艾玛迪斯和 GDPR

上次更新时间 - 2018 年 5 月

欧盟最新通用数据保护条例 (GDPR) 于 2018 年 5 月 25 日生效。该法规旨在更新现有的数据保护法律,加强对个人数据的保护,并考量了最新技术发展、全球化和复杂的个人数据流动。可以说它是现行数据保护法律的现代化。

GDPR 将适用于欧盟内处理个人数据的组织,以及欧盟以外准备将欧盟客户作为受众目标并向其提供产品和服务的组织。

遵守法规是艾玛迪斯的一项首要任务。艾玛迪斯专门制定内部 GDPR 计划,旨在满足 GDPR 的规定要求。该计划包括对艾玛迪斯系统的评估,其中记录了处理个人数据的方式并确定了要使处理个人数据的系统符合 GDPR 规定所需进行的变更。在此审查中,我们考虑到旅游行业标准,以确保在符合 GDPR 规定的同时,满足旅游行业需求。

我们的目标始终并且仍是确保根据最新的 GDPR 透明性和责任规定处理个人数据并提供充分的保护,以便艾玛迪斯满足 GDPR 规定,并通过提供信息给予客户支持,帮助他们履行自己可能承担的任何合规义务。

有关我们的 艾玛迪斯 GDS 隐私声明 请参见 (见于此处)

有关我们的艾玛迪斯客户与业务合作伙伴隐私声明 请参见(见于此处)。

有关 GDPR 的更多信息,请参见下方术语表、常见问题 (FAQ) 部分和我们的隐私原则。如有任何其他问题,请联系您的客户经理。

术语表

个人数据:个人数据是指有关已识别身份或可识别个人身份的信息;这意味着,如果您可以从您正在处理的信息中识别一个人的身份,即使不是根据姓名,这很可能表示您正在处理个人数据。

数据处理方:代表数据控制方并根据其规定处理数据的实体。

数据控制方:决定处理个人数据的方式和目的的实体。艾玛迪斯被视为 GDS 的数据控制方。
 

常见问题 (FAQ)

如有任何问题,请通过您的常用联系人反映给艾玛迪斯。

  1. 艾玛迪斯是否遵循 GDPR 规定?
    是,艾玛迪斯遵循 GDPR 中引入的新规定。尤其是,GDPR 引入了“从设计着手保护隐私”,并进一步强调对个人的透明性以及与处理活动相关的客户基线。
  2. 所有地区办事机构和子公司是否也遵循 GDPR 规定?
    2017 年以及 2018 年第一季度,我们专门制定了内部 GDPR 计划,以便为适应和贯彻新法规做好准备。作为该计划的一部分,我们对整个组织内负责处理个人数据的业务部门和解决方案予以评估。
  3. 如果个人数据于产品或服务环节处理,则艾玛迪斯如何遵守 GDPR?
    艾玛迪斯将在向我们的客户交付服务时遵守 GDPR。作为数据控制方,艾玛迪斯将遵守 GDPR 以及作为 GDS 适用于艾玛迪斯的 GDS 特定隐私法律,而且作为数据处理方,艾玛迪斯将遵守其与客户订立的合同义务,并承担根据 GDPR 其作为数据处理方可能肩负的直接责任。
  4. 在向各自的客户提供服务时,您如何管理客户数据以确保其合规性?
    作为客户的 IT 提供商,我们按照客户的指示说明开展运营。通常来说,我们借助开发的艾玛迪斯系统功能满足客户要求,并确立妥当的流程以应对他们的任何需求变化。为预期 GDPR,我们在处理活动中实行必要的透明度标准。如此一来,客户便可以保持控制权,而且反过来可以满足其消费群的透明度要求。
  5. 为确保合规性,您是否已更改相关的流程?
    我们在各个 GDPR 重点方面引入新流程,其中包括收集用于证明实体处理活动的数据方面,以及“从设计着手保护隐私”。
  6. 如果我需要直接从艾玛迪斯接收信息,应联系何人?
    如有任何问题,请通过您的常用联系人反映给艾玛迪斯。
     

艾玛迪斯隐私原则

由于信息(尤其是个人数据)是艾玛迪斯业务的核心,因此,处理个人数据至关重要,而数据隐私/数据保护则成为艾玛迪斯集团的一项首要任务。鉴于此,艾玛迪斯严格恪守艾玛迪斯隐私原则。

艾玛迪斯隐私原则构成艾玛迪斯隐私框架的基础,这反映在我们的企业政策、标准和流程中,并最终反映在我们的行为当中。

作为一家全球企业,在制定艾玛迪斯隐私原则的过程中,艾玛迪斯考量了国际公认的标准(例如联合国指导原则、经济合作与发展组织 (OECD) 指导原则以及 ISO/IEC 29100)和欧盟通用数据保护条例 (GDPR)。

 

艾玛迪斯隐私原则
艾玛迪斯隐私原则信息图

 

透明度 说明艾玛迪斯如何处理个人数据
合法性

我们必须:

  • 具有获得准许的处理个人数据的法律依据(例如合同、法律义务、合法权益或个人同意);
  • 确保我们绝不利用数据从事任何非法活动。
透明度 我们必须保持个人数据处理方式的透明性,(1) 在收集个人数据时,为相关个人提供适当的隐私声明,以及 (2) 为客户提供适当的数据存储、流动和访问相关信息。
尊重数据主体的权利

数据主体

  • 有权利了解其个人数据的收集和处理;
  • 有权利访问其个人数据;
  • 有权利拒绝处理并拒绝通过自动方式采取的决定;
  • 有权利纠正错误的个人数据;
  • 有权利清除其个人数据并被遗忘,以及
  • 具有数据可移植性权利。

 

比例原则 视提供服务所需处理个人数据,并在有必要了解的基础上允许访问
目的限制

我们需要从一开始便具体说明我们处理个人数据的目的,以及我们打算利用该数据从事哪些活动。

我们仅可出于这些特定的合法目的处理个人数据。

数据最小化

我们必须

  • 将我们持有的个人数据仅限制于对特定目的而言为严格必要的信息;
  • 在有必要了解的基础上,限制艾玛迪斯内部有权访问个人数据的人员数量。
存储限制

我们必须

  • 留存实现目标所需的必要个人数据并且
  • 在完成后安全删除或将其匿名化。
准确性 我们必须确保个人数据准确、完整且为最新(除非保留过时数据具有合法依据)

 

充分保护 确保个人数据的安全并严格保密
安全性 我们需要采取适当的技术和组织措施保护个人数据免遭诸如丢失或者未经授权的访问、销毁、使用更改或披露等风险。
数据转移 我们必须确保在将个人数据转移至其他方之前对其进行充分的保护。