账户管理

账户管理 帮助

GDPR 对于我的业务而言意味着什么?

什么是 GDPR?

通用数据保护条例(GDPR)是欧盟(EU)的法律,着重于欧盟所有公民和居民的数据保护和隐私。 GDPR规定了公司(包括GoDaddy)如何处理欧盟中个人的个人数据。 GDPR于2018年5月25日生效。有关什么是GDPR以及GoDaddy如何符合GDPR的更多详细描述,请查看我们的隐私中心信息。

GoDaddy 不是一家法律公司

我们希望本文档可以为您提供 GDPR 是什么的概述和它对于您的意义,但是,GoDaddy 没有职责提供法律建议,而且这不是 GDPR 的综合指南。每个企业的状况都不相同,而且 GDPR 作为法律是非常复杂的。对于有关业务经营和 GDPR(和其他适用的隐私法律)可能会以何种方式影响它们的具体问题,我们强烈建议您咨询律师。

我们不是您的业务方面的专家

尽管我们希望能够为您提供明确的建议来告知您应该以何种方式处理符合 GDPR 要求的问题,这无论如何都是不可能的。每个企业的经营方式都不同,它们各自拥有不同的政策、协议、员工、位置等。因此,我们希望提供 GoDaddy 对 GDPR 看法的概述,但在条例方面有一些细微差别,我们已经在文档中为您做了重点介绍,您需要根据自身的特定情况自行评估。

是什么让 GDPR 与众不同?

GDPR 并非与世界上的其他隐私法律完全不同。使 GDPR 格外备受瞩目的原因是,它涉及欧盟以外世界各地任何处理关于欧盟个人的个人数据的企业,并且,它会对不符合要求的企业处以高额罚金(高达 2 千万欧元或 4% 的全球年收入)。因此,国家/地区越多,罚款金额越高,范围越广,就表示媒体报道越多。这并不代表没有任何区别 - GDPR 的确要求受影响的公司为其客户提供某些权利(例如,“被遗忘权”和“数据可移植性权利”),并实施某些企业合规措施。

我的业务会受影响吗?

出于某些原因,您的业务可能会受到影响。出售商品或服务时,如果您的业务位于欧洲经济区 (EEA) 内,或您与欧洲经济区内的客户开展业务,请继续阅读。如果您不在欧洲经济区内开展业务,或您的目标是欧盟的个人,您很可能不受影响(在此重申,请联系您自己的法律顾问进行确认)。

我的 GoDaddy 产品和服务是否符合 GDPR 的要求?

没有产品或服务是独自“符合 GDPR 要求”的。但是,当针对您的特定业务需求正确配置,并与因特定业务(部分业务如下所述)需要而实施的其他措施、政策和流程结合使用时,可以以符合 GDPR 要求的方式使用它们。没人比您更了解您自己的业务。GoDaddy 希望提供工具和资源来帮助您的业务实现 GDPR 合规,并且我们始终为您服务,但是,我们无法确保您遵守任何适用于您业务的法律。

符合 GDPR 要求意味着什么?

GDPR 切实关注个人信息的隐私。简言之,即确保以适当的方式保护和使用客户的个人数据。在深入讨论细节之前,先了解下下面根据法律规定的几个关键定义,这些定义有助于我们定义各自责任,因为它们与处理个人数据有关:

  • 数据主体:提供个人数据的人。这可以是客户、员工或访问您网站的某人(如果您使用“cookie 和类似技术”收集有关他们的信息,则为后者)。
  • 数据控制者:确定处理个人数据的目的和方式的一方。
  • 数据处理者:代表数据控制者处理个人数据的一方。
  • 处理:对个人数据进行的任何操作或一系列操作,无论是否采用自动方式,例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用和传播披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁。
  • 个人数据:GDPR 仅适用于“个人数据”,即与可直接或间接识别(尤其是通过参考标识符)的可识别个人相关的任何信息。此定义提供了多种多样的个人标识符来构成个人数据,包括姓名、身份证号、位置数据或在线标识符,反映了技术变化和组织收集与用户有关的信息的方式。本质上,如果您使用某些数据来确定用户、客户或任何人的身份,那它就属于个人数据。

这些定义对我而言意味着什么?

在我们的关系中,有时候我们是数据控制者(我们为了向您出售产品和服务而从您那里收集数据,例如,姓名、地址、电子邮件、电话和信用卡信息),有时候我们是数据处理者,而您是数据控制者(例如,您出于自身的业务目的使用我们的托管服务,信息恰好传递到我们的服务器上,以便我们可以为您提供、管理和维护服务(详情如下))。

法律到底要求什么?

正式版本的 GDPR 有 261 页,包含 173 处事实陈述和 99 条条款,其内容(如所述)复杂、宽泛、不明确且有歧义(我们很幸运)。我们将只介绍其中几个关键原则:

  • 透明度

    您收集哪些数据以及如何使用它们?以易于阅读和简单易懂的方式向您的客户解释这个问题是任意隐私法律的重要原则,其中包括 GDPR。

    我们猜测您最近收到了很多封内容为“我们已经更新了隐私政策”的电子邮件,对吗?这不是巧合。GDPR 要求公司在如何收集和使用其客户的信息方面提供更大的透明度和清晰度(换句话说就是,在这方面更为用户着想)。隐私政策是您提供透明度的机制 - 用简单的语言清晰地向客户解释您如何收集和使用他们的个人数据,以及他们能以何种方式联系您或行使提供给他们的权利。

    GoDaddy 提供允许您将隐私政策并入网站的工具,并会在某些情况下提供模板供您使用。但是,由于我们不了解您如何经营业务,我们无法为您提供完全符合要求的隐私政策。

  • 客户控制和管理同意

    保持透明是一个好的开始,但是,但是如果您使用(或收集)除为客户提供商品或服务所必需的信息以外的其他信息,还必须确保为客户提供同意其他使用的选项,并向其提供之后撤销同意的控制权。

    有关这一问题最明显的例子是,使用收集的电子邮件地址或电话号码来与您的客户通信(通常,我们会从选择加入/选择退出此类通信/订阅的角度来考虑)。您的客户可能会在创建账户或从您那里购买产品或服务时提供此信息。但是,这还包括您通过俗称“cookie”的工具(以及像素、脚本等类似技术)收集有关访问您网站的个人的信息。您在访问网站时一定看到过“cookie 横幅”,并且,与隐私政策的使用相似,cookie 横幅允许更大的透明度。通过显示 cookie 横幅,个人可以了解网站使用哪些工具来收集有关他们的信息、接受或拒绝此类使用,和/或精确地控制可接受使用哪种 cookie。

    在 GDPR 下,必须授予您的客户同意此类收集(及后续使用)的权利,而正确提供同意的唯一方式是,您以易于理解、具体(到特定使用)和明确的方式提供行使同意权利的选项。不能使用预选中框、沉默或无作为来表示客户同意。例如,如果您网站上的复选框显示“我们将与第三方广告商共享您的数据”,您不能预选中复选框来选择使数据主体加入到处理数据中。EEA 的数据主体的复选框需要保持未选中状态,直到它们自愿选择加入或表示同意此类处理。

    最终,您需要确保客户可以行使对使用其个人数据、通信和同意(包括撤销同意的权利)的控制权。

  • 被遗忘权

    我们之前提到,GDPR 与世界上的其他隐私法律非常相似,而这项权利是 GDPR 特有的针对客户的权利。GDPR 为个人提供“被遗忘权”(法律规定的“删除权”)。这表示,当收集或处理数据的目的不再需要所收集的个人数据时,客户可以要求删除他们的个人数据(将其“遗忘”)。

    如果存在这一权利,您必须从系统中删除数据主体的个人数据(除非存在必须保留此类数据的正当业务或法律原因,例如,出于财政报表目标或合法的保留需要)。

    例如,如果客户决定停止与您开展业务,他们可能不再希望您保留之前收集和存储的有关他们的信息。虽然这一权利有一定的局限性(存在例外和复杂的细微差别),但是在适用情况下,在客户提出这一请求时,您必须考虑如何处理其请求以及您在这方面的能力。

    GoDaddy 就其本身而言,如前所述并按照数据处理附录,在您提出请求时,它会处理从您(数据控制者)那里收到的从我们的系统中删除您客户的信息的请求。

  • 数据可移植性权利

    数据可移植性权利是另一个 GDPR 特有的权利,它允许个人出于自身目的,在不同的服务中获取和重用其个人数据。此权利允许他们通过安全可靠的方式,将个人数据从一个 IT 环境轻松地移动、复制或转移到另一个 IT 环境,而不会影响其可用性。

    假设您是活动策划人。您的客户提供了他们的所有联系详情和相关的个人喜好,但是他们搬家了,并决定雇佣一个的活动策划人。在 EEA,他们应该能获得其个人数据的电子副本,以便轻松地与新的活动策划人建立联系。GoDaddy 在这里的作用是协助此类请求,达到您客户的个人数据存在于我们提供的产品或服务中,并能够将其从中导出给您的程度。

  • 从设计着手保护隐私

    从设计着手保护隐私(或默认情况下)在本质上意味着,当您获取、处理、存储或使用个人数据时,考虑和包含了必要的保护措施 - 没有特殊考虑,无需其他步骤,以安全(即加密)的方式仅收集、接收最起码的必要数据,将其存储在安全位置,且只有经过适当培训且具有有效需要的人员才能访问。这包括在将客户的个人数据发送给第三方之前,先确保第三方的保护措施准备到位。

    这在本质上与患者拜访医生的办公室是一样的。作为患者,您希望自己的健康记录、所作的笔记和收到的建议可以保持安全和机密状态。将同样类型的警惕扩展到数据主体,您的信息就安全了。

    对业务经营的任何检查都应包括如何在考虑到隐私的前提下使用 GoDaddy 的产品和服务。虽然我们希望能够配置自己的产品和服务来满足您的特定需要,但是至于对我们服务的使用是否符合适用的数据隐私和保护法,还需要您自行决定。

  • 数据泄露通知

    如果不幸发生个人数据泄露,公司有责任在发觉泄露后的 72 小时内通知其监管机构,不得无故拖延。有关如何披露和采取哪些措施的更多详细信息,请咨询您的律师。

我们该怎么办?

如前所述,在绝大多数时间里,GoDaddy 都是您的数据处理者。我们将严格按照要求代表您处理数据,提供您从我们这里购买的服务,除非另有指示。以收集数据的方式使用我们的服务,以便您可以出售您的产品或收集预约信息或销售机会?没问题。我们将确保代表您以安全和有保障的方式处理数据。

作为数据控制者,您控制数据的使用和存储方式,我们将仅按照我们数据处理附录代表您提供和维护服务的。这意味着您需要密切注意您的内部策略和员工对记录的访问,包括您如何与第三方共享数据以及某人可以如何轻松地访问数据主体的信息。

从上述要点可以看出,GDPR(和其他隐私法律)都是关于确保使我们收集并用于成功开展业务的数据得到正确地保护。