什么是GDPR?
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。
此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。
GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案
GDPR会影响哪些企业
欧盟GDPR法案具有域外效应。也就是说,GDPR赋予了欧盟在个人信息安全方面的域外管辖权。
主要受影响的企业为以下四类:
设立在欧盟境内的企业(控制者、处理者)
未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)
未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)
未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)
总结来说,GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。
GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案,数据控制者也无法免除责任,GDPR规定控制者需要承担更多的责任,以确保和数据处理者之间的合同能够严格遵守GDPR的规定。
GDPR不适用于哪些情况
GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:
为了预防、调查、侦查或起诉刑事犯罪,主管当局为执行刑事处罚目的而产生的数据处理行为
基于国家安全目的而产生的数据处理行为
自然人在纯粹的个人或家庭活动中产生的数据处理行为
欧盟法律规定范围之外的活动过程中产生的数据处理行为
GDPR约束了哪些数据
个人数据:
可以通过某个标识直接或间接识别某一自然人的信息。
不管是采用自动化手段还是人工进行归类的数据,包括按时间顺序排列的包含个人数据的记录集合。
已经被匿名化的个人数据,取决于用已有标识来识别特定个体的困难程度。
敏感个人数据:
也被称为“特殊种类的个人数据”。
包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。
包括遗传数据和经过处理可以唯一识别个体的生物特征数据。
不包括涉及刑事定罪和罪行的个人数据,但该类数据的处理和保存有特殊要求。
GDPR中数据主体的权利(第三章)
知情权
访问权
反对权
可携带权
纠正权
删除权/被遗忘权
限制处理权
免受数据画像影响
GDPR中处理个人数据的基本原则
合法、正当、透明
处理数据的目的是有限的
仅处理为达到目的的最少数据
确保数据准确、及时更新
存储数据的期限不得长于为达到目的所需要的时间
采取技术和管理措施以保护数据的安全
数据控制者有责任并应能够证明做到了以上几点
GDPR中对合法处理数据的定义
至少满足一下中的某一项,处理数据才是合法的
数据主体同意为了特定目的处理其数据
处理数据是为了签订或履行合同的需要
处理数据是为了遵守法定义务的需要
处理数据是为了保护数据主体或其他自然人的至关重要的利益
处理数据是为了公共利益或形式政府授受的权力
处理数据是为了追求数据控制者的合理利益,但不得损害数据
GDPR中数据控制者与数据处理者的义务
设置DPO(数据保护官)
文档化管理
数据保护影响评估
事先咨询机制
数据泄露报告机制
安全保障措施
遵守数据跨境转移规则
GDPR中针对特别类型个人数据的处理规定
禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。
GDPR中关于数据主体被遗忘权的规定(重要)
当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。
如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。
GDPR中关于数据主体可携带权的规定(重要)
数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。
GDPR中关于个人数据泄露通知的规定(重要)
数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误的通知数据主体,以便数据主体及时采取措施。
GDPR中关于设立数据保护官的规定
为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(DPO)。
控制者和处理者应当对数据保护官不下达任何指令,DPO不能因为执行任务的原因被解雇或者受到刑事处罚。
数据保护官直接向最高管理者报告工作。
根据联盟法律或者成员国法律规定,数据保护官应当对其执行任务的内容进行保密。
数据保护官也可以执行其他任务,履行其他职责。
GDPR关于执法和处罚的规定(非常重要)
不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。
GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定:
对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);
对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);
判罚的严重程度是基于以下因素:
违规的性质、严重程度和违规的持续时间
违规是故意的还是因疏忽造成的
对个人身份信息的责任心和控制程度
违规是单个事件还是重复事件
受到影响的个人资料的种类范围
数据主体遭遇的损害程度
为了减轻损害而采取的行动
由违规产生的财务预期或收益
GDPR核心旨在保护隐私数据,并通过法案约束来建立企业和公民之间的信任关系,违反GDPR的代价远不止财务层面,还将给企业声誉造成极大破坏,并且导致企业和消费者之间产生信任危机
如何掌握GDPR全面知识?
CIPP/E证书认证内容与国际知名律师事务所Bird & Bird,Field Fisher,Wilson / Sonsini以及Covington&Burling合作开发,包含泛欧和国家数据保护法、关键隐私术语和有关个人数据保护的实用概念、跨境数据流。
GDPR的相关培训是对DPO(数据保护官员)的基本要求之一。DPO的工作职责是监督数据合规性、管理&保护内部数据保护、培训数据处理人员,以及进行内部审计等。
获得CIPP/E认证代表对GDPR知识的 & 观点的全面掌握,以及足够的理解数据保护&在欧洲的相关法规,并在欧洲隐私法的相关职业发展上占据优势。
拥有IAPP颁发的CIPM和CIPP/E双项认证后,将满足欧盟对DPO(数据保护官员)在GDPR培训方面的独特职业门槛要求。 CIPP / E认证内容涉及DPO必须具备的有关欧洲立法法律框架的知识,而CIPM涉及关于管理企业/机构数据保护工作所需的理论基础。
宏景提供的注册信息隐私专家、技术及管理等方面的课程培训,教师团队由持有IAPP证书且具备丰富海外学习和教育经验的担当,让你轻松拿到IAPP认证的CIPM/CIPP/CIPT证书。
部分内容来源于安全牛,作者青莲云,版权归原作者所有,如有侵权,请联系删除!