2018 年 5 月 25 日,《通用数据保护条例》将生效。这项由欧盟制定的新法规将影响组织在全球范围内保护个人数据的方式。这可能包括开源项目,包括社区。
GDPR 详情
《通用数据保护条例》(GDPR) 于 2016 年 4 月 14 日获得欧盟议会批准,并将于 2018 年 5 月 25 日开始强制执行。GDPR 取代了数据保护指令 95/46/EC,该指令旨在“协调欧洲各地的数据隐私法,以保护和增强所有欧盟公民的数据隐私,并重塑该地区组织处理数据隐私的方式。”
GDPR 的目的是在日益数据驱动的世界中保护欧盟个人的个人数据。
它适用于谁
GDPR 带来的最大变化之一是地域范围的扩大。GDPR 适用于所有处理居住在欧盟的数据主体的个人数据的组织,与其所在地无关。
虽然大多数关于 GDPR 的在线文章都提到了销售商品或服务的公司,但我们也可以从开源项目的角度来看待这种地域范围。存在一些变体,例如运营社区的软件公司(盈利性)以及非营利组织,即开源软件项目及其社区。一旦这些社区在全球范围内运营,很可能有居住在欧盟的人员参与其中。
当这样一个全球社区拥有在线存在,使用网站、论坛、问题跟踪器等平台时,他们很可能正在处理这些欧盟人员的个人数据,例如他们的姓名、电子邮件地址,甚至可能更多。这些活动将触发遵守 GDPR 的需求。
GDPR 的变更及其影响
与之前的指令相比,GDPR 带来了许多变更,加强了对欧盟个人的数据保护和隐私。其中一些变更对前面描述的社区产生直接影响。让我们看看其中的一些变更。
同意
假设所讨论的社区为其成员使用论坛,并且在其网站上也有一个或多个用于注册目的的表单。根据 GDPR,您将无法再使用冗长且难以理解的隐私政策和条款与条件。对于每个特定目的,即在论坛上注册以及在其中一个表单上注册,您都需要获得明确的同意。这种同意必须是“自由给予的、具体的、知情的和明确的”。
在表单的情况下,您可以有一个复选框,该复选框不应预先选中,并且具有清晰的文本,指示个人数据用于哪些目的,最好链接到您现有隐私政策和使用条款的“附录”。
访问权
欧盟公民通过 GDPR 获得了扩展的权利。其中之一是询问组织是否、在何处以及处理哪些个人数据的权利。根据要求,还应免费向他们提供此数据的副本,如果数据主体(例如,欧盟公民)要求,则以电子格式提供。
被遗忘权
欧盟公民通过 GDPR 获得的另一项权利是“被遗忘权”,也称为数据擦除。这意味着在某些限制条件下,组织将不得不擦除他/她的数据,甚至可能停止任何进一步的处理,包括组织第三方的处理。
以上三个变更意味着您的平台软件也需要遵守 GDPR 的某些方面。它需要具有特定功能,例如获取和存储同意书、提取数据并以电子格式向数据主体提供副本,以及最终擦除有关数据主体的特定数据的方法。
违规通知
根据 GDPR,每当个人数据在未经数据主体授权的情况下被获取或盗窃时,就会发生数据泄露。一旦发现,您应在 72 小时内通知受影响的社区成员,除非个人数据泄露不太可能对自然人的权利和自由造成风险。根据 GDPR,此违规通知是强制性的。
注册
作为一个组织,您将负责维护一个注册表,其中将包括您处理个人数据的所有程序、目的等的详细描述。该注册表将作为组织遵守 GDPR 关于维护个人数据处理活动记录的要求的证明,并将用于审计目的。
罚款
不遵守 GDPR 的组织将面临高达全球年营业额的 4% 或 2000 万欧元(以较高者为准)的罚款。根据 GDPR,“这是对最严重违规行为(例如,没有足够的客户同意来处理数据或违反设计隐私概念的核心)可以处以的最高罚款。”
结语
我的文章不应被用作法律建议或 GDPR 合规性的明确指南。我已经涵盖了该法规中可能对开源社区产生影响的某些部分,提高了对 GDPR 及其影响的认识。显然,该法规包含更多您需要了解并可能遵守的内容。
正如您自己可能得出的结论,当您运营全球社区时,您将必须采取措施以遵守 GDPR。如果您已经在您的社区中应用了强大的安全标准,例如 ISO 27001、NIST 或 PCI DSS,您应该有一个良好的开端。
您可以在以下网站/资源中找到有关 GDPR 的更多信息
-
GDPR 门户(欧盟)
-
官方法规 (EU) 2016/679(GDPR,包括翻译)
-
什么是 GDPR?领导者应该了解的 8 件事(The Enterprisers Project)
-
如何避免 GDPR 合规性审计:最佳实践 (The Enterprisers Project)
评论已关闭。