Salesforce Trust


一般数据保护条例

2018 年 5 月 25 日开始实施

如何为 GDPR 做准备

2018 年 5 月 25 日,一部名为一般数据保护条例 (GDPR) 的新隐私法将在欧盟 (EU) 正式实施。GDPR 扩大欧盟个人的隐私权,并为销售、跟踪或处理欧盟个人数据的所有组织规定新义务。通过强大的隐私和安全保护措施,Salesforce 致力于帮助我们的客户遵守 GDPR。

我是一名 Salesforce 客户 - 我如何为 GDPR 做准备? 
在 GDPR 主页上,查找您需要了解为此法律做准备的一切信息。

了解更多

GDPR 概况

什么是 GDPR?

GDPR 是欧盟新颁布的一部数据保护通法,是对现行法律的更新和补充,以依据技术快速发展、全球化加剧和更复杂的国际个人数据流,加强对个人数据的保护。这部法律通过一套规则取代现行拼凑的国家数据保护法,并在每个欧盟成员国具有直接效力。

GDPR 监管的处理活动包括有关欧盟各成员国的个人数据“收集、存储、转移或使用”。任何处理欧盟个人数据(含跟踪在线活动)的组织均在法律的管辖范围内,不论该组织在欧盟是否拥有实体存在。重要的是,在 GDPR 的框架下,个人数据是一个广义概念,并涵盖与识别或可识别个人相关的任何信息(也称为“数据主体”)。

鉴于这部新法律的实施,我需要采取哪些安全措施?

组织必须使用适当的技术和组织安全措施,以避免未经授权地处理和意外披露、访问、丢失、破坏或修改个人数据。根据特定使用案例和处理的个人数据,建议使用数据隔离、加密、假名和匿名;在一些必要情况下,帮助保护个人数据。

以下是为组织提供的一些个人数据保护措施建议:

  • 加密:虽然并非必需措施,但法律鼓励将加密视为一种有效方式,以帮助确保个人数据的安全性和机密性。
  • 假名:GDPR 鼓励组织将假名用作一种基于风险的措施,以保护数据安全和个人权利。
  • 匿名:比假名更进一步,匿名数据是保护个人数据的最安全的方式。为成为真正匿名,无法通过任何进一步处理或将数据与其他信息合并,从数据中识别任何个人。
  • 问责制:GDPR 规定,数据控制商负责采取措施,以确保其所控制的个人数据依照 GDPR 原则进行处理。这包括指派数据保护官、强制处理商履行合同义务,并使用“从设计着手保护隐私”和“默认保护隐私”原则。此外,数据控制商必须能够证明合规性,包括通过保留处理活动记录和执行隐私影响评估。

     重要的是,请注意,根据 GDPR,数据控制商必须尽快向数据保护机构报告任何数据泄露,且不迟于发现泄露后的 72 小时,除非泄露不可能对数据主体造成任何损失。如果存在高损失风险,数据控制商必须尽快向数据主体报告数据泄露。数据处理商也必须尽快通知数据控制商发生数据泄露。
 
Trailhead

欧盟隐私法基本概况

了解更多