GDPR法規主要面向了三個主體,用戶(Individual),數據所有者(Data Controller)以及數據傳輸者(Data Processor)。
首先對於用戶,GDPR在法律層面上賦予了其很多權利,主要包括:
- 知情權:主要指數據所有者(Data Controller)必須明確告知用戶其收集個人訊息的原因,用途,以及保存時效。如果個人訊息還將分享給第三方,必須明確通知用戶相關情況並讓其決定是否同意向第三方發送數據。(license agreement一定要是opt-out的,不能使opt-in哦~)。
- 訪問和更正權:用戶有權訪問其提供的個人訊息,並進行修改。當用戶遞交訪問申請時(可以是口頭通知,也可以通過寫信的方式),數據所有者必須在一個月內對用戶申請作出反饋,並且在絕大多數情況下不能對該訪問申請收費。
- 刪除權:又名「the right to be forgotten」。即用戶有權要求數據所有者刪除其之前提供的個人訊息。特別需要注意,如果用戶的訊息已經被數據所有者透露給第三方,或者在互聯網進行了公開發布,那麼當用戶行使刪除權時,數據所有者必須通知所有擁有該用戶數據的第三方一併刪除,包括互聯網上的相應連接以及數據拷貝等。
相對應的,GDPR對於用戶有多少保護許可權,就對數據所有者和數據傳輸者提出了多少要求。在GDPR概念下,數據所有者指的是定義收集個人訊息需求的組織或個人。數據傳輸者指的是代表數據所有者去收集個人訊息的組織或個人。
舉個例子,律師事務所會收集很多其當事人的個人資料並保存在微軟Office 365中的SharePoint站點當中。這裡面律師事務所就是數據所有者,而律師事務所和微軟共同成為了數據傳輸者。(因為當事人的訊息是律師收集整理記錄的,微軟主要是負責數據存儲,兩者合在一起才組成了完整的數據傳輸者。)
對於數據所有者,其主要責任包括必須證明其是在GDPR規定範圍內進行個人訊息收集的,即合法,真實,透明,精準,最小限度的做了收集個人訊息的工作。同時還需證明其盡了最大努力的對收集到的個人訊息進行了保護,包括制定了嚴格的數據管理方案,數據保護計劃,以及危機應對辦法等。
對於數據傳輸者來說,其必須證明是在數據所有者規定的範圍能進數據的收集,傳輸,存儲以及管理等要求。必須按照數據所有者的要求,證明其盡到了數據保護責任。
總的來說,對於GDPR的合規,絕不是IT部門一個單位的事。相反,管理層制定的各種政策才是保證合規的關鍵所在。如果作為數據所有者的管理層在收集個人訊息的政策上就已違規,那麼無論IT部門如何努力,也是無法達到GDPR相關要求的。