GDPR報告:VPN行業的現狀
介紹
2018年5月25日是爭奪數字隱私的開創性時刻,因為GDPR在整個歐洲集團中可以實施。新的歐盟法規取代了現有的數據保護指令,該指令是在互聯網普及之前建立的,並且在保護歐洲公民的大量在線數據方面做得很少。
作為一項指令,以前的框架是靈活的,對區域解釋持開放態度。與之形成鮮明對比的是,GDPR是一項法規,並規定了一系列精確要求,以確保個人數據的保護。被發現不合規的公司面臨巨額罰款的風險。對於最嚴重的侵權行為,最高罰款額為全球年營業額的4%或2000萬歐元(以較大者為準)。對於不太嚴重的侵權行為,可以處以高達全球年營業額2%的罰款。無論哪種方式,這種巨額罰款的威脅已經通過各種形狀和規模的組織發出衝擊波。
在ProPrivacy.com,我們相信數字隱私是一項基本人權。隨著國家資助的大規模監視計劃和跨國公司收集和分析個人數據的yottabytes,我們的隱私權受到直接威脅。任何保護隱私權的立法都必須被視為一個積極的步驟。因此,我們全力支持GDPR,並相信我們行業的每個人都應該這樣做。
ProPrivacy.com製作了此GDPR報告,旨在提高透明度並促進整個行業的變革。
方法
為了全面了解VPN提供商如何處理立法變更,ProPrivacy.com採用了兩階段的研究方法。首先,我們直接與領先的供應商聯繫,並詢問他們是否願意使用我們的第三方合規顧問創建的一系列問題來全面記錄他們的政策和流程。
然後,我們仔細審查了每個主要提供商的隱私政策和通知,並將其與法規中規定的要求進行了比較。
審計結果
ProPrivacy.com與九家領先的供應商聯繫,要求他們對其GDPR流程和政策進行自願審核。
單擊此處查看完整的審核問題
- 您是否安裝了數據保護管理系統以確保並能夠證明您的處理符合GDPR?
- 你能擺脫所有不必要的用戶信息嗎? (地址,郵政編碼,郵政編碼等)
- 您是否能夠在您使用的任何第三方應用中刪除所有不必要的用戶信息?
- 處理了哪些個人數據? (例如姓名,地址,電話號碼等)
- 為什麼要處理這些個人數據?他們用於什麼目的?
- 您是否能夠刪除您不再使用的每個第三方軟件中的所有用戶數據?
- 您是否能夠擺脫您網站上的所有跟踪軟件? *如果沒有,你現在使用哪些,為什麼?
- 用戶需要能夠下載所有數據。你能做到嗎?
- 糾正的權利 - 如果信息錯誤或不完整,客戶可以要求更改。你有那個選擇嗎?
- 用戶需要能夠請求刪除其整個帳戶及其用戶數據。你的用戶可以這樣做嗎?
- 用戶需要有權了解可能影響他們及其數據的業務變化。你有協議嗎?
- 該公司的GDPR聲明需要在其中提供:
- 終止用戶許可協議
- 服務條款
- 隱私政策
- Cookie政策
你能證實這種情況嗎?
- 貴公司如何對個人數據進行分類?
- 你能確認你有以下情況嗎?
- 數據流程圖
- 數據保護政策
- 信息安全政策
- 可接受的使用政策
- 機密數據政策
- 密碼政策
- 物理安全政策
- 誰有權訪問組織內/組織外的服務器信息?
- 誰授權此類訪問?
- 網絡安全政策
- 無線網絡和訪客訪問政策
- 遠程工作政策
- 電郵政策
- 事件響應政策
- 已經閱讀並理解已簽署的合同,該合同規定了上述政策。
- 您目前是否擁有數據保護官?
- 數據保護官員向誰報告?
- 數據保護官有哪些責任?
- 您的組織和數據控制器之間是否簽訂了書面協議,概述瞭如何處理個人數據?
- 您如何檢查內部未經授權訪問個人數據?有哪些數據審計設施/機制?
- 個人信息如何終止?
- 誰授權終止?誰進行終止?
- 外部承包商和第三方的參與:
- 您是否聘請第三方執行您的活動(處理者)?
- 合同中是否有明確的說明,詳細說明合同期結束時數據會發生什麼變化?
- 根據與數據控制器的合同,您是否負責銷毀數據?
- 與提供破碎設施/服務的承包商簽訂了哪些協議?
- 貴組織使用的子處理器是否使用任何其他組織代表他們執行該服務?如果是,請列出組織以及與這些分包商提供的服務有關的任何書面安排。
- 您多久進行一次安全審核?
- 你有GDPR教育材料嗎?
- 你有團隊的教育材料嗎?
- 此外,您是否為客戶支持團隊提供單獨的教育材料,其中包含客戶的相關信息?
審計參與者
受邀審核:
提供者邀請? PIA YES CyberGhost YES ExpressVPN YES ProtonVPN YES HotSpot Shield YES TunnelBear YES PrivateVPN YES Buffered YES NordVPN YES能證明合規嗎?
符合提供商? PIA是CyberGhost是ExpressVPN沒有ProtonVPN沒有HotSpot Shield沒有TunnelBear是PrivateVPN沒有緩衝是NordVPN NO隱私政策分析
GDPR不僅僅是關於合規,而是關於證明對監管機構和數據主體的合規性。因此,服務條款和隱私政策現在比以往任何時候都更加重要。它們是第一道防線,也是最後一道防線。無需向客戶傳達政策,組織無法滿足法規要求,無論其數據處理政策是否合規。文章。 GDPR中有13個規定數據控制者應提供以下信息:
- 數據控制器的身份和聯繫方式
- 您的數據保護官員的詳細信息(如果他們需要一個)
- 數據處理的目的和法律依據
- 處理的法律依據是合法利益,那是什麼利益
- 如果法律依據是同意,則有權隨時撤回同意
- 個人權利的存在(稱為數據主體權利)
- 與誰共享個人數據(指定方或收件人類別)
- 您是否計劃將數據傳輸到第三國以及將存在哪些保護措施
- 他們將保留個人數據的時間(或保留標準的詳細信息)
- 提出投訴的權利
- 如果對提供個人數據的數據有法定或合同要求,如果有,則未能提供數據的後果
此外,文章。 12指出,這些信息應以“簡潔,透明,易懂和易於獲取的形式,使用清晰明了的語言”進行傳達。
使用第12條和第13條作為模板,ProPrivacy.com仔細檢查了行業前14位提供商的隱私政策,尋找以下指標:
- 政策中是否明確提到了GDPR?
- 政策是否規定:
- 誰在收集數據?
- 正在收集哪些數據?
- 處理數據的法律依據是什麼?
- 如何使用這些信息?
- 數據存儲多長時間?
- 數據主體有哪些權利?
- 數據主體如何提出投訴?
- 政策很容易找到嗎?
- 政策是否易於理解?
- 是否存在與GDPR相矛盾的術語?
隱私政策分析:結果
ExpressVPN
- 隱私政策中是否提到了GDPR? 沒有
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 沒有
- 隱私政策是否聲明:
- 誰在收集數據? 是
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 沒有
- 如何使用這些信息? 是
- 數據存儲多長時間? 沒有
- 這個人有什麼權利? 沒有
- 個人如何提出投訴? 是
NordVPN
- 隱私政策中是否提到了GDPR? 沒有
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 沒有
- 隱私政策是否聲明:
- 誰在收集數據? 沒有
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 沒有
- 如何使用這些信息? 沒有
- 數據存儲多長時間? 沒有
- 這個人有什麼權利? 沒有
- 個人如何提出投訴? 是
叫CyberGhost
- 隱私政策中是否提到了GDPR? 沒有
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 沒有
- 隱私政策是否聲明:
- 誰在收集數據? 是
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? MINIMAL
- 如何使用這些信息? 是
- 數據存儲多長時間? 是
- 這個人有什麼權利? 是
- 個人如何提出投訴? 是
IPVanish
- 隱私政策中是否提到了GDPR? 是
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 是
- 隱私政策是否聲明:
- 誰在收集數據? 是
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 沒有
- 如何使用這些信息? 是
- 數據存儲多長時間? 沒有
- 這個人有什麼權利? 可疑的
- 個人如何提出投訴? 是
AirVPN
- 隱私政策中是否提到了GDPR? 是
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 沒有
- 隱私政策是否聲明:
- 誰在收集數據? 是
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 沒有
- 如何使用這些信息? 是
- 數據存儲多長時間? 沒有
- 這個人有什麼權利? 是
- 個人如何提出投訴? 是
PrivateVPN
- 隱私政策中是否提到了GDPR? 沒有
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 是
- 隱私政策是否聲明:
- 誰在收集數據? 沒有
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 沒有
- 如何使用這些信息? 是
- 數據存儲多長時間? 沒有
- 這個人有什麼權利? 沒有
- 個人如何提出投訴? 是
緩衝的
- 隱私政策中是否提到了GDPR? 是
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 沒有
- 隱私政策是否聲明:
- 誰在收集數據? 是
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 是
- 如何使用這些信息? 是
- 數據存儲多長時間? 是
- 這個人有什麼權利? 是
- 個人如何提出投訴? 是
熱點盾
- 隱私政策中是否提到了GDPR? 沒有
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 是
- 隱私政策是否聲明:
- 誰在收集數據? 沒有
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 沒有
- 如何使用這些信息? 是
- 數據存儲多長時間? 沒有
- 這個人有什麼權利? 沒有
- 個人如何提出投訴? 沒有
的VyprVPN
- 隱私政策中是否提到了GDPR? 沒有
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 沒有
- 隱私政策是否聲明:
- 誰在收集數據? 是
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 沒有
- 如何使用這些信息? 是
- 數據存儲多長時間? 僅供日誌使用
- 這個人有什麼權利? 是
- 個人如何提出投訴? 沒有
TunnelBear
- 隱私政策中是否提到了GDPR? 沒有
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 沒有
- 隱私政策是否聲明:
- 誰在收集數據? 是
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 是
- 如何使用這些信息? 是
- 數據存儲多長時間? 是
- 這個人有什麼權利? 是
- 個人如何提出投訴? 是
PrivateInternetAccess
- 隱私政策中是否提到了GDPR? 是
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 沒有
- 隱私政策是否聲明:
- 誰在收集數據? 是
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 是
- 如何使用這些信息? 是
- 數據存儲多長時間? 是
- 這個人有什麼權利? 是
- 個人如何提出投訴? 是
ProtonVPN
- 隱私政策中是否提到了GDPR? 是
- 隱私政策是否容易找到? 是
- 隱私政策是否易於理解? 是
- 有任何條款與GDPR法律相矛盾嗎? 沒有
- 隱私政策是否聲明:
- 誰在收集數據? 是
- 正在收集哪些數據? 是
- 處理數據的法律依據是什麼? 沒有
- 如何使用這些信息? 是
- 數據存儲多長時間? 是
- 這個人有什麼權利? 可疑的
- 個人如何提出投訴? 是
結論:ProPrivacy分析
儘管已經有兩年多的時間為GDPR做準備,但我們的研究表明,VPN行業在聲稱符合新法規之前還有一段路要走。有許多傑出的提供商已經實施了確保合規所必需的政策和流程。
私人互聯網接入,緩衝,Tunnelbear和Cyberghost應該受到讚揚,因為他們積極主動地接受GDPR。他們願意全面記錄他們的流程和政策,這清楚地表明他們理解新法規的重要性,並選擇公開傳達這些變化對其客戶群的意義。
不幸的是,我們的研究表明,許多公司未能採取必要措施來確保合規性。
應該注意的是,我們對隱私政策和通知的分析就是 - 對已公開發布的隱私政策的分析。僅僅因為提供者沒有明確說明政策並不意味著沒有一個政策。
也就是說,GDPR指導明確指出必須將這些政策明確傳達給數據主體。因此,無論是否有任何特定政策,通過不在網站條款內進行溝通,許多提供商都無法履行其對用戶的義務。
這是一個不穩定的情況,許多公司仍在努力確保合規。我們將與提供商合作並定期更新此頁面,以便ProPrivacy.com讀者可以獲得最新信息。
更新:業界評論
私人互聯網接入GDPR不僅是保護歐洲公民隱私權的重要一步,而且還提高了行業數據保護,安全性和合規性的標準。我們很自豪能為客戶提供最高級別的隱私。Tunnelbear
GDPR是VPN空間的重要隱私勝利。它將幫助客戶對其提供商的日誌聲明更有信心。在TunnelBear,我們的客戶可以使用數據主題訪問請求來下載,更新和刪除他們的任何個人數據。我們還為所有客戶提供此功能,無論他們身在何處。ProtonVPN
用戶同意通過註冊我們的服務,他們同意我們的隱私政策和服務條款。我們有單獨的複選框,以就隱私政策和服務條款達成一致。請注意,我們在創建帳戶時僅收集有限數量的數據。我們不會詢問姓名,地址和任何其他敏感的個人信息。用戶有權選擇退出我們的郵件列表並刪除帳戶 - 所有這些都是通過他們的儀表板完成的。我們非常重視GDPR,因為在線隱私是我們的使命。所有用戶都可以刪除他們的帳戶和與之關聯的數據。登錄後,用戶可以輕鬆訪問其帳戶管理頁面中的“刪除”按鈕。
附錄:了解您在GDPR下的權利
獲得通知的權利
GDPR的第一個重要部分是獲得通知的權利。法規的這一部分使得公司和組織事先告訴您正在處理的有關您的個人數據及其原因是法律要求。 GDPR意味著以後沒有令人討厭的意外:所有個人數據必須與您完整的預知一起使用。
個人資料
作為個人,GDPR為您提供機會,要求您了解任何企業,非政府組織(NGO)或政府機構(這些在GDPR法規中稱為處理器和控制器)存檔的個人數據。 。這被稱為訪問權。
那麼,什麼構成個人數據? GDPR將個人數據分類為允許您“直接或間接識別”的任何信息。個人數據的示例包括您的姓名,地址,標識號和位置數據或在線標識符(如IP地址)。
新規則意味著公司和組織只能“出於特定的,明確的和合法的目的”保存關於您的這些個人詳細信息。更重要的是,他們只能在他們獲取數據時直接需要您的數據。由於任何次要原因,他們無法處理它。
規則是嚴格的,例如,如果您將簡歷提交給公司申請工作 - 公司不能保留該簡歷,以防將來另一項工作出現。這是因為這需要存儲數據是出於次要原因,這是非法的。
假名個人數據
GDPR不同於現行的隱私法,例如英國1998年的數據保護法,因為它包含個人數據定義參數中的假名數據。如果在任何情況下都可以使用假名數據來識別個人,那麼它就有資格作為個人數據。
特殊類別數據
這是GDPR給敏感個人信息的名稱。它是個人數據的高風險子類別。它包括遺傳數據和生物識別,有關宗教和政治觀點,性取向,健康,種族和其他敏感細節的信息。這類數據受到更嚴格的控制。
訪問權
從5月25日起,公司不應再存檔您的任何個人數據,除非您已經同意的持續流程“必要”。這是您的訪問權利有用的地方。
一旦GDPR生效,您可以要求任何組織準確地告訴您他們擁有的關於您的個人數據。公司有30天的時間來遵守您的要求。
整改權
調用您的訪問權限後,您將看到有關您存檔的個人數據的詳細說明。糾正的權利允許您使該公司更新任何不正確的個人數據。如果它不完整,您可以要求更新它。您可以口頭或書面形式提出整改請求,並且必須在30天內處理。
擦除權利
GDPR允許您要求公司或組織刪除您的個人數據。 GDPR的這一部分也體現了“被遺忘的權利”,確認了個人可以通過法律依據向Google等搜索引擎索取對個人有害的搜索結果。
值得注意的是,擦除權並非絕對,因此即使您要求刪除數據,公司或組織也能夠保留您的數據。
例如,如果有權被遺忘,如果能夠繼續訪問搜索結果符合公眾的最佳利益,搜索結果仍可供公眾使用。過去的定罪可能會對現在或未來的公民決策過程產生合理影響。
但是,根據獲得通知的權利,無論誰持有關於您的個人數據,都需要準確解釋為什麼它具有繼續處理該數據的強大合法權利。
限制處理的權利
除了要求刪除數據之外,公民還可以限制其數據的處理。例如,有時候,由於持續的法律糾紛,人們可能希望將某些記錄保存在檔案中。在這些情況下,個人可以要求公司保留數據以供將來使用,但禁止他們在此期間處理數據。
便攜性
這使您可以輕鬆地將個人數據從一個位置移動到另一個位置,或者在一個公司和另一個公司之間移動這使得任何個人都可以完全控制他或她的數據,使他們能夠輕鬆訪問自己的數據,而無需繼續提供和復制數據。
反對的權利
這與擦除和糾正的權利密切相關。然而,它本身是有用的,因為它賦予個人“阻止他們的數據用於直接營銷”的特定權利。
與擦除權一樣,此權利並非絕對,數據的控制者或處理者可能能夠證明他們在某些情況下有合法權利繼續處理您的個人數據。
與自動處理和分析有關的權利
最後,GDPR讓人們有權質疑處理其個人數據的自動化系統的使用。消費者必須同意自動處理,除非“必須簽訂或履行合同”或“已獲得適用於控制人的聯盟或成員國法律授權”。
GDPR允許任何人請求人為乾預或挑戰由自動化系統做出的決定。這確保不會挑戰任何偏見或偏見。
個人的GDPR權利 - 你應該援引他們嗎?
GDPR是一項傑出的隱私立法,大大增加了個人的權利。上述權利允許任何人直接控制公司掌握的數據。如果您有任何理由質疑數據的控制器或處理器,或者對您的數據處理方式有疑慮,那麼您有權要求提供信息。
如果您無法從公司獲得所需數據,則應向英國信息專員辦公室和歐盟內的歐盟委員會提出投訴。這些是負責執行新立法的機構。
Leave a Comment