查看有关小型企业帮助和学习的所有小型企业内容。
使用适用于企业的Microsoft 365来帮助你缓解和管理 GDPR 合规性
一般数据保护条例 (GDPR) 是欧盟 (EU) 法规,规定组织应如何处理个人数据。 如果你的企业向欧盟公民销售、提供服务或雇用欧盟公民,则 GDPR 将影响你。
作为小型企业管理员,你可能在问自己“如何入门”? 如果你的企业不将个人数据作为核心业务活动处理,或者 GDPR 对你而言是全新的,则可能尤其如此。
你可以首先查看本文,本文旨在帮助你了解 GDPR 是什么、它为什么出现,以及业务Microsoft 365如何帮助组织遵守 GDPR。
它还包含有关小型企业可能具有的 GDPR 的常见问题的解答,并重点介绍了小型企业为准备 GDPR 可以采取的步骤。
重要
本文中的Microsoft 365解决方案和建议是可帮助你管理和保护数据的工具和资源,但不能保证 GDPR 符合性。 由你来评估自己的符合性状态。 在需要时咨询你自己的法律和/或专业顾问。
GDPR 的快速概述
GDPR 是一项欧盟法规,它更新并扩展了 1995 年首次实施的先前数据保护指令 (DPD)。 GDPR 关注个人数据的隐私,即客户、客户、员工或业务合作伙伴。 GDPR 的目标是为欧盟公民(无论他们驻留在欧盟还是其他地方)加强个人数据保护。 该法规规定了期望,并就如何实现这些期望提供建议。 组织必须制定满足 GDPR 要求的措施。
GDPR 与数据及其使用方式有关。 将数据视为具有生命周期。 收集数据时,周期开始,在存储和使用数据时继续,并在从系统中完全删除数据时结束。
GDPR 涉及以下类型的数据:
个人数据: 如果可以将数据链接到个人并识别这些数据,则就 GDPR 而言,该数据被视为个人数据。 个人数据示例包括姓名、地址、出生日期和 IP 地址。 GDPR 甚至将编码的信息(也称为"假名"信息)视为个人数据,而不考虑数据的模糊程度或技术性,前提是数据可以链接到个人。
敏感个人数据 这是向个人数据添加更多详细信息的数据。 示例包括宗教、联合成员身份、种族原点等。 敏感个人数据还包括生物识别数据和 DNA。 在 GDPR 下,敏感数据的保护规则比个人数据更为严格。
GDPR 条款
你将看到 GDPR 中经常提到的一些术语。 了解这些术语非常重要。
同意:
GDPR 规定:“个人数据的处理应旨在为人类服务。GDPR 希望在处理个人数据时使用同意来实现此目标。 这可能是询问客户是否想要接收来自公司的电子邮件的简单行为。 这也意味着当你想要使用数据进行市场营销时,你网站上没有更多选择退出的复选框。 必须使用"明确肯定行为"获得显式同意。 此外,还需要保留获取或撤销同意时的记录。
数据主体权限:
GDPR 建立数据主体权限,这意味着,对于其个人数据,客户、员工、业务合作伙伴、客户、承包商、学生、供应商等有权:
了解其数据: 必须通知个人你使用他们的数据。
有权访问其数据: 必须向个人授予对你保存的任何数据的访问权限(例如,通过使用帐户访问权限或以某种手动方式)。
请求数据纠正: 个人可以要求你更正不准确的数据。
要求删除数据: 也称为"擦除权限",此权限允许个人请求在使用数据或共享数据的所有系统中删除公司收集的任何个人数据。
请求受限处理: 个人可以要求你取消或限制其数据。 但是,它仅在某些情况下适用。
具有数据可移植性: 个人可以请求将其数据传输到另一家公司。
对象: 个人可以对象化其用于各种用途(包括直接营销)的数据。
要求不要接受自动决策,包括分析: GDPR 有关于使用数据分析人员的严格规则,并根据该分析自动执行决策。
准备 GDPR 的步骤
本部分介绍小型企业可采取的步骤来帮助其为 GDPR 做好准备。 这些步骤的大部分信息是通过 7 个步骤提供的,供企业为一般数据保护条例(通过欧盟发布办公室提供的发布)做好准备。
小型企业开始使用 GDPR 的一个好方法是在收集个人数据时确保应用以下关键原则:
- 收集具有明确定义目的的个人数据,以供你使用,而不要将其用于任何其他用途。 例如,如果你告诉客户端为你提供其电子邮件地址,以便他们可以获取你的新产品/服务或促销,则只能使用其电子邮件地址来实现特定目的。
- 不要收集超出所需量的数据。 例如,如果你的企业需要邮寄地址供你交付商品,则需要客户的地址和姓名,但你不需要知道该人的收件人状态。
步骤 1:了解你在企业中收集和使用的个人数据,以及你需要它的原因
作为一家小型企业,你应该采取的第一步是列出你在企业中收集和使用的个人数据的清单,以及为什么需要这些数据。 这包括员工和客户的数据。
例如,出于雇佣合同和法律原因(例如,向国内税收署报告税款),可能需要员工的个人数据。
作为另一个示例,你可以管理单个客户的列表,以向他们发送有关特殊产品/服务的通知(如果他们同意这样做)。
可在步骤 1 中提供帮助的 Microsoft 365 功能
Microsoft Purview 信息保护可以帮助你发现、分类、保护公司中的敏感信息。 可以使用可训练分类器来帮助识别和标记包含个人数据的文档类型。
步骤 2:当需要收集客户、员工和其他个人的个人个人的个人数据时,请通知他们
个人必须知道你处理他们的个人数据以及其用途。 例如,如果客户需要创建客户配置文件来访问企业的联机网站,请确保明确说明你打算如何处理其信息。
但是,当个人已经知道你将如何使用数据时,他们无需通知他们。 例如,当他们为你提供送货的家庭地址时,他们会订购。
你还必须能够在请求时通知个人你保存的个人数据,并授予他们访问其数据的权限。 如果需要,使用数据进行组织可以更轻松地向他们提供数据。
步骤 3:仅在必要时保留个人数据
对于员工数据,请保留该数据,只要雇佣关系仍然存在,并履行相关法律义务。 对于客户数据,请在客户关系持续且出于相关法律义务(例如税务目的)时保留该数据。 如果不再需要数据用于收集数据的目的,请将其删除。
可在步骤 3 中提供帮助的 Microsoft 365 功能
保留策略和标签 可用于帮助你在一定时间内保留个人数据,并在不再需要时将其删除。
步骤 4:保护正在处理的个人数据
如果将个人数据存储在 IT 系统上,请限制对包含数据的文件的访问,例如,通过强密码。 定期更新系统的安全设置。
注意
GDPR 不规定使用任何特定的 IT 系统,而是使系统具有适当的安全级别。 有关详细信息,请参阅 GDRP 文章 32:安全性的处理。
如果存储包含个人数据的物理文档,请确保未经授权的人员无法访问这些文档。
如果选择将个人数据存储在云中(例如通过Microsoft 365),则可以使用安全功能,例如,可帮助你管理文件和文件夹的权限、用于保存文件的集中式安全位置(OneDrive 或 SharePoint 文档库),以及在发送或检索文件时进行数据加密。
可在步骤 4 中提供帮助的 Microsoft 365 功能
可以使用设置合规性功能来帮助保护企业的敏感信息。 合规性管理器可以帮助你立即入门! 例如,可以创建和部署使用 GDPR 模板的数据丢失防护策略。
步骤 5:保留有关数据处理活动的文档
准备一个简短文档,说明你保存哪些个人数据以及出于什么原因。 如果需要,可能需要将文档提供给国家数据保护机构。
此类文档应包含下面列出的信息。
| 信息 | 示例 |
|---|---|
| 数据处理的目的 | 向客户发送有关提供家庭送货等特殊优惠的警报;支付供应商;员工的薪金和社会保险覆盖范围 |
| 个人数据的类型 | 联系客户的详细信息;供应商的联系人详细信息;员工数据 |
| 相关数据主体的类别 | 员工;客户;供应商 |
| 收件人的类别 | 劳动力机构;税务机关 |
| 存储期 | 员工的个人数据,直到雇佣合同结束(以及相关的法律义务);客户的个人数据,直到客户/合同关系结束 |
| 保护个人数据的技术和组织安全措施 | IT 系统解决方案定期更新;安全位置;访问控制;数据加密;数据备份 |
| 是否将个人数据传输给欧盟外部的收件人 | 在欧盟外部使用处理器(例如,云中的存储);处理器的数据位置;合同承诺 |
你可以在 Microsoft Online Services 数据保护附录中找到 Microsoft 关于 GDPR 的合同承诺,该附录提供 Microsoft 的隐私和安全承诺、数据处理条款以及客户根据批量许可协议订阅的 Microsoft 托管服务的 GDPR 条款。
步骤 6:确保分包商遵守规则
如果将个人数据的处理转包给另一家公司,则仅使用保证处理符合 GDPR 要求的服务提供商(例如,安全措施)。
步骤 7:分配某人来监督个人数据保护
为了更好地保护个人数据,组织可能必须委派 数据保护官 (DPO)。 但是,如果处理个人数据不是业务的核心部分,或者如果你是小型企业,则可能不需要指定数据保护专员。 例如,如果你的企业仅收集客户上的数据以进行家用交付,则无需指定 DPO。 即使需要使用 DPO,除了其他任务外,这些职责也可能分配给现有员工。 或者,你可以根据需要选择雇用外部顾问来履行此职责。
通常不需要执行 数据保护影响评估。 这是为对个人数据带来更大风险的企业保留的(例如,如果他们对可公开访问的区域(例如视频监控)进行大规模监视)。
如果你是一家管理员工工资和客户列表的小型企业,通常不需要进行数据保护影响评估。
有关 GDPR 的常见小型企业问题
我是唯一的专有商 - 我是否确实需要担心 GDPR?
GDPR 与你处理的数据有关,而不是你拥有的员工数量。 它影响各种规模的公司,甚至是专有公司。 但是,员工少于 250 人的公司确实有一些例外,例如减少记录保留,但前提是你确信数据处理不会影响个人的权利,而是偶尔进行处理。
例如,对非个人数据的处理将免除或需要减少度量。 但是,如果处理任何被视为"特殊类别敏感数据"的数据,即使只是偶尔处理,也必须记录此数据处理。 "偶尔处理"的定义不明确,但它旨在应用于一次或很少使用的数据。
还应确保收集的个人数据受到保护。 这意味着你需要对其进行加密,并确保至少使用密码来控制对它的访问。 将客户数据保留在桌面上的电子表格上而不提供任何保护将不符合 GDPR 的期望。
如何判断我们的公司网站是否符合 GDPR?
问自己的第一个问题是:你是否在站点上的任何位置收集个人数据? 例如,你可能有一个联系人表单,要求提供姓名和电子邮件地址。 如果要发送市场营销电子邮件,请确保添加"选择加入"复选框,该复选框将准确说明你将使用数据的内容。 只有当收件人选中该框时,你才能将其个人数据用于市场营销目的。
此外,请检查存储数据的数据库是否受保护。 Web 托管公司或云存储供应商将能够就此提供建议。 如果将Microsoft 365用于业务,则数据存储符合 GDPR。
我的公司在欧洲以外。 GDPR 确实会影响我们吗?
GDPR 是一项保护欧盟公民的法规。 如果你的公司现在与欧盟公民合作,或者希望将来能与欧盟公民合作,你将受到影响。 这适用于居住在欧盟州的公民和居住在其他地方的公民。
请考虑下面的示例:
向欧盟公民租用汽车的美国公司在收集和处理客户数据时需要满足 GDPR 要求。 当公司获取客户的数据并确保数据安全存储时,公司需要征得同意。 他们还需要确保客户可以应用其所有数据主体权限。
一家澳大利亚公司在线销售产品,其用户设置了联机帐户。 GDPR 数据主体权利和同意将应用于打开帐户的欧盟公民。 公司需要确保客户可以应用其所有数据主体权限。
一家国际捐赠组织收集有关捐赠的数据,并使用它发送更新和捐赠请求。 GDPR 指出:“...出于直接营销目的对个人数据的处理可能被视为出于合法利益。但是,组织有责任证明其利益凌驾于数据主体的利益之上。 公司(或在这种情况下,是捐赠组织)应始终获得通知、明确、选择加入同意。
如果客户数据跨边界移动,则 GDPR 也适用。 如果将云计算用于数据存储,则需要确保该服务完全符合 GDPR。 如果数据存储位于数据保护记录较差的位置,则可能会变得复杂。 如果你使用适用于企业的Microsoft 365,我们提供了正确的法律文档来涵盖 GDPR 要求。
当然,我收集数据,但其他一些公司存储数据。 这会使我脱钩吗?
在 GDPR 下,如果收集数据,则会在一定程度上受到影响。 GDPR 具有数据处理器和数据控制器的概念:
数据控制器: 决定收集数据的方式、内容和原因的个人或组织(可以具有联合控制器)。 他们可以使用另一家公司的云服务器存储它。 例如,收集客户数据的网站是控制器。
数据处理器: 代表控制器存储数据并根据请求处理这些数据的个人或组织。 例如,Microsoft 365商业应用数据存储充当处理器,并且完全符合 GDPR。
组织或系统可以同时充当控制者和处理者。 Microsoft 365商业版可以同时充当并符合 GDPR。
我是否仍可以向我的旧客户发送营销电子邮件?
你需要确保你的客户(即使是你多年来拥有的客户)已同意使用其数据进行市场营销。 你之前可能已捕获同意,以及用于显示许可的记录。 如果是这样,那么你就可以继续营销了。 如果没有,则需要获得客户的权限才能继续向他们营销。 这通常涉及发送一封电子邮件,要求客户转到你的网站,并选择一个选项以同意接收将来的电子邮件。
在招聘新员工时是否必须担心 GDPR? 当前员工呢?
GDPR 不仅会影响客户数据;它也扩展到员工数据。 新员工通常使用社交媒体平台(如LinkedIn)。 请确保在没有其明确权限的情况下,不会存储任何潜在的招聘数据。
对于现有员工和新员工合同,合同末尾的签名不一定采用同意,尤其是在合同中使用非肯定条款时。 在这种情况下,必须以与子句关联的显式方式捕获同意。 这意味着取决于员工合同,但在某些情况下,你可以使用"合法利益",并添加员工数据处理通知,以确保员工了解你将如何处理其数据。
使用适用于企业的Microsoft 365满足隐私问题
符合 GDPR 就是确保个人数据受到保护。 GDPR 有一个称为"按设计和默认隐私"的概念。 这意味着数据保护应"烘焙"到系统和产品中,以便满足隐私问题是第二性质。
与其较大的对应企业一样,小型企业需要方便,而不会牺牲安全性。 适用于企业的Microsoft 365专为员工少于 300 的公司设计。 小型公司可以使用 Microsoft 基于云的工具来提高业务效率。 通过适用于企业的Microsoft 365,小型企业可以管理电子邮件、文档甚至会议和事件。 它还具有内置的安全措施和设备管理,这对 GDPR 合规性至关重要。
Microsoft 365企业版可以通过以下方式帮助你完成 GDPR 流程:
发现: GDPR 合规性的重要步骤是了解你拥有的数据。
管理: 控制对数据的访问和管理其使用是 GDPR 不可或缺的一部分。 适用于企业的Microsoft 365根据要应用于设备的策略来保护业务数据。 在员工远程工作的年龄内,设备管理至关重要。 Microsoft 365 商业版包括确保数据在所有设备上受到保护的设备管理功能。 例如,可以指定企业中的所有Windows 10设备都通过Windows Defender进行保护。
保护: Microsoft 365商业版旨在实现安全性。 其设备管理和数据保护控制可跨业务网络(包括远程设备)工作,以帮助确保数据安全。 Microsoft 365 商业版提供 Microsoft 365 生产力应用中的隐私设置和文档加密等控件。 使用 Microsoft 365 for business,你可以执行 GDPR 合规性监视,以确保你拥有正确级别的保护集。
报告: GDPR 非常重视报告。 即使是具有单个员工的企业(如果该业务处理大量数据)也需要记录并报告其过程。 业务Microsoft 365使小型组织在报告要求时感到头麻烦。
审核日志等工具允许跟踪和报告数据移动。 报表包括对收集和存储的数据进行分类、对数据执行的操作以及数据传输。
客户、员工和客户越来越意识到数据隐私的重要性,现在希望公司或组织尊重该隐私。 Microsoft 365商业版为你提供了实现和维护 GDPR 合规性的工具,而不会对业务造成巨大干扰。
后续步骤
若要为 GDPR 做好准备,下面是一些建议,用于执行后续步骤:
使用 责任就绪清单评估 GDPR 计划。
研究 Microsoft 365 商业版 作为实现和保持 GDPR 合规性的解决方案。
重要
获取适合你的公司或组织的法律建议。
其他资源
官方 Microsoft 博客: Microsoft 对 GDPR 的承诺
欧洲委员会站点: