通用数据保护条例

遵守《通用数据保护条例》（General Data Protection Regulation, GDPR） 是我们经营客户关系的主要原则之一。《通用数据保护条例》的制定旨在保护用户数据。遵守《通用数据保护条例》规定是我们与消费者成功互动的关键。该条例于2018年生效。因此，一些用户对它已经有所了解。在此，我们将帮助您更细致地理解这一规定，理清其细微差别。

条例的实质

《通用数据保护条例》规范用户如何提供个人数据，公司组织如何采集、处理这些信息。

该条例于2018年5月25日生效。此前规范用户个人数据安全的官方文件为1995年生效的《欧盟数据保护法令》（EU Data Protection Directive）。

《通用数据保护条例》赋予用户权利管理被企业收集的个人数据。个人或组织可以通过递交特别申请获取必要的信息。

该条例的关键方为控制方和处理方。控制方为收集用户数据的企业或组织。处理方为代表控制方处理这些信息的企业。

根据该条例规定，以下信息被认定为个人数据：

• 个人姓名、家庭和工作地址；
• 移动电话和固定电话号码；
• 任何身份证件号码（护照、医疗保险、驾照等）；
• 财务信息（银行卡、电子财务帐号）；
• 健康信息；
• 用户的种族和文化身份；
• IP地址、缓存等。

以上仅为一些基本信息类型。如需了解全部类型，请查阅该条例正文。

每个企业必须记录所有请求，保证用户数据获得安全保护。该条例适用于所有欧洲公司，以及为欧盟公民提供服务的其它国家的商业组织。

该条例的主要原则

个人数据保护方式基于欧洲共同市场自20世纪80年代以来逐步发展和完善的七个原则。

1. 透明、公平，和合法。数据必须以合法方式收集。组织不得在用户不知情的情况下转让或处理用户个人数据。
2. 数据处理目的。收集和处理信息的目的必须明确给出。数据不能用于非法用途。
3. 最小化数据量。企业只能收集必要的数据。禁止使用与分析主题或用途无关的用户数据。
4. 信息准确性。个人信息必须尽可能地准确、真实。如果收集的数据有误，个人有权对之进行修正。
5. 储存期限。处理后应删除信息。
6. 隐私。收集和处理数据的组织须保障数据的私密性。
7. 负责。控制方和处理方应时刻准备着确认已遵守以上要求。

违反条例的处罚措施

根据媒体报道，该条例生效后，一些公司在审查其资源是否符合条例要求方面十分不负责任。结果，许多公司被迫缴纳大额罚款。例如，谷歌和英国航空公司等大公司就因为不遵守该条例遭受重罚。

罚款额度取决于对用户隐私侵害的程度。例如，英国航空公司的数据侵权涉及大约50万名用户。这家公司因此缴纳了超过2亿欧元罚款。这一扣缴额几乎是该公司所有分支年度营业额的2%。

因此，为了避免财务和法律问题，企业组织在与客户合作时必须遵守《通用数据保护条例》原则。首先，需要进行审查，评估该企业组织是否能够保障用户数据安全和隐私。

除了初始审查，还有必要每6到12个月对企业进行定期审查，识别企业的弱项和谬误。

审查有两种方式：聘请专家和独立审查。第一种情况下，企业主应聘请在欧盟国家声誉良好，可靠的审计公司。

选择独立审查，则须雇用一名员工专职负责定期审查。这一方式意味着相当大的财务投入。然而，它能确保与用户互动的安全性。

另一种审查类型为接受监管机构对组织进行评估。此类审查为不定期，有选择地进行。

我们的义务

2WinPower和欧洲国家客户合作已经多年。我们以最负责任的态度遵守2018年开始施行的新条例。一直以来，我们公司尽一切可能为使用客户个人数据创建一个安全的环境。

2WinPower已采取以下措施：

• 只有征得客户同意后，我们才会按照使用条款规定收集信息。
• 2WinPower收集和处理个人数据的目的是为了和客户沟通，为客户提供服务。我们不会公开我们用户的隐私信息。
• 客户仍可以获取他们的个人数据，也可以自行对已提供的个人数据进行更改。
• 我们采用加密技术妥善保管用户的支付数据。

2WinPower的主要义务是保护用户隐私。我们使用现代安全系统确保用户个人信息安全。

同时，我们收集并分析关于非法外部请求或非法获取用户个人数据的报告。我们会根据分析结果修订2WinPower公司的安全机制，（以提升安全水平，采用新工具，或放弃无效方式）。

我们的程序员团队不断对安全系统的可靠性进行测试，预防信息泄露。同时，我们聘请有经验的律师帮助我们依照《通用数据保护条例》开展业务，保护我们客户的利益。

我们接受欧盟国家监管机构的监管，随时愿意提供关于外部请求以及我们保护机制的信息。

2WinPower会告知其它组织在处理我们公司用户个人信息时注意保护隐私的重要性，以及一旦违背国际标准会导致的可能处罚。

我们公司已建立清晰的算法，处理每一例个人信息。这一系列措施已写入合同中。我们明白偏离这一算法，使用附加工具，和不合规行为将会承担的责任。

我们客户的责任

根据《通用数据保护条例》规定，2WinPower的客户为控制方。信息处理的目的和方式由控制方决定。控制方必须按照《通用数据保护条例》规定将他们的数据转让给处理方，以保证个人隐私和信息安全。

和处理方一样，控制方也对信息的保密性、真实性和合法性负责。未经第三方许可，禁止转让其数据。控制方提供的信息必须可靠，不违反任何国家的法律。

用户的权益

根据《通用数据保护条例》规定，欧盟公民有权同意或拒绝他人或组织采集他们的个人数据。他们也有权删除和变更被他人或组织收集的个人数据。与《欧盟数据保护法令》（1995）相比，新条例赋予了用户更多的自由。

欧洲公民享有以下权利：

• 了解信息收集和处理的目的；
• 获取个人数据并且有机会管理它；
• 拒绝信息收集和处理；
• 质询数据收集和处理；
• 将信息从一方转让给另一方。