Salesforce 仍然致力於透過穩固的隱私權及安全保護,協助我們的客戶遵守 GDPR。2018 年 5 月 25 日頒布的一般資料保護規範 (GDPR) 隱私法擴大歐盟 (EU) 的個人隱私權,並對所有行銷、追蹤或處理歐盟個人資料的組織規定新的義務。
GDPR 是什麼?
GDPR 是歐盟一項全面性的資料保護法,鑒於快速的技術發展、日益全球化和更複雜的個人資料國際流動,更新現有法律以強化對個人資料的保護。其使用一套可直接在歐盟成員國強制執行的規則,取代現行拼湊而成的國家資料保護法。
GDPR 對歐盟個人資料的處理 (包含收集、儲存、轉移和使用) 進行管理。任何處理歐盟個人資料 (包含追蹤線上活動) 的組織都在法律範圍內,無論該組織在歐盟是否存在實體。請注意,根據 GDPR,「個人資料」的概念廣泛並涵蓋任何已識別或可識別個人 (也稱為「資料主體」) 的相關資訊。
安全措施和報告需求
組織必須使用適當的技術和組織安全措施,保護個人資料免受未經授權的處理和意外披露、存取、遺失、破壞或竄改。根據特定使用個案和處理的個人資料,我們建議在某些需要的情況下使用資料隔離、加密、假名化和匿名化以協助保護個人資料。
值得注意的是,根據 GDPR,資料控制者必須盡快向其資料保護機構報告任何資料外洩事件,並且不得遲於發現外洩事件後的 72 小時,除非外洩事件不太可能對資料主體造成任何損害。若存在高度的損害風險,資料控制者必須盡快向資料主體報告資料外洩事件。資料處理者也必須盡快通知資料控制者外洩事件。
作為 GDPR 的結果,我需要採取哪些安全措施?
加密
雖然不是必要措施,但法律鼓勵加密作為協助確保個人資料安全性和機密性的有效方式。
假名化
GDPR 鼓勵組織使用假名作為風險基礎措施,保護資料安全性及個人權利。
匿名化
與假名化相比,匿名化資料是保護個人資料最安全的方法。若要視為真正的匿名,必須不被任何個人透過進一步處理或透過結合資料與其他資訊來從資料中識別身分。
責任歸屬
根據 GDPR,資料控制者負責實施措施以確保其控制的個人資料按照 GDPR 的原則進行處理。這包含任命一名資料保護長,對處理者推行契約義務並使用「隱私納入設計」和「設計由隱私出發」原則。 此外,資料控制者必須能夠證明合規性,包含保留處理活動的記錄和實施隱私權影響評估。
歐盟 Trailhead:瞭解 GDPR 以及如何遵守
修習歐盟隱私法基本概念單元以瞭解 GDPR 的關鍵原則和如何實施 GDPR 合規性計畫。
美國 Trailhead:瞭解美國隱私法以及如何遵守
修習美國隱私法基本概念單元以瞭解美國在醫療保健、財政和州法方面的隱私權保護。
加州消費者隱私保護法
加州消費者隱私保護法 (CCPA) 是一項全面性的隱私法,在 2020 年 1 月 1 日生效。雖然我們相信聯邦隱私權法有其必要性,可讓個人的隱私不會過於依賴郵遞區號,但我們歡迎 CCPA 作為在美國資料保護要求方面向前邁出的一步,並作為 Salesforce 繼續加強其對隱私權和資料保護承諾的機會。