我们在文章中指出的那样如何和为什么遵守GDPR,GDPR hides the ball about exactly what is meant by "in the Union" and when you might get in trouble for using data acquired from someone that you thought wasn't in the EU during the time of acquisition.

例如,在gdpr的语言下,if Joe Smith who is a U.S.公民注册你的美国服务,or placing an order through your U.S.-based website - while on an airplane flying over an EU country - by the language of GDPR,Joe提供给您的数据由gdpr覆盖。

它也没有明确“在欧盟”是指“在数据采集时位于欧盟边界内的某个位置”,还是指锚定在欧盟(欧盟)内,such as where an email address or telephone number is anchored.  For example,我住在科罗拉多州,但是我的电话号码,从408开始,如果加利福尼亚州有类似于GDPR的法律,这足以让加州起诉一家拥有我个人资料的公司,including that California-anchored telephone number,即使那家公司本身不在加州。

也,gdpr有规定,在数据泄露的情况下,您必须做什么,它的书写方式,它涵盖所有个人数据,即使是你在GDPR生效之前收集的,如果这些数据是“工会”中某个人的个人数据。

而且,因为gdpr包括私人诉讼权,任何认为自己受到gdpr保护的受害个人,如果他们认为你没有按照gdpr的要求处理他们的个人数据,可以对你的公司提起诉讼。

如何遵守GDPR

下面简要概述了您需要做什么来遵守gdpr。包含gdpr的文件和解释它的预备语言将近100页。实际法规本身将近50页。因此,虽然这是一个简要的概述,it's important that your company actually drills down to make sure that you are in compliance.  In other words,consult an expert to review what you are doing and to help make sure that you are GDPR compliant.

要遵守GDPR,您必须:

  • 对您正在获取的个人数据获得充分的知情同意,以及你将要用到的任何用途。如果你两个都没有透露你打算用于该数据的特定用途,并得到了具体的使用许可,您不能将数据用于此目的。是的,that means that if you have a great idea for a way to use that data after you have initially acquired it,你不能这样做,除非你回到那个人那里,并得到他们使用的具体同意。

    For instance,假设你使用的是铅磁铁(即,something you giveaway for free) to attract people to your website.在GDPR下,你不能仅仅因为某人接受了你的赠品就把他添加到邮件列表中。你不仅要事先让他们知道,当他们要求你提供赠品时,他们会注册你的邮件列表,但你必须得到,and be able to prove,that they gave you fully informed consent for you to put their email address on that mailing list.

    注意,gdpr特别指出“沉默,因此,预先勾选的方框或不活动不应构成同意。Consent should cover all processing activities carried out for the same purpose or purposes.当处理有多个目的时,所有人都应该得到同意。”
  • 以高度安全的方式存储数据。
  • 允许其数据访问该数据的人访问该数据。
  • 确保其数据所在的人有一种方法可以轻松地将其数据从您的财产中移除(即完全删除)。确保他们知道怎么做。
  • 在数据泄露后72小时内通知相关部门。

也,because there is liability to any business that collects data (for example,收集电子邮件地址),然后将数据提供给不符合gdpr的数据处理器(例如电子邮件服务提供商或其他电子邮件营销服务),还必须用语言更新与各种服务提供商的所有第三方合同,以确认服务提供商是gdpr com。柔顺的,徳赢滚球并在服务提供商因违反GDPR而被违反或起诉时提供赔偿,because you are on the hook for having given that personal data to a non-compliant entity.  Some third-party service providers will push back on the indemnification part,but it's your assets on the line if they are sued and found to have not been GDPR-compliant.

尽管如此,现在应该很明显,遵守GDPR实际上要比试图绕过它简单得多。

事实上,we have not run into a company yet who is not already at least half-way compliant simply by virtue of their current practices.

Plus being able to say on your website that you are GDPR compliant is a positive thing for people to see,这会让他们在与你做生意时有一种安全感。

©2018年社会互联网公共政策研究所

安妮·P·P米切尔是社会互联网公共政策研究所的首席执行官。除了是美国第一批互联网法律和政策律师,以及唯一一位有关GDPR法律合规性的律师专家,她还是电子邮件交付能力手册的作者,and President of SuretyMail,电子邮件声誉认证提供商。有关GDPR合规性的更多信息或联系MS。米切尔请访问www.isipp.com.

跟我们一起分享

订阅我们的免费新闻稿
输入您的主要电子邮件地址

report this ad report this ad report this ad