什么是GDPR?
GDPR是由欧盟议会颁布的一项全面的隐私和安全法,于2018年5月25日生效。该规定旨在加强现有的隐私法,以管理“个人资料(与识别或可识别的自然人有关的任何信息,或数据对象)。该法的范围是治外法权,适用于任何控制或处理欧洲居民数据的实体。
Smartsheet和GDPR
目的
自成立以来,Smartsheet一直致力于保护客户的隐私和数据安全。随着《欧盟一般数据保护条例》("GDPR),因为Smartsheet继续为不断增长的用户群提供全球一流的服务。
本页面旨在概述GDPR,并解决有关用户数据以及在Smartsheet平台内输入或上传的数据的一些常见问题。需要注意的是,本页不提供法律意见。Smartsheet建议您咨询持牌律师或法律顾问,以熟悉适用于您的具体情况的确切规定
GDPR如何应用于Smartsheet中的数据?
如果您的公司正在处理与欧盟有关的Smartsheet内的个人数据("欧盟)居民,无论你的物理或地理位置,或者你自己是欧盟居民。欧洲法律将处理数据的人分为两类。控制器(控制所收集的个人资料及决定处理个人资料的目的及方法的人士)及处理器(按照控制者的书面指示处理个人数据的实体)。GDPR同时适用于这两种类型,并且这两种类型不是互斥的(即,根据数据集的不同,一个实体可能同时充当Controller和Processor)。在其业务运作和向客户提供服务时,Smartsheet可以是个人数据的控制者和处理者,有时两者同时存在。Smartsheet作为控制器、处理器或两者的角色,通常将在与当前处理相关的合同中确定,或在本协议中另有规定内容的隐私通知.
”处理根据GDPR的定义,是指对个人数据或个人数据集进行的任何操作或操作集,无论是否通过任何自动化手段,如收集、记录、组织、构造、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供的披露、对齐或组合、限制、删除或销毁。
根据GDPR和其他全球隐私法,Smartsheet有义务作为个人数据的控制者和处理者。作为控制人,Smartsheet尊重所有数据主体的权利,并在其公开的隐私通知中概述其做法(特别是收集、使用和共享的个人数据类型)。作为处理机,Smartsheet尊重数据主体的权利,并在处理个人数据时遵循以下指引。虽然GDPR只适用于欧洲居民,但Smartsheet并不区分位于欧盟内部或外部的用户,并且在隐私和安全实践方面采取了全球性的方法。
在GDPR下,Smartsheet对客户有什么义务?
GDPR第5条为欧盟居民列出了7项基本权利或隐私原则,控制器和处理器必须始终坚持:
- 1.合法性、公正性和透明度:任何时候对数据主体来说,处理都必须合法、公平和透明
- 2.目的限制:数据必须按照收集时向客户表达的目的进行处理
- 3.数据最小化:您必须只收集和处理对于指定目的绝对必要的数据
- 4.准确性:你必须确保个人资料准确及最新
- 5.存储的限制:您可以只在指定的时间内存储相关数据
- 6.完整性和机密性:处理必须以确保适当的安全性、完整性和保密性的方式进行
- 7.问责制:数据控制器(即Smartsheet客户)负责证明GDPR符合所有这些原则。
作为控制者和/或处理者,Smartsheet定期审查其实践,以确保其按照第五条标准处理所有数据。有关智能表数据隐私措施的更新,请参阅内容信任中心.
GDPR下的个人权利
在欧盟通过GDPR后,隐私法的最大变化之一是扩大了个人权利。GDPR为个人提供了扩展的权利,包括:
- 访问
- 擦除
- 反对
- 可移植性
- 整改
- 限制
- 撤军的同意
Smartsheet尊重所有个人的这些权利,并提供了一种简单、有效的方式来处理这些请求。如果终端用户对其数据有任何疑问,请通过这种形式或电子邮件privacy@smartsheet.com。
有效的传递机制
居住在欧洲经济区的数据主体("经济区),他们的数据可能会被转移到可能没有数据隐私法的司法管辖区,而这些司法管辖区提供的保护可能与他们本国提供的保护相当。GDPR的设计在一定程度上是为了对抗这种数据不安全性,要求控制器和处理器在EEA之外传输或以其他方式处理个人数据时,实施批准的“有效传输机制”。三种主要的适当的保障措施包括:(1)标准合同条款(癌”);(2)具有约束力的公司规则("bcr”);(3)认证机制(如无效裁决前的Privacy Shield)。
scc是欧洲委员会为保护实体之间转移的个人数据而批准的具体条款,通常包括在数据出口商和数据进口商之间的协议内。后,Schrems二世决定后,欧盟委员会于2021年6月7日发布了新的scc,之后Smartsheet更新了其数据处理附录(“德通社)将新的scc与选择执行DPA的欧洲客户合并,以确保有一个符合GDPR的有效转移机制。另一种有效的转移机制,约束性公司规则,通过公司采取的内部行为措施,提供一定程度的隐私保障,这些措施必须得到欧洲数据保护机构的批准。
2020年7月16日,欧洲法院发布判决Schrems二世EU-U.S无效。Privacy Shield Self - Certification程序-美国许多公司使用的数据传输机制,包括Smartsheet。尽管该裁决无效,Smartsheet继续维持其Privacy Shield认证,并承诺继续根据Privacy Shield原则保护个人数据(更多关于Privacy Shield原则的信息已提供在这里).
有关Smartsheet隐私惯例的更多信息,请发表-Schrems二世,请参阅“国际数据传输到Smartsheet”。
在GDPR下,Smartsheet如何处理客户数据?
Smartsheet是一家全球性公司,非常重视客户的隐私。Smartsheet及其附属公司提供世界级的隐私保证,符合适用的数据隐私立法,如GDPR和CCPA。Smartsheet还监测其他国家可能影响其客户基础的立法。
偶尔,公司也会出于各种不同的商业目的与第三方共享用户数据。但是,除非另有约定,Smartsheet不会在未经客户明确许可的情况下向第三方出售客户数据。供应商对Smartsheet的供应商隐私和数据处理预期负有责任,该预期与GDPR关于开展业务时数据完整性和目的限制的指导方针一致。关于Smartsheet如何处理供应商策略的更多信息可以在这里找到在这里.