GDPR合规性 | Shufti确保数据保护和隐私

预约演示

法规遵从性 · GDPR

每一项数据主体权利都得到了实际操作的支持，而不仅仅是写在政策里。

生物识别数据和身份证明文件属于《通用数据保护条例》(GDPR) 第 9 条规定的特殊类别个人数据，是欧盟法律中监管最严格的数据类别。Shufti 在有据可查的法律依据下处理此类数据，仅在您配置的期限内保留数据，并在运营上支持用户可能行使的每项数据主体权利。Shufti GDPR 数据处理协议包含在标准企业合同中，而非可选附加条款。

预约演示联系我们

主部分图片

GDPR涵盖哪些内容

GDPR适用于任何处理欧盟居民个人数据的组织。它区分了普通个人数据和特殊类别数据，两者各自承担不同的义务。对于身份验证服务提供商而言，这种区分至关重要。

标准个人数据

姓名、电子邮件地址、电话号码、IP 地址等信息受 GDPR 第 5 条和第 6 条的监管。此类信息的处理需要有合法依据、合理的安全措施，并保障数据主体的权利。大多数 SaaS 平台都属于此类。

第九条特殊类别数据

用于唯一识别个人的生物识别数据、面部图像和身份证明文件数据，是GDPR监管最严格的类别。此类数据需要以明确的同意或法律义务作为处理依据，并需采取更严格的安全控制措施、强制数据最小化原则、充分保障数据主体权利，且在开始任何处理之前，必须签订书面的数据保护协议。

为什么重要

意大利数据保护局（Garante）、爱尔兰数据保护委员会（DPC）和法国国家信息与自由委员会（CNIL）等监管机构专门调查了数字化注册流程，发现验证服务提供商在不必要的情况下保留生物识别数据，缺乏书面处理依据，或无法在实际操作中保障数据主体的权利。随后，与这些服务提供商签约的企业遭到执法行动。

当用户行使删除权时

您的团队需要切实执行，而不仅仅是确认。Shufti 的 API 和管理控制台允许您触发删除单个验证记录，并收到删除确认信息作为审计证据。

盾形标志

1.2亿欧元以上

2023-2024 年 GDPR 执法罚款，尤其关注注册流程中的生物识别数据。责任在于数据控制者，也就是您。Shufti 的数据处理协议 (DPA) 和删除控制功能可帮助您规避此类风险。

Shufti如何维护IT

Shufti GDPR 文档包包括：符合第 28 条规定的数据处理协议 (DPA)、子处理者登记册（任何变更后 30 天内更新）、数据保留和删除政策，以及关于如何实际支持数据主体权利的技术文档。所有文档均可在您签署合同前索取。

欧盟居民数据在欧盟基础设施上处理。英国居民数据根据英国《通用数据保护条例》(GDPR) 进行处理。对于非欧盟数据流，可使用美国和亚太地区的区域部署方案。

认证细节

法律基础

GDPR 第 28 条（处理者）；第 9(2)(a) 条或第 9(2)(b) 条处理依据由控制者配置。

包括作为标准

所有企业合同中均包含符合GDPR规定的数据处理协议，无需单独协商。

数据驻留

欧盟基础设施服务于欧盟内部流动；英国、美国、亚太地区可选方案。

数据主体权利

通过 API 和管理控制台支持擦除、访问和可移植性，并提供审计日志确认。

你得到什么

DPA、子处理者登记册、保留政策和删除文件，可在签订合同前获取。