免责声明:本文由数字分析师撰写,并非律师。本文的目的是向您详细解释我们如何为Matomo填写信息资产寄存器。这项工作来自我们对英国隐私委员会资源(ICO)的解释.它不能被视为专业的法律意见。因此,根据GDPR,这些信息可能会发生变化。
对我们来说,信息资产登记是GDPR实施过程中最重要的部分之一。它包括你用来处理个人数据的所有信息系统的清单,就像会计的分类帐一样。请注意,中小型组织可以豁免.
填写这个登记表可能是一项耗时的活动。因此,我们决定向您展示我们为Matomo Analytics所做的真实案例示例:)您或您的数据保护官(DPO)填写它的困难将更小。亚博ap下载
我们如何填写我们的信息资产登记册?
我们不是从零开始的。
事实上,一些隐私委员会正在为信息资产登记提供模板:
我们决定选择ICO(英国)。的ICO模板非常详尽,帮助我们准备了GDPR要求的其他步骤。
它由30个问题组成。
注意,在ICO提供的模板中,提供了一个电子表格示例:
让我们详细看看我们为Matomo Analytics插入的不同值。亚博ap下载
1 -业务功能
它与您组织中使用Matomo的部门有关。对我们来说主要是市场营销部门就是使用它。
2 -加工目的
这里的问题是,“你为什么使用Matomo?”在我们的例子中,“分析访问者在我们网站上的行为,以改善用户体验。”.
3 -服务名称* .
这一列没有包含在ICO的官方文件中,但我们发现看不到我们正在使用的不同服务的名称是令人困惑的,这就是我们为此添加一列的原因。我们要加到这一列的值是亚博ap下载.
4 -联合控制人的姓名和联系方式(如适用)
好的……什么是联合控制器?它是指两个组织共同确定处理的目的和方法。以下是来自欧盟委员会的官方例子:
在大多数情况下,你只能靠自己。这就是为什么我们在这个细胞里写作不适用”(N / A)。
5 -个人类别
ICO对这里期望的价值观给出了清晰的理解:员工,成功的候选人,不成功的候选人,现有的客户。在我们的例子中,我们使用Matomo来表示网站访问者“但我们也可以插入:员工(如果我们在内部网使用Matomo),或者客户(如果我们的云基础设施使用Matomo)……
个人资料的类别
ICO的例子有残疾细节、联系方式、购买历史、生活方式信息;但我们更喜欢详细描述所处理的数据的类别。这就是为什么我们选择第一方cookie,订单ID(Matomo店)。
订单ID是个人数据吗?
“GDPR适用于‘个人数据’,指的是与可识别的个人有关的任何信息,这些信息可以直接或间接地通过引用标识符来识别。
这一定义规定了广泛的个人标识符构成个人数据,包括姓名、身份证号、位置数据或在线标识符,反映了技术和组织收集个人信息方式的变化。”来源:图标.
对我们来说,订单ID是个人数据,因为它是一个在线标识符,可以间接地识别一个人。
请注意,即使没有被问到,我们也可以包含Matomo默认情况下处理的非个人数据。
7 -收件人类别
指个人资料将被披露给谁。在我们的例子中,我们有两个接收者Matomo团队成员和我们的托管提供商(在GDPR下也称为数据处理器)。所以基本上在某些情况下,如果你在自己的服务器上托管Matomo,你可能只有一个收件人,如果你有一个分包商,可能有两个。
连接与处理器的合同
在与数据处理器合作时,该公司需要让您签署一份名为“数据处理器”的合同数据处理协议.本文件明确了各方的责任和义务。所以在你的情况下,数据处理器很有可能是你的托管平台;请注意,在某些情况下,它也可以是代理机构或云提供商。
如果您是InnoCraft云计算客户,请参阅InnoCraft云数据处理协议.
签名之后,您只需要在单元格中指出您可以访问它的副本的位置。
个人资料亦被转移的第三国或国际组织名称(如适用)
第三国是指欧盟以外的任何国家。在我们的例子中,当数据传输到法国时,我们将该字段标记为N/A.
请注意,我们在法国托管数据,但当你使用自托管Matomo Analytics时,你可以自由地在任何你想要的地方托管数据。亚博ap下载
10 -向第三国或国际组织转移个人资料的特殊保障措施(如适用)
如果您的数据被转移到第三国,您需要表明他们有适当的保护措施。到目前为止,我们发现的最简单的情况是数据转移到美国。在这种例外情况下,您至少需要证明将数据转移到的公司已在隐私保护.
保留计划(如果可能的话)
在这个字段中,您需要写入数据将被记录多长时间。GDPR原则5要求您保留个人数据的时间不得超过您获取个人数据的目的所必需的时间。在我们的案例中,我们遵循了法国隐私委员会(CNIL)的建议,该委员会曾经提供过指南表示Matomo的留存期为13个月.
技术和组织安全措施的一般描述(如果可能)
当然,我们强烈建议您采取安全措施,以确保您的Matomo安装安全。安全是一个很大的话题。以下是我们到目前为止确定的不同点,以便确保Matomo安装.安全性也超越了,这就是为什么我们也建议你遵循例如关于安全的培训.
第6条处理个人数据的合法依据
在这一领域,您需要说明在Matomo处理个人数据的合法依据是什么。对我们来说,GDPR文本并不能100%清楚地说明Matomo的法律依据是什么。在撰写本文时,我们认为合法的依据是“合法权益第6(1)(f)条规定。
作为图标提到:
“当你以人们合理预期的方式使用他们的数据,对隐私的影响最小,或者有令人信服的理由进行处理时,这可能是最合适的。”
在我们的案例中,我们可以证明,作为一个分析提供商,人们希望我们的分析解决方案安装在我们的网站上,包括我们的所有功能。
注意,您还可以使用同意“合法的依据。这取决于你对Matomo的使用。
第9条基础处理特殊类别数据
GDPR下,特殊类别数据涉及种族、民族出身、政治、宗教、工会会员、基因、生物识别数据、健康状况、性生活、性取向(非详尽列表)。
我们不处理Matomo网站上的特殊类别数据,这就是为什么我们在这个单元格中插入N/A,但对您来说可能不同。例如,在大型组织中,您的内部网中可能有工会会员页面,因此它正在以某种方式处理数据,需要在那时进行指示。
处理的合法权益(如适用)
为什么我们要处理个人数据?在我们Matomo的特殊情况下,我们通过我们的分析平台处理个人数据,因为我们是分析提供商.
16 -合法权益评估记录链接(如适用)
在这里,你需要指出所有的原因,引导你通过选择去合法利益合法依据.
17 -个人享有的权利
你需要根据你所选择的法律依据,指明数据主体可以行使哪些不同的权利。
如果您选择同意,则数据主体拥有存取权,数据携带权,整改权,反对权,撤回同意的权利,删除权.
自动决策的存在,包括分析(如果适用)
自动化决策和分析是指:
“对个人数据的任何形式的自动化处理,包括使用个人数据来评估与自然人有关的某些个人方面,特别是分析或预测与自然人在工作中的表现、经济状况、健康、个人偏好、兴趣、可靠性、行为、位置或移动有关的方面。”
由于我们没有这样的特性,这个字段的值如下所示N/A.
个人资料的来源(如适用)
来源是数据对象;通过他们的浏览器,他或她正在触发Matomo跟踪代码。
链接到同意记录
如果您使用的是合法依据“同意”,那么您将需要链接到您记录用户同意的数据库或资源。
21 -个人资料的位置
在我们的例子中,这就是Matomo服务器的托管提供商所在的位置。然后,我们可以准确地看到数据托管在哪个国家。如果您正在使用InnoCraft分析云,数据的位置在巴黎/法国。
需要进行数据保护影响评估?
数据保护影响评估是一个帮助您识别可能对个人利益造成高风险的项目的过程。再说一次,这实际上取决于您对Matomo安装做什么。试想一下,如果数据意外地公开,用户隐私将会发生什么。在我们的案例中,我们非常有信心,我们使用Matomo不会导致高风险,这就是为什么我们没有为这种特定的治疗做DPIA。
数据保护影响评估进展
请根据前一点回答。在我们的情况下,它仍然是N/A。
链接到数据保护影响评估
CNIL正在提供伟大的软件是开源的,以便进行DPIA.您可以轻松地链接到它或它将生成的json文件。
25 -是否发生个人资料泄露?
据我们所知,答案是否定的。但如果有一天它真的发生了,我们当然会回答是的。
链接到个人资料泄露记录
作为数据泄露请求一个特殊的过程,这是您将它链接到您的文档的地方。
27及以后-特殊类别或刑事定罪和犯罪数据
在Matomo,我们不处理特殊类别或刑事定罪和犯罪数据;我们无法给你一个恰当的例子来回答剩下的问题。
遵守安全的GDPR分析
Matomo是一个隐私友好的分析解决方案,为您提供100%的数据所有权和GDPR合规性。亚博电竞首页
此外,如果您遵守法国国家数据保护委员会的规定,国家信息委员会libertés (CNIL)已经确认Matomo现在可以用来收集数据,无需跟踪同意.
随着GDPR的不断发展,您可以放心,Matomo将走在这些变化的最前沿。试试我们在线演示现在开始使用2020年亚博论坛 .
这是我们博客文章的结尾,如果你想看看我们如何在m.hju8.com上填写Matomo分析的信息资产注册表,亚博ap下载看看我们的信息资产注册模板.
我们真的希望你喜欢阅读这篇博客文章,请随意有什么想法请写信给我们你想读的关于GDPR的文章。