Zoho WorkDrive的GDPR 合规性

高级别的数据保护 

在 Zoho，我们致力于数据隐私和保护。多年来，我们始终符合 ISO 27001 和 SOC 2 Type II 的行业标准，并且在向美国传输数据方面获得了《欧盟-美国隐私盾框架》(EU-US Privacy Shield Framework) 的认证。

以下是 Zoho WorkDrive 如何帮助您保持 GDPR 合规性：

同意 [第 7 条]

满足 GDPR 合规性的第一步是了解您收集的个人数据有哪些、数据存储位置、机构处理数据的方式以及拥有访问权限的人员。机构已有数据的简便方法是维护信息资产登记系统 (IAR)。在 Zoho WorkDrive 中开发 IAR 并定期与您的团队对其进行更新，为参与该流程的每个人授予适当的角色。机构中的每个团队都可以维护自己的IAR，同时以管理员的身份监督它们。

作为控制者，确保每项数据处理活动都得到法律、合同的支持或自由给予、知情和明确同意对您来说非常重要。为了证明合规性，您应该记录数据处理的目的，以及适用的任何合同和同意书。

Zoho WorkDrive 为安全的团队内容协作平台提供适用于所有文件和文件夹的细粒度访问控制。这意味着您可以控制用户权限并跟踪访问合同的人员和时间。通过子文件夹级别的共享，您还可以为团队成员提供对其所属的团队文件夹中的特定文件或文件夹的更高访问权限。例如，如果您需要团队成员仅对团队文件夹中的一个文件做出贡献，则可以将其作为查看器添加到团队文件夹中，并仅为您希望他们编辑的文件授予编辑者权限。 

处理的安全性 [第 32 条]

您审查了所持有的数据后，下一步就是评估数据是否可能存在安全漏洞。确保采取适当的技术措施来保护您持有的任何个人数据不具有漏洞风险。存储在 Zoho WorkDrive 中的所有文件处于静止状态时使用 256 位高级加密标准 (AES) 进行加密，而在传输过程中则使用安全套接层 (SSL) 和传输层安全协议 (TLS) 提供保护。

然后，您将需要评估所有第三方供应商和承包商，以确保他们也满足 GDPR 合规性。很有必要与第三方制定适当的合同条款并制定严格的数据共享措施，大限度地减少任何意外的数据泄露。我们的高级外部共享功能通过允许您创建不同的文件和文件夹的外部共享链接、应用密码和到期日期等链接属性，并强制使用名称和电子邮件字段，为您做到上述要求创造了便利条件。您可以对其标记以便于参考，并单独跟踪这些链接。您还可以禁用特定团队文件夹甚至整个团队的外部共享。 

为了进一步增强您所持有数据的安全性，Zoho Directory 可以帮助您：

• 在整个团队中实施双重身份验证和密码策略。
• 将 Microsoft Active Directory 与 Zoho Directory 结合起来，以同步用户、团队和策略。
• 验证您的域，只允许来自同一域的用户加入您的帐户。
• 确保您域中的所有用户都加入您的企业帐户而不是创建新帐户，这样您就可以监督机构中的所有数据处理活动

注： 如果确实发生了数据泄露，尽管您以尽全力去解决问题，但必须在 72 小时内向国家数据保护机构报告。如果违规对受影响的个人构成高风险，您必须立即通知他们，不能有任何延迟。在 Zoho，我们的内部隐私事件响应政策可确保客户收到违规通知。

GDPR 合规性审查不会随着一次数据审查和风险评估结束而终结。定期审查您拥有的个人数据并删除您不再需要或长期未使用的任何数据非常重要。 

删除权 [第 17 条]

数据主体有权要求删除其个人数据。在这种情况下，您所要做的就是使用 Zoho WorkDrive 中的通用搜索功能来查找特定主体的个人数据，并将其从平台上的所有文件中删除。当数据主体要求纠正不正确的数据或对象，以进行进一步处理时，此功能也很有用。 

匿名化/假名化 [第 4(5) 条]

如果在分析中使用个人数据，删除此数据会改变结果。GDPR 强烈建议数据控制方在分析数据之前对这些数据进行匿名化或假名化。使用工具匿名化或假名化您的数据，然后使用 Zoho WorkDrive 桌面应用将其同步回您的 Zoho WorkDrive 帐户。您还可以使用我们的版本控制功能上传新版本的文件。如果要手动匿名化或假名化存储在 Zoho WorkDrive 中的数据，请使用我们的内置 Office 套件：Writer、Sheet 和 Show。

主体访问请求权利 [第 15 条]

数据访问权使主体有权知悉他们的个人数据是否正在被处理、数据来源（如果并非直接从他们那里收集而来），以及处理数据的方式。作为数据控制方，您还应该能够提供正在处理的数据的副本。我们的详细活动报告可让您跟踪和导出数据处理活动日志。借助我们的外部共享功能，您还可以让数据主体访问其个人数据，同时仍保持安全性。 

数据可移植性权利 [第 20 条]

数据主体有权要求以结构化的机器可读格式提供其个人数据。当技术上可行时，他们也可以将数据从一个控制方移动到另一个控制方。Zoho WorkDrive 通过让您找到与数据主体相关的所有个人数据并以结构化、可下载的格式提供，帮助您满足这些要求。 

使达到 GDPR 合规性变简单的管理功能

Zoho WorkDrive 具有帮助您满足数据主体可能提出的所有要求的功能。例如，在处理离开您机构的员工的个人文件时，您是根据您的合法权益还是员工的隐私行事？在这种情况下，有必要进行合法的利益评估，如果您没有找到合法的利益，则选择保护员工的隐私。Zoho WorkDrive 允许您临时撤销员工对其文件的访问权限，直到做出决定，然后让员工下载他们请求的文件，或者行使您的合法权益来删除文件或将其所有权转让给其他员工。

确保您不会意外丢失任何数据也很重要。组织者或管理员将删除的文件还原或永久删除之前，这些文件始终在团队文件夹的回收站列表中。团队文件夹回收站列表中的删除文件将在团队回收站列表中找到，团队管理员可以在其中恢复或永久删除它们。 

这仅仅是个开始！

Zoho 会一如既往地改善您的用户体验并超出您的预期。我们一直在寻找增强隐私保护的方法并将增加更多功能，以帮助客户不单单遵守 GDPR，还遵守全球数据保护机构制定的标准。例如，我们很快将推出一项功能，允许客户为已删除的文件设置自定义保留策略。同时，我们还在开发自定义成员角色，您可以籍此更好地控制团队文件夹中发生的所有操作。请继续关注 WorkDrive 的更多功能更新！