德国DSK发布指南:就电商遵循GDPR给出指引
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
当地时间4月26日,德国数据保护会议(Data Protection Conference,DSK)发布指南,为网络交易经营者如何遵循GDPR合规处理客户个人数据,特别是,如何确保临时访客账户管理符合GDPR要求提供指引。
德国DSK发布指南:
就电商遵循GDPR给出指引
1. 遵循GDPR第5(1)(c)条规定的最小必要原则
仅收集处理个人交易所必要的数据。
在特定情况下判断处理个人数据是否具备合法性,需结合客户系仅欲达成一次性交易或欲维系长期交易关系等因素。
原则上应允许客户创建访客账户。应确保客户能够自主决定仅创建临时访客账户,提供单笔交易所需数据以完成单笔交易;或建立长期账户,维持商业关系。
仅能在履行合同或履行法定义务所必需的范围内收集和处理临时访客账户中的个人数据。
遵循GDPR第17(1)(a)条的规定,立即删除合同履行后不再需要的数据;若商业或税务相关法律规定的保存期限未届满的,则必须采取组织和技术措施,将此类数据与其他业务数据相阻隔。
如客户的长期账户在一定期限内无活动,应主动删除该账户内的个人数据。
2. 遵循GDPR第6(1)(a)条的要求,取得客户同意;在适用单独同意的场合,取得客户的单独同意
需确保客户使用访客账户完成交易与使用长期账户完成交易具备同等条件,且对二者采取同等水平的数据保护技术与组织措施,否则无法保证客户创建长期账户的同意是基于客户自主意愿作出,并符合GDPR第7条第4款的要求。
为广告目的处理客户个人数据,超出了为创建和维护客户账户目的处理其个人数据的范畴,既有的客户关于处理其个人数据以创建和维护其账户的同意不能涵盖此目的,必须另行获得客户同意。
为广告目的评估客户长期账户中的交易合同记录,或存储客户长期账户中的支付方式(如信用卡)等数据,需获得客户的单独同意。
3. 遵循GDPR第7条第2款及第12-14条的规定,保证个人数据处理规则的透明性
无论客户选择建立临时账户或长期账户,都应在首次收集客户个人数据之时,履行相应的数据保护义务,如确保以通俗语言告知客户数据处理的细节。
指南全文,请点击文末左下方“阅读原文”获取。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪