主页 一般数据保护条例 (GDPR)

一般数据保护条例 (GDPR)

A 部分:概述

适用性

本文件是 GDPR 合规政策的当前运行版本,自 2018 年 5 月 25 日起生效,适用于由以下实体组成的 TechVersions 的活动。

TechVersions,一家技术出版公司,地址:8000 Towers Crescent Drive, 13th Floor Vienna, VA 22182

介绍

TechVersions 的核心活动是通过从目标市场产生有效的销售线索,为客户营销 B2B 产品提供支持。

潜在客户开发是通过智能市场研究收集相关数据来确定企业通过不同渠道的可靠购买意图,包括通过业务合作伙伴在社交媒体营销、网络营销、电子邮件营销和电话营销中使用相关技术。

在这些活动的过程中,TechVersions 充当中介,为 B2B 营销链增加价值。活动信息由客户提供,经过微调并转换为活动材料,分发到潜在的市场空间。

通过在相关媒体上投放活动材料来向最终目标客户进行分发是通过产生潜在客户的外部发布商完成的。部分销售线索是通过内部发布活动以及使用 TechVersions 研发团队开发的创新企业意图营销工具产生的。

发布商产生的潜在客户经过智能过滤,以提高其质量,并在传递给客户之前转化为可操作的营销目标。

TechVersions 开发了专有产品、流程和信息生成系统,其中包括开发可靠的供应商和训练有素的人力资源,这些共同反映了 TechVersions 为全球 B2B 营销生态系统带来的价值主张。维持和培养这种专业知识并将其用于利用商业机会代表了 TechVersions 的合法利益。

TechVersions 采用的《GDPR 合规准则》声明 TechVersions 致力于在全球范围内践行“隐私是民主社会公民的一项基本权利”的理念,并真诚地执行 GDPR 规定的所有隐私原则。适用的。

然而,TechVersions 透露,作为 B2B 市场中介机构在全球范围内开展合法业务运营是其合法利益,并且在不与第三方权利发生冲突的情况下善意开展业务是 TechVersions 的民主权利。其隐私寻求受到 GDPR 保护的自然人。

TechVersions 还透露,其业务模式要求仅收集 GDPR 范围之外的业务实体的数据和业务联系人数据,这些数据不是个人数据,但可能包含部分个人身份信息,但不包括儿童和儿童的个人数据。根据 GDPR 被归类为“特殊类别”的个人数据。

GDPR 曝光

TechVersionsGroup 基本上是一家“B2B 营销中介机构”,在全球范围内开展业务,产生营销线索并为许多国家的客户提供服务。 TechVersions 不在消费市场运营,因此不会直接或间接收集欧盟数据主体的个人信息。 TechVersions 收集的数据通常属于公司员工的业务联系数据类别,其中尤其包含姓名、工作电子邮件和工作电话号码。

部分 B2B 营销线索是在欧盟国家和英国产生的。一些位于欧盟/英国的客户也可以利用 TechVersions 的服务。目前,与客户的大部分互动是在美国,与潜在客户开发业务合作伙伴的大部分互动是在印度。

因此,当从在欧盟/英国地区运营的商业组织收集业务联系数据时,即可识别 TechVersions 的 GDPR 风险。

GDPR 合规性方法

为了能够对存在 GDPR 合规风险的数据处理应用尽可能严格的规范,TechVersions 采用了一项政策,通过标记 GDPR 敏感数据 (GSD) 来将其视为流经 TechVersions 资源的“敏感数据”带有合适标签的传入数据,在适用的情况下将其分类为 GSD。

数据主体的隐私保护和与 GSD 标记数据的隐私保护相关的信息安全被纳入支持结构的设计中。

尽管数据在特定地点进行处理,并且用于处理 GSD 的技术基础设施也位于此类特定地点,但企业级 GDPR 意识已经形成并将继续追求,以便本 GDPR 行为准则的原则渗透到整个组织。 GSD 处理之外的组织包括营销、财务和管理职能,这些职能可能位于不同地点,拥有自己的技术和管理基础设施。

为了有效落实整个数据处理基础设施的安全,公司采用了全面的信息安全策略,包括数据访问、处理存储、传输等多个子策略。

隐私承诺

TechVersions 认识到“隐私”是公民社会的一项重要民主权利。作为一个负责任的企业实体,TechVersions 致力于保护所有个人数据进入企业数据存储库进行处理的自然人的隐私。

鉴于客户在欧盟/英国的存在以及对居住在欧盟/英国的公司员工活动的监控,TechVersions 选择采用 GDPR 合规标准来保护可能与集团互动的全自然人的隐私即使这种互动仅以不同业务实体的员工的身份进行,以追求各自业务组织的业务目标。

合法权益

TechVersions 的核心活动涉及处理与购买供企业使用的不同产品相关的数据。活动范围包括收集、聚合、分析、细分和意图监控。在此类处理过程中,TechVersions 为从业务环境中收集的原始数据增加价值,并将其转换为增值业务决策辅助信息。

收集的原始数据被视为属于数据主体的数据,并且适用数据主体在 GDPR 下的权利。在此过程中产生的数据增值源自 TechVersions 的专有数据处理能力,TechVersions 对此拥有一定程度的知识产权主张。

如果任何数据已被假名化,则增值假名化数据应被视为 TechVersions 有合法权益用于进一步研究的数据。非假名数据即使处于增值状态,也需行使数据主体的访问、更正、限制、可移植和删除等权利。假名数据(如果有)不会被归类为 GDPR 敏感数据。

TechVersions 拥有欧盟 GDPR 法规第 6(1)(f) 条所认可的合法商业利益,在收集和处理商业相关数据(例如商业实体决策官员的企业信息和业务联系数据)方面

此外,TechVersions 的业务涉及欧盟国家境内和境外的运营,因此需要遵守不同国家与数据处理相关的法定义务以及适用于一般业务和特别是 IT 相关活动的其他法律,如第 6 条所设想的那样欧盟 GDPR 法规 (1)(c)。

此外,TechVersions 还采用了合法处理的商业惯例,纳入了第 6 条中阐述的欧盟 GDPR 原则,包括在需要时获得知情的明确同意,并遵守与数据主体的合同义务的要求(如果有)。

因此,TechVersions 的隐私和数据保护政策采用了特定的隐私和信息安全控制措施,解决了在数据起源和进入 TechVersions 系统阶段识别 GDPR 敏感数据并在其整个处理生命周期中对其进行标记的问题。

将合规范围扩大到数据处理生态系统

此外,根据欧盟 GDPR 阐明的保护个人基本隐私权的立法意图,维持适当的技术和组织/行政控制,以确保所有可能有权访问 GDPR 敏感数据并代表其进行处理的下游业务伙伴TechVersions 也符合 GDPR 标准。

TechVersions 认识到,在其大部分运营中,它不是“数据控制者”,而是 GDPR 意义上的“数据处理者”。当它使用分包商的服务进行其处理的任何部分时,它可以承担“联合控制者”的角色。

考虑到这些角色,TechVersions 的政策和控制措施旨在确保 GDPR 合规性,包括维护适当的技术和组织/行政控制措施,以及时了解其业务合作伙伴的 GDPR 合规活动,并与他们分享 TechVersions 自己的 GDPR 合规性采取必要的措施。

本文档的局限性

以下段落提供了 TechVersions 在公司层面遵守 GDPR 的总体政策,重点介绍了 TechVersions 在其运营中实现令人满意的 GDPR 原则合规水平的方法。

本政策文件旨在与利益相关者(包括 TechVersions 之外的业务实体)进行有限共享,因此排除了对于保护组织知识产权至关重要的处理专有信息。

任何披露超出此处所述信息的请求都将根据 TechVersions 的数据披露政策进行处理,并且此类请求可以通过不可信的经过身份验证的电子邮件直接发送给隐私管理器。

B 部分:具体政策纲要

  1. 分配的责任

TechVersions 已指定一名隐私经理,作为处理所有数据主体请求和投诉的联系人。考虑到 TechVersions 目前 GDPR 敏感数据的风险暴露水平,我们认为 TechVersions 的核心活动不涉及对欧盟数据主体的大规模和系统性监控,也不涉及向欧盟个人提供任何服务,因此存在没有按照 GDPR 的设想指定“数据保护官”的要求。

信息安全治理委员会 (ISGC) 将全面负责信息安全,包括 GDPR 合规性。它将成为 TechVersions 的最高决策机构,负责制定包括 GDPR 政策在内的所有信息安全政策,并将监督适时指定任何人或顾问作为数据保护官的需要。

  1. 数据分类

TechVersions 不参与向任何自然人进行营销,因此通常不会根据 GDPR 的监管规定收集个人身份数据。但是,如果已知业务部门或员工位于欧盟/英国,则所有潜在可识别个人数据(例如组织员工的电子邮件地址和电话号码)均被归类为“GDPR 敏感数据”。

因此,与欧盟/英国物理位置地址相关的整个业务联系人数据集被识别为 GDPR 敏感数据 (GSD),并在组织内的进一步处理过程中进行标记。

在缺乏数据主体的物理位置信息的情况下,相关业务组织的物理位置将被视为相关。

  1. 数据审核

2018 年 5 月 25 日之前一次,此后每月一次或按照 ISGC 的其他规定,将验证存储的数据集,以找到任何 GSD 并验证与其相关的合规性要求,例如数据是否需要存档、删除或以其他方式特殊处理安全。

任何未附有适当“同意”或“合法权益说明”的 GSD 数据集将被建议删除。
确认后,此类数据将被删除。

  1. GDPR 影响评估

已在 2018 年 5 月 25 日之前进行了 GDPR 差距评估,并已按要求实施了纠正措施。2018 年 5 月 25 日之后,每当开展重大新项目且 ISGC 确定了以下问题时,都将进行数据保护影响评估 (DPIA):必要性。

  1. 新业务受理政策

2018 年 5 月 25 日或之后,涉及数据处理的全新业务承诺将须经 ISGC 批准,并由 DPO 与负责处理的技术团队协商提交具体的 GDPR 影响评估说明。

  1. GSD 数据存储政策

GSD 应存储在仅由指定人员在严格的“需要知道的基础上”访问的系统中。

每个 GSD 集均应标有其来源的数据控制者以及负责根据同意或合同收集数据的数据控制者。

与该数据集相关的任何特定限制也应与该数据集一起标记。

数据存储应能够定位和处理单个数据集,以执行任何数据主体的权利,例如在其生命周期内的任何时间请求数据纠正、数据可移植、数据删除或数据访问。

  1. GSD 数据访问政策

GSD 应根据访问控制策略进行访问,该策略确保每个 GSD 数据集应具有特定的访问参数,该参数定义谁可以访问数据以及他们如何访问数据。只有那些被指定为 GSD 员工的人才有权访问 GSD 数据集。

访问参数(例如密码)的使用应根据需要定义一定程度的复杂性和唯一性,并补充加密和机器 ID 标签,以便只能从分配给授权 GSD 员工的特定硬件访问 GSD 数据。

如果数据存储在云端,则只能使用符合 GDPR 的云服务以及可能需要的附加控制措施,以确保存储和传输的数据免受未经授权的访问。

项目特定的 GSD 的存储方式应确保只有与给定项目相关的员工才能访问数据。应根据需要对跨项目访问进行监管。

  1. GSD 数据保留政策

GSD 应仅在处理所需的最短期限内保留在活动过程环境中。此后,数据应根据合法权益下确定的要求安全存档,例如直到项目计费周期完成。

随后,数据应根据公司确定的合法利益要求继续安全存档或销毁。

应每月对存档数据进行审查,以确定不再需要的数据,并将其提交给 ISGC 以获得处置指示。

由于任何重叠立法而可能产生的数据保留法律义务应纳入合法利益评估。

  1. GSD 数据披露政策

任何披露 GSD 的请求通常只能从源数据控制者处收到。

人们认识到,直接从数据主体收到的请求存在网络钓鱼风险,此类请求(如果有)应提交给根据双方之间可能存在的同意或合同从数据主体收集数据的相应数据控制者。

要披露的数据仅应发送给数据控制者,以便在正确验证提出请求的数据控制者代表的身份后继续传输给数据主体。

在需要直接向数据主体或其授权代表或执法机构披露数据的特殊情况下,应确保对提出请求者的身份进行充分验证。

所有数据披露请求均应在数据发布前获得 ISGC 的批准,并且该请求以及评估文件应被视为所需的 GDPR 合规文件。

  1. GSD 数据事件管理政策

本准则下的“事件”是指任何有可能表明 GSD 合规准则或其下的任何政策或程序已被违反的观察结果,无论是否怀疑有任何数据受到损害。

举报人政策可用于确保公司内部或外部的任何观察员及时报告事件。

TechVersions 获知的任何此类事件均应记录在 GSD 事件管理登记册中,并提交给 DPO 立即采取行动。

DPO 应审查事件报告并立即采取措施解决事件并向 ISGC 报告事件。

ISGC 将迅速召开会议并对事件进行评估,以确定是否涉及任何可疑的数据泄露。如有必要,ISGC 可能会下令立即进行技术法律审核,以对事件进行风险评估。根据风险评估,ISGC 应决定是否需要采取进一步行动,包括向与数据相关的数据控制者发送数据泄露通知。

GSD 被组织的另一名员工访问的事件被视为安全事件,而不一定是“违规”。然而,此类事件应调查未经授权访问的原因,如果是无意的意外访问,则可以根据人力资源政策通过适当的内部纪律处分来解决。如果数据尚未移出或被外部人员访问,则该事件可能被归类为内部数据事故,不构成泄露。

如果已知访问或移出的数据采用加密形式,并且处于接收者无法破译的状态,则在对相关解密密钥的安全性进行适当的内部调查后,该访问可能会被分类作为内部数据事故,不构成违规。

  1. GSD 数据泄露通知政策

“数据泄露”事件是指 TechVersions 经过必要的调查后得知,对 GSD 下任何特定数据集的访问已被泄露,并且外部实体已访问或发送 GSD 集。

此类数据泄露事件应立即报告给 ISGC,ISGC 应立即通知与数据集相关的数据控制者以及事件的相关细节。

此类报告应具体说明违规的性质和程度、违规的时间和日期、受影响的数据主体的详细信息、发现违规后采取的行动等。如有必要,还可以将数据泄露报告给监督机构。

  1. GSD 数据主体的权利管理政策

TechVersions 数据处理系统在设计上融入了“隐私和安全”,以便能够遵守 GDPR 要求,特别是在 GDPR 规定的数据主体权利方面。

为了满足数据主体的这些权利,例如“访问”、“更正”、“删除”、“可移植性”和施加“限制”的权利,TechVersions 启用了其 GSD 存储和访问系统,以便属于指定数据主体的数据集可以被单独提取和处理。

因此,该系统的设计符合 GDPR 最严格的要求。

每当从数据主体收到行使此类权利的请求时,根据数据披露政策,首先验证该请求,然后如果从数据控制者收到数据,则将要求数据控制者确认数据披露。

通常,请求是通过与数据控制器通信来处理的,如果要移植,则将其返回给数据控制器。

在特殊情况下,TechVersions 必须在没有数据控制者合作的情况下处理数据主体的请求,我们将采取适当的预防措施来防止错误披露,因为因任何可能的错误披露而获得赔偿符合 TechVersions 的合法利益。

  1. GSD 数据传输政策

GSD数据通常可以通过应用程序接口(API)流入系统。对界面的访问是通过安全密码访问系统进行的,该系统增强了适当的第二因素身份验证,其中识别出重大的 GSD 风险。

数据传输以加密为基础,并接受涵盖已知漏洞的传输安全管理。

应用程序本身及其固有的存储和处理元素以及 API 通过适当的恶意软件和安全访问管理系统免受未经授权的访问和恶意攻击

如果 GSD 集也传输给客户或分包商,则通过 API 或加密电子邮件通过加密通信渠道管理传输。

  1. GSD 营销使用政策

当 TechVersions 通过电子邮件、电话或其他方式将 GSD 用于任何营销目的时,我们会注意确保有适当的同意或合同来实现此类通信。

TechVersions 还坚称,其合作伙伴(包括主导生产商、分包加工商和客户)除非获得可用许可,否则不会使用 GSD。

如果无法获得明确同意,则不会从潜在客户生成者处收集任何业务联系数据,也不会将其传递给客户或通过分包商进行处理。

此类数据在进入 TechVersions 系统时首先会被删除,并被识别为“未经适当处理同意的 GSD”。

  1. GSD 同意政策

仅当数据主体根据 GDPR 要求的格式提供明确同意时,才会接受因数据主体位于欧盟/英国或其雇主位于欧盟/英国而被分类为 GSD 的所有信息。

在 GDPR 之前的情况下,此类同意通常是根据个人数据处理原则收集的,其中包括隐私声明。此类隐私声明表明正在收集哪些信息、收集的目的、保留信息的时间、如何保护信息、信息是否准确、是否会转移出欧盟进行处理等,一些同意是基于“选择加入”原则作为默认设置。

根据 GDPR,必须仅在明确同意的基础上收集个人数据,其中“选择退出”是默认选项,并且只有在表明接受的平权行动的基础上,同意才会被接受。

此外,隐私声明还应表明数据主体拥有某些权利,例如“了解下游处理者身份的权利”、“访问和更正的权利”、“可移植和删除的权利”。

鉴于新要求,所有以 GDPR 之前格式获得的同意均应被视为无效,此类数据将被 TechVersions 丢弃。

为 TechVersions 生成潜在客户的外部发布商应通过合同确认,如果数据主体位于欧盟/英国,他们将仅提供通过新形式的同意生成的潜在客户。

  1. GSD 利益相关者沟通政策

TechVersions 通过许多外部组织运营,这些外部组织是 TechVersions GDPR 合规计划的利益相关者。此类组织包括其客户、潜在客户、分包商等。

为了有效合规,在与利益相关者的任何通信中不应交换 GSD 数据,除非通过安全传输且仅与授权代表交换。

虽然通过 API 的通信由访问策略控制,但通过电子邮件的任何其他通信应由电子邮件通信策略控制。

本质上,电子邮件通信政策应定义与利益相关者共享任何 GSD 或 GDPR 合规性信息只能通过通知的联系人电子邮件地址进行,该电子邮件地址在大多数情况下是其他组织的 DPO,必要时可以对电子邮件通信进行加密和身份验证带有数字签名。

  1. GSD 合法权益识别政策

TechVersions 认识到数据主体的某些权利(例如数据删除或数据纠正)可能与 TechVersions 的合法利益要求相冲突,或者可能与鉴于其他立法义务而适用于数据的数据保留法相冲突。

在实施数据主体权利的所有情况下,TechVersions 都会在采取进一步行动之前评估请求。如果 TechVersions 认为需要拒绝请求或修改请求以供接受,ISGC 将记录原因并制定 GSD 合法权益说明。

如果数据不需要处于活动状态,则可以安全地存档,直到合法权益到期为止。

行使合法利益论证来处理数据主体请求的理由应传达给负责数据主体的数据控制者,以便继续传输给数据主体。

  1. GSD 人员管理政策

GSD 在 TechVersions 保管期间将被视为在信息安全方面需要专门和特别关注的数据集。

因此,GSD 将由经过专门培训的员工根据需要进行适当标记和处理。

考虑到与 GSD 相关的风险级别,这些员工以及存储、访问和处理 GSD 的系统将得到安全管理。

进行此 GSD 处理的人员分配及其移除应通过适当的安全措施进行管理,包括更高级别的背景验证、培训、物理访问身份、制裁政策等。

根据需要,需要针对 GSD 劳动力适当升级人力资源政策。

  1. GSD 假名政策

人们认识到,假名化是一种降低 GSD 处理风险的策略。

如果假名化流程结构合理,则出于 GDPR 监管目的,假名化个人数据不被视为“个人数据”。

鉴于其运营目前面临 GDPR 风险的程度; TechVersions 认为目前没有必要使用假名作为风险缓解策略。

  1. GSD DRP-BCP 政策

TechVersions 认识到有效的灾难恢复和业务连续性计划对其运营(包括涉及 GSD 处理的运营)的重要性。

TechVersions 将保留足够的 GSD 数据备份,并在发生任何意外情况时保持业务连续性的合理能力。

  1. GSD 合规文档政策

GDPR 合规措施应记录在案,以便可供审查。合规文件自创建之日起应至少保留 6 年。

如果任何文件是执法要求或捍卫 TechVersions 合法利益的潜在证据,只要该要求仍然存在,此类文件就会被保留。

  1. GSD 审核政策

TechVersions 的内部安全审计团队应每年至少审计一次 TechVersions 的信息资产,以评估安全水平以及对 GDPR 和其他监管要求的合规性。

当业务状况发生重大变化时,可以根据 ISGC 的评估考虑进行外部审计。

TechVersions 保留对其任何分包商的设施进行审核的权利,以确保遵守合同义务。

然而,TechVersions 认识到审核分包商设施的授权只是授权,并且仅应在特殊情况下使用。这并不会减少分包商根据所提供的合同保证最终满足合规要求的责任。

  1. GSD 申诉补救政策

TechVersions 将提供多层次的申诉纠正政策,以纠正与任何数据主体之间的任何争议。此类申诉将由第一级的 DPO、第二级的 ISGC 以及董事会为此目的设立的第三级在线争议解决委员会处理。

来自 GDPR 监管机构的任何询问均应由 DPO 处理,并在需要时上报给 ISGC。

与客户、出版商或分包商之间的任何争议应根据各自的合同协议处理。

  1. 网络安全政策

为了确保公司使用的IT基础设施的安全,TechVersions应根据需要采用强大的信息安全策略,包括防火墙、入侵检测系统、恶意软件预防系统和系统补丁等。

指定的信息安全经理负责网络安全维护。

PS:本准则可能会不时修订。