小企业数据保护法案和GDPR指南

如果你在经营一家公司，你可能也要处理个人信息。无论是关于客户、供应商还是你自己的员工的细节，遵守特定的数据保护规定是很重要的。

继续阅读，了解更多关于数据保护法案(DPA)，英国GDPR和你需要意识到的关键原则，作为一个小企业。

• 你知道企业的这四项法律义务吗?
• 你收到过英国税务海关总署的诈骗邮件，电话或短信吗?以下是检查真品的方法
• 消费者保护法:小企业的简要指南
• 我需要专业赔偿保险吗?

大流行把所有东西都放到了网上，但随之而来的是额外的数据隐私挑战。基于应用程序的酒吧订餐、Zoom教学和联系人追踪意味着组织和第三方正在收集我们更多的个人数据。但是英国的隐私保护机构信息专员办公室(ICO)提醒人们，他们可以选择是否交出自己的个人数据．

在我们的简单指南中了解更多关于如何作为小企业应对这些数据保护挑战的信息:

• 《2018年数据保护法案》和英国GDPR
• 数据保护法对企业意味着什么
• 雇主责任
• 7个关键原则
• 获得客户同意
• 何时向ICO登记
• GDPR清单-小型企业的提示

什么是《2018年数据保护法》?

的2018年数据保护法案是一项旨在保护个人数据隐私的英国法律。它取代了1998年的《数据保护法》，现在将GDPR立法纳入英国法律。

从本质上讲，该法律旨在:

1.让公民和居民更多地控制他们的个人数据-每个人都有权利知道政府和组织掌握了关于他们的什么信息。

2.简化所有企业的规章制度，帮助他们保护个人数据-确保信息被合法、公平、透明地使用。

虽然你可能认为这只适用于大公司，但事实上，大多数公司都有一些个人数据，例如客户联系信息或员工的人力资源信息。

如果您确实使用或存储个人信息，并且这些信息涉及可识别的人，您在法案中被称为“数据控制人”。

GDPR代表什么? GDPR还适用吗?

《欧洲一般数据保护条例》(GDPR)于2018年5月在英国生效。然而，自从英国脱离欧盟，过渡期于2020年12月31日结束后，《数据保护条例》现已被纳入《2018年数据保护法》。

如果您的企业在欧洲运营，或者您向欧洲的人们提供商品或服务，您可能需要同时遵守英国和欧盟的GDPR。

《数据保护法》对我的业务意味着什么?

《2018年数据保护法》和英国GDPR适用于在英国成立的任何企业。

你要问自己的主要问题是，你的生意多久处理一次个人资料？这当然包括您的客户数据，但是您考虑到供应商数据了吗?过去和现在的员工?

如果你定期收集这些数据，你需要遵守英国GDPR，无论这些数据是存储在电子表格，你的电脑，移动电话，还是在云中。它既适用于手工数据采集，也适用于自动数字采集。

即使是一家小公司，你也必须遵守法律，并对处理个人数据负责。除此之外，它还可以帮助你向潜在的和现有的客户证明，你正在尽你所能保护他们的数据不被丢失、被盗、损坏、滥用或共享——这种程度的信任是无价的，甚至可以帮助你带来更多的业务。

你的数据“敏感”吗?

《2018年数据保护法》为更敏感的信息提供了更强有力的法律保护，例如:

• 比赛
• 种族背景
• 政治观点
• 宗教信仰
• 工会会员
• 遗传学
• 生物识别技术
• 健康
• 性生活或性取向

一般来说，如果你想收集或处理敏感信息，你需要得到个人的明确同意。

《数据保护法》——雇主的责任

作为雇主，你有很多独特的职责。首先，工人有合法的权利获得雇主可能掌握的信息。

与此同时，雇主还应确保员工在日常工作中遵守数据保护规定，并有义务在必要时监控电话、电子邮件和闭路电视等信息。

数据控制器有一系列重要的职责，必须遵循七个数据保护原则。

数据保护法案- 7条关键原则

如果你的机构处理个人资料，你必须一贯按照《个人资料授权条例》所载的七项主要原则行事。

1.个人资料必须以合法、公平和透明的方式处理

这是DPA最重要的需求之一。为了做到这一点，你必须向人们提供你的企业名称，以及他们的信息将如何被使用的细节。你应该清楚地表明，个人可以访问和更正你所持有的关于他们的信息。

至关重要的是，你还必须告诉他们，这些信息是否会被以任何不明显的方式使用。例如，你必须告诉个人，他们的详细信息是否会传递给信用参考机构。

2.个人数据必须被处理为指定的、明确的和合法的目的

你必须清楚你为什么要收集某人的个人数据以及你打算如何使用它。这显然与上面提到的合法、公平和透明原则有关。

您不能将收集到的数据用于其他“不兼容”或非法的目的。例如，如果你的目的随着时间的推移而改变，而这与最初的目的不“兼容”，你就需要获得个人对新目的的具体同意。

3.个人资料必须足够、有关及不过量

你应该只收集最少的数据;您可能不会收集与指定目的无关的信息，也可能不会收集超过所需的信息。

4.个人资料必须准确和最新

你所掌握的任何信息都必须是真实准确的，并在必要时进行更新。根据您的业务性质，您可能需要开发允许人们快速更新详细信息的机制。

5.个人资料不应保存超过必要的时间

这个存储限制原则说明您不应该将数据保存超过需要的时间。如果你收集数据的目的是有时间限制的，那么你应该确保这些信息不会被保留超过时间限制。减少保存数据的时间还有助于降低存储不准确或过期个人数据的风险。

这是一个很好的做法，告诉人们你打算保存数据多长时间，你可能会发现设置数据保留期很有用。

6.必须安全地处理个人资料

你必须采取适当的步骤，以保持个人资料的完整性和机密性。制定一项信息安全政策可以帮助你证明你在关注个人数据，并降低其被泄露的风险。

7.控制器负责GDPR并必须证明其符合规定

这最后一条原则规定了问责制的法律。作为一个数据控制者，你要对你如何处理个人数据负责，并且必须展示你如何保护人们的隐私。

更多关于GDPR原则可以在ICO网站上找到。

我如何获得客户同意使用他们的数据?

以下是收集个人数据时需要考虑的一些关键问题:

• 检查你的同意实践和现有的记录-并在必要的地方刷新
• 为人们提供真正的选择和控制
• 在使用选择加入时，不要依赖预先打勾的框或默认选项
• 明确的同意是指非常明确、具体的同意声明
• 将您的同意请求与其他条款和条件分开
• 要具体、细致、清晰、简洁
• 请说出任何将依赖此同意书的第三方
• 让人们更容易撤回同意(并告诉他们如何撤回)
• 保留同意的证据(谁，何时，如何，以及你告诉了别人什么)
• 避免将同意作为商业服务的前提条件

最终，同意应该让个人掌握控制权，建立信任和参与，并提高你的声誉。

我是否需要向ICO登记?

除了遵循上述主要原则外，您可能还需要向信息专员办公室(ICO)支付数据保护费用。DPA的工作基础是所有数据控制器通知ICO，但也有一些例外。如果你没有获得豁免，但你没有通知ICO，你就有被起诉的风险。

如果你只有为下列一项(或多项)目的处理个人资料:

• 工作人员管理
• 工资
• 广告、营销和公关
• 非营利性目的
• 私人的、家庭的或家庭事务
• 维持公众登记册
• 司法功能
• 或者如果没有像计算机这样的自动系统来处理数据

注册费及资料保护费

你可以使用ICO的在线检查工具看看你的公司是否可以免予注册。即使你不用支付费用，你仍然需要遵守其他的数据保护义务。

如果你需要登记，你需要支付数据保护费．注册费用一般在每年40到60英镑之间。

如果你不遵守《数据保护法》，你可能会面临严重的处罚。根据英国《GDPR》和《DPA》，目前的最高罚款为1750万英镑，或上一财政年度全球年度营业额的4%，两者以较高者为准。

GDPR清单-小型企业的提示

1.知道你的数据

对你持有的个人数据类型(如姓名、地址、电子邮件、银行信息、照片、IP地址)和敏感数据(如健康信息或宗教观点)有一定的了解，以及这些数据来自哪里、去哪里以及将如何使用。

2.确定你什么时候需要征得同意

如果你是依靠个人同意来处理个人数据(例如，作为营销的一部分)，那么你需要清楚、具体、明确地说明你的目的。

3.检查你的安全措施

确保你有强有力的安全措施和政策。例如，加密的广泛使用可能是降低安全漏洞风险的好方法。

4.满足访问请求

每个人都有权查阅你可能持有的任何个人资料。GDPR下的访问权规定您必须在一个月内对请求作出回应。这只能在减轻罪责的情况下加以推广。

5.训练你的员工

员工应在72小时内报告严重的个人数据泄露。确保每个人都知道报告的流程以及向谁报告。

6.对你的供应链进行尽职调查

确保你的供应商和承包商符合英国GDPR，以避免受到任何违规行为的影响。

7.定期检查你的隐私政策

人们有权知道你如何使用他们的个人数据。这应该包括在你的隐私政策和信息应该定期审查，以确保它是最新的。

8.检查你是否需要雇用一名资料保护主任

大多数小企业将豁免。但是，如果贵公司的核心活动涉及大规模“定期或系统”监控数据主体，或涉及处理大量敏感数据，则必须聘用数据保护主任。

欲了解更多信息，请查看ICO的以下资源:

• 小型企业网络中心
• 数据保护清单
• 隐私和电子通讯条例

如果你对任何事情都不确定，可以向信息专员办公室(ICO)或独立的法律专业人士寻求指导。

如果你因为违反GDPR而被告上法庭，该怎么办

如果你有法律费用保险作为简单业务策略的一部分，您可以manbetx万博安全吗通过以下方式访问许多有用的服务DAS Businesslaw(您只需要您的凭证代码在您的政策文件中找到注册)。

DAS有一条法律咨询热线，无论你是面临严重的法律问题，还是只是想咨询顾问。它们还提供一系列法律模板和指南，包括GDPR清单和手册、处理信息请求的视频指南和GDPR隐私通知模板。

关于数据保护，您还有什么想知道的吗?请在评论中告诉我们。