欧盟的新通用数据保护监管将影响美国的旅行社
通过保罗Ruden/
5月25日,欧盟新通用数据保护监管(GDPR)将生效。监管的目的,这在欧盟法律的力量,是保护数据的“自然人”,这意味着人类而不是像企业法人实体。
真正的困难是规则,旨在创造平等的权利在所有欧盟国家中,适用于每个人不管他们的国籍或者居留和他们所有的数据无论在哪里处理和是否自动或手工处理。然而,尽管这一目标,政权由GDPR允许个人欧盟成员国采取单独的规则在某些情况下。
个人将保留权利访问他们的数据,需求修正的事实错误和他们的数据删除。一个人可以将个人数据从一个社交平台转移到另一个。
有一个豁免记录规则公司只有不到250名员工和鼓励成员国“考虑微观的具体需求,中小企业“应用GDPR时。然而,豁免是多个异常。当适用时,豁免似乎很大程度上破坏GDPR的核心原则。规则还状态,“文件或文件集,以及他们的封面上,没有根据特定的标准结构化不属于本条例范围。“许多监管的其他部分有自己的例外和限制,一般给的数据覆盖的主题的同意。然后,总的来说,它是不可能确定的情况下GDPR将适用于特定的小企业在美国
GDPR还包含一项条款,允许数据收集在公司的“合法权益”,不清楚的界限。希望“合法权益”概念的应用阐述了在不久的将来。
潜在的处罚违反GDPR是危及生命的许多企业;上限是一个公司的全球销售额的4%(或2000万美元,哪个比较大)。
GDRP创造了许多问题。我将识别的一些关键的但不能在这样的一篇文章的背景下,试图解决这些问题。
如果不是身体上出现在欧盟强制执行?
一个中心问题是美国法院将在多大程度上实施欧盟法规监管的情况下违反美国声称与行为居民的人从来没有在欧盟为目的的交易涉及的欧盟居民的个人数据的处理。结果可能有所不同取决于美国在欧盟的人公然给她服务还是欧盟的人仅仅是美国人伸出援助。
的GDPR在一定程度上解决了这个问题,但不是决定性的,甚至有帮助。一个测试的应用程序的规则是数据处理器,“…服务数据对象是谁。“决定是否服务”,“GDPR说,它必须是“明显的设想提供“数据处理器等服务。仅仅拥有一个网站访问在欧盟,或通常访问的电子邮件地址是不够的。然而,“使用语言或货币通常用于一个或多个成员国与订购商品和服务的可能性,其他语言,或提及的客户或用户联盟,可能使它明显控制器设想提供商品或服务数据对象在联盟。”
在线监控行为呢?
如果这还不够糟糕的话,GDPR说,如果个人数据用于“监控行为”的数据对象在欧盟,那实体按规定所覆盖。监测包括数据对象是否”,包括在互联网上跟踪潜在的后续使用个人数据处理技术包括分析自然人,特别是为了做出决定关于他或她或分析[sic]或预测他或她个人喜好、行为(原文如此)和态度[粗体字另加]”。
似乎在票面价值,提供地址的航空公司使用新的分销能力(NDC)进行“个性化个性化提供“给消费者。所涉及的数据的处理,将主要航空公司的谎言,也许gds或其他中介机构的数据,但它还可能涉及到旅行社通过向客户提供和处理或存储数据等引起的这类交易。
同意的问题
最后,对于本文的目的,有限的物质“同意”数据的处理她的个人资料。GDPR提供:
“同意应该由一个明确肯定的行动建立一个自由,具体,明智的和明确的显示的数据主题的协议处理有关他或她的个人资料,如通过一份书面声明中,包括通过电子手段,或口头声明。这可能包括定时一盒当访问一个网站…或另一个语句或进行清楚地表明在这种背景下提出处理的数据对象的接受他或她的个人资料。沉默,事先做好标记的盒子或不活动不应因此构成同意。同意应该覆盖所有处理活动的进行相同的目的或目的。当处理多种用途,同意应该给所有的人。如果数据对象的同意是给定的请求通过电子手段后,请求必须清晰、简洁,而不是不必要的干扰使用它提供的服务。[粗体字另加]”
尽管GDPR的明显的目的之一是消除长,legalese-infused条款和条件,每个人都“接受”没有阅读或理解,模糊语言和冗长的需求似乎肯定会产生相反的结果。
GDPR更进一步:
“任何个人数据的处理合法和公平。它应该是透明的自然人,有关他们的个人数据被收集,使用,咨询或其他处理到什么程度的个人资料或会被处理。透明度原则的要求,任何有关的信息和通信的处理个人数据方便和容易理解,这清晰和平实的语言被使用。这一原则问题,特别是信息数据对象的身份控制器和处理的目的和进一步的信息,以确保公平、透明的处理方面的有关自然人和他们的权利得到确认和沟通关于他们的个人数据被处理。自然人应意识到风险,规则,保障和权利与个人数据的处理,以及如何行使权利等关系的处理。特别是,特定目的的个人数据处理应明确、合法和决定的时候收集的个人数据。的个人资料足够的,相关的和有限的什么是必要的,他们的目的是处理。这就要求,特别是,确保时期的个人数据存储仅限于一个严格的最小值。应该是处理个人数据的目的只有处理不能合理被其他方式实现。为了确保个人资料不超过必要的,时间限制应该建立的控制器擦除或定期审议。应采取所有合理的步骤来确保个人数据是不准确的纠正或删除。应该处理个人数据的方式,以确保适当的安全与保密的个人数据,包括防止未经授权的访问或使用个人数据和设备用于处理”。
还有很多,但是我不会进一步抨击它。GDPR似乎不可避免地会产生更多而不是更少废话在条款和条件,很少,如果有的话,客户会读。粗心的规则可能成为陷阱,然而,当个人或团体关注隐私监控GDPR合规的公司。
值得与欧盟居民做生意吗?
每个旅行社都必须自己决定是否规则是如此昂贵的下降来实现,该机构是更好与旅客居住在欧盟。似乎不太可能,欧盟会寻求积极实施对一个小机构在美国,不是本身在欧盟公开招揽生意,但“示范案例”的可能性总是存在为了指出欧盟GDPR严重。成为一个执行目标的风险很小,但可能不为零。大机构与活跃在欧盟销售面临更大的风险。
这里有几个网站的有用的概述的一些GDPR要求:EUGDPR学院;Business.com;数字监护人;欧盟的网站。对于那些想要GDPR实际阅读261页,你可以在这里找到它。最后,对于那些想要进一步研究这一切的根源,2000年欧盟指令来了。