一般数据保护条例

2016 年 4 月 27 日，欧盟议会与理事会通过了《欧盟一般数据保护条例》（GDPR）。GDPR 将于 2018 年 5 月 25 日起直接适用于欧盟成员国，确保在欧盟内部实行统一的数据保护标准。GDPR 对个人数据保护法律进行规范，严格规定了控制和处理个人数据的组织应承担的义务。GDPR 旨在通过扩大隐私权和赋予个人对其个人数据的掌控权，以强化欧盟居民的基本权利。有关 GDPR 的更多信息，请访问欧盟委员会网站。

3DS 考虑内部和利益相关者合规需求后，任命了一名数据保护官，设立了跨职能的 GDPR 待命小组。GDPR 待命小组负责：

- 管理 3DS 内部 GDPR合规情况，包括但不限于其隐私政策 - 识别和监控 3DS 产品、网站和通信的增强功能，尤其是促使客户和其他利益相关者合乎 GDPR规定。这些增强功能包括：

• 访问权限和安全机制的变更；
• 用户同意权限管理的增强功能；
• 请求修改或删除个人数据流程的加固；
• 与数据隐私最佳实践相关的用户指南和产品文档的改进。

根据 GDPR，指定为数据控制方或数据处理方的个人或实体具有不同的义务：数据控制方是单独或与他人共同决定个人数据用途及处理方法的个人或实体。3DS 通过内部工具（如金融系统）处理个人数据时，承担了数据控制方的角色。

数据控制方通常也是具有受许可 3DS 解决方案并负责处理个人数据的组织。个人数据处理通常基于行业、法令和法规要求以及存储数据的性质等因素进行。例如，数据控制方需要决定何时应该操作个人数据（根据 GDPR 删除或修改个人数据）或者何时应该为记录保留或监管用途而保留个人数据。数据处理方是代表数据控制方处理个人数据的个人或实体。

当 3DS 向企业提供特定云端产品（如云端 3DEXPERIENCE 平台）和服务时，3DS 承担着应要求处理和存储个人数据的数据处理方的角色。作为数据处理方，3DS 根据 GDPR、双方间签署的协议以及企业已在 3DS 解决方案中制定的业务规则，处理个人数据。

使用 3DS 产品的客户根据其具体业务需求，负责最终决定 GDPR合规途径。这些需求以行业、法令和法规要求，以及客户在 3DS 产品中存储数据的性质等因素为基础。具体来说，客户需要决定何时应该操作个人数据（根据 GDPR 删除或修改个人数据）或者何时应为记录保留或监管用途而保留个人数据。3DS 负责发布可促使其客户合乎GDPR规定的 3DS 产品。