标签: 欧盟

Benchmark 通过《瑞士–美国隐私保护盾》认证

Benchmark 通过《瑞士–美国隐私保护盾》认证

引领全球 • 2018.05.27

Benchmark 通过瑞士–美国隐私保护盾认证 2017 年年初,美国与瑞士政府同意签署《瑞士–美国隐私保护盾》。 这项架构对于个资处理事关重大,尤其是网络力量无远弗届,就算您没有瑞士客户,生意照样通往世界各地。 所谓小心驶得万年船,选择认证通过的营销工具因此更显重要,Benchmark 邮件行销通过《瑞士–美国隐私保护盾》认证。 何谓《瑞士–美国隐私保护盾》? 美、瑞政府同意认证通过的企业,便可处理事涉两国的用户个资。架构以欧盟的个资法规为依归,希望与其达成一致。 《瑞士–美国隐私保护盾》保障加倍 《瑞士–美国隐私保护盾》取代早先的《安全港原则》,提供完善保障,作法如下: ● 取得认证之企业更应善尽职责,保护客户个资,另应提供特定资讯以供当事人参考。 ● 美国商务部与瑞士立法官员将会齐力合作,深耕个资法规。 ● 取得认证之企业应当提供争议解决流程,包含当事人直接向企业申诉的管道,或将争议交付具有约束力的仲裁。 Benchmark 在乎您的隐私 如果您已针对个资保护、隐私议题做过相关功课,最近应该听过《通用资料保护规则》(GDPR)。 请参考 Benchmark 博客文章:详尽探讨 《通用资料保护规则》(GDPR)。


浏览更多
邮件营销策略如何适用《通用资料保护规则》(GDPR)

邮件营销策略如何适用《通用资料保护规则》(GDPR)

邮件学习园地 • 2018.05.06

通用资料保护规则 2018 年4月11日,我们举办了一场网络研讨会,探讨新版《通用资料保护规则》(GDPR)如何影响邮件营销的策略运用。 提醒您,GDPR 将于 2018 年 5 月 25 日生效,届时,您的邮件营销策略务必遵守新版 GDPR 。 编注:Benchmark 于研讨会中提供 GDPR 完整资讯,而本文仅为重点提示,并非正式法律意见,如需 GDPR 相关议题之建议,请进行洽询律师。 新版 GDPR 的目标为何? 新版 GDPR 的主要目的是让使用者能够为其个人资料做到最后把关。 新版 GDPR 有何好处? ⦁ 一个欧盟,一套法案:现行欧盟 28个会员国的个资章法各自为政,往后将由 GDPR 取而代之,公司行号从此将 GDPR 奉为圭臬,不用再分头应付。 ⦁ 单一窗口:企业只需应对单一监管机关,不用再分身乏术应付 28 国,与欧盟各国打交道简便许多,做生意成本也降低不少。 ⦁ 不管公司在哪一国成立,皆需一致遵守 GDPR:只要想与欧盟会员国做生意,不管是否为欧洲本土的公司,皆需遵守新版 GDPR 公司更严格的标准。随着法令改革,欧洲以外的公司在欧盟市场上提供商品或服务时,亦须遵守相同规则。这创造了一个齐头并进的竞争环境。 ⦁ 技术中立:《通用资料保护规则》确保技术革新能够在其规范下继续蓬勃发展。 处理个人资料的角色与限制 GDPR 规范「资料控管者」应尽之责任,所谓的资料控管者即是承担适用 GDPR 责任之一方。资料控管者决定处理个资之目的与方式有哪些。因此,资料控管者尚需确保其处理方式符合 GDPR 的规范。 假设资料控管者决定使用 Benchmark 营销邮件平台,他/她必须确保 Benchmark 提供的工具符合 GDPR 之标准,并且授予更正的权利、取得资料的权利、请求删除的权利。您或许知道,Benchmark 的「管理订阅」连结提供上述选项,但并未强制将连结显示在邮件页尾注脚。 因此,资料控管者有责任启动连结,并放进邮件末端。 在这种情况下,Benchmark 充其量是一套简单的资料处理平台。 用户同意 直到目前为止,订户提交订阅表格时,资料控管者无需通知订户个资处理之目的。GDPR 则认为,用户应以明确的肯定行为表达同意,具体、清楚地表达同意资料控管者处理个资,并应涵盖单一(或多重)目的下之处理行为。当个资处理具有多重目的时,资料控管者应取得用户同意全权代为处理。 除此之外,基于当事人同意的前提下,资料控管者应证明已取得当事人的同意。 个资搜集 GDPR 主张个资搜集不应无限上纲,营销人员常常索取过多的个资细节(例如:仅仅只是发送一封每周电子报)。新版 GDPR 鼓励针对当下的营销策略,搜集最少个资,而不是搜集多余资讯作为日后其他用途。 查阅使用 资料控管者应提供简便的方式,好让当事人轻松执行应有权利,包括请求机制、取得机制、免付费机制、特别是查阅使用、更正、删除个资、行使反对权的机制。 处理个人资料 资料控管者必须通知当事人确有操作个资之情事及其个资处理之目的,并提供公正、公开的处理方式。 Benchmark如何符合新版 GDPR? ⦁ 「被遗忘权」 「被遗忘权」是新版 GDPR 所做的最大更动。这是首次「被遗忘权」受到法令管制,应当事人要求,资料控管者需完全删除其个资。行使「被遗忘权」共有两种情况: Benchmark | 客户 不管何种情况,只要 Benchmark 的用户希望「被遗忘」,只需来信至 support@benchmarkemail.com,我们便会应要求删除他们的个资。 Benchmark | 客户| 订户 使用 Benchmark 营销平台的客户,其订户皆可要求从名单和记录中删除个资。客户有责任从我们的系统(或其他系统)删除订户,但有一例外:如果订户已退订,客户将无法从「取消订阅」表单中删除该订户个资。遇到这类情况时,客户应将用户的电邮转寄至 support@benchmarkemail.com,我们将从列表删除该位用户。 ⦁ 查阅使用/更正/取消订阅 资料控管者必须在营销邮件内附上「管理订阅」选项: 添加「管理订阅」选项之后,客户可向当事人提供查阅管道、更正、取消订阅个资的选项。当用户点击「管理订阅」连结时,画面显示如下: 订户可在此行使相关权利。Benchmark 准备让当事人更正其余个资,不仅限缩在电邮、名字、姓氏。 ⦁ 用户同意 我们在 5 月份 GDPR 正式生效前,更新订阅表格以符合规范。订阅表格也将放上必须选取的方框选项,连结至资料控管者的隐私政策。(请参阅下图) ⦁ 个人资料国际传输: GDPR 第 45 条提到,欧洲联盟委员会决定,个人资料能够传输至第三国或国际组织的要件在于,第三国的一或多个特定部门或国际组织能够确保提供足够的保护。此类个资传输不需取得特定授权。《欧盟-美国隐私护盾》保证个资国际传输,而 Benchmark 已获其认证: ⦁ 隐私政策 我们目前正在修改隐私政策以遵守 GDPR。未来几周内,将会发送一则邮件,附上更新版的隐私政策。 ⦁ 服务器位置 企业没有义务将其服务器设立在欧洲本土,而新版 GDPR 亦觉无此必要,其目标在于使所有公司,不论会员国与否,皆需遵守 GDPR,使企业在同等条件下进行竞争。 网络研讨会录音档如下: Adapt your email marketing strategy to the GDPR 如果您对本文感兴趣,欢迎分享给同事、好友。


浏览更多
详尽探讨 《通用资料保护规则》(GDPR)

详尽探讨 《通用资料保护规则》(GDPR)

超越自己/我们 • 2018.04.02

通用资料保护规则 欧盟 (EU)会员国原本各自为政的个资处理法规,随着《通用资料保护规则》即将上路,及其整并强化之立法目的,会员国全数一体适用新版规则,以建构欧盟一致保护框架。 目前 28 个会员国各自订立个资法规,法之效力拓及国际贸易。不过正因如此,行使个资保护的权利更显绑手绑脚、窒碍难行。 《通用资料保护规则》影响效力无远弗届,各种企业不管规模大小、产业类别,皆有所牵连。而不同业务如何遵守本规则、合理使用客户个资,亦有不同因应处理方式。 2016年,欧洲议会、欧洲高峰会通过第 2016/679 号法案(GDPR),将于 2018 年 5 月 25 日生效施行。新版规则保护自然人的个资,侧重资料处理与自由流通。本文将协助各位了解何谓 GDPR、所应履行之职责、不可触犯的层面。另外,我们也向您保证,Benchmark 邮件行销工具严格遵循《通用资料保护规则》。 新版规则绝非取代欧盟会员国现有法令,而是同步整合各国个资法与 GDPR。会员国仍可依照国内相关规范做出判决,不过,要注意的是,责任方必须参照《通用资料保护规则》做为判决主要依据,而不是各国本身的个资法规。 若您目前符合所在国/地区的个资法令,那么您已打下稳固基础。不过,您仍需修正某些层面以便符合新版规则的规定。 规划营销邮件策略时,三大重点请谨记于心:用户同意、查阅使用、个资搜集。 用户同意 根据《通用资料保护规则》第四条第11款,个资当事人所谓的「同意」指的是,透过任何无偿提供的声明、具体明确的同意行为,清楚表达当事人同意他人处理与他/她有关的通用资料; 如前述定义所言,用户的同意需明确、清楚。这两个词消除了任何不确定或含煳不清的界线。 第32条:当事人以明确的肯定行为表达同意,透过任何无偿提供的声明、具体明确的同意行为,清楚表达当事人同意对方处理与他/她有关的通用资料,例如:书面声明(电子方式或口头陈述),包括浏览网站时勾选同意选项、为资讯社会服务(网络影音服务)进行技术设定、其他陈述或行为清楚地表明当事人接受他人对他/她的个资处理。 用户未应答、不作为或事先替用户勾好同意选项皆不可视为同意。所谓同意指的是同意他人以单一(多重)同等目的处理所有通用资料。当个资处理牵涉不同目的时,每一项都应取得当事人同意。若他人以电子方式向当事人提出同意请求,该请求必须清楚、简洁、而且不会造成个资处理不必要的负面影响。 举例: 我最近参加一场贸易展览,因而在会展上搜集了不少名片,我准备将这些名片键入资料库并上传到我的 Benchmark 帐户,为的是发送电子报。 有了新版规定,我这样做合法吗? 答案是否定的。即便取得每通用的口头确认,会展上拓展人脉不代表您有权使用他们的个资。 GDPR 要求取得双方达成协议的证据。 GDPR 指出,万一需要审查,责任方必须提出用户清楚明确的同意声明,也就是拿出证据证实用户同意他人使用自己的个资。 建议改善作法: ⦁ 审视您搜集个资的方法,消除当中含糊不清的方式。 ⦁ 分析您的资料库,只保留用户同意您使用他们个资的证明。 查阅使用 处理个资的责任方需提供每位用户简单明了的处理管道,用来修改自己的通用资料;另需提供确认管道,让用户透过电子方式(例如:网站、订阅表格、电邮确认)同意他人使用个资。 责任方将有一个月的时间取得用户同意。若是複杂的请求(因为要完成用户要求的必要步骤导致),可延长至两个月。 在我们的电子邮件行销工具中,「管理订阅」选项允许用户线上他们的个资,并在需要时进行修改或直接取消订阅。 关于这点,《通用资料保护规则》第17条详述新订权利「删除的权利」,用户可行使「被遗忘权」,永久将其个资从资料库中删除。本文摘述该条文第一项第一款、第四款,提供用户行使「被遗忘权」的原因: a)通用资料搜集、处理之特定目的消失,得向责任方请求删除通用资料; b)通用资料已遭非法滥用:; 个资搜集: 《通用资料保护规则》主张简化个资搜集。身为营销人员,我们要求太多非必要的个资细节,但其实只是为了寄送每周电子报。因此,GDPR 规定大家精简搜集用户个资,而不是搜集多余资讯作为日后其他用途。 若您想通知用户即将到来的促销活动,搜集用户姓名和电邮地址便已绰绰有余,足以达到您的目标。 英国脱欧 英国将于 2019 年正式退出欧盟,GDPR 无法对英国有所约束力。我们目前不知道英国或其境内的公司将如何处理个资保护,但我们相信英国将会通过类似法规,与欧盟的 GDPR 具有同等效力。 若不符合新版 GDPR 要求,会有何下场? 《通用资料保护规则》制定一套处罚条款,包括处分与罚锾。未能遵守新的规则,经过一番审慎评估才会判处罚锾,以下为判决要素: ⦁ 违法的严重性/违法行为持续时间; ⦁ 受害的用户人数及受损程度; ⦁ 故意侵权与否; ⦁ 为减轻损害而采取的行动; ⦁ 是否配合主管机关。 新版规则针对未遵守规定的责任方,制定两类罚锾上线。第一类为 1000 万欧元以下的罚锾,或是担保上限等同全球年营业额的2%。 假设负责人不愿按照新版规则的要求进行影响评估,则适用第一类罚锾,罚锾上限可高达 2000 万欧元或是全球年营业额的 4%。 根据新版规则,一旦侵犯当事人的权利,将依每则个案情况,裁处不同罚锾。 当您策划邮件营销策略时,请牢记上述要点(用户同意、查阅使用、个资搜集)。 Benchmark 和《欧盟-美国隐私护盾》以及《瑞士-美国隐私护盾》的作法不同的是, GDPR 未提供认证,证实 Benchmark 遵守其最新规则,但我们仍然不断更新我们的隐私权政策,严格遵守其相关规定。 Benchmark 再次向您保证我们会严格遵守《通用资料保护规则》处理您的通用资料。 为了协助您适应法令转变,Benchmark将于欧洲中部夏令时间 2018 年 4 月 11 日上午 11 点(中国当地时间为 2018 年 4 月 11 日下午 17 点)举办网络研讨会「GDPR规范下的邮件营销:什么该做、什么不该做」。关于 GDPR 详细资讯,请参照欧盟官网的相关文件。 欧盟首次在个资处理议题上,展现领导力和团结一致的态度。另外,他国若想处理欧洲通用资料,欧盟亦强制要求他国遵循《通用资料保护规则》。 欢迎与大家分享本文,别忘了留下宝贵意见。谢谢您的耐心阅读!


浏览更多