英国成立的独立机构,以维护公众利益为目的的信息权利,促进公共机构的公开和个人的数据隐私。

什么是加工的合法基础?

GDPR是指处理个人数据的合法基础,与1998年《数据保护法》中处理个人数据的条件大致相似。

我处理个人数据的现有理由是否符合GDPR?

在许多情况下,处理数据的条件和基础都是相同的。然而,最好的做法是重新审视当前处理数据的方式,以确保应用了最合适的合法基础。

对于酒店业的一些组织来说,处理个人数据将涉及与第三方或分包商合作。例如,使用第三方预订系统。在这方面,最好的做法是审查这些安排,以确保所有利益攸关方了解他们在新立法下的义务。

GDPR是否会影响我向潜在客户提供服务的方式?

虽然与1998年的数据保护法案有相似之处,但现在有一个转变,即明确的平权行动正在被客户采取,以提供明确的同意。

这意味着之前可能使用过的预先打勾的方框不太可能符合GDPR的要求。人们现在必须选择参与你的营销活动,而不是选择退出。

你需要坦率并清楚地表达你处理个人数据的意图。要求个人不遗余力地寻找你的公平处理信息,或就你希望如何处理别人的数据提供一般或模糊的声明,不太可能符合GDPR。

这并不需要以牺牲网站或其他营销平台的功能性用户体验为代价。请参阅ICO的指南隐私通知,透明度和控制有关有效沟通您的隐私信息的更多信息。

我不确定我的组织目前保存数据的方式是否符合GDPR的要求

与之前的立法一样,《GDPR》没有规定不同类别的个人数据的特定保留期。

然而,GDPR的原则是,数据必须足够、相关,且保存时间不得超过处理数据的目的所需时间。

这意味着,作为数据控制器,您需要考虑您所持有的个人信息,并确定所申请的保留期限是否合适。

例如,无限期地保留客人的支付信息,以避免将来出现重复的业务,不太可能符合GDPR的要求。作为一个组织,您应该主动识别旧的、过时的个人数据,并安全地从您的系统中删除这些数据。

我不确定我的组织所采取的安全措施是否足够。如果我们被违约了怎么办?

GDPR包括促进问责制和治理的条款。这意味着您使用的操作系统和向员工提供的有关个人数据处理的培训都需要考虑,并在必要时进行更新,以符合GDPR的要求。

您的组织应该清楚其所持有的信息,存储在哪里,如何存储,以及与谁共享信息。

如果您的组织遭受数据泄露,GDPR要求在可能的情况下,在72小时内将此报告给ICO。预计你们的组织将制定预防和应对数据泄露的行动计划。

一个组织可以进一步保护个人数据的重要方法之一是实施数据保护影响评估(ddpia)。当处理数据的方式是新的或对信息有感知风险时,组织应该寻求实施DPIA。有关DPIAs的更多信息,请考虑我们的指导在这里