ICO 的示例包括残疾详情、联系方式、购买历史记录、生活方式信息;但我们更倾向于详细描述所处理的数据类别。因此,我们选择了第一方 Cookie,即订单 ID(Matomo 商店)。
订单ID是个人信息吗?
“GDPR 适用于‘个人数据’,即与可识别个人相关的任何信息,特别是可以通过标识符直接或间接识别的个人。
该定义规定了构成个人数据的各种个人标识符,包括 whatsapp 号码数据库 姓名、身份证号码、位置数据或在线标识符,反映了技术和组织收集个人信息方式的变化。”资料来源:ICO。
对我们来说,订单 ID 是个人数技术和组织安全措施的据,因为它是一个可以间接识别一个人的在线标识符。
请注意,即使没有要求,我们也可能会包含Matomo 默认处理的非个人数据。
7 – 受助人类别
这意味着个人数据将被披露给谁。在我们的案例中,有两个接收者:Matomo 团队成员和我们的托管服务提供商(根据 GDPR 也称为数据处理者)。因此,在某些 2025年欧洲无障碍法案:它可能会影响您的网站 情况下,如果您在自己的服务器上托管 Matomo,则可能只有一个接收者;如果您有分包商,则可能有两个接收者。
8 – 与处理器的合同链接
与数据处理商合作时,该公司需要您签署一份名为“数据处理协议”的合同。该文件定义了各方的责任和义务。因此,就您而言,数据处理商很有可能是您的托管平台;请注意,在某些情况下,它也可能是代理机构或云提供商。
如果您是 InnoCraft 云客户,请参阅InnoCraft 云数据处理协议。
一旦签名,您只需在单元格内指明您可以在哪里获取其副本。
9 – 个人数据被转移至的第三国或国际组织的名称(如适用)
第三国是指欧盟以外的任何国家。在我们的案例中,由于数据被传输到法国,因此我们将此字段标记为N/A。
请注意,我们在法国托管数据,但是当您 韓國數據 使用自托管的 Matomo Analytics 时,您可以自由地将数据托管在任何您想要的地方。
10 – 向第三国或国际组织特殊转移个人数据的保障措施(如适用)
如果您的数据被传输到第三国,您需要表明他们有适当的保护措施。到目前为止,我们发现最简单的情况是数据被传输到美国。在这种特殊情况下,您至少需要证明技术和组织安全措施的接收数据传输的公司已注册隐私盾。
11 – 保留时间表(如果可能)
在此字段中,您需要填写数据的保存期限。GDPR 的第五条原则要求您保留个人数据的时间不得超过实现其获取目的所需的时间。我们遵循法国隐私委员会 CNIL 的建议,该委员会在之前的指南中指出,Matomo 的保留期限为 13 个月。
当然,我们强烈建议您采取安全措施,以确保您的 Matomo 安装安全。安全是一个非常重要的话题。以下是我们目前为止确定的Matomo 安装安全措施。安全措施远不止于此,因此我们也建议您参加例如这个关于安全的培训。
13 – 第 6 条 处理个人数据的合法依据
在此字段中,您需要指明 Matomo 处理个人数据的合法依据。我们认为,GDPR 文本并未 100% 明确哪些合法依据适用于 Matomo。在撰写本文时,我们认为合法依据是第 6(1)(f) 条规定的“合法利益”。