GDPR檢查清單：不可不知的七件事

GDPR將於今年5月25日生效。此後，未完全符合GDPR的企業可能會面臨罰款和法律訴訟。繼本周Adjust發布了《史上最強的數據保護條例GDPR來啦！》之後，很多朋友在微信上留言，希望了解自己以及第三方服務提供商是否符合GDPR的標準。為此我們編寫了一個檢查清單，大家對號入座哦！

數據儲存類型

是否和用戶或合作方簽署了數據處理協議

是否為用戶提供退出選項

伺服器或雲服務位置

是否有符合GDPR的安全證書或隱私證書

是否建立刪除政策、活動處理記錄和技術組織措施

是否設有數據隱私保護專員

01

您的伺服器或雲服務位於何處

GDPR對數據存儲的地理位置作了明確的要求。原則很簡單：如果您存儲的是歐盟居民的個人數據，那麼您的伺服器就必須位於歐洲。這就意味著數據不能發送到歐盟以外的伺服器（例如美國）。法規也同樣適用於雲服務，即必須在歐洲設有硬體來存儲歐盟公民的數據。舉個栗子，Adjust用於存儲歐洲客戶數據的伺服器均位於歐洲——準確的說，在法蘭克福和阿姆斯特丹。

2

數據存儲類型

GDPR規定了存儲數據的類型。只有為提供完整服務所必需的數據才允許被收集。原則就是「數據最小化」（GDPR第5c條）。如果您對此不確定，請詢問您的服務提供商。了解他們存儲個人數據的類型以及獲得這些數據的原因。最後，您需要將這些信息反饋給潛在用戶，並給予他們可以退出、不啟用該類跟蹤的選項。

Adjust使用的數據主要是移動ID（如IDFA、IDFV、Android-ID和 Windows-ID等）。哈希指紋（hashed fingerprint ）是由IP地址、來自用戶UA的數據（如操作系統、操作系統版本等）和應用版本等生成的hash。所有數據將於6小時後被刪除。

3

是否有符合GDPR的安全證書或隱私證書

隱私認證和法規有很多種，含義也有所不同。有的服務提供商可能會獲取一些自認證徽章來展示其數據保護級別，但這並不代表他們符合數據保護法規。GDPR是適用於每個歐盟成員國的實用法規。每個服務提供商都應經過歐盟認證，而不僅僅是所謂自認證機構(如US-Privacy Shield）的認證。

在此，Adjust經過嚴格的法律和技術審計，已經成功的獲得ePrivacy認證，並符合最嚴格的歐盟數據保護法規。

4

是否和用戶和合作方簽署了數據處理協議

根據GDPR第28條第4款，任何公司在使用任何用戶數據和與服務提供商共享數據時都必須就數據收集、傳輸和使用簽署數據處理協議。Adjust已經與所有歐洲客戶簽訂了數據處理協議。

5

是否建立了刪除政策、活動記錄和技術組織措施

GDPR第17、30和32條要求的機制包括物理訪問控制，數據訪問控制，數據使用控制，分離原則，假名化（Pseudonymization），數據傳輸控制，准入控制，可用性控制，快速恢復能力，數據保護管理，事故響應管理，默認隱私設置和合同控制等。

6

是否為用戶提供退出選項

營銷人員可能會對GDPR第6 1f) 條有異議。根據該條款，如果出於合法目的，在處理個人數據時不必徵求用戶的同意。直接營銷可被認定為合法目的——線上營銷與直接營銷沒有明顯的區別，因此也應被看作是合法目的（尤其是在一切都發生在互聯網上的今天）。

在任何情況下，必須給所有用戶提供可以不被跟蹤的選項，以及給予他們將其數據從您的資料庫中刪除的權利（後者就是GDPR第17條中所指出的「被遺忘權」）。例如Adjust的選擇退出頁面。您必須提供類似的退出機制，否則就違反了歐盟隱私法規。

7

是否設有數據隱私保護官

自今年5月起，所有數據使用公司都必須僱傭專門的數據隱私保護官來監督GDPR的執行（根據GDPR第37條）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！