什么是GDPR?
GDPR是欧盟议会制定的一项全面的隐私和安全法律,自2018年5月25日起生效。该规定旨在加强现有的隐私法律,以管理“个人资料(任何与已识别或可识别自然人有关的资料,或数据对象)的欧洲居民。该法律的范围是域外的,适用于任何控制或处理欧洲居民数据的实体。
Smartsheet和GDPR
目的
从成立之初,Smartsheet就一直致力于保护客户的隐私和数据安全。随着《欧盟一般数据保护条例》(“GDPR), Smartsheet将继续为不断增长的用户群提供全球一流的服务。
本页旨在对GDPR进行全面概述,并解决有关用户数据以及在Smartsheet平台中输入或上传的数据的一些常见问题。需要注意的是,本页不提供法律建议。Smartsheet建议您咨询有执照的律师或法律顾问,以熟悉适用于您具体情况的确切规定
GDPR如何适用于我在Smartsheet中的数据?
如果您的公司在Smartsheet内处理与欧盟("欧盟)居民,无论你的物理或地理位置,或者你自己是欧盟居民。欧洲法律将数据处理人员分为两类:控制器(控制所收集的个人资料及决定处理个人资料的目的及方法的人士)及“处理器(根据控制者的书面指示处理个人数据的实体)。GDPR适用于这两个类别,并且两者并不相互排斥(即,根据数据集,一个实体可能同时充当控制器和处理器)。在其业务运营和向客户提供服务时,Smartsheet可以是个人数据的控制者和处理者,有时同时是两者。Smartsheet作为控制器、处理器或两者兼有的角色通常会在与手头的处理相关的合同中确定,或者在中另有规定Smartsheet的隐私声明.
”处理的定义,是指对个人数据或个人数据集进行的任何操作或一组操作,无论是否通过任何自动化手段,如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供、校准或组合、限制、删除或销毁。
Smartsheet作为个人数据的控制者和处理者,有义务遵守GDPR和其他全球隐私法。作为控制者,Smartsheet尊重所有数据主体的权利,并在其公开的隐私声明中概述其做法(特别是收集、使用和共享的个人数据类型)。作为处理者,Smartsheet尊重数据主体的权利,并在处理个人数据时遵循以下准则。虽然GDPR仅适用于欧洲居民,但Smartsheet并不区分位于欧盟内部或外部的用户,并对其隐私和安全实践采取了全球方法。
根据GDPR, Smartsheet对客户有哪些义务?
GDPR第5条为欧盟居民规定了七项基本权利或隐私原则,控制者和处理者必须始终坚持:
- 1.合法、公平和透明:处理必须始终合法、公平且对数据主体透明
- 2.目的限制:数据必须根据收集时向客户表达的目的进行处理
- 3.数据最小化:您必须为指定的目的收集和处理绝对必要的数据
- 4.准确性:你必须保持个人资料的准确和最新
- 5.存储的限制:你只可在指定用途期间储存有关资料
- 6.诚信和保密:处理必须以确保适当的安全性、完整性和机密性的方式进行
- 7.问责制:数据控制者(即Smartsheet客户)有责任证明GDPR符合所有这些原则。
作为控制者和/或处理器,Smartsheet定期审查其实践,以确保其按照第V条标准处理所有数据。有关Smartsheet数据隐私实践更新的更多信息,请参阅智能表信任中心.
GDPR下的个人权利
欧盟通过GDPR后,隐私法最大的变化之一是扩大了个人的权利。GDPR为个人提供了更广泛的权利,包括:
- 访问
- 擦除
- 反对
- 可移植性
- 整改
- 限制
- 撤回同意书
Smartsheet尊重所有个人的这些权利,并提供了一种简单、有效的方式来处理这些请求。如果最终用户对其数据有任何疑问,请通过这种形式或发邮件至privacy@smartsheet.com。
有效的转移机制
居住在欧洲经济区的资料当事人(“经济区与外国公司打交道的公司,他们的数据可能会被转移到可能没有数据隐私法的司法管辖区,而这些法律提供的保护与他们的母国提供的保护相当。GDPR的设计部分是为了解决这种数据不安全问题,它要求控制者和处理者在欧洲经济区以外转移或以其他方式处理个人数据时实施经批准的“有效传输机制”。适当保障措施的三种主要方法包括:(1)标准合同条款(“癌”);(2)具有约束力的公司章程(“bcr”);(3)认证机制(如无效裁决前的Privacy Shield)。
scc是欧盟委员会批准的保护实体间转移的个人数据的具体条款,通常包含在数据出口商和数据进口商之间的协议中。后,Schrems二世根据欧盟委员会的决定,欧盟委员会于2021年6月7日发布了新的scc,此后Smartsheet更新了其scc数据处理(“德通社”),将新的scc与选择执行DPA的欧洲客户合并,以确保根据GDPR建立有效的转移机制。另一种有效的传输机制“约束性公司规则”,通过公司采取的内部行为措施提供一定程度的隐私保障,这些措施须经欧洲数据保护机构批准。
2020年7月16日,欧洲法院在Schrems二世使欧盟与美国的条约无效。Privacy Shield自我认证计划-美国许多公司使用的数据传输机制,包括Smartsheet。尽管有无效裁决,Smartsheet继续保持其隐私盾认证,并致力于继续根据隐私盾原则保护个人数据(有关隐私盾原则的更多信息可在此获得)在这里).
有关Smartsheet的隐私实践post的其他信息Schrems二世,请参见“国际数据传输到Smartsheet”。
Smartsheet如何根据GDPR处理客户数据?
Smartsheet是一家全球性公司,非常重视客户的隐私。Smartsheet及其附属公司提供世界一流的隐私保证,符合适用的数据隐私立法,如GDPR和CCPA。Smartsheet还监控其他国家的立法,这些立法可能会影响到它的客户群。
偶尔,公司也会出于各种不同的业务目的与第三方共享用户数据。但是,Smartsheet不会在未经客户明确许可的情况下将客户数据出售给第三方,除非另有约定。供应商必须遵守Smartsheet的供应商隐私和数据处理期望,这与开展业务时GDPR关于数据完整性和目的限制的指导方针一致。有关Smartsheet如何对待供应商政策的更多信息,可以找到在这里.