欧盟发布的“一般数据保护条例”(GDPR)将在2018年5月25日正式实施,这是全球近20年在数据隐私保护领域最重大的变化。几十万户的企业必须遵守GDPR规定的数据管理规则。
# GDPR是什么
# 将对我的组织有何影响?
# DPO必须要设立吗?
“一般数据保护条例”(GDPR)
欧盟通用数据保护条例(GDPR)取代数据保护指令95/46 / EC,旨在协调整个欧洲的数据隐私法律,保护所有欧盟公民的数据隐私,并重塑整个地区在存储和处理隐私数据上的管理方式。
由于违反GDPR的规定,组织可能会被罚款高达全球年营业额的4%,或2000万欧元。比如,如果没有客户的足够的同意处理数据或违反隐私概念的核心内容,就可以认定为最严重的侵权行为并施加的最高罚款。有一种分级的处罚办法,例如,下列行为将被罚款全球营业额的2%(第28条):公司没有有秩序的记录,不通知监管当局有关的违约,不进行影响评估。值得注意的是,这些规则适用于控制方和处理方 - 这意味着'云计算'不会免于GDPR的执行。
欧盟发布这个新规定的主要原因
(1)为欧盟的数据主体提供更多保护个人隐私的权力
(2)基于隐私保护加强服务提供者与他们所服务的人之间的信任
(3)为企业提供明确的法律框架,通过制定统一的法律来消除任何区域差异
“一般数据保护条例”(GDPR)在2018年5月25日生效,这使得组织将在一年后为如何处理欧盟居民个人资料做出了巨大的改变。以下探讨组织如何为GDPR做好准备。
组织的数据安全管理是否符合GDPR规定
GDPR与其前身数据保护指令(指令95/46/EC)相比,适用于更大范围的组织。事实上,不受欧洲隐私法律约束的许多企业实际上需要遵守GDPR。如何确定您的组织是否必须遵守呢?
GDPR不仅适用于位于欧盟内部的组织,还适用于位于欧盟以外的组织,只要它们向欧盟数据主体提供产品或服务或监控其行为。它适用于所有处理和持有居住在欧盟的数据主体的数据的公司,无论公司的位置如何。 这包括使用欧盟语言或货币、为欧盟居民量身定制产品、或在欧盟范围内积极营销。 “监控”定义为在线跟踪数据主体创建的资料,或分析和预测个人偏好、行为模式或态度。
组织是否需要数据保护官(DPO)?
(a)公共当局,(b)从事大规模系统监测的组织,或(c)从事大规模处理敏感个人数据的组织(第37条),必须指定DPO。如果您的组织不属于这些类别之一,那么您无需指定DPO。与合规官或法律顾问不同,组织的数据保护官(DPO)需要向执行委员会报告,并有权监视组织的数据处理。拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定DPO。这根据他们处理敏感数据的程度和频率而定,拥有少于250名员工的组织可能也需要指定DPO。
是否有程序响应删除/修改/迁移的请求?
除了数据保护指令规定的权利,例如访问数据副本,修改权和限制处理权,GDPR还规定在线信息删除和数据可移植性的权利(允许人们将其数据传输到另一个服务提供商)。这意味着组织必须制定完整的程序来回应这些请求。
哪些类型的隐私数据将受到GDPR保护?
基本的身份信息,如姓名、地址和身份证号码等;
网络数据,如位置、IP地址、Cookie数据和RFID标签等;
医疗保健和遗传数据;
生物识别数据,如指纹、虹膜等;
种族或民族数据;
政治观点;
性取向。
数据主体的权利
数据泄漏通知
根据GDPR,在数据泄露可能“导致个人权利和自由风险”的所有成员国,泄密通知将成为强制性要求。这必须在第一次意识到违规后的72小时内完成。数据处理者也将被要求在第一次意识到数据泄露之后“通知他们的客户和数据管理者”,决不能“无故拖延”。
访问权
GDPR延展了数据主体的访问权利。数据主体有权从数据管理员处获得下列确认: 是否正在处理与其有关的个人数据、处理地点以及处理目的。此外,数据管理员应以电子格式免费提供个人资料的副本。这一变化强调了数据管理的透明度,体现了数据主体授权的重要性。
被遗忘的权利
也称为数据擦除,被遗忘的权利使数据主体有权让数据管理方擦除他/她的个人数据,停止进一步传播数据,并可能让第三方停止处理数据。正如第17条所述,如果数据处理与原始目的不再相关,或者数据主体撤回同意,数据主体则有权要求删除这些数据。还应该指出的是,这项权利要求数据管理者在考虑这些请求时将数据主体的权利与公众对可用数据的兴趣进行比较。 数据可移植性
GDPR引入了数据可移植性 - 数据主体有权获得他们的个人数据,并有权将该数据传输给另一个数据管理方。
融入设计的隐私(Privacy by Design)
”Privacy by Design“作为一个概念已经存在多年了,现在它正式成为了GDPR法律要求的一部分。在核心上,它要求在系统设计开始时就应该含有数据保护的理念,而不是后来增加。更具体地说 , “数据管理方应当以有效的方式采纳适当的技术和组织措施,以符合本法规的要求,全面保护数据主体的权利”。 第23条要求数据管理方只保留和处理对完成其职责绝对必要的数据(数据最小化),并将个人数据的访问仅仅限于确实需要的相关人员。