2022.11.04
当欧盟 (EU) 在 5 月通过《通用数据保护条例》 ( GDPR ) 成为法律时,它让欧盟居民能够更好地控制所收集的个人信息及其使用方式。既然 GDPR 已经生效,组织处理数据的方式对每个人来说都发生了变化——包括活动组织者和活动应用程序用户。
理所当然地,许多全球企业都关心确保他们的努力和活动符合 GDPR。不遵守程序的处罚很严厉,您的组织可能会被处以2000 万欧元(2300 万美元)或年收入 4% 的罚款。那么,您可以做些什么来确保您的活动计划遵循 GDPR 最佳实践并避免罚款?
1.确保活动策划合规
无论您是在策划公司内部活动还是外部会议,您都需要确保您所做的一切都符合 GDPR。如果您从与会者那里收集个人信息,无论是在活动前注册期间、现场还是活动期间,这都会影响到您。特别是,您应该:
获得明确同意以任何方式收集和使用数据
让人们很容易撤回同意
命名将有权访问数据的任何第三方
表明同意是自由给予的
需要同意才能使用您的服务
这些只是前端的规定。
2.检查所有表格
查看您的所有表格,包括注册表和隐私声明,以确保它们符合 GDPR。此外,您还需要检查您的系统,以确保它们能够处理用户数据并且符合法律的具体规定。例如,您是否能够根据请求处理和验证删除个人全部数据记录的请求?
3.通过要求人们选择加入来获得同意
确保您清楚地解释如何使用个人数据,并为他们提供一条途径,让您同意使用该数据。
以前,除非有人特别要求退出,否则您可以假定您已获得许可。现在,您需要获得用户的明确许可才能以任何形式使用他们的数据。以下是一些有用的示例:
4.查看邮件列表
在向任何第三方提供任何数据之前,请确保您已获得参与者的明确同意。这包括使用您的邮件列表或与参与者共享联系信息。
如果您要购买邮寄名单,请确保向您提供邮寄名单的公司将向您提供同意证明,并在违反 GDPR 时向您提供赔偿。
5.小心过去收集的数据
不要仅仅因为您在 GDPR 5 月 25日的有效数据之前已经掌握了信息,就认为您可以开始了。您需要获得使用任何以前收集的数据的许可。最好的建议是将所有个人信息视为您没有获得许可,并在继续之前提出请求——并明确说明您将如何使用这些信息。
6.了解 GDPR 的关键条款
GDPR 不仅规范了数据的使用方式,还涵盖了用户访问其个人数据的权利。您是否准备好应要求提供该数据?除了同意条款之外,这只是您在处理数据时应考虑的关键条款之一:
其他 GDPR 规定
表格中清晰明了的语言
如果发生违规行为,必须在 72 小时内通知用户
用户有权知道谁在收集他们的数据以及这些数据的用途或处理目的
用户有权根据要求要求删除其数据(也称为“被遗忘的权利”)
“数据最小化”是指您只能将数据用于其预期和声明的目的
您必须有一名负责合规的数据保护官
即使您不是欧盟国家的公司或在欧盟开展业务,如果您处理任何欧盟居民的个人数据,这些规则仍然适用于您。如果您的活动允许国际宾客参加,则 GDPR 可能适用。如果您的活动注册网站允许欧盟访问者,那么这也适用于您。
7. 评估第三方
如果您与处理您的数据或履行某些功能(例如处理您的邮件或注册)的第三方供应商开展业务,您可能会认为您无需承担任何责任。但是,GDPR 对拥有数据的组织(称为数据控制者)和帮助管理数据的外部组织(数据处理者)施加“同等责任”。如果与您合作的第三方不合规,您可能需要承担责任。 确保与您合作的任何公司都将验证它们是否符合 GDPR。
最后
作为活动组织者或经理,您处于执行关键功能的最前沿,例如注册与会者以及管理活动前、活动中和活动后的沟通。至关重要的是,您和您的团队正在利用GDPR 的最佳实践,并且您正在与了解内外法规的供应商合作。